Creare un collegamento condivisibile per Bastion

  • Articolo

La funzionalità Collegamento condivisibile bastion consente agli utenti di connettersi a una risorsa di destinazione (macchina virtuale o set di scalabilità di macchine virtuali) usando Azure Bastion senza accedere al portale di Azure. Questo articolo illustra come usare la funzionalità Collegamento condivisibile per creare un collegamento condivisibile per una distribuzione di Azure Bastion esistente.

Quando un utente senza credenziali di Azure fa clic su un collegamento condivisibile, viene aperta una pagina Web che richiede all'utente di accedere alla risorsa di destinazione tramite RDP o SSH. Gli utenti eseguono l'autenticazione usando nome utente e password o chiave privata, a seconda di ciò che è stato configurato per la risorsa di destinazione. Il collegamento condivisibile non contiene credenziali: l'amministratore deve fornire le credenziali di accesso all'utente.

Per impostazione predefinita, gli utenti dell'organizzazione avranno accesso in sola lettura ai collegamenti condivisi. Se un utente ha accesso in lettura, potrà usare e visualizzare solo i collegamenti condivisi, ma non potrà creare o eliminare un collegamento condivisibile. Per altre informazioni, vedere la sezione Autorizzazioni di questo articolo.

Considerazioni

  • I collegamenti condivisibili non sono attualmente supportati per le reti virtuali con peering tra tenant.
  • I collegamenti condivisibili non sono attualmente supportati in rete WAN virtuale.
  • I collegamenti condivisibili non supportano la connessione alle macchine virtuali e ai set di scalabilità di macchine virtuali locali o non di Azure. 
  • Lo SKU Standard è necessario per questa funzionalità.
  • Bastion supporta solo 50 richieste, incluse le operazioni di creazione ed eliminazione, per i collegamenti condivisibili alla volta.
  • Bastion supporta solo 500 collegamenti condivisibili per ogni risorsa Bastion.

Prerequisiti

  • Azure Bastion viene distribuito nella rete virtuale. Vedere Esercitazione - Distribuire Bastion usando le impostazioni manuali per i passaggi.

  • Bastion deve essere configurato per usare lo SKU Standard per questa funzionalità. È possibile aggiornare lo SKU da Basic a Standard quando si configura la funzionalità collegamenti condivisibili.

  • La rete virtuale in cui viene distribuita la risorsa Bastion o una rete virtuale con peering diretto contiene la risorsa vm a cui si vuole creare un collegamento condivisibile.

Prima di poter creare un collegamento condivisibile a una macchina virtuale, è necessario abilitare la funzionalità.

  1. Nella portale di Azure passare alla risorsa bastion.

  2. Nel riquadro sinistro della pagina Bastion fare clic su Configurazione.

    Screenshot delle impostazioni di configurazione con collegamento condivisibile selezionato.

  3. Nella pagina ConfigurazioneselezionareStandard se non è già selezionata. Questa funzionalità richiede lo SKU Standard.

  4. Selezionare Collegamento condivisibile dalle funzionalità elencate per abilitare la funzionalità Collegamento condivisibile.

  5. Verificare di aver selezionato le impostazioni desiderate, quindi fare clic su Applica.

  6. Bastion inizierà immediatamente ad aggiornare le impostazioni per l'host bastion. Aggiornamenti richiederà circa 10 minuti.

In questa sezione si specifica ogni risorsa per cui si vuole creare un collegamento condivisibile

  1. Nella portale di Azure passare alla risorsa bastion.

  2. Nel riquadro sinistro della pagina bastion fare clic su Collegamenti condivisibili. Fare clic su + Aggiungi per aprire la pagina Crea collegamento condivisibile .

    Screenshot della pagina dei collegamenti condivisibili con + aggiungi.

  3. Nella pagina Crea collegamento condivisibile selezionare le risorse per cui si vuole creare un collegamento condivisibile. È possibile selezionare risorse specifiche oppure selezionare tutte. Verrà creato un collegamento condivisibile separato per ogni risorsa selezionata. Fare clic su Applica per creare collegamenti.

    Screenshot della pagina dei collegamenti condivisibili per creare un collegamento condivisibile.

  4. Dopo aver creato i collegamenti, è possibile visualizzarli nella pagina Collegamenti condivisibili . L'esempio seguente mostra i collegamenti per più risorse. È possibile notare che ogni risorsa ha un collegamento separato e che lo stato del collegamento è Attivo. Per condividere un collegamento, copiarlo e inviarlo all'utente. Il collegamento non contiene credenziali di autenticazione.

    Screenshot della pagina dei collegamenti condivisibili per visualizzare tutti i collegamenti alle risorse disponibili.

Connettersi a una macchina virtuale

  1. Dopo aver ricevuto il collegamento, l'utente apre il collegamento nel browser.

  2. Nell'angolo sinistro l'utente può scegliere se visualizzare testo e immagini copiati negli Appunti. L'utente inserisce le informazioni necessarie, quindi fa clic su Accedi per connettersi. Un collegamento condiviso non contiene credenziali di autenticazione. L'amministratore deve fornire le credenziali di accesso all'utente. Sono supportati protocolli e porte personalizzati.

    Screenshot dell'accesso a bastion usando il collegamento condivisibile nel browser.

Nota

Se non è più possibile aprire un collegamento, significa che un utente dell'organizzazione ha eliminato tale risorsa. Anche se sarà ancora possibile visualizzare i collegamenti condivisi nell'elenco, non si connetterà più alla risorsa di destinazione e causerà un errore di connessione. È possibile eliminare il collegamento condiviso nell'elenco o mantenerlo a scopo di controllo.

  1. Nella portale di Azure passare alla risorsa Bastion -> Collegamenti condivisibili.

  2. Nella pagina Collegamenti condivisibili selezionare il collegamento alla risorsa da eliminare, quindi fare clic su Elimina.

    Screenshot della selezione del collegamento da eliminare.

Autorizzazioni

Le autorizzazioni per la funzionalità Collegamento condivisibile vengono configurate usando il controllo di accesso (IAM). Per impostazione predefinita, gli utenti dell'organizzazione avranno accesso in sola lettura ai collegamenti condivisi. Se un utente ha accesso in lettura, potrà usare e visualizzare solo i collegamenti condivisi, ma non potrà creare o eliminare un collegamento condiviso.

Per concedere a un utente le autorizzazioni per creare o eliminare un collegamento condiviso, seguire questa procedura:

  1. Nel portale di Azure passare all'host Bastion.

  2. Passare alla pagina Controllo di accesso (IAM).

  3. Nella sezione Microsoft.Network/bastionHosts configurare le autorizzazioni seguenti:

    • Altro: crea URL condivisibili per le macchine virtuali in un bastion e restituisce gli URL.
    • Altro: elimina gli URL condivisibili per le macchine virtuali fornite in un bastion.
    • Altro: elimina gli URL condivisibili per i token forniti in un bastion.

    Questi corrispondono ai cmdlet di PowerShell seguenti:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action: se non è abilitato, l'utente non sarà in grado di visualizzare un collegamento condivisibile.

Passaggi successivi