Creación de un vínculo compartible para Bastion

  • Artículo

La característica Bastion Shareable Link permite a los usuarios conectarse a un recurso de destino (máquina virtual o conjunto de escalado de máquinas virtuales) mediante Azure Bastion sin tener acceso a Azure Portal. Este artículo le ayuda a usar la característica Shareable Link para crear un vínculo para compartir para una implementación existente de Azure Bastion.

Cuando un usuario sin credenciales de Azure hace clic en un vínculo para compartir, se abre una página web que solicita al usuario que inicie sesión en el recurso de destino a través de RDP o SSH. Los usuarios se autentican mediante nombre de usuario y contraseña o clave privada, en función de lo que haya configurado para el recurso de destino. El vínculo para compartir no contiene ninguna credencial. El administrador debe proporcionar credenciales de inicio de sesión al usuario.

De forma predeterminada, los usuarios de la organización solo tendrán acceso de lectura a los vínculos compartidos. Si un usuario tiene acceso de lectura, solo podrá usar y ver vínculos compartidos, pero no podrá crear ni eliminar un vínculo para compartir. Para obtener más información, vea la sección Permisos de este artículo.

Consideraciones

  • Los vínculos que se pueden compartir no se admiten actualmente para las redes virtuales emparejadas entre inquilinos.
  • Actualmente, los vínculos que se pueden compartir no se admiten en Virtual WAN.
  • Los vínculos que se pueden compartir no admiten la conexión a máquinas virtuales y VMSS de Azure locales o que no son de Azure. 
  • Esta característica requiere la SKU estándar.
  • Bastion solo admite 50 solicitudes, incluidas las creaciones y eliminaciones, para vínculos que se pueden compartir a la vez.
  • Bastion solo admite 500 vínculos que se pueden compartir por recurso de Bastion.

Requisitos previos

  • Azure Bastion se implementa en la red virtual. Consulte los pasos en Tutorial: Implementación de Bastion mediante la configuración manual.

  • Bastion debe configurarse para usar la SKU estándar para esta característica. Al configurar la característica de vínculos para compartir, puede actualizar la SKU básica a estándar.

  • La red virtual en la que se implementa el recurso de Bastion o una red virtual emparejada directamente contiene el recurso de máquina virtual al que desea crear un vínculo que se pueda compartir.

Antes de crear un vínculo para compartir para una máquina virtual, debe habilitar la característica.

  1. En Azure Portal, vaya al recurso de Bastion.

  2. En la página de Bastion, en el panel izquierdo, haga clic en Configuración.

    Captura de pantalla de la configuración con el vínculo para compartir seleccionado.

  3. En la página Configuración, en Nivel, seleccione Estándar si aún no aparece seleccionado. Esta característica requiere la SKU estándar.

  4. Seleccione Shareable Link en las características enumeradas con el fin de habilitar la característica de vínculo para compartir.

  5. Compruebe que ha seleccionado la configuración que desea y, a continuación, haga clic en Aplicar.

  6. Bastion comenzará inmediatamente a actualizar la configuración de su host bastión. Las actualizaciones tardarán unos 10 minutos.

En esta sección, especificará cada recurso para el que desea crear un vínculo para compartir.

  1. En Azure Portal, vaya al recurso de Bastion.

  2. En la página de Bastion, en el panel izquierdo, haga clic en Shareable links. Haga clic en + Agregar para abrir la página Create shareable link.

    Captura de pantalla de la página de vínculos para compartir, con la opción + Agregar.

  3. En la página Create shareable link, seleccione los recursos para los que desea crear un vínculo para compartir. Puede seleccionar recursos específicos, o bien todos los recursos. Para cada recurso seleccionado, se creará un vínculo para compartir independiente. Haga clic en Aplicar para crear vínculos.

    Captura de pantalla de la página de vínculos para compartir para crear un vínculo que se pueda compartir.

  4. Una vez creados los vínculos, puede verlos en la página de vínculos para compartir. En el ejemplo siguiente se muestran los vínculos para varios recursos. Como se puede ver, cada recurso tiene un vínculo independiente, y el estado del vínculo es Activo. Para compartir un vínculo, cópielo y envíelo al usuario. El vínculo no contiene credenciales de autenticación.

    Captura de pantalla de la página de vínculos para compartir que muestra todos los vínculos de recursos disponibles.

Conexión a una máquina virtual

  1. Después de recibir el vínculo, el usuario lo abre en su explorador.

  2. En la esquina izquierda, el usuario puede seleccionar si desea ver el texto y las imágenes copiadas en el Portapapeles. El usuario especifica la información necesaria y hace clic en Iniciar sesión para conectarse. Un vínculo compartido no contiene credenciales de autenticación. El administrador debe proporcionar credenciales de inicio de sesión al usuario. Se admiten protocolos y puertos personalizados.

    Captura de pantalla del inicio de sesión en Bastion mediante el vínculo para compartir en el explorador.

Nota

Si un vínculo ya no se puede abrir, quiere decir que alguien de su organización ha eliminado ese recurso. Aunque todavía podrá ver los vínculos compartidos en su lista, ya no se conectará al recurso de destino y provocará un error de conexión. Puede eliminar el vínculo compartido de la lista o mantenerlo con fines de auditoría.

  1. En Azure Portal, vaya a Bastion resource -> Shareable Links.

  2. En la página de vínculos para compartir, seleccione el vínculo de recurso que desea eliminar y haga clic en Eliminar.

    Captura de pantalla de selección del vínculo para eliminar.

Permisos

Los permisos para la característica de vínculo para compartir se configuran mediante el control de acceso (IAM). De forma predeterminada, los usuarios de la organización solo tendrán acceso de lectura a los vínculos compartidos. Si un usuario tiene acceso de lectura, solo podrá usar y ver vínculos compartidos, pero no podrá crearlos ni eliminarlos.

Para conceder a alguien permisos para crear o eliminar un vínculo compartido, siga estos pasos:

  1. En Azure Portal, vaya al host bastión.

  2. Vaya a la pestaña Control de acceso (IAM).

  3. En la sección Microsoft.Network/bastionHosts, configure los permisos siguientes:

    • Otro: Crea direcciones URL para compartir para las máquinas virtuales de una instancia bastión y devuelve las direcciones URL.
    • Otro: Elimina las direcciones URL que se pueden compartir para las VM proporcionadas en un bastión.
    • Otro: Elimina las direcciones URL para compartir para los tokens proporcionados en una instancia bastión.

    Estos se corresponden con los siguientes cmdlets de PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action: Si no se ha habilitado, el usuario no podrá ver un vínculo para compartir.

Pasos siguientes