Bastion 세션 녹화 구성

이 문서는 Bastion 세션 녹화를 구성하는 데 도움이 됩니다. Azure Bastion Session 기록 기능을 사용하도록 설정하면 배스천 호스트를 통해 가상 머신(RDP 및 SSH)에 대한 연결에 대한 그래픽 세션을 기록할 수 있습니다. 세션이 닫히거나 연결이 끊어진 후 기록된 세션은 SAS URL을 통해 스토리지 계정 내의 Blob 컨테이너에 저장됩니다. 세션 연결이 끊어지면 세션 기록 페이지의 Azure 포털에서 기록된 세션에 액세스하고 볼 수 있습니다. 세션 녹화에는 Bastion 프리미엄 SKU가 필요합니다.

메모

Bastion 그래픽 세션 기록은 스토리지 계정에 인증하는 관리 ID 를 지원하므로 SAS 토큰을 관리할 필요가 없습니다. 시스템이 할당한 관리 ID 또는 사용자가 할당한 관리 ID를 사용할 수 있습니다. 관리 ID에 대한 일반적인 내용은 Azure 리소스에 대한 관리 ID는 무엇입니까? 참조하세요.

고려 사항

• 이 기능을 사용하려면 프리미엄 SKU가 필요합니다.
• 포털의 RDP 세션에 대한 Entra ID 지원은 현재 그래픽 세션 기록과 동시에 사용할 수 없습니다.
• 현재는 네이티브 클라이언트를 통해 세션 녹화를 사용할 수 없습니다.
• 변경할 수 없는 스토리지 정책이 있으면 안 됩니다.
• 세션 기록은 한 번에 하나의 컨테이너/스토리지 계정을 지원합니다.
• 세션이 활성화된 동안 스토리지 컨테이너를 변경하면 세션이 중단될 수 있습니다.
• 녹음 파일에 대하여 Blob 버전 관리가 없어야 합니다.
• Bastion 배포에서 세션 녹화가 사용하도록 설정된 경우 Bastion은 녹화가 사용하도록 설정된 베스천 호스트를 통과하는 모든 세션을 녹화합니다.

사전 요구 사항

• Azure Bastion 가상 네트워크에 배포됩니다. 단계는 Quickstart: Azure Portal에서 Azure Bastion 배포 참조하세요.
• Bastion은 이 기능에 프리미엄 SKU 를 사용하도록 구성해야 합니다. 세션 기록 기능을 구성할 때 더 낮은 SKU에서 프리미엄 SKU로 업데이트할 수 있습니다. SKU를 확인하고 필요한 경우 업그레이드하려면 SKU 보기 또는 업그레이드를 참조하세요.
• 연결하는 가상 머신은 베스천 호스트를 포함하는 가상 네트워크 또는 Bastion 가상 네트워크에 직접 피어링되는 가상 네트워크에 배포되어야 합니다.
• 세션 기록을 보거나 나열하려면 사용자에게 Storage Blob 데이터 판독 기 역할이 있어야 합니다.

세션 녹화 사용

새 베스천 호스트 리소스를 만들 때 세션 기록을 사용하도록 설정하거나 나중에 Bastion을 배포한 후 구성할 수 있습니다.

새로운 Bastion 배포 단계

Bastion 호스트를 수동으로 구성하고 배포할 때 배포 시 SKU 및 기능을 지정할 수 있습니다. Bastion을 배포하는 포괄적인 단계는 Azure 포털에서 Bastion 배포 참조하세요.

1. Azure 포털에서 리소스 만들기 선택합니다.
2. Azure Bastion 검색하고 Create 선택합니다.
3. 수동 설정을 사용하여 값을 입력하고 프리미엄 SKU를 선택합니다.
4. 고급 탭에서 세션 녹화를 선택하여 세션 녹화 기능을 사용하도록 설정합니다.
5. 세부 정보를 검토하고 만들기를 선택합니다. Bastion은 즉시 베스천 호스트 만들기를 시작합니다. 이 프로세스를 완료하는 데는 약 10분이 걸립니다.

기존 Bastion 배포 단계

Bastion을 이미 배포한 경우 다음 단계에서 세션 기록을 사용하도록 설정합니다.

