Erstellen eines teilbaren Links für Bastion

  • Artikel

Mit dem Feature Teilbare Links von Bastion können Benutzer mithilfe von Azure Bastion eine Verbindung mit einer Zielressource (virtueller Computer oder VM-Skalierungsgruppe) herstellen, ohne auf das Azure-Portal zuzugreifen. In diesem Artikel erfahren Sie, wie Sie das Feature „Teilbare Links" verwenden, um einen teilbaren Link für eine vorhandene Azure Bastion-Bereitstellung zu erstellen.

Wenn ein Benutzer ohne Azure-Anmeldeinformationen auf einen teilbaren Link klickt, wird eine Webseite geöffnet, auf der der Benutzer aufgefordert wird, sich über RDP oder SSH bei der Zielressource anzumelden. Benutzer authentifizieren sich mit Benutzername und Kennwort oder privatem Schlüssel, je nachdem, was Sie für die Zielressource konfiguriert haben. Der teilbare Link enthält keine Anmeldeinformationen. Der Administrator muss dem Benutzer Anmeldeinformationen bereitstellen.

Standardmäßig haben Benutzer in Ihrer Organisation nur Lesezugriff auf teilbare Links. Wenn ein Benutzer über Lesezugriff verfügt, kann er teilbare Links nur verwenden und anzeigen, aber keine teilbaren Links erstellen oder löschen. Weitere Informationen finden Sie in diesem Artikel im Abschnitt Berechtigungen.

Überlegungen

  • Teilbare Links werden für mandantenübergreifende Peering-VNets derzeit nicht unterstützt.
  • Teilbare Links werden derzeit nicht über Virtual WAN unterstützt.
  • Teilbare Links unterstützen keine Verbindung mit lokalen oder nicht von Azure stammenden VMs und VMSS. 
  • Der Standard-SKU ist für dieses Feature erforderlich.
  • Bastion unterstützt für freigegebene Links nur 50 gleichzeitige Anforderungen, einschließlich Erstellen und Löschen.
  • Bastion unterstützt nur 500 freigegebene Links pro Bastion-Ressource.

Voraussetzungen

  • Azure Bastion wird in Ihrem VNet bereitgestellt. Schritte finden Sie unter Tutorial: Bereitstellen von Bastion mit manuellen Einstellungen.

  • Bastion muss zur Verwendung der Standard-SKU für dieses Feature konfiguriert sein. Sie können die SKU von „Basic“ auf „Standard“ aktualisieren, wenn Sie das Feature „Teilbare Links“ konfigurieren.

  • Das VNet, in dem die Bastion-Ressource bereitgestellt wird, oder ein direkt mit Peering verknüpftes VNet enthält die VM-Ressource, zu der Sie einen freigegebenen Link erstellen möchten.

Bevor Sie einen teilbaren Link zu einem virtuellen Computer erstellen können, müssen Sie das Feature zunächst aktivieren.

  1. Navigieren Sie im Azure-Portal zu Ihrer Bastion-Ressource.

  2. Klicken Sie auf Ihrer Bastion-Seite im linken Bereich auf Konfiguration.

    Screenshot: Konfigurationseinstellungen mit ausgewählter Option für teilbare Links.

  3. Wählen Sie auf der Seite Konfiguration unter Tarif die Option Standard aus, wenn sie noch nicht ausgewählt ist. Für dieses Feature ist die Standard-SKU erforderlich.

  4. Wählen Sie in den aufgeführten Features die Option Teilbare Links aus, um das Feature „Teilbare Links“ zu aktivieren.

  5. Vergewissern Sie sich, dass Sie die gewünschten Einstellungen ausgewählt haben, und klicken Sie dann auf Anwenden.

  6. Bastion beginnt sofort mit dem Aktualisieren der Einstellungen für Ihren Bastionhost. Die Updates dauern etwa 10 Minuten.

In diesem Abschnitt geben Sie jede Ressource an, für die Sie einen teilbaren Link erstellen möchten.

  1. Navigieren Sie im Azure-Portal zu Ihrer Bastion-Ressource.

  2. Klicken Sie auf Ihrer Bastion-Seite im linken Bereich auf Teilbare Links. Klicken Sie auf + Hinzufügen, um die Seite Teilbaren Link erstellen zu öffnen.

