Uso compartido de recursos en Azure Compute Gallery - Azure Virtual Machines

Dado que una galería, definición y versión son todos los recursos de Azure Compute Gallery, puede compartirlos mediante los roles integrados de control de acceso basado en rol (RBAC) de Azure. Mediante el uso de roles RBAC de Azure, puede compartir estos recursos con otros usuarios, entidades de servicio y grupos. Incluso puede compartir el acceso con usuarios externos a la entidad donde se crearon.

Una vez que los usuarios tengan acceso, pueden usar los recursos de la galería para implementar una máquina virtual (VM) o un conjunto de escalado de máquinas virtuales. Esta es una matriz de uso compartido que puede ayudarle a comprender a qué acceden los usuarios:

Compartido con usuarios	Galería	Definición de imagen	Versión de la imagen
Galería	Sí	Sí	Sí
Definición de imagen	No	Sí	Sí

Se recomienda compartir en el nivel de la galería para obtener la mejor experiencia. No se recomienda compartir las versiones individuales de la imagen. Para obtener más información sobre Azure RBAC, consulte Asignación de roles de Azure.

Hay tres formas principales de compartir imágenes en la Galería de proceso, en función de los usuarios con los que quiera compartir:

Uso compartido con:	Personas	Grupos	Entidad de servicio	Todos los usuarios de una suscripción o entidad específica	Públicamente con todos los usuarios de Azure
Uso compartido de RBAC	Sí	Sí	Sí	No	No
RBAC + galería compartida directa	Sí	Sí	Sí	Sí	No
RBAC + galería de la comunidad	Sí	Sí	Sí	No	Sí

También puede crear un registro de aplicación para compartir imágenes entre inquilinos.

Nota:

Puede usar imágenes con permisos de lectura en ellas para implementar máquinas virtuales y discos.

Cuando se usa una galería compartida directa, las imágenes se distribuyen ampliamente a todos los usuarios de una suscripción o inquilino. Una galería de la comunidad distribuye imágenes públicamente. Al compartir imágenes que contienen propiedad intelectual, tenga cuidado para evitar una distribución generalizada.

Al compartir una galería mediante RBAC, debe proporcionar el valor imageID a cualquier persona que cree una máquina virtual o un conjunto de escala a partir de la imagen. La persona que implementa la máquina virtual o el conjunto de escalado no puede enumerar las imágenes que se han compartido con ellas a través de RBAC.

Si comparte recursos de galería con alguien que está fuera de su cliente de Azure, la persona necesitará su valor de tenantID para iniciar sesión y que Azure verifique que tiene acceso al recurso antes de poder usarlo en su propio cliente. Debe proporcionar el valor tenantID. No hay ninguna manera de que alguien fuera de su organización consulte este valor.

Para obtener instrucciones sobre cómo consumir una imagen compartida mediante RBAC y crear una máquina virtual o un conjunto de escalado, consulte:

Inicie sesión en Azure Portal.
En la página de la galería, en el menú de la izquierda, seleccione Control de acceso (IAM) .
En Agregar, selecciona Agregar asignación de roles. Se abre el panel Agregar asignación de roles.
En Rol, seleccione Lector.
En la pestaña Miembros , asegúrese de que el usuario está seleccionado. Para Asignar acceso a, mantenga el valor predeterminado de Usuario, grupo o entidad de servicio.
Elija Seleccionar miembros. En el panel que se abre, elija una cuenta de usuario.
Si el usuario está fuera de su organización, aparece el siguiente mensaje: Este usuario se enviará un correo electrónico que les permita colaborar con Microsoft. Seleccione el usuario con la dirección de correo electrónico y, a continuación, seleccione Guardar.

Para obtener el identificador de objeto de la galería, use az sig show:

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Use el identificador de objeto como ámbito, junto con una dirección de correo electrónico y az role assignment create, para conceder a un usuario acceso a la galería. Reemplace <email address> y <gallery ID> por su propia información.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Para más información sobre cómo compartir recursos mediante RBAC, consulte Asignación de roles de Azure mediante la CLI de Azure.

Use una dirección de correo electrónico y el Get-AzADUser cmdlet para obtener el identificador de objeto del usuario. Después, use New-AzRoleAssignment para conceder al usuario acceso a la galería. En el ejemplo siguiente, reemplace la dirección de correo electrónico de ejemplo (alinne_montes@contoso.com) por su propia información.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Cree una definición de imagen y una versión de imagen.
Cree una máquina virtual a partir de una imagen generalizada o especializada en una galería.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-15

Compartir a través de

Uso compartido de recursos de la galería entre suscripciones e inquilinos mediante RBAC

Compartir mediante RBAC

Contenido relacionado

Comentarios

Recursos adicionales