Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda você a configurar a gravação de sessão do Bastion. Quando o recurso de gravação de sessão do Azure Bastion estiver habilitado, você poderá gravar as sessões gráficas para conexões feitas com máquinas virtuais (RDP e SSH) através do host de Bastion. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob em sua conta de armazenamento (por meio da URL SAS). Quando uma sessão é desconectada, você pode acessar e exibir as sessões gravadas no portal do Azure na página Gravação de Sessão. A gravação de sessão requer o SKU do Bastion Premium.
Observação
A gravação de sessão gráfica do Bastion dá suporte a identidades gerenciadas para autenticar em sua conta de armazenamento, eliminando a necessidade de gerenciar tokens SAS. Você pode usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário. Para obter informações gerais sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos Azure?.
Considerações
- O SKU Premium é necessário para esse recurso.
- No momento, o suporte a ID de entrada para sessões RDP no portal não pode ser utilizado em conjunto com a gravação gráfica de sessões.
- A gravação de sessão não está disponível por meio do cliente nativo no momento.
- As políticas de armazenamento imutáveis não devem estar presentes.
- A gravação de sessão dá suporte a uma conta de contêiner/armazenamento por vez.
- Alterar contêineres de armazenamento enquanto uma sessão está ativa pode causar interrupções na sessão.
- O versionamento de blobs não deve estar habilitado nas gravações.
- Quando a gravação de sessão é habilitada em uma implantação do Bastion, o Bastion registra TODAS as sessões que passam pelo host de bastion habilitado para gravação.
Pré-requisitos
- Azure Bastion é implantado em sua rede virtual. Consulte Quickstart: Implantar Azure Bastion no portal Azure para obter as etapas.
- O Bastion deve ser configurado para usar o SKU Premium para esse recurso. Você pode atualizar para o SKU Premium de um SKU inferior ao configurar o recurso de gravação de sessão. Para verificar sua SKU e atualizar, se necessário, consulte Exibir ou atualizar um SKU.
- A máquina virtual à qual você se conecta deve ser implantada na rede virtual que contém o bastion host ou em uma rede virtual que esteja diretamente emparelhada com a rede virtual do Bastion.
- Para exibir/listar as gravações de sessão, o usuário deve ter a função Leitor de Dados do Blob de Armazenamento.
Habilitar gravação de sessão
Você pode habilitar a gravação de sessão ao criar um novo recurso de bastion host ou configurá-lo posteriormente, depois de implantar o Bastion.
Etapas para novas implantações do Bastion
Ao configurar e implantar manualmente um host bastion, você pode especificar a SKU e os recursos no momento da implantação. Para obter etapas abrangentes para implantar o Bastion, consulte Deploy Bastion no portal Azure.
- No portal Azure, selecione Criar um recurso.
- Pesquise Azure Bastion e selecione Create.
- Preencha os valores usando as configurações manuais, não se esqueça de selecionar o SKU Premium.
- Na guia Avançado, selecione Gravação de Sessão para habilitar o recurso de gravação de sessão.
- Examine seus detalhes e selecione Criar. O Bastion imediatamente começa a criar seu bastion host. Esse processo leva cerca de 10 minutos para ser concluído.
Etapas para implantações existentes do Bastion
Se você já implantou o Bastion, use as etapas a seguir para habilitar a gravação de sessão.
- No portal do Azure, vá para o recurso do Bastion.
- Na página do Bastion, no painel à esquerda, selecione Configuração.
- Na página Configuração, para Camada, selecione Premium, caso não esteja selecionado. Esse recurso requer o SKU Premium.
- Selecione Gravação de Sessão nos recursos listados.
- Selecione Aplicar. O Bastion imediatamente começa a atualizar as configurações do seu bastion host. As atualizações levam cerca de 10 minutos.
Configurar o contêiner da conta de armazenamento
Nesta seção, você configura e especifica o contêiner para gravações de sessão.
Crie uma conta de armazenamento em seu grupo de recursos. Para ver as etapas, consulte Criar uma conta de armazenamento e Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS).
Na conta de armazenamento, crie um Contêiner. Esse é o contêiner que você usará para armazenar suas gravações de sessão do Bastion. Recomendamos que você crie um contêiner exclusivo para gravações de sessão. Confira as etapas em Criar um contêiner.
Na página da sua conta de armazenamento, no painel esquerdo, expanda Configurações. Selecione Habilitar o Compartilhamento de Recursos (CORS).
Crie uma nova política no serviço Blob com os seguintes valores e salve suas alterações na parte superior da página.
Nome Valor Origens permitidas https://seguido pelo nome DNS completo do seu bastião, começando combst-. Tenha em mente que esses valores diferenciam maiúsculas de minúsculas.Métodos permitidos GET Cabeçalhos permitidos * Cabeçalhos expostos * Idade máxima 86.400
Configurar o acesso ao armazenamento e exibir gravações
Observação
As etapas a seguir são para configurar uma Identidade Gerenciada atribuída pelo sistema. As identidades atribuídas pelo usuário seguem etapas semelhantes.
As etapas a seguir ajudam você a definir as configurações necessárias para usar a identidade gerenciada. A identidade gerenciada é o método de autenticação recomendado.
Selecione o recurso do Bastion e vá para a aba Identidade.
Defina o Status como "Ligado" e aguarde a conclusão da configuração.
Selecione atribuições de função do Azure e selecione Adicionar atribuição de função (versão prévia).
Scope Subscription Recurso Função Armazenamento Sua assinatura da conta de armazenamento O nome da conta de armazenamento Colaborador de dados de blob do Storage Selecione Salvar para salvar a atribuição de função.
Volte para o recurso do Bastion e selecione Configuração no painel esquerdo.
Em Configuração de Gravação de Sessão, selecione Identidade Gerenciada Atribuída pelo Sistema e insira o URI do Contêiner de Blobs para seu contêiner de armazenamento.
Exibir uma gravação
As sessões são gravadas automaticamente quando a Gravação de Sessão é habilitada no bastion host. Você pode exibir gravações no portal do Azure por meio de um web player integrado.
- No portal do Azure, acesse o host Bastion.
- No painel esquerdo, em Configurações, selecione Gravações de sessão.
- Selecione a VM e o link de gravação que você deseja exibir e selecione Exibir gravação.
Próximas etapas
- Saiba mais sobre identidades manadas para recursos Azure e como elas eliminam a necessidade de gerenciar credenciais para autenticação em serviços Azure.
- Saiba mais sobre Azure Bastion, um serviço totalmente gerenciado que fornece conectividade RDP/SSH segura e perfeita para máquinas virtuais sem expor portas RDP/SSH externamente.
- Saiba mais sobre perguntas frequentes sobre Azure Bastion.