分享方式:

為 Bastion 建立可共用連結

  • 文章

Bastion 可共用連結功能可讓使用者使用 Azure Bastion 連線到目標資源 (虛擬機器或虛擬機器擴展集),而不需存取Azure 入口網站。 本文可協助您使用「可共用連結」功能來建立現有 Azure Bastion 部署的可共用連結。

當沒有 Azure 認證的使用者按一下可共用連結時,網頁隨即開啟,提示使用者透過 RDP 或 SSH 登入目標資源。 視您為目標資源設定的內容而定,使用者會使用使用者名稱和密碼或私密金鑰進行驗證。 可共用連結不包含任何認證 - 管理員必須將登入認證提供給使用者。

根據預設,組織中的使用者只會有共用連結的讀取權限。 如果使用者具有讀取權限,他們只能夠使用和檢視共用的連結,但無法建立或刪除可共用連結。 如需詳細資訊,請參閱本文的權限一節。

考量

  • 租用戶之間的對等互連 VNET 目前不支援可共用連結。
  • 目前不支援透過虛擬 WAN 的可共用連結。
  • 可共用連結不支援連線到內部部署或非 Azure VM 和 VMSS。 
  • 此功能需要標準 SKU。
  • Bastion 一次只支援 50 個可共用連結的要求,包括建立和刪除。
  • Bastion 僅支援每個 Bastion 資源 500 個可共用連結。

必要條件

  • Azure Bastion 會部署至您的 VNet。 請參閱教學課程:使用手動設定部署 Bastion,以取得相關步驟。

  • Bastion 必須設定為使用此功能的 [標準] SKU。 當您設定可共用連結功能時,可以將 SKU 從 [基本] 更新為 [標準]。

  • Bastion 資源部署所在的 VNet 或直接對等互連的 VNet,包含您想要在其中建立可共用連結的 VM 資源。

您必須先啟用此功能,才能建立 VM 的可共用連結。

  1. 在 Azure 入口網站中,移至您的堡壘資源。

  2. 在 [堡壘] 頁面上,按一下左窗格中的 [設定]

    Screenshot of Configuration settings with shareable link selected.

  3. 在 [設定] 頁面上,針對 [階層],選取 [標準] (若尚未選取的話)。 此功能需要標準 SKU

  4. 從列出的功能中選取 [可共用連結],以啟用可共用連結功能。

  5. 確認您已選取想要的設定,然後按一下 [套用]

  6. Bastion 會立即開始更新堡壘主機的設定。 更新約需 10 分鐘。

在本節中,您會指定要建立可共用連結的每個資源

  1. 在 Azure 入口網站中,移至您的堡壘資源。

  2. 在堡壘頁面上,按一下左窗格中的 [可共用連結]。 按一下 [+ 新增] 以開啟 [建立可共用連結] 頁面。

    Screenshot shareable links page with + add.

  3. 在 [建立可共用連結] 頁面上,選取您要建立可共用連結的資源。 您可以選取特定資源,也可以全部選取。 系統會為每項選取的資源建立個別的可共用連結。 按一下 [套用],即可建立連結。

    Screenshot of shareable links page to create a shareable link.

  4. 建立連結後,您可以在 [可共用連結] 頁面上檢視這些連結。 下列範例顯示多項資源的連結。 您可以看到每個資源都有個別的連結,且連結狀態為 [作用中]。 若要共用連結,請加以複製,然後將其傳送給使用者。 此連結不包含驗證認證。

    Screenshot of shareable links page to show all available resource links.

連線至 VM

  1. 收到連結之後,使用者會在其瀏覽器中開啟連結。

  2. 在左上角,使用者可以選取是否要查看複製到剪貼簿的文字和影像。 使用者輸入必要的資訊,然後按一下 [登入] 進行連線。 共用的連結不包含驗證認證。 管理員必須將登入認證提供給使用者。 支援自訂連接埠和通訊協定。

    Screenshot of Sign-in to bastion using the shareable link in the browser.

注意

如果再也無法開啟連結,這表示組織中的某人已刪除該資源。 雖然您仍可在清單中看到共用的連結,但其再也無法連線到目標資源,並會導致連線錯誤。 您可以刪除清單中共用的連結,或予以保留以供稽核之用。

  1. 在 Azure 入口網站中,移至您的 Bastion 資源 -> 可共用連結

  2. 在 [可共用連結] 頁面上,選取您要刪除的資源連結,然後按一下 [刪除]

    Screenshot of selecting link to delete.

權限

可共用連結功能的權限是使用存取控制 (IAM) 來設定。 根據預設,組織中的使用者只會有共用連結的讀取權限。 如果使用者具有讀取權限,他們只能夠使用和檢視共用的連結,但無法建立或刪除共用的連結。

若要給與某人建立或刪除共用連結的權限,請使用下列步驟:

  1. 在 Azure 入口網站中,移至 Bastion 主機。

  2. 移至 [存取控制 (IAM)] 頁面。

  3. 在 Microsoft.Network/bastionHosts 區段中,設定下列權限:

    • 其他:為堡壘下的 VM 建立可共用的 URL 並傳回 URL。
    • 其他:刪除堡壘下所提供 VM 的可共用 URL。
    • 其他:刪除防禦下所提供權杖的可共用 URL。

    這些對應至下列 PowerShell Cmdlet:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action - 若未啟用,使用者就無法看到可共用連結。

下一步