Condividi tramite

Configurare la registrazione di sessioni Bastion

Questo articolo illustra come configurare la registrazione delle sessioni Bastion. Quando la funzionalità di registrazione delle sessioni di Azure Bastion è abilitata, è possibile registrare le sessioni grafiche per le connessioni effettuate alle macchine virtuali (RDP e SSH) tramite l'host bastion. Dopo la chiusura o la disconnessione della sessione, le sessioni registrate vengono archiviate in un contenitore BLOB all'interno dell'account di archiviazione (tramite URL di firma di accesso condiviso). Quando una sessione è disconnessa, è possibile accedere e visualizzare le sessioni registrate nel portale di Azure nella pagina Registrazione della sessione. La registrazione delle sessioni richiede lo SKU Bastion Premium.

Prima di iniziare

Le sezioni seguenti illustrano considerazioni, limitazioni e prerequisiti per la registrazione di sessioni Bastion.

Considerazioni e limitazioni

  • Per questa funzionalità è necessario lo SKU Premium.
  • La registrazione delle sessioni attualmente non è disponibile tramite client nativo.
  • Non devono essere presenti criteri di archiviazione immutabili
  • La registrazione delle sessioni supporta un account di archiviazione/contenitore alla volta.
  • La modifica dei contenitori di archiviazione mentre una sessione è attiva può causare interruzioni della sessione.
  • Il controllo delle versioni BLOB nelle registrazioni non deve essere presente
  • Quando la registrazione della sessione è abilitata in una distribuzione, Bastion registra TUTTE le sessioni che passano attraverso l'host bastion abilitato per la registrazione.

Prerequisiti

  • Azure Bastion è distribuito nella rete virtuale. Per la procedura, vedere Esercitazione - Distribuire Bastion usando le impostazioni specificate .
  • Bastion deve essere configurato per l'uso dello SKU Premium per questa funzionalità. È possibile eseguire l'aggiornamento allo SKU Premium da uno SKU inferiore quando si configura la funzionalità di registrazione della sessione. Per controllare lo SKU e l'aggiornamento, se necessario, vedere Visualizzare o aggiornare uno SKU.
  • La macchina virtuale a cui ci si connette deve essere distribuita nella rete virtuale che contiene l'host bastion o un una rete virtuale con peering diretto alla rete virtuale Bastion.
  • Per visualizzare o elencare le registrazioni di sessione, l'utente deve avere il ruolo Lettore dati BLOB di archiviazione.

Abilitare la registrazione delle sessioni

È possibile abilitare la registrazione della sessione quando si crea una nuova risorsa host bastion oppure è possibile configurarla in un secondo momento, dopo la distribuzione di Bastion.

Screenshot che mostra la pagina di configurazione per l'host bastion.

Passaggi per le nuove distribuzioni Bastion

Quando si configura e si distribuisce manualmente un host bastion, è possibile specificare il livello e le funzionalità dello SKU al momento della distribuzione. Per i passaggi completi per distribuire Bastion, vedere Distribuire Bastion usando le impostazioni specificate.

  1. Nel portale di Azure selezionare Crea una risorsa.
  2. Cercare Azure Bastion e selezionare Crea.
  3. Compilare i valori usando le impostazioni manuali, assicurandosi di selezionare lo SKU Premium.
  4. Nella scheda Avanzate selezionare Registrazione sessione per abilitare la funzionalità di registrazione della sessione.
  5. Esaminare i dettagli e selezionare Crea. Bastion inizia immediatamente a creare l'host bastion. Il completamento di questo processo richiede circa 10 minuti.

Passaggi per le distribuzioni Bastion esistenti

Se Bastion è già stato distribuito, seguire questa procedura per abilitare la registrazione della sessione.

  1. Nel portale di Azure passare alla risorsa Bastion.
  2. Nel riquadro sinistro della pagina Bastion selezionare Configurazione.
  3. Nella pagina Configurazione, per Livello, selezionare Premium se non è già selezionato. Questa funzionalità richiede lo SKU Premium.
  4. Selezionare Registrazione sessione nelle funzionalità elencate.
  5. Selezionare Applica. Bastion inizia immediatamente ad aggiornare le impostazioni per l'host bastion. Gli aggiornamenti richiedono circa 10 minuti.

Configurare il contenitore dell'account di archiviazione

In questa sezione viene configurato e specificato il contenitore per le registrazioni delle sessioni.

