Hoje vou mostrar como conceder acesso a uma Máquina Virtual utilizando Azure Bastion.
Azure Bastion
Como você deve ter visto no meu artigo sobre Melhorar a Segurança com Azure Bastion, Azure Bastion é considerado um Plataforma como Serviço (PaaS) que fornece conexão segura tanto RDP e SSH para proteger o acesso as suas máquinas virtuais.
Dito isto, as suas máquinas virtuais não estão mais expostas para Internet quando o Azure Bastion está configurado, portanto o acesso às mesmas é feito diretamente pelo Azure Portal
Controle de Acesso (IAM)
Ao mesmo tempo que você quer melhorar a segurança, usando o Azure Bastion, você não quer abrir totalmente o acesso no Portal do Azure para qualquer usuário, certo?
Para restringir o acesso e permitir apenas determinados usuários a utilizarem/acessarem a máquina virtual pelo Azure Bastion, você precisa utilizar o Controle de Acesso (IAM) que vai permitir acesso granular aos recursos do Azure, e também é possível aplicar especificamente para o Azure Bastion.
Permissões Azure Bastion
As permissões minimas necessárias para o Azure Bastion são as de leitura (Reader)
- Na Máquina Virtual
- Na placa de rede (NIC – Network Interface Card) que possui o IP privado da máquina virtual
- O recurso Azure Bastion
Como conceder acesso a máquina virtual
Vá até a máquina virtual que você configurou o Azure Bastion, e clique nela (1), vá até Access control (IAM) (2), pressione Add (3) e então Add role assignment (4)
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
Se você tentar utilizar o Azure Bastion logo após esta permissão, você não verá erros, apenas não conseguirá conectar ainda com o Bastion
Placa de rede com IP privado da Máquina Virtual
Ainda na máquina virtual (1), vá em Networking (2), então em Network interface (3)
Uma vez na Network interface, vá em Access control (IAM) (1), Add (2) então Add role assignment (3)
E vai repetir os mesmos passos que fez para adicionar a permissão Reader na máquina virtual
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
E se você tentar utilizar o Azure Bastion logo em seguida, essa é a mensagem que você vai ver Unable to query Bastion data
Permissão no Azure Bastion
Vá até Azure Bastions, e clique no recurso que você criou (1), Access control (IAM) (2), Add (3), então Add role assignment (4)
Repita os mesmos passos que você fez para conceder permissões de Reader para a máquina virtual e a placa de rede
Em Add role assignment, digite Reader (1) no campo de busca, clique sobre a função que aparece, neste caso Reader (2) e, então pressione Next
Na próxima janela, você terá que selecionar os membros que receberão a função (Role), então clique em Select Members
Agora, digite no campo de busca quem você quer adicionar (1), marque a caixa de seleção (2) e pressione Select (3)
Agora, vamos clicar em Review + Assign, verifique se está tudo certo na próxima tela e aperte de novo Review + Assign
voilá! Agora você está vendo as opções para preencher seu Username, Password e Connect
Deixe um comentário