Configuración de la grabación de sesiones de Bastion

Este artículo le ayudará a configurar la grabación de sesiones de Bastion. Cuando la característica Azure Bastion Grabación de sesiones está habilitada, puede grabar las sesiones gráficas de las conexiones realizadas a máquinas virtuales (RDP y SSH) a través del host de bastión. Una vez cerrada o desconectada la sesión, las sesiones grabadas se almacenan en un contenedor de blobs que se encuentra en su cuenta de almacenamiento (a través de la dirección URL de SAS). Cuando se desconecta una sesión, puede acceder y ver las sesiones grabadas en el portal de Azure en la página Grabación de sesión. La grabación de sesiones requiere la SKU de Bastion Premium.

Nota:

La grabación gráfica de sesión de Bastion admite identidades administradas para autenticarse en la cuenta de almacenamiento, lo que elimina la necesidad de administrar tokens de SAS. Puede usar una identidad administrada asignada por el sistema o por el usuario. Para obtener información general sobre las identidades administradas, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

Consideraciones

• Esta característica requiere la SKU Premium.
• La compatibilidad de Entra ID para sesiones RDP en el portal no se puede usar simultáneamente con la grabación de sesiones gráficas en este momento.
• La grabación de sesiones no está disponible a través de un cliente nativo en este momento.
• Las directivas de almacenamiento inmutables no deben estar presentes.
• La grabación de sesiones admite una cuenta de almacenamiento o contenedor a la vez.
• Cambiar los contenedores de almacenamiento mientras una sesión está activa puede provocar interrupciones en la sesión.
• El control de versiones de blobs en las grabaciones no debe estar presente.
• Cuando la grabación de sesiones está habilitada en una implementación de Bastion, Bastion registra todas las sesiones que pasan por el host bastión habilitado para grabación.

Prerrequisitos

• Azure Bastion se implementa en la red virtual. Consulte Quickstart: Implementación de Azure Bastion desde el portal de Azure para ver los pasos.
• Bastion debe configurarse para usar la SKU Premium para esta característica. Puede actualizar a la SKU Premium desde una SKU inferior al configurar la característica de grabación de sesiones. Para comprobar la SKU y la actualización, si es necesario, consulte Visualización o actualización de una SKU.
• La máquina virtual a la que se conecta debe desplegarse en la red virtual que contiene al host Bastion, o en una red virtual que esté emparejada directamente con la red virtual de Bastion.
• Para ver o enumerar las grabaciones de sesión, el usuario debe tener el rol Lector de datos de Storage Blob .

Habilitación de la grabación de sesiones

Puede habilitar la grabación de sesiones al crear un nuevo recurso de host bastión o configurarlo más adelante después de implementar Bastion.

Pasos para nuevas implementaciones de Bastion

Al configurar e implementar manualmente un host bastión, puede especificar la SKU y las características en el momento de la implementación. Para obtener pasos completos para implementar Bastion, consulte Deploy Bastion desde el portal de Azure.

1. En el portal de Azure, seleccione Crear un recurso.
2. Busque Azure Bastion y seleccione Crear.
3. Rellene los valores mediante la configuración manual y asegúrese de seleccionar la SKU Premium.
4. En la pestaña Opciones avanzadas, seleccione Grabación de sesiones para habilitar esta característica.
5. Revise los detalles y seleccione Crear. Bastion comienza inmediatamente a crear el host bastión. Este proceso tarda unos 10 minutos en completarse.

Pasos para las implementaciones de Bastion existentes

Si ya ha implementado Bastion, siga estos pasos para habilitar la grabación de sesiones.

1. En el portal de Azure, vaya al recurso de Bastion.
2. En la página de Bastion, en el panel izquierdo, seleccione Configuración.
3. En la página Configuración, en Nivel, seleccione Premium si aún no aparece seleccionado. Esta característica requiere el SKU Premium.
4. Seleccione Grabación de sesiones en las características mostradas.
5. Seleccione Aplicar. Bastion comenzará inmediatamente a actualizar la configuración de su host bastión. Las actualizaciones tardan unos 10 minutos.

