Créer une connexion SSH à une machine virtuelle Linux avec Azure Bastion

  • Article

Cet article vous montre comment créer de manière sécurisée et fluide une connexion SSH à vos machines virtuelles Linux situées dans un réseau virtuel Azure, directement par le biais du portail Azure. Quand vous utilisez Azure Bastion, vos machines virtuelles n’ont pas besoin de client, d’agent ni de logiciel supplémentaire.

Azure Bastion fournit une connectivité sécurisée à toutes les machines virtuelles du réseau virtuel dans lequel il est provisionné. Azure Bastion protège vos machines virtuelles contre l’exposition des ports RDP/SSH au monde extérieur, tout en fournissant un accès sécurisé à l’aide de RDP/SSH. Pour plus d’informations, consultez Qu’est-ce qu’Azure Bastion ? article.

Quand vous vous connectez à une machine virtuelle Linux avec SSH, vous pouvez utiliser une paire nom d’utilisateur-mot de passe et des clés SSH pour l’authentification. La clé privée SSH doit être dans un format qui commence par "-----BEGIN RSA PRIVATE KEY-----" et se termine par "-----END RSA PRIVATE KEY-----".

Prérequis

Assurez-vous que vous avez configuré un hôte Azure Bastion pour le réseau virtuel dans lequel réside la machine virtuelle. Pour plus d’informations, consultez Créer un hôte Azure Bastion. Une fois que le service Bastion est approvisionné et déployé dans votre réseau virtuel, vous pouvez l’utiliser pour vous connecter à toutes les machines virtuelles dans ce réseau virtuel.

Les paramètres de connexion et les fonctionnalités disponibles dépendent de la référence SKU Bastion que vous utilisez. Vérifiez que votre déploiement Bastion utilise la référence SKU requise.

Rôles nécessaires

Pour établir une connexion, les rôles suivants sont nécessaires :

  • Rôle de lecteur sur la machine virtuelle.
  • Rôle de lecteur sur la carte réseau avec adresse IP privée de la machine virtuelle.
  • Rôle de lecteur sur la ressource Azure Bastion.
  • Rôle de lecteur sur le réseau virtuel de la machine virtuelle cible (si le déploiement Bastion se trouve sur un réseau virtuel homologue).

Ports

Pour vous connecter à la machine virtuelle Linux par le biais du protocole SSH, les ports suivants doivent être ouverts sur votre machine virtuelle :

  • Port d’entrée : SSH (22) ou
  • Port d’entrée : valeur personnalisée (vous devez spécifier ce port personnalisé quand vous vous connectez à la machine virtuelle avec Azure Bastion). Ce paramètre n’est pas disponible pour la référence SKU Basic ou Developer.

Page de connexion Bastion

  1. Dans le portail Azure, accédez à la machine virtuelle à laquelle vous souhaitez vous connecter. En haut de la page Vue d’ensemble de la machine virtuelle Vue d’ensemble , sélectionnez Se connecter, puis sélectionnez Se connecter via Bastion dans la liste déroulante. Cela ouvre la page Bastion. Vous pouvez accéder à la page Bastion directement dans le volet gauche.

    Capture d’écran montrant la page de présentation d’une machine virtuelle.

  2. Sur la page Bastion, les paramètres que vous pouvez configurer dépendent du niveau de référence SKU Bastion que votre hôte bastion a configuré pour l’utilisation.

    La capture d'écran montre les paramètres de connexion pour les SKU supérieurs au SKU Essentiel.

    • Si vous utilisez un SKU supérieur au SKU de base, les valeurs des paramètres de connexion (ports et protocoles) sont visibles et peuvent être configurées.

    • Si vous utilisez la référence SKU de base ou la référence Développeur, vous ne pouvez pas configurer les valeurs des paramètres de connexion. Au lieu de cela, votre connexion utilise les paramètres par défaut suivants : SSH et port 22.

    • Pour afficher et sélectionner un type d’authentification disponible, utilisez la liste déroulante.

  3. Utilisez les sections suivantes de cet article pour configurer les paramètres d’authentification et vous connecter à votre machine virtuelle.

Authentification Microsoft Entra ID (préversion)

Remarque

La prise en charge de l’authentification par ID Microsoft Entra pour les connexions SSH au sein du portail est en préversion et est actuellement déployée.

