Udostępnianie zasobów w galerii zasobów obliczeniowych platformy Azure - Azure Virtual Machines

Ponieważ galeria, definicja i wersja to wszystkie zasoby w usłudze Azure Compute Gallery, można je udostępnić przy użyciu wbudowanych ról kontroli dostępu na podstawie ról (RBAC) platformy Azure. Za pomocą ról RBAC platformy Azure można udostępniać te zasoby innym użytkownikom, jednostkom usługi i grupom. Możesz nawet udostępniać dostęp osobom spoza dzierżawy, w której zostały utworzone.

Gdy użytkownicy mają dostęp, mogą użyć zasobów galerii do wdrożenia maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych. Oto macierz udostępniania, która może pomóc zrozumieć, do czego użytkownicy uzyskują dostęp:

Udostępnione użytkownikom	Galeria	Definicja obrazu	Wersja obrazu
Galeria	Tak	Tak	Tak
Definicja obrazu	Nie.	Tak	Tak

Zalecamy udostępnianie na poziomie galerii, aby uzyskać najlepsze środowisko. Nie zalecamy udostępniania poszczególnych wersji obrazów. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach platformy Azure, zobacz Przypisywanie ról platformy Azure.

Istnieją trzy główne sposoby udostępniania obrazów w galerii obliczeniowej, w zależności od użytkowników, którym chcesz udostępnić:

Udostępnianie za pomocą:	Osoby	Grupy	Jednostka usługi	Wszyscy użytkownicy w określonej subskrypcji lub dzierżawie	Publicznie ze wszystkimi użytkownikami na platformie Azure
Udostępnianie kontroli dostępu opartej na rolach	Tak	Tak	Tak	Nie.	Nie.
Kontrola dostępu oparta na rolach i bezpośrednia galeria udostępniona	Tak	Tak	Tak	Tak	Nie.
Kontrola dostępu oparta na rolach i galeria społeczności	Tak	Tak	Tak	Nie.	Tak

Możesz również utworzyć rejestrację aplikacji , aby udostępniać obrazy między dzierżawami.

Uwaga

Obrazy z uprawnieniami do odczytu można używać do wdrażania maszyn wirtualnych i dysków.

W przypadku korzystania z bezpośredniej galerii udostępnionej obrazy są szeroko dystrybuowane do wszystkich użytkowników w ramach subskrypcji lub dzierżawy. Galeria społeczności rozpowszechnia obrazy publicznie. Gdy udostępniasz obrazy zawierające własność intelektualną, należy zachować ostrożność, aby zapobiec powszechnemu rozpowszechnianiu.

Jeśli udostępniasz galerię przy użyciu kontroli dostępu opartej na rolach, musisz podać imageID wartość każdemu, kto tworzy maszynę wirtualną lub zestaw skalowania na podstawie obrazu. Osoba wdrażająca maszynę wirtualną lub zestaw skalowania nie może wyświetlić listy obrazów, które zostały im udostępnione za pośrednictwem kontroli dostępu opartej na rolach.

Jeśli udostępniasz zasoby galerii innym osobom spoza dzierżawy platformy Azure, potrzebują twojej tenantID wartości do zalogowania się i upewnij się, że platforma Azure ma dostęp do zasobu, zanim będzie mogła z niego korzystać w ramach własnej dzierżawy. Musisz podać tenantID wartość. Nie ma możliwości, aby ktoś spoza organizacji wysyłał zapytania dotyczące tej wartości.

Aby uzyskać instrukcje dotyczące korzystania z obrazu udostępnionego za pośrednictwem kontroli dostępu opartej na rolach i tworzenia maszyny wirtualnej lub zestawu skalowania, zobacz:

Zaloguj się do witryny Azure Portal.
Na stronie galerii w menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
W obszarze Dodaj wybierz pozycję Dodaj przypisanie roli. Zostanie otwarte okienko Dodawanie przypisania roli.
W obszarze Rola wybierz pozycję Czytelnik.
Na karcie Członkowie upewnij się, że użytkownik jest wybrany. W obszarze Przypisz dostęp do zachowaj wartość domyślną User, group lub service principal.
Wybierz Wybierz członków. W otwartym okienku wybierz konto użytkownika.
Jeśli użytkownik znajduje się poza organizacją, zostanie wyświetlony następujący komunikat: Ten użytkownik otrzyma wiadomość e-mail umożliwiającą współpracę z firmą Microsoft. Wybierz użytkownika z adresem e-mail, a następnie wybierz pozycję Zapisz.

Aby uzyskać identyfikator obiektu galerii, użyj polecenia az sig show:

az sig show \
   --resource-group myGalleryRG \
   --gallery-name myGallery \
   --query id

Użyj identyfikatora obiektu jako zakresu wraz z adresem e-mail i az role assignment create, aby udzielić użytkownikowi dostępu do galerii. Zastąp <email address> wartości i <gallery ID> własnymi informacjami.

az role assignment create \
   --role "Reader" \
   --assignee <email address> \
   --scope <gallery ID>

Aby uzyskać więcej informacji na temat udostępniania zasobów przy użyciu kontroli dostępu opartej na rolach, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Użyj adresu e-mail i Get-AzADUser polecenia cmdlet, aby uzyskać identyfikator obiektu dla użytkownika. Następnie użyj polecenia New-AzRoleAssignment , aby udzielić użytkownikowi dostępu do galerii. W poniższym przykładzie zastąp przykładowy adres e-mail (alinne_montes@contoso.com) własnymi informacjami.

# Get the object ID for the user
$user = Get-AzADUser -StartsWith alinne_montes@contoso.com
# Grant access to the user for our gallery
New-AzRoleAssignment `
   -ObjectId $user.Id `
   -RoleDefinitionName Reader `
   -ResourceName $gallery.Name `
   -ResourceType Microsoft.Compute/galleries `
   -ResourceGroupName $resourceGroup.ResourceGroupName

Utwórz definicję obrazu i wersję obrazu.
Utwórz maszynę wirtualną na podstawie uogólnionego lub wyspecjalizowanego obrazu w galerii.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-08-15

Udostępnij przez

Udostępnianie zasobów galerii w subskrypcjach i dzierżawach przy użyciu kontroli dostępu opartej na rolach

Udostępnianie przy użyciu kontroli dostępu opartej na rolach

Treści powiązane

Sprzężenie zwrotne

Dodatkowe źródła