Configuración del contenedor de cuenta de almacenamiento

En esta sección, va a configurar y especificar el contenedor para las grabaciones de sesiones.

1. Cree una cuenta de almacenamiento en un nuevo grupo de recursos: Para ver los pasos, consulte Crear una cuenta de almacenamiento y Otorgar acceso limitado a los recursos de Azure Storage utilizando firmas de acceso compartido (SAS).

2. Cree un Contenedor en la cuenta de almacenamiento. Este es el contenedor que usará para almacenar las grabaciones de sesión de Bastion. Se recomienda crear un contenedor exclusivo para las grabaciones de sesión. Consulte Creación de un contenedor para ver los pasos.

3. En la página de la cuenta de almacenamiento, en el panel izquierdo, expanda Configuración. Seleccione Uso compartido de recursos (CORS).

4. Cree una nueva directiva en Blob service con los siguientes valores y guarde los cambios en la parte superior de la página.

   NOMBRE	Valor
   Orígenes permitidos	https:// seguido del nombre DNS completo de su bastión, empezando por bst-. Tenga en cuenta que estos valores distinguen mayúsculas de minúsculas.
   Métodos permitidos	GET
   Encabezados permitidos	*
   Encabezados expuestos	*
   Antigüedad máxima	86400

Configuración del acceso al almacenamiento y visualización de grabaciones

Servicio administrado/Identidad de usuario (recomendado): versión preliminar

Nota:

Los pasos siguientes son para configurar una identidad administrada asignada por el sistema. Las identidades asignadas por el usuario siguen pasos similares.

Los pasos siguientes le ayudarán a configurar las opciones necesarias para usar la identidad administrada. La identidad administrada es el método de autenticación recomendado.

1. Seleccione el recurso Bastión y vaya a la hoja Identidad.

2. Cambie el estado a Activado y espere a que finalice la configuración.

3. Seleccione Asignaciones de roles de Azure y seleccione Agregar una asignación de roles (versión preliminar).

   Ámbito	Subscription	Recurso	Función
   Storage	Su suscripción de la cuenta de almacenamiento	El nombre de la cuenta de almacenamiento	Colaborador de datos de Storage Blob

4. Seleccione Guardar para guardar la asignación de roles.

5. Vuelva al recurso de Bastion y seleccione Configuración en el panel izquierdo.

6. En Configuración de grabación de sesión, seleccione Identidad administrada asignada por el sistema y escriba el URI del contenedor de blobs para el contenedor de almacenamiento.

Visualización de una grabación

Las sesiones se graban automáticamente cuando la grabación de sesiones está habilitada en el host bastión. Puede ver las grabaciones en el portal de Azure a través de un reproductor web integrado.

1. En el portal de Azure, vaya al host Bastion.
2. En el panel izquierdo, en Configuración, seleccione Grabaciones de sesiones.
3. Seleccione la máquina virtual y el vínculo de grabación que desea ver y, a continuación, seleccione Ver grabación.

SAS URL

Los pasos siguientes le ayudarán a configurar las opciones necesarias directamente en la página Generar SAS. Sin embargo, opcionalmente, puede configurar algunas de las opciones mediante la creación de una directiva de acceso almacenada. A continuación, puede vincular la directiva de acceso almacenada al token de SAS en la página Generar SAS. Si quiere crear una directiva de acceso almacenada, seleccione Permisos y Fecha y hora de inicio y expiración en la directiva de acceso o en la página Generar SAS.

