Criar uma ligação partilhável para o Bastion

  • Artigo

A funcionalidade Ligação Partilhável do Bastion permite que os utilizadores se liguem a um recurso de destino (máquina virtual ou conjunto de dimensionamento de máquinas virtuais) com o Azure Bastion sem aceder ao portal do Azure. Este artigo ajuda-o a utilizar a funcionalidade Ligação Partilhável para criar uma ligação partilhável para uma implementação existente do Azure Bastion.

Quando um utilizador sem credenciais do Azure clica numa ligação partilhável, é aberta uma página Web que pede ao utilizador para iniciar sessão no recurso de destino através de RDP ou SSH. Os utilizadores autenticam-se com o nome de utilizador e a palavra-passe ou a chave privada, consoante o que configurou para o recurso de destino. A ligação partilhável não contém credenciais . O administrador tem de fornecer credenciais de início de sessão ao utilizador.

Por predefinição, os utilizadores na sua organização terão apenas acesso de leitura a ligações partilhadas. Se um utilizador tiver acesso de leitura, só poderá utilizar e ver ligações partilhadas, mas não poderá criar ou eliminar uma ligação partilhável. Para obter mais informações, veja a secção Permissões deste artigo.

Considerações

  • Atualmente, as Ligações Partilháveis não são suportadas para VNETs em modo de peering entre inquilinos.
  • Atualmente, as Ligações Partilháveis não são suportadas através de WAN Virtual.
  • As Ligações Partilháveis não suportam ligação a VMs no local ou não Azure e VMSS. 
  • O SKU Standard é necessário para esta funcionalidade.
  • O Bastion suporta apenas 50 pedidos, incluindo criações e eliminações, para ligações partilháveis de cada vez.
  • O Bastion suporta apenas 500 ligações partilháveis por recurso do Bastion.

Pré-requisitos

  • O Azure Bastion está implementado na sua VNet. Veja Tutorial - Implementar o Bastion com as definições manuais para obter os passos.

  • O Bastion tem de ser configurado para utilizar o SKU Standard para esta funcionalidade. Pode atualizar o SKU de Básico para Standard quando configurar a funcionalidade de ligações partilháveis.

  • A VNet na qual o recurso do Bastion é implementado ou uma VNet diretamente em modo de peering contém o recurso da VM para o qual pretende criar uma ligação partilhável.

Antes de poder criar uma ligação partilhável para uma VM, primeiro tem de ativar a funcionalidade.

  1. Na portal do Azure, aceda ao recurso bastion.

  2. Na sua página do Bastion , no painel esquerdo, clique em Configuração.

    Captura de ecrã a mostrar as Definições de configuração com a ligação partilhável selecionada.

  3. Na página Configuração , para Camada, selecione Standard se ainda não estiver selecionado. Esta funcionalidade requer o SKU Standard.

  4. Selecione Ligação Partilhável nas funcionalidades listadas para ativar a funcionalidade Ligação Partilhável.

  5. Verifique se selecionou as definições pretendidas e, em seguida, clique em Aplicar.

  6. O Bastion começará imediatamente a atualizar as definições do seu anfitrião bastion. Atualizações demorará cerca de 10 minutos.

Nesta secção, especifique cada recurso para o qual pretende criar uma ligação partilhável

  1. Na portal do Azure, aceda ao recurso bastion.

  2. Na página bastion, no painel esquerdo, clique em Ligações partilháveis. Clique em + Adicionar para abrir a página Criar ligação partilhável .

    Captura de ecrã da página de ligações partilháveis com + adicionar.

  3. Na página Criar ligação partilhável , selecione os recursos para os quais pretende criar uma ligação partilhável. Pode selecionar recursos específicos ou selecionar todos. Será criada uma ligação partilhável separada para cada recurso selecionado. Clique em Aplicar para criar ligações.

    Captura de ecrã da página de ligações partilháveis para criar uma ligação partilhável.

  4. Assim que as ligações forem criadas, pode vê-las na página Ligações partilháveis . O exemplo seguinte mostra ligações para vários recursos. Pode ver que cada recurso tem uma ligação separada e o estado da ligação é Ativo. Para partilhar uma ligação, copie-a e, em seguida, envie-a para o utilizador. A ligação não contém credenciais de autenticação.

    Captura de ecrã da página de ligações partilháveis para mostrar todas as ligações de recursos disponíveis.

Ligar a uma VM

  1. Depois de receber a ligação, o utilizador abre a ligação no respetivo browser.

  2. No canto esquerdo, o utilizador pode selecionar se pretende ver texto e imagens copiados para a área de transferência. O utilizador introduz as informações necessárias e, em seguida, clica em Iniciar sessão para se ligar. Uma ligação partilhada não contém credenciais de autenticação. O administrador tem de fornecer credenciais de início de sessão ao utilizador. São suportados protocolos e portas personalizados.

    Captura de ecrã a mostrar o início de sessão no bastion com a ligação partilhável no browser.

Nota

Se uma ligação já não puder ser aberta, significa que alguém na sua organização eliminou esse recurso. Apesar de continuar a poder ver as ligações partilhadas na sua lista, esta deixará de se ligar ao recurso de destino e resultará num erro de ligação. Pode eliminar a ligação partilhada na sua lista ou mantê-la para fins de auditoria.

  1. Na portal do Azure, aceda ao recurso do Bastion –> Ligações Partilháveis.

  2. Na página Ligações Partilháveis , selecione a ligação de recurso que pretende eliminar e, em seguida, clique em Eliminar.

    Captura de ecrã a mostrar a seleção da ligação a eliminar.

Permissões

As permissões para a funcionalidade Ligação Partilhável são configuradas com o Controlo de acesso (IAM). Por predefinição, os utilizadores na sua organização terão apenas acesso de leitura a ligações partilhadas. Se um utilizador tiver acesso de leitura, só poderá utilizar e ver ligações partilhadas, mas não poderá criar ou eliminar uma ligação partilhada.

Para conceder permissões a alguém para criar ou eliminar uma ligação partilhada, siga os seguintes passos:

  1. Na portal do Azure, aceda ao anfitrião do Bastion.

  2. Aceda à página Controlo de acesso (IAM).

  3. Na secção Microsoft.Network/bastionHosts, configure as seguintes permissões:

    • Outro: cria URLs partilháveis para as VMs num bastion e devolve os URLs.
    • Outro: elimina urls partilháveis para as VMs fornecidas num bastion.
    • Outro: elimina urls partilháveis para os tokens fornecidos sob um bastion.

    Estes correspondem aos seguintes cmdlets do PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action – se esta opção não estiver ativada, o utilizador não poderá ver uma ligação partilhável.

Passos seguintes