    Screenshot: Seite „Teilbare Links“ mit der Option „+ Hinzufügen“.

  3. Wählen Sie auf der Seite Teilbaren Link erstellen die Ressourcen aus, für die Sie einen teilbaren Link erstellen möchten. Sie können bestimmte oder alle Ressourcen auswählen. Für jede ausgewählte Ressource wird ein separater teilbarer Link erstellt. Klicken Sie auf Anwenden, um Links zu erstellen.

    Screenshot: Seite „Teilbare Links“ zum Erstellen eines teilbaren Links.

  4. Sobald die Links erstellt wurden, können Sie sie auf der Seite Teilbare Links anzeigen. Das folgende Beispiel zeigt Links für mehrere Ressourcen. Sie können sehen, dass jede Ressource über einen separaten Link verfügt und der Linkstatus Aktiv ist. Um einen Link zu teilen, kopieren Sie ihn, und senden Sie ihn dann an den Benutzer. Der Link enthält keine Anmeldeinformationen für die Authentifizierung.

    Screenshot: Seite „Teilbare Links“ zum Anzeigen aller verfügbaren Ressourcenlinks.

Herstellen einer Verbindung mit einem virtuellen Computer

  1. Nachdem der Benutzer den Link erhalten hat, kann er ihn Link im Browser öffnen.

  2. In der linken Ecke kann der Benutzer auswählen, ob die in die Zwischenablage kopierten Texte und Bilder angezeigt werden sollen. Der Benutzer gibt die erforderlichen Informationen ein und klickt dann auf Anmelden, um eine Verbindung herzustellen. Ein teilbarer Link enthält keine Anmeldeinformationen für die Authentifizierung. Der Administrator muss dem Benutzer Anmeldeinformationen bereitstellen. Benutzerdefinierte Ports und Protokolle werden unterstützt.

    Screenshot: Anmeldung bei Bastion unter Verwendung des teilbaren Links im Browser.

Hinweis

Wenn ein Link nicht mehr geöffnet werden kann, bedeutet dies, dass diese Ressource von jemandem aus Ihrer Organisation gelöscht wurde. Die teilbaren Links werden zwar weiterhin in Ihrer Liste angezeigt, es wird aber keine Verbindung mehr mit der Zielressource hergestellt, und es kommt zu einem Verbindungsfehler. Sie können den teilbaren Link in Ihrer Liste löschen oder zu Überwachungszwecken beibehalten.

  1. Navigieren Sie im Azure-Portal zu Ihrer Bastion-Ressource und dann zu Teilbare Links.

  2. Wählen Sie auf der Seite Teilbare Links den Ressourcenlink aus, den Sie löschen möchten, und klicken Sie dann auf Löschen.

    Screenshot: Auswählen des zu löschenden Links.

Berechtigungen

Berechtigungen für das Feature „Teilbare Links“ werden mithilfe der Zugriffssteuerung (IAM) konfiguriert. Standardmäßig haben Benutzer in Ihrer Organisation nur Lesezugriff auf teilbare Links. Wenn ein Benutzer über Lesezugriff verfügt, kann er teilbare Links nur verwenden und anzeigen, aber keinen geteilten Link erstellen oder löschen.

Führen Sie die folgenden Schritte aus, um einem Benutzer die Berechtigung zum Erstellen oder Löschen eines geteilten Links zuzuweisen:

  1. Navigieren Sie im Azure-Portal zum Bastionhost.

  2. Wechseln Sie zur Seite Zugriffssteuerung (IAM).

  3. Konfigurieren Sie im Abschnitt „Microsoft.Network/bastionHosts“ die folgenden Berechtigungen:

    • Andere: Erstellt freigabefähige URLs für die VMs unter einem Bastionhost und gibt die URLs zurück.
    • Andere: Löscht freigabefähige URLs für die bereitgestellten VMs unter einem Bastionhost.
    • Andere: Löscht freigabefähige URLs für die bereitgestellten Token unter einem Bastionhost.

    Diese entsprechen den folgenden PowerShell-Cmdlets:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action: Wenn nicht aktiviert, kann der Benutzer keinen teilbaren Link sehen.

Nächste Schritte