1. En la página de la cuenta de almacenamiento, vaya a Almacenamiento de datos:> contenedores.
2. Busque el contenedor que creó para almacenar las grabaciones de sesión de Bastion y, a continuación, seleccione los 3 puntos (puntos suspensivos) a la derecha del contenedor y seleccione Generar SAS en la lista desplegable.
3. En la página Generar SAS, en Permisos, seleccione READ, CREATE, WRITE, LIST.
4. En Fecha y hora de inicio y expiración, use las siguientes recomendaciones:
   • Establezca la hora de inicio en al menos 15 minutos antes de la hora actual.
   • Establezca la hora de expiración para que sea muy lejana.
5. En Direcciones IP permitidas, seleccione la dirección IP o el intervalo IP para aceptar solicitudes. Para obtener más información, vea Especificar una dirección IP o un intervalo IP.
6. En Protocolos permitidos, seleccione HTTPS solo.
7. Seleccione Generar token SAS y URL. Verá el token de SAS de blob y la dirección URL de SAS de blob generados en la parte inferior de la página.
8. Copie la URL SAS de Blob.
9. Vaya al host bastión. En el panel izquierdo, seleccione Grabaciones de sesiones.
10. En la parte superior de la página, seleccione Agregar o actualizar la dirección URL de SAS. Pegue la dirección URL de SAS y seleccione Cargar.

Adición o actualización de la dirección URL de SAS

Los pasos siguientes le ayudarán a configurar las opciones necesarias directamente en la página Generar SAS. Sin embargo, opcionalmente, puede configurar algunas de las opciones mediante la creación de una directiva de acceso almacenada. A continuación, puede vincular la directiva de acceso almacenada al token de SAS en la página Generar SAS. Si quiere crear una directiva de acceso almacenada, seleccione Permisos y Fecha y hora de inicio y expiración en la directiva de acceso o en la página Generar SAS.

1. En la página de la cuenta de almacenamiento, vaya a Almacenamiento de datos:> contenedores.
2. Busque el contenedor que creó para almacenar las grabaciones de sesión de Bastion y, a continuación, seleccione los 3 puntos (puntos suspensivos) a la derecha del contenedor y seleccione Generar SAS en la lista desplegable.
3. En la página Generar SAS, en Permisos, seleccione READ, CREATE, WRITE, LIST.
4. En Fecha y hora de inicio y expiración, use las siguientes recomendaciones:
   • Establezca la hora de inicio en al menos 15 minutos antes de la hora actual.
   • Establezca la hora de expiración para que sea muy lejana.
5. En Direcciones IP permitidas, seleccione la dirección IP o el intervalo IP para aceptar solicitudes. Para obtener más información, vea Especificar una dirección IP o un intervalo IP.
6. En Protocolos permitidos, seleccione HTTPS solo.
7. Seleccione Generar token SAS y URL. Verá el token de SAS de blob y la dirección URL de SAS de blob generados en la parte inferior de la página.
8. Copie la URL SAS de Blob.
9. Vaya al host bastión. En el panel izquierdo, seleccione Grabaciones de sesiones.
10. En la parte superior de la página, seleccione Agregar o actualizar la dirección URL de SAS. Pegue la dirección URL de SAS y seleccione Cargar.

Visualización de una grabación

Las sesiones se graban automáticamente cuando la grabación de sesiones está habilitada en el host bastión. Puede ver las grabaciones en el portal de Azure a través de un reproductor web integrado.

1. En el portal de Azure, vaya al host Bastion.
2. En el panel izquierdo, en Configuración, seleccione Grabaciones de sesiones.
3. La dirección URL de SAS ya debe estar configurada (anteriormente en este ejercicio). Sin embargo, si la dirección URL de SAS ha expirado o necesita agregar la dirección URL de SAS, siga los pasos anteriores para adquirir y cargar la dirección URL de SAS de Blob.
4. Seleccione la máquina virtual y el vínculo de grabación que desea ver y, a continuación, seleccione Ver grabación.

Pasos siguientes

• Obtenga información sobre identidades administradas para recursos de Azure y cómo eliminan la necesidad de administrar las credenciales para autenticarse en Azure servicios.
• Obtenga información sobre Azure Bastion, un servicio totalmente administrado que proporciona conectividad RDP/SSH segura y sin problemas a máquinas virtuales sin exponer puertos RDP/SSH externamente.
• Obtenga información sobre preguntas frecuentes sobre Azure Bastion.