  1. Creare un account di archiviazione nel gruppo di risorse. Per la procedura, vedere Creare un account di archiviazione e Concedere l'accesso limitato alle risorse di Archiviazione di Azure usando le firme di accesso condiviso.For steps, see Create a storage account and Grant limited access to Azure Storage resources using shared access signatures (SAS).

  2. All'interno dell'account di archiviazione creare un contenitore. Questo è il contenitore che verrà usato per archiviare le registrazioni delle sessioni Bastion. È consigliabile creare un contenitore esclusivo per le registrazioni delle sessioni. Per la procedura, vedere Creare un contenitore.

  3. Nel riquadro sinistro della pagina dell'account di archiviazione, espandere Impostazioni. Selezionare Condivisione risorse (CORS).

  4. Creare un nuovo criteri in servizio BLOB e salvare le modifiche nella parte superiore della pagina.

Nome Valore
Origini consentite https:// seguito dal nome DNS completo del bastion, iniziando con bst-. Tenere presente che questi valori distinguono maiuscole e minuscole.
Metodi consentiti OTTIENI
Intestazioni consentite *
Intestazioni esposte *
Validità massima 86400

Aggiungere o aggiornare l'URL SAS

Per configurare le registrazioni di sessione, è necessario aggiungere un SAS URL alla configurazione Bastion delle registrazioni della sessione. In questa sezione si genera l'URL della firma di accesso condiviso BLOB dal contenitore e quindi lo si carica nell'host bastion.

I passaggi seguenti consentono di configurare le impostazioni necessarie direttamente nella pagina Genera SAS. Tuttavia, è possibile configurare facoltativamente alcune delle impostazioni creando un criterio di accesso archiviato. È quindi possibile collegare i criteri di accesso archiviati al token di firma di accesso condiviso nella pagina Genera firma di accesso condiviso. Per creare un criterio di accesso archiviato, selezionare le autorizzazioni e la data e ora di inizio e scadenza nel criterio di accesso oppure nella pagina Genera SAS.

  1. Nella pagina dell'account di archiviazione passare a Archiviazione dati -> Contenitori.
  2. Individua il contenitore che hai creato per archiviare le registrazioni delle sessioni di Bastion, quindi fai clic sui 3 puntini di sospensione (ellissi) a destra del tuo contenitore e seleziona Generare SAS dall'elenco a discesa.
  3. Nella pagina Genera firma di accesso condiviso (SAS), per Autorizzazioni, selezionare READ, CREATE, WRITE, LIST.
  4. Per Data/ora di inizio e scadenza, usare le raccomandazioni seguenti:
    • Impostare Ora di inizio su almeno 15 minuti prima dell'ora corrente.
    • Impostare Tempo di scadenza a un momento lontano nel futuro.
  5. In Indirizzi IP consentiti selezionare l'indirizzo IP o l'intervallo IP da cui accettare le richieste. Per altre informazioni, fare clic qui
  6. In Protocolli consentiti selezionare solo HTTPS .
  7. Fare clic su Genera token di firma di accesso condiviso e URL. Nella parte inferiore della pagina verranno visualizzati il token SAS BLOB e l'URL SAS BLOB generati.
  8. Copiare l'URL di Blob SAS.
  9. Passare all'host bastion. Nel riquadro sinistro selezionare Registrazioni di sessione.
  10. Nella parte superiore della pagina, seleziona Aggiungi o aggiorna URL di firma di accesso condiviso. Incolla il tuo URL SAS, quindi fai clic su Carica.

Visualizzare una registrazione

Le sessioni vengono registrate automaticamente quando la Registrazione della sessione è abilitata nell'host bastion. È possibile visualizzare le registrazioni nel portale di Azure tramite un lettore Web integrato.

  1. Nel portale di Azure, vai al tuo host Bastion.
  2. Nel riquadro sinistro, in Impostazioni, selezionare Registrazioni di sessione.
  3. L'URL della firma di accesso condiviso deve essere già configurato (in precedenza in questo esercizio). Tuttavia, se l'URL di firma di accesso condiviso è scaduto o è necessario aggiungere l'URL della firma di accesso condiviso, usare i passaggi precedenti per acquisire e caricare l'URL della firma di accesso condiviso BLOB.
  4. Selezionare il collegamento vm e registrazione che si vuole visualizzare e quindi selezionare Visualizza registrazione.

Passaggi successivi

Per altre informazioni su Bastion, vedere Le domande frequenti su Bastion .