Si les conditions suivantes sont remplies, Microsoft Entra ID devient l'option par défaut pour vous connecter à votre machine virtuelle. Sinon, Microsoft Entra ID n’apparaîtra pas comme option.

Configuration requise :

  • La connexion Microsoft Entra ID doit être activée sur la machine virtuelle. La connexion Microsoft Entra ID peut être activée lors de la création de la VM ou en ajoutant l'extension de connexion Microsoft Entra ID à une VM préexistante.

  • L’un des rôles requis suivants doit être configuré sur la machine virtuelle pour l’utilisateur :

    • connexion administrateur de machine virtuelle: ce rôle est nécessaire si vous souhaitez vous connecter avec des privilèges d’administrateur.
    • connexion utilisateur de machine virtuelle: ce rôle est nécessaire si vous souhaitez vous connecter avec des privilèges d’utilisateur réguliers.

Suivez les étapes suivantes pour vous authentifier à l’aide de Microsoft Entra ID.

La capture d'écran montre le type d'authentification comme Microsoft Entra ID.

  1. Pour vous authentifier à l'aide de Microsoft Entra ID, configurez les paramètres suivants.

    • Paramètres de connexion : uniquement disponible pour les SKU supérieurs au SKU de base.

      • Protocole : sélectionnez SSH.
      • Port : Spécifiez le numéro de port.

    • type d’authentification: sélectionnez 'ID Microsoft Entra dans la liste déroulante.

  2. Pour utiliser la machine virtuelle dans un nouvel onglet de navigateur, sélectionnez Ouvrir dans un nouvel onglet de navigateur.

  3. Cliquez sur Se connecter pour vous connecter à la machine virtuelle.

Authentification par mot de passe

Procédez comme suit pour vous authentifier à l’aide du nom d’utilisateur et du mot de passe.

Capture d’écran montrant Authentification par mot de passe.

  1. Pour vous authentifier à l’aide d’un nom d’utilisateur et d’un mot de passe, configurez les paramètres suivants.

    • Paramètres de connexion : uniquement disponible pour les SKU supérieurs au SKU de base.

      • Protocole : sélectionnez SSH.
      • Port : Spécifiez le numéro de port.

    • Type d’authentification : Sélectionnez Mot de passe dans la liste déroulante.

    • Nom d'utilisateur : Entrez le nom d'utilisateur.

    • Mot de passe : entrez le mot de passe.

  2. Pour utiliser la machine virtuelle dans un nouvel onglet de navigateur, sélectionnez Ouvrir dans un nouvel onglet de navigateur.

  3. Cliquez sur Se connecter pour vous connecter à la machine virtuelle.

Authentification par mot de passe : Azure Key Vault

Procédez comme suit pour vous authentifier à l’aide d’un mot de passe à partir d’Azure Key Vault.

La capture d'écran montre le mot de passe de l'authentification Azure Key Vault.

  1. Pour vous authentifier à l’aide d’un mot de passe à partir d’Azure Key Vault, configurez les paramètres suivants.

    • Paramètres de connexion : uniquement disponible pour les SKU supérieurs au SKU de base.

      • Protocole : sélectionnez SSH.
      • Port : Spécifiez le numéro de port.

    • Type d’authentification : sélectionnez Mot de passe dans Azure Key Vault dans la liste déroulante.

    • Nom d'utilisateur : Entrez le nom d'utilisateur.

    • Abonnement : sélectionnez l'abonnement.

    • Azure Key Vault : sélectionnez le Key Vault.

    • Azure Key Vault Secret: Sélectionnez le secret de Key Vault contenant la valeur de votre clé privée SSH.

      • Si vous n’avez pas configuré de ressource Azure Key Vault, consultez Création d’un coffre de clés, puis stockez votre clé privée SSH comme valeur d’un nouveau secret Key Vault.

      • Assurez-vous que vous disposez des accès List et Get aux secrets stockés dans la ressource Key Vault. Pour affecter et modifier des stratégies d’accès pour votre ressource Key Vault, consultez Attribuer une stratégie d’accès Key Vault.

