Azure · Bastion · Máquinas virtuales
Conceder acceso a una Máquina Virtual usando Azure Bastion
Hoy voy a mostrar cómo conceder acceso a una máquina virtual utilizando Azure Bastion.
Azure Bastion
Como ya deberías haber visto en mi artículo sobre mejorar la seguridad con Azure Bastion, Azure Bastion es una plataforma como servicio (PaaS) que proporciona conexiones RDP y SSH seguras para proteger el acceso a tus máquinas virtuales.
Dicho esto, tus máquinas virtuales ya no quedan expuestas a Internet cuando Azure Bastion está configurado, por lo que el acceso a las mismas se realiza directamente desde el Azure Portal
Control de Acceso (IAM)
Al mismo tiempo que quieres mejorar la seguridad, usando Azure Bastion, no quieres abrir por completo el acceso en el Portal de Azure para cualquier usuario, ¿cierto?
Para restringir el acceso y permitir solo a ciertos usuarios utilizar/acceder a la máquina virtual por Azure Bastion, necesitas usar el Control de Acceso (IAM) que permitirá un acceso granular a los recursos de Azure, y también es posible aplicar específicamente para Azure Bastion.
Permisos Azure Bastion
Los permisos mínimos necesarios para Azure Bastion son los de lectura (Reader)
- En la Máquina Virtual
- En la interfaz de red (NIC – Network Interface Card) que posee la IP privada de la máquina virtual
- El recurso Azure Bastion
Cómo conceder acceso a la máquina virtual
Ve a la máquina virtual que configuraste con Azure Bastion, y haz clic en ella (1), ve a Access control (IAM) (2), pulsa Add (3) y luego Add role assignment (4)

En Add role assignment, escribe Reader (1) en el campo de búsqueda, haz clic sobre la función que aparece, en este caso Reader (2) y, entonces presiona Next

En la siguiente ventana, tendrás que seleccionar los miembros que recibirán la función (Role), entonces haz clic en Select Members

Ahora, escribe en el campo de búsqueda a quién quieres agregar (1), marca la casilla (2) y pulsa Select (3)

Ahora, vamos a hacer clic en Review + Assign, verifica si está todo correcto en la siguiente pantalla y vuelve a pulsar Review + Assign

Si intentas usar el Azure Bastion justo después de este permiso, no verás errores, simplemente no podrás conectar aún con Bastion

Interfaz de red con la IP privada de la máquina virtual
Aún en la máquina virtual (1), ve a Networking (2), luego en Network interface (3)

Una vez en Network interface, ve a Access control (IAM) (1), Add (2) y luego Add role assignment (3)

Y vas a repetir los mismos pasos que hiciste para añadir el permiso Reader en la máquina virtual
En Add role assignment, escribe Reader (1) en el campo de búsqueda, haz clic sobre la función que aparece, en este caso Reader (2) y, entonces presiona Next

En la siguiente ventana, tendrás que seleccionar los miembros que recibirán la función (Role), entonces haz clic en Select Members

Ahora, escribe en el campo de búsqueda a quién quieres agregar (1), marca la casilla (2) y pulsa Select (3)

Ahora, vamos a hacer clic en Review + Assign, verifica si está todo correcto en la siguiente pantalla y vuelve a pulsar Review + Assign

y si intentas usar el Azure Bastion a continuación, este es el mensaje que vas a ver Unable to query Bastion data

Permiso en Azure Bastion
Ve a Azure Bastions, y haz clic en el recurso que creaste (1), Access control (IAM) (2), Add (3), luego Add role assignment (4)

Repite los mismos pasos que hiciste para conceder permisos de Reader para la máquina virtual y la interfaz de red
En Add role assignment, escribe Reader (1) en el campo de búsqueda, haz clic sobre la función que aparece, en este caso Reader (2) y, entonces presiona Next

En la siguiente ventana, tendrás que seleccionar los miembros que recibirán la función (Role), entonces haz clic en Select Members

Ahora, escribe en el campo de búsqueda a quién quieres agregar (1), marca la casilla (2) y pulsa Select (3)

Ahora, vamos a hacer clic en Review + Assign, verifica si está todo correcto en la siguiente pantalla y vuelve a pulsar Review + Assign

voilá! Ahora ves las opciones para completar tu Username, Password y Connect
