この記事は セゾン情報システムズ Advent Calendar 2022 1日目の記事です。
Azure Bastion shareable links(共有可能リンク)がパブリックプレビューで使えるようになったので試してみました。
Azure Bastion作成
-
Azure PortalからBastionを作成します。Basicでは使えない機能なのでStandardで作成します。
-
[詳細設定]で[共有可能なリンク]を選択します。
-
上記設定でBastionを作成します。
-
既存のBastionの場合は、[構成]から有効化が可能です。
-
有効化されると左メニューに[共有可能リンク]が表示されるので、[追加]を選択します。
共有可能リンク作成
-
接続したい仮想マシンが配置されたリソースグループを選択し、接続したい仮想マシンを選択します。今回はWindows ServerとLinuxの2つを選択しました。
-
共有リンクの作成は数秒で終わります。作成されると共有リンクが払い出されます。
共有リンクアクセス
-
共有リンクにアクセスするとブラウザに以下の画面が表示されます。OSユーザーのIDとパスワードを入力することで、いつものBastion画面が表示されます。
-
Linuxでも同様にブラウザからアクセスできます。
-
LinuxはパスワードだけでなくPrivate Keyを使ってのアクセスも可能です。
vNet Peering先の仮想マシンへの共有可能リンク
-
公式ページには
現在、共有可能リンクは、ピアリングされた VNet ではサポートされていませんと記載がありましたが、共有可能リンクを作成するときの以下画面では利用可能と記載があったため試してみました。
-
試したところvNet Peering先の仮想マシンへも共有可能リンクは追加でき、ブラウザ経由のBastionアクセスが可能でした。
-
同じvNet、Peering先のvNet以外の仮想マシンへも共有可能リンクは追加できますが、リンクにアクセスするとネットワークエラーとなります。
セッションや監査ログ
-
共有可能リンクでのアクセスでもセッションは表示されます。
-
診断設定のAuditログも問題なく記録されていました。
まとめ
- 共有リンクを使うことでAzure Portalにログインすることなく仮想マシンにアクセスすることができる新機能でした。
- 便利な一方、一度Azure Portalへのログインを挟むことでセキュリティを高めているという事実もあります(特にAzure AD多要素認証を使っている場合など)
- セキュリティ面と利便性を考えたうえで有効化を検討する機能かなと思います。
以上