      • Stockez votre clé privée SSH en tant que secret dans Azure Key Vault à l’aide de l’expérience PowerShell ou Azure CLI. Le stockage de votre clé privée via l’expérience du portail Azure Key Vault interfère avec la mise en forme et entraîne un échec de connexion. Si vous avez stocké votre clé privée en tant que secret à l’aide de l’expérience du portail et que vous n’avez plus accès au fichier de la clé privée d’origine, consultez Mettre à jour la clé SSH pour mettre à jour l’accès à votre machine virtuelle cible avec une nouvelle paire de clés SSH.

  2. Pour utiliser la machine virtuelle dans un nouvel onglet de navigateur, sélectionnez Ouvrir dans un nouvel onglet de navigateur.

  3. Cliquez sur Se connecter pour vous connecter à la machine virtuelle.

Authentification par clé privée SSH : fichier local

Procédez comme suit pour vous authentifier à l’aide d’une clé privée SSH à partir d’un fichier local.

La capture d'écran montre la clé privée de l'authentification du fichier local.

  1. Pour vous authentifier à l’aide d’une clé privée à partir d’un fichier local, configurez les paramètres suivants.

    • Paramètres de connexion : uniquement disponible pour les SKU supérieurs au SKU Essentiel.

      • Protocole : sélectionnez SSH.
      • Port : Spécifiez le numéro de port.

    • Type d’authentification : sélectionnez clé privée SSH dans le fichier local dans la liste déroulante.

    • Nom d'utilisateur : Entrez le nom d'utilisateur.

    • Fichier local : sélectionnez le fichier local.

    • Phrase secrète SSH : entrez la phrase secrète SSH si nécessaire.

  2. Pour utiliser la machine virtuelle dans un nouvel onglet de navigateur, sélectionnez Ouvrir dans un nouvel onglet de navigateur.

  3. Cliquez sur Se connecter pour vous connecter à la machine virtuelle.

Authentification par clé privée SSH : Azure Key Vault

Procédez comme suit pour vous authentifier à l’aide d’une clé privée stockée dans Azure Key Vault.

La capture d'écran montre la clé privée stockée dans l'authentification Azure Key Vault.

  1. Pour s'authentifier à l'aide d'une clé privée stockée dans Azure Key Vault, configurez les paramètres suivants. Pour la référence SKU De base, les paramètres de connexion ne peuvent pas être configurés. À la place, les paramètres de connexion par défaut (SSH et le port 22) seront utilisés.

    • Paramètres de connexion : uniquement disponible pour les SKU supérieurs au SKU Essentiel.

      • Protocole : sélectionnez SSH.
      • Port : Spécifiez le numéro de port.

    • Type d’authentification : Sélectionnez SSH Private Key from Azure Key Vault dans la liste déroulante.

    • Nom d'utilisateur : Entrez le nom d'utilisateur.

    • Abonnement : sélectionnez l'abonnement.

    • Azure Key Vault : sélectionnez le Key Vault.

      • Si vous n’avez pas configuré de ressource Azure Key Vault, consultez Création d’un coffre de clés, puis stockez votre clé privée SSH comme valeur d’un nouveau secret Key Vault.

      • Assurez-vous que vous disposez des accès List et Get aux secrets stockés dans la ressource Key Vault. Pour affecter et modifier des stratégies d’accès pour votre ressource Key Vault, consultez Attribuer une stratégie d’accès Key Vault.

      • Stockez votre clé privée SSH en tant que secret dans Azure Key Vault à l’aide de l’expérience PowerShell ou Azure CLI. Le stockage de votre clé privée via l’expérience du portail Azure Key Vault interfère avec la mise en forme et entraîne un échec de connexion. Si vous avez stocké votre clé privée en tant que secret à l’aide de l’expérience du portail et que vous n’avez plus accès au fichier de la clé privée d’origine, consultez Mettre à jour la clé SSH pour mettre à jour l’accès à votre machine virtuelle cible avec une nouvelle paire de clés SSH.

    • Azure Key Vault Secret: Sélectionnez le secret de Key Vault contenant la valeur de votre clé privée SSH.

  2. Pour utiliser la machine virtuelle dans un nouvel onglet de navigateur, sélectionnez Ouvrir dans un nouvel onglet de navigateur.

  3. Cliquez sur Se connecter pour vous connecter à la machine virtuelle.

Étapes suivantes

Pour plus d’informations sur Azure Bastion, consultez les Questions fréquentes (FAQ) sur Bastion.