Vytvoření odkazu ke sdílení pro Bastion
Funkce Bastion Shareable Link umožňuje uživatelům připojit se k cílovému prostředku (virtuálnímu počítači nebo škálovací sadě virtuálních počítačů) pomocí služby Azure Bastion bez přístupu k webu Azure Portal. Tento článek vám pomůže použít funkci Sdíletelné odkazy k vytvoření odkazu ke sdílení pro existující nasazení služby Azure Bastion.
Když uživatel bez přihlašovacích údajů Azure klikne na odkaz ke sdílení, otevře se webová stránka s výzvou, aby se uživatel přihlásil k cílovému prostředku přes protokol RDP nebo SSH. Uživatelé se ověřují pomocí uživatelského jména a hesla nebo privátního klíče v závislosti na konfiguraci cílového prostředku. Odkaz ke sdílení neobsahuje žádné přihlašovací údaje – správce musí uživateli zadat přihlašovací údaje.
Ve výchozím nastavení mají uživatelé ve vaší organizaci přístup jen pro čtení ke sdíleným odkazům. Pokud má uživatel přístup ke čtení , bude moct používat a zobrazovat jenom sdílené odkazy, ale nemůže vytvořit ani odstranit odkaz ke sdílení. Další informace najdete v části Oprávnění tohoto článku.
Důležité informace
- Sdílení odkazů se v současné době nepodporuje u partnerských virtuálních sítí napříč tenanty.
- Sdílení odkazů se v současné době nepodporuje přes Virtual WAN.
- Odkazy ke sdílení nepodporují připojení k místním nebo jiným virtuálním počítačům než Azure a škálovacím sadám virtuálních počítačů.
- Pro tuto funkci se vyžaduje skladová položka Standard.
- Bastion podporuje pouze 50 požadavků, včetně vytváření a odstraňování, pro odkazy ke sdílení najednou.
- Bastion podporuje pouze 500 odkazů ke sdílení na prostředek Bastionu.
Požadavky
Azure Bastion se nasadí do vaší virtuální sítě. Viz Kurz – Nasazení Bastionu pomocí ručního nastavení pro kroky.
Bastion musí být nakonfigurovaný tak, aby pro tuto funkci používal skladovou položku Standard . Skladovou položku můžete aktualizovat z úrovně Basic na standard, když nakonfigurujete funkci sdílení odkazů.
Virtuální síť, ve které je prostředek Bastion nasazený, nebo přímo propojená virtuální síť obsahuje prostředek virtuálního počítače, ke kterému chcete vytvořit odkaz ke sdílení.
Povolení funkce Sdíletelný odkaz
Než budete moct vytvořit odkaz ke sdílení virtuálního počítače, musíte tuto funkci nejprve povolit.
Na webu Azure Portal přejděte k prostředku bastionu.
Na stránce Bastionu v levém podokně klikněte na Konfigurace.
Na stránce Konfigurace vyberte úroveň Standard, pokud ještě není vybraná. Tato funkce vyžaduje skladovou položku Standard.
V uvedených funkcích vyberte Sdíletelný odkaz a povolte funkci Sdíletelný odkaz.
Ověřte, že jste vybrali požadovaná nastavení a potom klikněte na Použít.
Bastion začne okamžitě aktualizovat nastavení pro vašeho hostitele bastionu. Aktualizace trvá přibližně 10 minut.
Vytváření odkazů, které se dají sdílet
V této části zadáte každý prostředek, pro který chcete vytvořit odkaz ke sdílení.
Na webu Azure Portal přejděte k prostředku bastionu.
Na stránce bastionu v levém podokně klikněte na Sdíletelné odkazy. Kliknutím na + Přidat otevřete stránku vytvořit sdíletelný odkaz .
Na stránce Vytvořit sdíletelný odkaz vyberte prostředky, pro které chcete vytvořit odkaz ke sdílení. Můžete vybrat konkrétní prostředky nebo můžete vybrat vše. Pro každý vybraný prostředek se vytvoří samostatný odkaz ke sdílení. Chcete-li vytvořit odkazy, klikněte na tlačítko Použít .
Po vytvoření odkazů je můžete zobrazit na stránce Sdíletelné odkazy . Následující příklad ukazuje odkazy pro více prostředků. Uvidíte, že každý prostředek má samostatný odkaz a stav propojení je Aktivní. Pokud chcete sdílet odkaz, zkopírujte ho a pak ho pošlete uživateli. Odkaz neobsahuje ověřovací přihlašovací údaje.
Připojení k virtuálnímu počítači
Jakmile uživatel obdrží odkaz, uživatel otevře odkaz v prohlížeči.
V levém rohu může uživatel vybrat, jestli se má zobrazit text a obrázky zkopírované do schránky. Uživatel zadá požadované informace a kliknutím na Přihlásit se připojí. Sdílený odkaz neobsahuje ověřovací přihlašovací údaje. Správce musí uživateli zadat přihlašovací údaje. Podporují se vlastní porty a protokoly.
Poznámka:
Pokud už odkaz nejde otevřít, znamená to, že tento prostředek odstranil někdo ve vaší organizaci. I když budete moct dál vidět sdílené odkazy v seznamu, nebude se už připojovat k cílovému prostředku a povede k chybě připojení. Sdílený odkaz v seznamu můžete odstranit nebo ho ponechat pro účely auditování.
Odstranění odkazu ke sdílení
Na webu Azure Portal přejděte ke svému prostředku Bastion –> odkazy ke sdílení.
Na stránce Sdíletelné odkazy vyberte odkaz na prostředek, který chcete odstranit, a potom klikněte na Odstranit.
Oprávnění
Oprávnění k funkci Sdíletelné propojení se konfigurují pomocí řízení přístupu (IAM). Ve výchozím nastavení mají uživatelé ve vaší organizaci přístup jen pro čtení ke sdíleným odkazům. Pokud má uživatel přístup ke čtení , bude moct používat a zobrazovat jenom sdílené odkazy, ale nemůže vytvořit ani odstranit sdílený odkaz.
Pokud chcete někomu udělit oprávnění k vytvoření nebo odstranění sdíleného odkazu, postupujte takto:
Na webu Azure Portal přejděte na hostitele Bastionu.
Přejděte na stránku Řízení přístupu (IAM ).
V části Microsoft.Network/bastionHosts nakonfigurujte následující oprávnění:
- Další: Vytvoří sdíletelné adresy URL pro virtuální počítače v rámci bastionu a vrátí adresy URL.
- Jiné: Odstraní sdíletelné adresy URL pro poskytnuté virtuální počítače v rámci bastionu.
- Jiné: Odstraní sdíletelné adresy URL pro poskytnuté tokeny v rámci bastionu.
Tyto rutiny odpovídají následujícím rutinám PowerShellu:
- Microsoft.Network/bastionHosts/createShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
- Microsoft.Network/bastionHosts/getShareableLinks/action – Pokud to není povolené, uživatel neuvidí odkaz ke sdílení.
Další kroky
- Další funkce najdete v tématu Funkce bastionu a nastavení konfigurace.
- Další informace o službě Azure Bastion najdete v tématu Co je Azure Bastion?