Criar um link compartilhável para o Bastion

O recurso Link Compartilhável do Bastion permite que os usuários se conectem a um recurso de destino (máquina virtual ou conjunto de dimensionamento de máquinas virtuais) usando o Azure Bastion sem acessar o portal do Azure. Este artigo ajuda a usar o recurso Link Compartilhável para criar um link compartilhável de uma implantação existente do Azure Bastion.

Quando um usuário sem credenciais do Azure clica em um link compartilhável, é aberta uma página da Web solicitando que o usuário entre no recurso de destino por meio de RDP ou SSH. Os usuários fazem a autenticação usando nome de usuário e senha ou chave privada, dependendo do que você configurou para o recurso de destino. O link compartilhável não contém credenciais – o administrador deve fornecer credenciais de entrada para o usuário.

Por padrão, os usuários em sua organização terão somente acesso de leitura a links compartilhados. Se um usuário tiver acesso de leitura, ele só poderá usar e exibir links compartilhados, mas não poderá criar ou excluí-los. Para obter mais informações, consulte a seção Permissões deste artigo.

Considerações

  • Atualmente, não há suporte para os links compartilháveis para VNets emparelhadas entre locatários.
  • Atualmente, não há suporte para os Links Compartilháveis em WAN Virtual.
  • Os Links Compartilháveis não dão suporte à conexão com VMs e VMSS locais ou não-Azure. 
  • A SKU Standard é necessária para esse recurso.
  • O Bastion tem suporte apenas para 50 solicitações, incluindo criações e exclusões, de links compartilháveis por vez.
  • O Bastion dá suporte apenas a 500 links compartilháveis por recurso do Bastion.

Pré-requisitos

  • O Azure Bastion é implantado em sua VNet. Confira Tutorial: implantar o Bastion usando configurações manuais para obter etapas.

  • O Bastion deve ser configurado para usar o SKU Standard para esse recurso. Você pode atualizar o SKU do Básico para o Standard ao configurar o recurso de links compartilháveis.

  • A VNet na qual o recurso do Bastion está implantado ou uma VNet com emparelhamento direto contém o recurso de VM para o qual você deseja criar um link compartilhável.

Primeiro você deve habilitar o recurso, antes de criar um link compartilhável para uma VM.

  1. No portal do Azure, acesse o seu recurso do bastion.

  2. Na página do Bastion, no painel à esquerda, clique em Configuração.

    Captura de tela das definições de configuração com o link compartilhável selecionado.

  3. Na página Configuração, para Camada, selecione Standard, caso não esteja selecionado. Este recurso necessita do SKU Standard.

  4. Selecione Link Compartilhável nos recursos listados para habilitar o recurso Link Compartilhável.

  5. Verifique se você selecionou as configurações desejadas e clique em Aplicar.

  6. O Bastion imediatamente começará a atualizar as configurações do seu bastion host. Atualizações levam cerca de 10 minutos.

Nesta seção, você especifica cada recurso para o qual deseja criar um link compartilhável

  1. No portal do Azure, acesse o seu recurso do bastion.

  2. Na página do bastion, no painel à esquerda, clique em Links compartilháveis. Clique em + Adicionar para abrir a página Criar link compartilhável.

    Captura de tela da página de links compartilháveis com + adicionar.

  3. Na página Criar link compartilhável, selecione os recursos para os quais você deseja criar um link compartilhável. Você pode selecionar recursos específicos ou selecionar todos. Um link compartilhável separado será criado para cada recurso selecionado. Clique em Aplicar para criar links.

    Captura de tela da página de links compartilháveis para criar um link compartilhável.

  4. Após a criação dos links, você pode exibi-los na página Links compartilháveis. O exemplo a seguir mostra links para vários recursos. Você pode observar que cada recurso tem um link separado e o status do link é Ativo. Para compartilhar um link, copie-o e envie-o para o usuário. O link não contém credenciais de autenticação.

    Captura de tela da página de links compartilháveis para mostrar todos os links de recursos disponíveis.

Como conectar-se a uma VM

  1. Depois de receber o link, o usuário abre o link no navegador.

  2. No canto à esquerda, o usuário pode selecionar se deseja ver texto e imagens copiados para a área de transferência. O usuário inseriu as informações necessárias e, em seguida, clica em Logon para se conectar. Um link compartilhado não contém credenciais de autenticação. O administrador deve fornecer credenciais de entrada ao usuário. Há suporte para porta e protocolos personalizados.

    Captura de tela da entrada no bastion usando o link compartilhável no navegador.

Observação

Se um link não puder mais ser aberto, significa que alguém em sua organização excluiu esse recurso. Embora você ainda possa ver os links compartilhados em sua lista, ele não se conectará mais ao recurso de destino e resultará em um erro de conexão. Você pode excluir o link compartilhado em sua lista ou mantê-lo para fins de auditoria.

  1. No portal do Azure, acesse o seu recurso do bastion –> links compartilháveis.

  2. Na página de Links compartilháveis, selecione o link do recurso que você deseja excluir e clique em Excluir.

    Captura de tela da seleção do link a ser excluído.

Permissões

As permissões para o recurso do Link Compartilhável são configuradas usando o controle de acesso (IAM). Por padrão, os usuários em sua organização terão somente acesso de leitura a links compartilhados. Se um usuário tem acesso de leitura, ele pode somente usar e exibir links compartilhados, mas não pode criar ou excluí-los.

Para conceder permissões a alguém para criar ou excluir um link compartilhado, use as seguintes etapas:

  1. No portal do Azure, acesse o Bastion host.

  2. Acesse a página Controle de Acesso (IAM).

  3. Na seção Microsoft.Network/bastionHosts, configure as seguintes permissões:

    • Outro: cria URLs compartilháveis para as VMs em um bastion e retorna as URLs.
    • Outro: exclui URLs compartilháveis para as VMs fornecidas em um bastion.
    • Outro: exclui URLs compartilháveis para os tokens fornecidos em um bastion.

    Eles correspondem aos seguintes cmdlets do PowerShell:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action – se não estiver habilitado, o usuário não poderá ver um link compartilhável.

Próximas etapas