1. Azure 포털에서 Bastion 리소스로 이동합니다.
2. Bastion 페이지의 왼쪽 창에서 구성을 선택합니다.
3. 구성 페이지에서 계층에 대해 아직 선택하지 않은 경우 프리미엄을 선택합니다. 이 기능을 사용하려면 프리미엄 SKU가 필요합니다.
4. 나열된 기능 중에서 세션 녹화를 선택합니다.
5. 적용을 선택합니다. Bastion은 즉시 베스천 호스트에 대한 설정 업데이트를 시작합니다. 업데이트에는 약 10분 정도 소요됩니다.

스토리지 계정 컨테이너 구성

이 섹션에서는 세션 녹화용 컨테이너를 설정하고 지정합니다.

1. 리소스 그룹에 스토리지 계정을 만듭니다. 단계는 스토리지 계정 만들기 및 SAS(공유 액세스 서명)를 사용하여 Azure Storage 리소스에 제한된 액세스 권한 부여를 참조하세요.

2. 스토리지 계정 내에서 컨테이너를 만듭니다. 이는 Bastion 세션 녹음을 저장하는 데 사용할 컨테이너입니다. 세션 녹화 전용 컨테이너를 만드는 것이 좋습니다. 단계는 컨테이너 만들기를 참조하세요.

3. 스토리지 계정 페이지의 왼쪽 창에서 설정을 확장합니다. 리소스 공유(CORS)를 선택합니다.

4. 다음 값을 사용하여 Blob Service에서 새 정책을 만들고 페이지 맨 위에 변경 내용을 저장합니다.

   이름	값
   허용된 원본	https://(으)로 시작하는 배스천의 전체 DNS 이름 뒤에 bst-이(가) 있습니다. 이 값은 대/소문자를 구분한다는 점을 유념해야 합니다.
   허용된 메서드	GET
   허용된 헤더	*
   노출된 헤더	*
   최대 기간	86400

스토리지 액세스 구성 및 기록 보기

관리 서비스/사용자 ID(권장) - 미리 보기

메모

다음 단계는 시스템 할당 관리 ID를 설정하는 것입니다. 사용자 할당 ID는 비슷한 단계를 따릅니다.

다음 단계는 관리 ID를 사용하도록 필요한 설정을 구성하는 데 도움이 됩니다. 관리 ID는 권장 인증 방법입니다.

1. Bastion 리소스를 선택하고 ID 블레이드로 이동합니다.

2. 상태를 켜 고 구성이 완료되기를 기다립니다.

3. Azure 역할 할당을 선택하고 역할 할당 추가(미리 보기) 선택합니다.

   Scope	Subscription	Resource	역할
   스토리지	스토리지 계정 구독	스토리지 계정 이름	Storage Blob 데이터 기여자

4. 저장을 선택하여 역할 할당을 저장합니다.

5. Bastion 리소스로 돌아가서 왼쪽 창에서 구성 을 선택합니다.

6. 세션 기록 구성에서 시스템 할당 관리 ID를 선택하고 스토리지 컨테이너에 대한 Blob 컨테이너 URI를 입력합니다.

녹음 보기

베스천 호스트에서 세션 기록이 사용하도록 설정되면 세션이 자동으로 기록됩니다. Azure 포털에서 통합 웹 플레이어를 통해 녹화를 볼 수 있습니다.

1. Azure 포털에서 Bastion 호스트로 이동합니다.
2. 왼쪽 창의 설정에서 세션 녹화를 선택합니다.
3. 보려는 VM과 녹화 링크를 선택한 다음 녹화 보기를 선택합니다.

SAS URL

다음 단계는 SAS 생성 페이지에서 직접 필요한 설정을 구성하는 데 도움이 됩니다. 그러나 저장된 액세스 정책을 만들어 일부 설정을 선택적으로 구성할 수 있습니다. 그런 다음 SAS 생성 페이지에서 저장된 액세스 정책을 SAS 토큰에 연결할 수 있습니다. 저장된 액세스 정책을 만들려면 액세스 정책이나 SAS 만들기 페이지에서 권한과 시작/만료 날짜 및 시간을 선택합니다.

