Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda você a configurar a gravação de sessão Bastion. Quando a funcionalidade de gravação de sessões no Azure Bastion está ativada, pode gravar as sessões gráficas para ligações feitas a máquinas virtuais (RDP e SSH) através do Bastion Host. Depois que a sessão é fechada ou desconectada, as sessões gravadas são armazenadas em um contêiner de blob dentro da sua conta de armazenamento (via URL SAS). Quando uma sessão é desligada, pode aceder e visualizar as suas sessões gravadas no portal do Azure na página de Gravação de Sessões. A gravação da sessão requer o Bastion Premium SKU.
Observação
A gravação gráfica de sessões Bastion suporta identidades geridas para autenticar a sua conta de armazenamento, eliminando a necessidade de gerir tokens SAS. Você pode usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário. Para informações gerais sobre identidades geridas, veja O que são identidades geridas para Azure recursos?.
Considerações
- O SKU Premium é necessário para este recurso.
- O suporte do Entra ID para sessões RDP no portal não pode ser usado em simultâneo com a gravação gráfica da sessão neste momento.
- A gravação da sessão não está disponível via cliente nativo no momento.
- Políticas de armazenamento imutáveis não devem estar presentes.
- A gravação de sessão suporta uma conta de armazenamento/container de cada vez.
- Mudar de contentores de armazenamento enquanto uma sessão está ativa pode causar interrupções na sessão.
- Não deve haver versões em blob nas gravações.
- Quando a gravação de sessão é habilitada em uma implantação Bastion, Bastion grava TODAS as sessões que passam pelo host bastion habilitado para gravação.
Pré-requisitos
- O Azure Bastion é implementado na sua rede virtual. Veja Quickstart: Implemente Azure Bastion a partir do portal Azure para os passos.
- O Bastion deve ser configurado para usar o SKU Premium para esta funcionalidade. Você pode atualizar para o Premium SKU a partir de um SKU inferior ao configurar o recurso de gravação de sessão. Para verificar sua SKU e atualizar, se necessário, consulte Exibir ou atualizar uma SKU.
- A máquina virtual à qual você se conecta deve ser implantada na rede virtual que contém o host bastion ou em uma rede virtual diretamente emparelhada à rede virtual Bastion.
- Para visualizar ou listar as gravações de sessão, o utilizador deve ter a função Leitor de Dados de Blob de Armazenamento.
Ativar gravação de sessão
Você pode habilitar a gravação de sessão ao criar um novo recurso de host bastion ou configurá-lo mais tarde, após a implantação do Bastion.
Etapas para novas implantações do Bastion
Quando configura e implementa manualmente um host bastion, pode especificar o SKU e as funcionalidades no momento da implementação. Para passos abrangentes para implantar o Bastion, veja Deploy Bastion do portal Azure.
- No portal Azure, selecione Criar um Recurso.
- Procure por Azure Bastion e selecione Create.
- Preencha os valores usando as configurações manuais, certificando-se de selecionar o SKU Premium.
- Na guia Avançado , selecione Gravação de sessão para ativar o recurso de gravação de sessão.
- Reveja os seus dados e selecione Criar. Bastion imediatamente começa a criar seu bastião host. Este processo demora cerca de 10 minutos a concluir.
Passos para implantações existentes do Bastion
Se você já implantou o Bastion, use as etapas a seguir para habilitar a gravação da sessão.
- No portal do Azure, aceda ao seu recurso Bastion.
- Na página Bastion, no painel esquerdo, selecione Configuração.
- Na página de Configuração, em Camada, selecione Premium se ainda não estiver selecionada. Este recurso requer o SKU Premium.
- Selecione Gravação de sessão nos recursos listados.
- Selecione Aplicar. Bastion imediatamente começa a atualizar as configurações para o seu bastion host. As atualizações demoram cerca de 10 minutos.
Configurar contêiner de conta de armazenamento
Nesta seção, você configura e especifica o contêiner para gravações de sessão.
Crie uma conta de armazenamento no seu grupo de recursos. Para os passos, consulte Criar uma conta de armazenamento e Conceder acesso limitado a recursos de Armazenamento do Azure usando assinaturas de acesso partilhado (SAS).
Dentro da conta de armazenamento, crie um contêiner. Este é o recipiente que você usará para armazenar suas gravações de sessão Bastion. Recomendamos que você crie um contêiner exclusivo para gravações de sessão. Para conhecer as etapas, consulte Criar um contêiner.
Na página da sua conta de armazenamento, no painel esquerdo, expanda Configurações. Selecione Compartilhamento de recursos (CORS).
Crie uma nova política em serviço Blob com os seguintes valores e guarde as suas alterações no topo da página.
Nome Valor Origens permitidas https://seguido pelo nome DNS completo do seu bastião, começando combst-. Tenha em mente que estes valores são sensíveis a maiúsculas e minúsculas.Métodos permitidos Obtém Cabeçalhos permitidos * Cabeçalhos expostos * Idade máxima 86400
Configurar o acesso ao armazenamento e a visualização de gravações
Observação
Os passos seguintes servem para configurar uma Identidade Gerida atribuída ao Sistema. As Identidades atribuídas pelo utilizador seguem passos semelhantes.
Os passos seguintes ajudam-no a configurar as definições necessárias para usar a identidade gerida. A identidade gerida é o método de autenticação recomendado.
Selecione o recurso Bastion e aceda à lâmina Identidade.
Mude o Estado para Ligado e espera que a configuração termine.
Selecione Azure atribuições de funções e selecione Adicionar atribuição de funções (Pré-visualização).
Scope Subscription Recurso Função Armazenamento A subscrição da sua conta de armazenamento O nome da sua conta de armazenamento Contribuidor de Dados de Storage Blob Selecione Guardar para guardar a atribuição de funções.
Volta ao teu recurso Bastion e seleciona Configuração no painel esquerdo.
Em Configuração de Gravação de Sessão, selecione Identidade Gerida Atribuída ao Sistema e introduza o URI do Blob Container para o seu contentor de armazenamento.
Ver uma gravação
As sessões são gravadas automaticamente quando a Gravação de Sessão está ativada no host bastion. Pode ver gravações no portal Azure através de um leitor web integrado.
- No portal do Azure, aceda ao seu Bastion host.
- No painel esquerdo, em Configurações, selecione Gravações de sessão.
- Selecione a VM e o link de gravação que você deseja exibir e, em seguida, selecione Exibir gravação.
Próximos passos
- Saiba mais sobre identidades geridas para recursos Azure e como eliminam a necessidade de gerir credenciais para autenticação em serviços Azure.
- Saiba mais sobre o Azure Bastion, um serviço totalmente gerido que fornece conectividade RDP/SSH segura e fluida para máquinas virtuais sem expor portas RDP/SSH externamente.
- Saiba mais sobre perguntas frequentes para Azure Bastion.