Freigeben von Ressourcen im Azure Compute Gallery - Azure Virtual Machines

Da ein Katalog, eine Definition und eine Version alle Ressourcen im Azure Compute Gallery sind, können Sie diese mithilfe der integrierten rollenbasierten Azure-Zugriffssteuerungsrollen (RBAC) freigeben. Mithilfe von Azure RBAC-Rollen können Sie diese Ressourcen für andere Benutzer, Dienstprinzipale und Gruppen freigeben. Sie können sogar den Zugriff für Einzelpersonen außerhalb des Mandanten freigeben, in dem sie erstellt wurden.

Nachdem Benutzer Zugriff haben, können sie die Katalogressourcen verwenden, um einen virtuellen Computer (VM) oder einen VM-Skalierungssatz bereitzustellen. Hier ist eine Freigabematrix, die Ihnen helfen kann, zu verstehen, auf welche Elemente die Benutzer zugreifen können:

Für Benutzer freigegeben	Galerie	Bilddefinition	Imageversion
Galerie	Ja	Ja	Ja
Bilddefinition	Nein	Ja	Ja

Wir empfehlen die Freigabe auf Katalogebene, um die beste Erfahrung zu erzielen. Wir raten von der Freigabe einzelner Imageversionen ab. Weitere Informationen zu Azure RBAC finden Sie unter Zuweisen von Azure-Rollen.

Es gibt drei Hauptmethoden zum Freigeben von Bildern in der Compute Gallery, je nachdem, für welche Benutzer Sie freigeben möchten:

Freigeben für:	Personen	Gruppen	Service Principal	Alle Benutzer in einem bestimmten Abonnement oder Mandanten	Öffentlich für alle Benutzer in Azure
RBAC-Freigabe	Ja	Ja	Ja	Nein	Nein
RBAC + direkte freigegebene Galerie	Ja	Ja	Ja	Ja	Nein
RBAC + Community Gallery	Ja	Ja	Ja	Nein	Ja

Sie können auch eine App-Registrierung erstellen, um Bilder zwischen Mandanten zu teilen.

Hinweis

Sie können Bilder mit Leseberechtigungen verwenden, um virtuelle Computer und Datenträger bereitzustellen.

Wenn Sie eine direkte freigegebene Galerie verwenden, werden Bilder weit verstreut an alle Benutzer in einem Abonnement oder Mandanten verteilt. In einer Community-Galerie werden Bilder öffentlich gezeigt. Wenn Sie Bilder freigeben, die geistiges Eigentum enthalten, verwenden Sie Vorsicht, um eine weit verbreitete Verteilung zu verhindern.

Wenn Sie einen Katalog mithilfe von RBAC freigeben, müssen Sie jedem, der einen virtuellen Computer erstellt oder einen Skalierungssatz aus dem Image erstellt, den imageID Wert bereitstellen. Die Person, die den virtuellen Computer oder die Skalierungsgruppe bereitstellt, kann nicht die Bilder auflisten, die über RBAC für sie freigegeben wurden.

Wenn Sie Katalogressourcen für eine Person außerhalb Ihres Azure-Mandanten freigeben, benötigen sie Ihren tenantID Wert, um sich anzumelden und Azure zu überprüfen, ob sie Zugriff auf die Ressource haben, bevor sie sie innerhalb ihres eigenen Mandanten verwenden können. Sie müssen den tenantID Wert angeben. Es gibt keine Möglichkeit, dass jemand außerhalb Ihrer Organisation diesen Wert abfragen kann.

Anweisungen zum Verwenden eines über RBAC freigegebenen Images und zum Erstellen eines virtuellen Computers oder einer Skalierungsgruppe finden Sie unter:

Melden Sie sich beim Azure-Portal an.
Wählen Sie auf der Seite für Ihren Katalog im linken Menü die Option Access-Steuerelement (IAM) aus.
Wählen Sie unter Hinzufügen die Option Rollenzuweisung hinzufügen aus. Der Bereich Rollenzuweisung hinzufügen wird geöffnet.
Wählen Sie unter Rolle die Option Leser aus.
Stellen Sie auf der Registerkarte " Mitglieder " sicher, dass der Benutzer ausgewählt ist. Behalten Sie für " Zugriff zuweisen" die Standardeinstellung " Benutzer", "Gruppe" oder "Dienstprinzipal" bei.
Wählen Sie Mitglieder aus. Wählen Sie im daraufhin geöffneten Bereich ein Benutzerkonto aus.
Wenn sich der Benutzer außerhalb Ihrer Organisation befindet, wird die folgende Meldung angezeigt: Dieser Benutzer wird eine E-Mail gesendet, mit der er mit Microsoft zusammenarbeiten kann. Wählen Sie den Benutzer mit der E-Mail-Adresse und dann " Speichern" aus.

Verwenden Sie az sig show, um die Objekt-ID Ihres Katalogs abzurufen:

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Verwenden Sie die Objekt-ID als Bereich, zusammen mit einer E-Mail-Adresse und az-Rollenzuweisung, um einem Benutzer Zugriff auf den Katalog zu gewähren. Ersetzen Sie <email address> und <gallery ID> durch Ihre eigenen Angaben.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Weitere Informationen zum Freigeben von Ressourcen mithilfe von RBAC finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

Verwenden Sie eine E-Mail-Adresse und das Get-AzADUser Cmdlet, um die Objekt-ID für den Benutzer abzurufen. Verwenden Sie dann die Verwendung New-AzRoleAssignment , um dem Benutzer Zugriff auf den Katalog zu gewähren. Ersetzen Sie im folgenden Beispiel die Beispiel-E-Mail-Adresse (alinne_montes@contoso.com) durch Ihre eigenen Informationen.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Erstellen Sie eine Imagedefinition und eine Imageversion.
Erstellen Sie eine VM aus einem generalisierten oder spezialisierten Image in einem Katalog.

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-15

Freigeben über

Freigeben von Katalogressourcen für Abonnements und Mandanten mithilfe von RBAC

Freigeben mithilfe von RBAC

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen