Hoje vou mostrar como conceder acesso a uma Máquina Virtual utilizando Azure Bastion.
Azure Bastion
Como você deve ter visto no meu artigo sobre Melhorar a Segurança com Azure Bastion, Azure Bastion é considerado um Plataforma como Serviço (PaaS) que fornece conexão segura tanto RDP e SSH para proteger o acesso as suas máquinas virtuais.
Dito isto, as suas máquinas virtuais não estão mais expostas para Internet quando o Azure Bastion está configurado, portanto o acesso às mesmas é feito diretamente pelo Azure Portal
Controle de Acesso (IAM)
Ao mesmo tempo que você quer melhorar a segurança, usando o Azure Bastion, você não quer abrir totalmente o acesso no Portal do Azure para qualquer usuário, certo?
Para restringir o acesso e permitir apenas determinados usuários a utilizarem/acessarem a máquina virtual pelo Azure Bastion, você precisa utilizar o Controle de Acesso (IAM) que vai permitir acesso granular aos recursos do Azure, e também é possível aplicar especificamente para o Azure Bastion.
Permissões Azure Bastion
As permissões minimas necessárias para o Azure Bastion são as de leitura (Reader)
- Na Máquina Virtual
- Na placa de rede (NIC – Network Interface Card) que possui o IP privado da máquina virtual
- O recurso Azure Bastion
Como conceder acesso a máquina virtual
Vá até a máquina virtual que você configurou o Azure Bastion, e clique nela (1), vá até Access control (IAM) (2), pressione Add (3) e então Add role assignment (4)
![azure virtual machines access control iam add add role assignment blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-virtual-machines-access-control-iam-add-add-role-assignment-blog-vinicius-deschamps-1024x191.png)
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-permission-viniciusdeschamps.com_.br_.png)
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-select-members-viniciusdeschamps.com_.br_.png)
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-add-members-viniciusdeschamps.com_.br_.png)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-review-assign-viniciusdeschamps.com_.br_.png)
Se você tentar utilizar o Azure Bastion logo após esta permissão, você não verá erros, apenas não conseguirá conectar ainda com o Bastion
![azure bastion connect using azure bastion after receive virtual machine read permission blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-bastion-connect-using-azure-bastion-after-receive-virtual-machine-read-permission-blog-vinicius-deschamps-1024x341.png)
Placa de rede com IP privado da Máquina Virtual
Ainda na máquina virtual (1), vá em Networking (2), então em Network interface (3)
![azure virtual machines networking network interface blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-virtual-machines-networking-network-interface-blog-vinicius-deschamps-1024x274.png)
Uma vez na Network interface, vá em Access control (IAM) (1), Add (2) então Add role assignment (3)
![azure networking network interface access control iam add add role assignment blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-networking-network-interface-access-control-iam-add-add-role-assignment-blog-vinicius-deschamps.png)
E vai repetir os mesmos passos que fez para adicionar a permissão Reader na máquina virtual
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-permission-viniciusdeschamps.com_.br_.png)
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-select-members-viniciusdeschamps.com_.br_.png)
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-add-members-viniciusdeschamps.com_.br_.png)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-review-assign-viniciusdeschamps.com_.br_.png)
E se você tentar utilizar o Azure Bastion logo em seguida, essa é a mensagem que você vai ver Unable to query Bastion data
![azure bastion connect using azure bastion after receive network interface read permission blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-bastion-connect-using-azure-bastion-after-receive-network-interface-read-permission-blog-vinicius-deschamps.png)
Permissão no Azure Bastion
Vá até Azure Bastions, e clique no recurso que você criou (1), Access control (IAM) (2), Add (3), então Add role assignment (4)
![azure bastions access control iam add add role assignment blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-bastions-access-control-iam-add-add-role-assignment-blog-vinicius-deschamps-1024x188.png)
Repita os mesmos passos que você fez para conceder permissões de Reader para a máquina virtual e a placa de rede
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-permission-viniciusdeschamps.com_.br_.png)
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-select-members-viniciusdeschamps.com_.br_.png)
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-add-members-viniciusdeschamps.com_.br_.png)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
![](https://viniciusdeschamps.com.br/wp-content/uploads/2024/03/add-role-assignment-reader-review-assign-viniciusdeschamps.com_.br_.png)
voilá! Agora você está vendo as opções para preencher seu Username, Password e Connect
![azure bastion connect using azure bastion after receive bastion read permission blog vinicius deschamps](https://viniciusdeschamps.com.br/wp-content/uploads/2020/08/azure-bastion-connect-using-azure-bastion-after-receive-bastion-read-permission-blog-vinicius-deschamps.png)
Deixe um comentário