Vytvoření odkazu ke sdílení pro Bastion
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku (virtuálnímu počítači nebo škálovací sadě virtuálních počítačů) pomocí služby Azure Bastion bez přístupu k Azure Portal. Tento článek vám pomůže použít funkci Odkaz ke sdílení k vytvoření odkazu ke sdílení pro existující nasazení služby Azure Bastion.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou k přihlášení k cílovému prostředku prostřednictvím protokolu RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na tom, co jste pro cílový prostředek nakonfigurovali. Odkaz ke sdílení neobsahuje žádné přihlašovací údaje – správce musí uživateli poskytnout přihlašovací údaje.
Ve výchozím nastavení budou mít uživatelé ve vaší organizaci přístup jen pro čtení ke sdíleným odkazům. Pokud má uživatel přístup ke čtení, bude moct používat a zobrazovat jenom sdílené odkazy, ale nebude moct vytvořit ani odstranit odkaz ke sdílení. Další informace najdete v části Oprávnění tohoto článku.
Požadavky
- Odkazy ke sdílení se v současné době nepodporují u partnerských virtuálních sítí napříč tenanty.
- Odkazy ke sdílení se v současné době nepodporují v Virtual WAN.
- Odkazy ke sdílení nepodporují připojení k místním virtuálním počítačům a škálovacím škálovacím systémům azure nebo k virtuálním počítačům mimo Azure.
- Pro tuto funkci se vyžaduje skladová položka Standard.
- Bastion podporuje jenom 50 požadavků, včetně vytvoření a odstranění, pro odkazy ke sdílení najednou.
- Bastion podporuje jenom 500 odkazů ke sdílení na prostředek Bastionu.
Požadavky
Azure Bastion se nasadí do vaší virtuální sítě. Postup najdete v tématu Kurz – Nasazení služby Bastion pomocí ručního nastavení .
Bastion musí být nakonfigurovaný tak, aby pro tuto funkci používal skladovou položku Standard . Skladovou položku můžete aktualizovat z úrovně Basic na Standard při konfiguraci funkce odkazy ke sdílení.
Virtuální síť, ve které je prostředek Bastion nasazený nebo přímo v partnerském vztahu, obsahuje prostředek virtuálního počítače, ke kterému chcete vytvořit odkaz pro sdílení.
Povolení funkce Sdíletelné odkazy
Než budete moct vytvořit odkaz ke sdílení virtuálního počítače, musíte nejdřív tuto funkci povolit.
V Azure Portal přejděte k prostředku bastionu.
Na stránce Bastion klikněte v levém podokně na Konfigurace.
Na stránce Konfigurace v části Úroveň vyberte Standardní , pokud ještě není vybraná. Tato funkce vyžaduje skladovou položku Standard.
Výběrem možnosti Odkaz ke sdílení z uvedených funkcí povolte funkci Sdíletelné odkazy.
Ověřte, že jste vybrali požadované nastavení, a pak klikněte na Použít.
Bastion okamžitě začne aktualizovat nastavení vašeho hostitele bastionu. Aktualizace bude trvat asi 10 minut.
Vytváření odkazů ke sdílení
V této části určíte každý prostředek, pro který chcete vytvořit odkaz ke sdílení.
V Azure Portal přejděte k prostředku bastionu.
Na stránce bastionu v levém podokně klikněte na Odkazy ke sdílení. Kliknutím na + Přidat otevřete stránku Vytvořit odkaz ke sdílení .
Na stránce Vytvořit odkaz ke sdílení vyberte prostředky, pro které chcete vytvořit odkaz pro sdílení. Můžete vybrat konkrétní prostředky nebo můžete vybrat všechny. Pro každý vybraný prostředek se vytvoří samostatný odkaz ke sdílení. Kliknutím na Použít vytvořte odkazy.
Po vytvoření můžete odkazy zobrazit na stránce Odkazy ke sdílení . Následující příklad ukazuje odkazy na více prostředků. Uvidíte, že každý prostředek má samostatné propojení a stav propojení je Aktivní. Pokud chcete sdílet odkaz, zkopírujte ho a pak ho pošlete uživateli. Odkaz neobsahuje přihlašovací údaje pro ověřování.
Připojení k virtuálnímu počítači
Po obdržení odkazu uživatel otevře odkaz ve svém prohlížeči.
V levém rohu může uživatel vybrat, jestli se má zobrazit text a obrázky zkopírované do schránky. Uživatel zadá požadované informace a pak se kliknutím na Přihlásit připojí. Sdílený odkaz neobsahuje přihlašovací údaje pro ověřování. Správce musí uživateli poskytnout přihlašovací údaje. Podporují se vlastní porty a protokoly.
Poznámka
Pokud odkaz už nejde otevřít, znamená to, že někdo ve vaší organizaci tento prostředek odstranil. I když budete moct sdílené odkazy v seznamu stále vidět, už se nebudou připojovat k cílovému prostředku a způsobí chybu připojení. Sdílený odkaz v seznamu můžete odstranit nebo si ho nechat pro účely auditování.
Odstranění odkazu ke sdílení
V Azure Portal přejděte k prostředku Bastionu –> Odkazy ke sdílení.
Na stránce Odkazy ke sdílení vyberte odkaz na prostředek, který chcete odstranit, a klikněte na Odstranit.
Oprávnění
Oprávnění k funkci Odkaz ke sdílení se konfigurují pomocí řízení přístupu (IAM). Ve výchozím nastavení budou mít uživatelé ve vaší organizaci přístup jen pro čtení ke sdíleným odkazům. Pokud má uživatel přístup ke čtení, bude moct používat a zobrazovat jenom sdílené odkazy, ale nebude moct vytvořit ani odstranit sdílený odkaz.
Pokud chcete někomu udělit oprávnění k vytvoření nebo odstranění sdíleného odkazu, postupujte následovně:
V Azure Portal přejděte na hostitele Bastionu.
Přejděte na stránku Řízení přístupu (IAM).
V části Microsoft.Network/bastionHosts nakonfigurujte následující oprávnění:
- Jiné: Vytvoří adresy URL ke sdílení pro virtuální počítače v rámci bastionu a vrátí adresy URL.
- Jiné: Odstraní adresy URL ke sdílení pro poskytnuté virtuální počítače v rámci bastionu.
- Jiné: Odstraní adresy URL ke sdílení pro poskytnuté tokeny v rámci bastionu.
Tyto rutiny odpovídají následujícím rutinám PowerShellu:
- Microsoft.Network/bastionHosts/createShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
- Microsoft.Network/bastionHosts/getShareableLinks/action – Pokud tato možnost není povolená, uživatel neuvidí odkaz ke sdílení.
Další kroky
- Další funkce najdete v tématu Nastavení funkcí a konfigurace bastionu.
- Další informace o službě Azure Bastion najdete v tématu Co je Azure Bastion?