Azure Bastion で Shareable Links 機能がパブリックプレビューで利用できるようになりました

2022.11.26

いわさです。

先日 Azure Bastion の新しいプレビュー機能で、Bastion を使ってブラウザ経由で仮想マシンへリモート接続するためのリンクを作成し共有が出来るようになりました。

この機能を使うと、リンクを提供された側は Azure への認証・認可が不要で対象の仮想マシンへブラウザからリモート接続出来るようになります。
ちょっと便利そうなので早速試してみました。

試してみる

流れとしては通常どおり Bastion を有効化し、その後 Bastion の構成設定から Shareable Link を有効化します。
そうするとリンク作成のための機能が利用出来るようになります。

仮想マシンと Bastion を用意

まずは検証環境を用意します。
VNET を作成し Bastion を有効化しておきます。

仮想マシンは SSH アクセスを想定する Ubuntu Server 20.04 LTS と RDP アクセスを想定する Windows Server 2019 Datacenter の 2 台を作成しました。

Shareable Link を有効化し、リンクを作成する

作成された Bastion の構成メニューから機能の有効化を行います。
前提として Bastion の Tier が Standard である必要がありますのでこの構成画面から併せてアップグレードしています。
Basic の場合は非活性で有効化が出来ませんでした。

Bastion Standard の価格は以下となっています。

構成の変更を行うと反映まで少し時間がかかります。
公式ドキュメントでは 10 分程度と記述がありました。私が試した際には 7 分ほどで完了しました。

設定変更の完了後、ブラウザを再読み込みさせると Shareable Link のメニューが追加されています。
この画面から Add ボタンでリンクを作成することが出来ます。

リンクを作成する際には Bastion から接続可能な仮想マシンを選択します。
なお、この時複数の仮想マシンを選択することが出来ますが、ひとつのリンクで複数の仮想マシンへ選択出来るようになるわけではなく選択した仮想マシンの数だけリンクが作成されます。

作成されました。
この URL をリモートアクセスを許可させるユーザへ提供する形となります。

リンクを使って接続する

実際に提供された側の動きを確認してみます。
Azure へログインしていないシークレットブラウザで確認を行っています。

リンクを開くと以下の画面が開かれます。
ここでプロトコルや認証情報を選択して接続を行います。
以下は先程の 2 台の仮想マシンのうちの Ubuntu です。

接続時にローカルへダウンロードした SSH 秘密鍵を使います。

SSH でアクセスすることが出来ました。

以下は Windows Server のリンクです。
RDP でユーザー名とパスワードを使って接続を行います。

アクセスすることが出来ましたね。

リンクを削除

この作成されたリンクには有効期限などは無いようです。
ただし Azure ポータル上から発行済みのリンクを削除することが出来ます。
ユーザーが利用中のリンクを削除してみました。

削除されたあとも引き続きログイン済み画面で利用することが出来ましたが、Bastion リモート接続用のブラウザを再読み込みさせると以下のようにエラーとなりました。
先程のリンク削除で使用していた Bastion セッションが削除されたようです。

注意事項

以下のドキュメントに記述がありますが本日時点でいくつか注意事項があります。

Basction では以下のように VNET ピアリングを経由して接続することが可能ですが、同一サブスクリプションや同一リージョンという制限があるようです。
詳細は上記公式ドキュメントをご確認ください。

さいごに

本日は Azure Bastion で Shareable Links 機能がパブリックプレビューで利用できるようになったので使ってみました。

個人的に Azure Bastion はかなり好きな機能なのですが、より便利になりましたね。
使い方を気をつける必要はありそうですが、ちょっとメンテナンス目的でアクセスしてくれーみたいなときに Azure 上のユーザーを作成せずに共有リンクを発行し不要になったら削除出来るというのが良いですね。