Bastion の共有可能リンクを作成する
Bastion の共有可能リンク機能を使用すると、ユーザーは、Azure portal にアクセスせずに、Azure Bastion を使用してターゲット リソース (仮想マシンまたは仮想マシン スケール セット) に接続できます。 この記事は、共有可能リンク機能を使用して、既存の Azure Bastion デプロイの共有可能リンクを作成する際に役立ちます。
Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して構成した内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 共有可能リンクには資格情報は含まれていません。管理者はサインイン資格情報をユーザーに提供する必要があります。
既定では、組織内のユーザーには共有リンクへの読み取りアクセス権のみ付与されます。 ユーザーが読み取りアクセス権を持っている場合、共有リンクの使用と表示のみ行うことができ、共有可能リンクを作成したり削除したりすることはできません。 詳細については、この記事の「アクセス許可」セクションを参照してください。
考慮事項
- 現在、共有可能リンクは、テナント間でピアリングされた仮想ネットワークではサポートされていません。
- 現在、共有可能リンクは、Virtual WAN ではサポートされていません。
- 共有可能リンクは、オンプレミスまたは Azure 以外の仮想マシンと Virtual Machine Scale Sets への接続をサポートしていません。
- この機能には Standard SKU が必要です。
- Bastion では、共有可能なリンクに対して一度に 50 個の要求 (作成と削除を含む) のみがサポートされます。
- Bastion では、各 Bastion リソースの共有可能なリンクは 500 個のみサポートされます。
前提条件
Azure Bastion は仮想ネットワークにデプロイされます。 手順については、チュートリアル: 手動設定を使用した Bastion のデプロイに関するページを参照してください。
この機能に Standard SKU を使用するように Bastion を構成する必要がある。 共有可能リンク機能を構成するときに、SKU を Basic から Standard に更新できます。
Bastion リソースがデプロイされている仮想ネットワークまたは直接ピアリングされた仮想ネットワークに、共有可能リンクを作成する VM リソースが含まれている。
共有可能リンク機能を有効にする
VM への共有可能リンクを作成するには、まずその機能を有効にする必要があります。
Azure portal で、bastion リソースに移動します。
[Bastion] ページの左側のペインで、[構成] をクリックします。
[構成] ページの [レベル] で、[Standard] を選択します (まだ選択されていない場合)。 この機能には Standard SKU が必要です。
一覧表示されている機能から [共有可能リンク] を選択して、共有可能リンク機能を有効にします。
目的の設定が選択されていることを確認してから、[適用] をクリックします。
Bastion により、bastion ホストの設定の更新が即座に開始されます。 更新には約 10 分かかります。
共有可能リンクを作成する
このセクションでは、共有可能リンクを作成する各リソースを指定します
Azure portal で、bastion リソースに移動します。
bastion ページの左側のペインで、[共有可能リンク] をクリックします。 [+ 追加] をクリックして、[共有可能リンクの作成] ページを開きます。
[共有可能リンクの作成] ページで、共有可能リンクを作成するリソースを選択します。 特定のリソースを選択することも、すべてを選択することもできます。 選択したリソースごとに、個別の共有可能リンクが作成されます。 [適用] をクリックしてリンクを作成します。
リンクが作成されたら、[共有可能リンク] ページでそれらを表示できます。 次の例は、複数のリソースのリンクを示しています。 各リソースに個別のリンクがあり、リンクの状態が [有効] になっていることがわかります。 リンクを共有するには、それをコピーして、ユーザーに送信します。 リンクには認証資格情報は含まれていません。
VM への接続
ユーザーはリンクを受信すると、ブラウザーでそのリンクを開きます。
左隅で、ユーザーはクリップボードにコピーされたテキストと画像を表示するかどうかを選択できます。 ユーザーは必要な情報を入力し、[ログイン] をクリックして接続します。 共有リンクには認証資格情報は含まれていません。 管理者は、サインイン資格情報をユーザーに提供する必要があります。 カスタムのポートとプロトコルがサポートされています。
注意
リンクを開けなくなった場合は、組織内の誰かがそのリソースを削除したことを意味します。 リスト内の共有リンクは引き続き表示されますが、ターゲット リソースに接続されなくなり、接続エラーが発生します。 リスト内の共有リンクを削除することも、監査のために保持しておくこともできます。
共有可能リンクを削除する
Azure portal で、[Bastion resource] (Bastion リソース) -> [共有可能リンク] に移動します。
[共有可能リンク] ページで、削除するリソース リンクを選択し、[削除] をクリックします。
アクセス許可
共有可能リンク機能へのアクセス許可は、アクセス制御 (IAM) を使用して構成されます。 既定では、組織内のユーザーには共有リンクへの読み取りアクセス権のみ付与されます。 ユーザーが読み取りアクセス権を持っている場合、共有リンクの使用と表示のみ行うことができ、共有リンクを作成したり削除したりすることはできません。
共有リンクを作成または削除するためのアクセス許可をユーザーに付与するには、次の手順を使用します。
Azure portal で、Bastion ホストに移動します。
[アクセス制御 (IAM)] ページに移動します。
[Microsoft.Network/bastionHosts] セクションで、次のアクセス許可を構成します。
- その他: bastion 内の VM の共有可能な URL を作成し、URL を返します。
- その他: bastion 内の指定された VM の共有可能な URL を削除します。
- その他: bastion 内の指定されたトークンの共有可能な URL を削除します。
これらは、次の PowerShell コマンドレットに対応しています。
- Microsoft.Network/bastionHosts/createShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinks/action
- Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
- Microsoft.Network/bastionHosts/getShareableLinks/action - これが有効になっていない場合、ユーザーは共有可能リンクを表示できません。
次のステップ
- その他の機能については、Bastion の機能と構成設定に関するページを参照してください。
- Azure Bastion の詳細については、「Azure Bastion とは」を参照してください。