1. 스토리지 계정 페이지에서 데이터 스토리지 -> 컨테이너로 이동합니다.
2. Bastion 세션 기록을 저장하기 위해 만든 컨테이너를 찾은 다음, 컨테이너 오른쪽에 있는 점 3개(줄임표)를 선택하고 드롭다운 목록에서 SAS 생성 을 선택합니다.
3. SAS 생성 페이지에서 권한에 대해 READ, CREATE, WRITE, LIST를 선택합니다.
4. 시작 및 만료 날짜/시간에는 다음 권장 사항을 따릅니다.
   • 시작 시간을 현재 시간보다 최소 15분 전으로 설정합니다.
   • 만료 시간을 오랜 시간 이후로 설정합니다.
5. 허용된 IP 주소에서 요청을 수락할 IP 주소 또는 IP 범위를 선택합니다. 자세한 내용은 IP 주소 또는 IP 범위 지정을 참조하세요.
6. 허용된 프로토콜에서 HTTPS만을 선택합니다.
7. SAS 토큰 및 URL 생성을 선택합니다. 페이지 하단에 생성된 Blob SAS 토큰과 Blob SAS URL이 표시됩니다.
8. Blob SAS URL을 복사합니다.
9. 베스천 호스트로 이동합니다. 왼쪽 창에서 세션 녹화를 선택합니다.
10. 페이지 상단에서 SAS URL 추가 또는 업데이트를 선택합니다. SAS URL을 붙여넣은 다음 업로드를 선택합니다.

SAS URL 추가 또는 업데이트

다음 단계는 SAS 생성 페이지에서 직접 필요한 설정을 구성하는 데 도움이 됩니다. 그러나 저장된 액세스 정책을 만들어 일부 설정을 선택적으로 구성할 수 있습니다. 그런 다음 SAS 생성 페이지에서 저장된 액세스 정책을 SAS 토큰에 연결할 수 있습니다. 저장된 액세스 정책을 만들려면 액세스 정책이나 SAS 만들기 페이지에서 권한과 시작/만료 날짜 및 시간을 선택합니다.

1. 스토리지 계정 페이지에서 데이터 스토리지 -> 컨테이너로 이동합니다.
2. Bastion 세션 기록을 저장하기 위해 만든 컨테이너를 찾은 다음, 컨테이너 오른쪽에 있는 점 3개(줄임표)를 선택하고 드롭다운 목록에서 SAS 생성 을 선택합니다.
3. SAS 생성 페이지에서 권한에 대해 READ, CREATE, WRITE, LIST를 선택합니다.
4. 시작 및 만료 날짜/시간에는 다음 권장 사항을 따릅니다.
   • 시작 시간을 현재 시간보다 최소 15분 전으로 설정합니다.
   • 만료 시간을 오랜 시간 이후로 설정합니다.
5. 허용된 IP 주소에서 요청을 수락할 IP 주소 또는 IP 범위를 선택합니다. 자세한 내용은 IP 주소 또는 IP 범위 지정을 참조하세요.
6. 허용된 프로토콜에서 HTTPS만을 선택합니다.
7. SAS 토큰 및 URL 생성을 선택합니다. 페이지 하단에 생성된 Blob SAS 토큰과 Blob SAS URL이 표시됩니다.
8. Blob SAS URL을 복사합니다.
9. 베스천 호스트로 이동합니다. 왼쪽 창에서 세션 녹화를 선택합니다.
10. 페이지 상단에서 SAS URL 추가 또는 업데이트를 선택합니다. SAS URL을 붙여넣은 다음 업로드를 선택합니다.

녹음 보기

베스천 호스트에서 세션 기록이 사용하도록 설정되면 세션이 자동으로 기록됩니다. Azure 포털에서 통합 웹 플레이어를 통해 녹화를 볼 수 있습니다.

1. Azure 포털에서 Bastion 호스트로 이동합니다.
2. 왼쪽 창의 설정에서 세션 녹화를 선택합니다.
3. SAS URL은 이미 구성되어 있어야 합니다(이 연습의 앞부분). 그러나 SAS URL이 만료되었거나 SAS URL을 추가해야 하는 경우 이전 단계를 사용하여 Blob SAS URL을 획득하고 업로드합니다.
4. 보려는 VM과 녹화 링크를 선택한 다음 녹화 보기를 선택합니다.

다음 단계

• Azure 리소스에 대한 관리 ID 및 Azure 서비스에 대한 인증을 위해 자격 증명을 관리할 필요가 없는 방법에 대해 알아봅니다.
• RDP/SSH 포트를 외부에서 노출하지 않고 가상 머신에 안전하고 원활한 RDP/SSH 연결을 제공하는 완전 관리형 서비스인 Azure Bastion 대해 알아봅니다.
• Azure Bastion 자주 묻는 질문에 대해 알아봅니다.