,

Conceder acesso a uma Máquina Virtual usando Azure Bastion

Avatar de Vinicius

Hoje vou mostrar como conceder acesso a uma Máquina Virtual utilizando Azure Bastion.

Azure Bastion

Como você deve ter visto no meu artigo sobre Melhorar a Segurança com Azure Bastion, Azure Bastion é considerado um Plataforma como Serviço (PaaS) que fornece conexão segura tanto RDP e SSH para proteger o acesso as suas máquinas virtuais.

Dito isto, as suas máquinas virtuais não estão mais expostas para Internet quando o Azure Bastion está configurado, portanto o acesso às mesmas é feito diretamente pelo Azure Portal

Controle de Acesso (IAM)

Ao mesmo tempo que você quer melhorar a segurança, usando o Azure Bastion, você não quer abrir totalmente o acesso no Portal do Azure para qualquer usuário, certo?

Para restringir o acesso e permitir apenas determinados usuários a utilizarem/acessarem a máquina virtual pelo Azure Bastion, você precisa utilizar o Controle de Acesso (IAM) que vai permitir acesso granular aos recursos do Azure, e também é possível aplicar especificamente para o Azure Bastion.

Permissões Azure Bastion

As permissões minimas necessárias para o Azure Bastion são as de leitura (Reader)

  • Na Máquina Virtual
  • Na placa de rede (NIC – Network Interface Card) que possui o IP privado da máquina virtual
  • O recurso Azure Bastion

Como conceder acesso a máquina virtual

Vá até a máquina virtual que você configurou o Azure Bastion, e clique nela (1), vá até Access control (IAM) (2), pressione Add (3) e então Add role assignment (4)

azure virtual machines access control iam add add role assignment blog vinicius deschamps

Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next

Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members

Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)

Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign

Se você tentar utilizar o Azure Bastion logo após esta permissão, você não verá erros, apenas não conseguirá conectar ainda com o Bastion

azure bastion connect using azure bastion after receive virtual machine read permission blog vinicius deschamps

Placa de rede com IP privado da Máquina Virtual

Ainda na máquina virtual (1), vá em Networking (2), então em Network interface (3)

azure virtual machines networking network interface blog vinicius deschamps

Uma vez na Network interface, vá em Access control (IAM) (1), Add (2) então Add role assignment (3)

azure networking network interface access control iam add add role assignment blog vinicius deschamps

E vai repetir os mesmos passos que fez para adicionar a permissão Reader na máquina virtual

Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next

Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members

Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)

Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign

E se você tentar utilizar o Azure Bastion logo em seguida, essa é a mensagem que você vai ver Unable to query Bastion data

azure bastion connect using azure bastion after receive network interface read permission blog vinicius deschamps

Permissão no Azure Bastion

Vá até Azure Bastions, e clique no recurso que você criou (1), Access control (IAM) (2), Add (3), então Add role assignment (4)

azure bastions access control iam add add role assignment blog vinicius deschamps

Repita os mesmos passos que você fez para conceder permissões de Reader para a máquina virtual e a placa de rede

Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next

Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members

Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)

Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign

voilá! Agora você está vendo as opções para preencher seu Username, Password e Connect

azure bastion connect using azure bastion after receive bastion read permission blog vinicius deschamps
Avatar de Vinicius

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *