Azure Bastion の Standard SKU にて共有可能リンクがパブリックプレビュー GA (2023/5/11) となりました。
実際に動作を検証し、利用できそうなシナリオ、利用方法や利用にあたる推奨事項などをまとめております。
利用シナリオ
以下のようなシナリオでは利用する機会があると思います。
- Azure ポータルをユーザーに触らせたくない
- デモ用途などでユーザーには VM にのみログインさせたい
- RBAC の管理を細かくしておらずポータル経由で様々な環境を触れてしまう 等
- Azure AD ユーザーがない
- OS のユーザー/パスワードのみで認証を行いたい
制限事項
- ネイティブクライアントでは動作しません。
- Web ベースでの接続となるためファイルのアップロード、ダウンロード機能もありません。
- Azure ポータル非経由 (Azure AD の認証) はないため、RBAC でのアクセス権の設定もありません。共有リンクと OS のユーザー/パスワードを知る人が Azure VM へアクセスできる仕組みです。
- これまでの Bastion 同様 Web ベースでのアクセスのため、Azure AD 認証での VM へのログインはサポートされてません。
- KeyVault 連携をしてパスワード、SSH キーを使用することはできません。
- テナントをまたいだ VNet ピアリングはサポートされていません。
- リージョンをまたいだ VNet ピアリングはサポートされていません。
構成図
前提
- Azure VM をデプロイ済みで利用可能な状態であること。
- Bastion をデプロイ済みで、Standard SKU となっていること。
設定方法
- Bastion の "構成" にて Standard SKU となっていることを確認します。
Basic である場合、Standard SKU にアップグレードします。(※ダウングレードは再作成が必要です。) - "共有可能なリンク" にチェックを入れて、"適用" を押します。
3. "共有可能リンク" > "追加" を押し、対象の VM を選んで、"適用" を押します。
4. 共有可能リンクが作成されていることを確認します。
動作確認
- 共有可能リンクをブラウザで開き、Azure Bastion の画面が表示されることを確認します。
2. OS ログイン用のユーザー、パスワードを入力して、通常の Bastion 同様ブラウザベースでアクセスできることができました。
Azure Portal を利用していないので当然ではありますが、KeyVault の連携機能も提供されておりませんでした。
診断ログ
共有リンクでのアクセスも診断ログに記録されておりました。
共有可能リンク削除時の挙動
共有可能リンクを削除した場合でも、削除対象の共有可能リンクを使ってログイン済みのユーザーはそのまま利用可能でした。
もし、利用中のユーザーを強制的に切断したい場合は以下の様に "セッション" > "削除" を実施すると強制的に切断することができます。
セッション削除後の画面。
セキュアな使い方
共有リンクは一文字でも文字列が違えば以下の様に無効なアクセスとして扱われます。
ただし、URL を知っている人は誰でもログイン画面に到達可能ですので、セキュリティリスクを考えると長期間同じ URL を利用するのは望ましくはありません。現状、利用時間を制限する機能もないため、定期的に再作成する等の運用が望ましいです。再作成すると URL 内の文字列が変更されます。
また、Bastion ホストへのアクセスは NSG にてアクセス元の IP アドレスを制限をかけることができますので、制限できる環境では NSG にてアクセス制御を行うことが望ましいです。(設定例はこちら )
NSG で送信元が制限されている場合、許可された IP アドレス以外から Bastion にアクセスすると以下の様にエラーになります。
