Bastion セッション レコーディングを構成する
この記事は、Bastion セッション記録を構成するのに役立ちます。 Azure Bastion のセッション記録機能が有効になっている場合は、bastion ホスト経由で仮想マシンに対して行われた接続 (RDP と SSH) のグラフィカル セッションを記録できます。 セッションが閉じられたり切断されたりすると、記録されたセッションはストレージ アカウント内の BLOB コンテナーに (SAS URL 経由で) 格納されます。 セッションが切断されると、Azure portal の [セッション記録] ページで、記録されたセッションにアクセスして表示できます。 セッション記録には Bastion Premium SKU が必要です。
開始する前に
以下のセクションでは、Bastion セッション記録に関する考慮事項、制限事項、前提条件について概要を説明します。
考慮事項と制限事項
- この機能には Premium SKU が必要です。
- 現時点では、セッション記録はネイティブ クライアント経由では使用できません。
- セッション記録は、一度に 1 つのコンテナー/ストレージ アカウントをサポートしています。
- bastion ホストでセッション記録が有効な場合、Bastion は記録が有効な bastion ホストを経由するすべてのセッションを記録します。
前提条件
- Azure Bastion は仮想ネットワークにデプロイされます。 手順については、「チュートリアル: 指定した設定を使用して Bastion をデプロイする」を参照してください。
- この機能に Premium SKU を使うように Bastion を構成する必要がある。 セッション記録機能を構成するときに、下位の SKU から Premium SKU に更新することができます。 SKU を確認し、必要に応じてアップグレードするには、「SKU を表示またはアップグレードする」を参照してください。
- 接続先の仮想マシンは、bastion ホストを含む仮想ネットワーク、または Bastion 仮想ネットワークに直接ピアリングされている仮想ネットワークにデプロイする必要があります。
セッション記録を有効にする
新しい bastion ホスト リソースを作成するときにセッション記録を有効にするか、Bastion のデプロイ後に後で構成することができます。
新しい Bastion デプロイの手順
bastion ホストを手動で構成してデプロイする場合、デプロイ時に SKU レベルと機能を指定できます。 Bastion をデプロイするための包括的な手順については、指定した設定を使って Bastion をデプロイする方法に関する記事を参照してください。
- Azure portal で [リソースの作成] を選択します。
- Azure Bastion を検索し、[作成] を選びます。
- 手動設定を使って値を入力し、必ず Premium SKU を選びます。
- [詳細設定] タブで、[セッション記録] を選んでセッション記録機能を有効にします。
- 詳細を確認し、[作成] を選びます。 Bastion は直ちに bastion ホストの作成を開始します。 このプロセスは完了するまでに約 10 分かかります。
既存の Bastion デプロイの手順
Bastion を既にデプロイしている場合は、以下の手順に従ってセッション記録を有効にします。
- Azure portal で Bastion リソースに移動します。
- [Bastion] ページの左側のペインにある [構成] を選びます。
- [構成] ページの [レベル] で [Premium] を選びます (まだ選んでいない場合)。 この機能を使うには、Premium SKU が必要です。
- 表示されている機能から [セッション記録 (プレビュー)] を選びます。
- 適用を選択します。 Bastion により、bastion ホストの設定の更新が即座に開始されます。 更新には約 10 分かかります。
ストレージ アカウント コンテナーを構成する
このセクションでは、セッション記録用のコンテナーを設定して指定します。
リソース グループにストレージ アカウントを作成します。 手順については、ストレージ アカウントの作成に関する記事と「Shared Access Signatures (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する」を参照してください。
ストレージ アカウント内にコンテナーを作成します。 これは、Bastion セッション記録を格納するために使うコンテナーです。 セッション記録用に専用のコンテナーを作成することをお勧めします。 手順については、「コンテナーを作成する」を参照してください。
ストレージ アカウントのページの左ペインで [設定] を展開します。 [リソース共有 (CORS)] を選びます。
Blob service で新しいポリシーを作成し、ページの先頭で変更を保存します。
名前 | 値 |
---|---|
許可されたオリジン | https:// の後に、bst- から始まる bastion の完全な DNS 名。 これらの値は大文字と小文字が区別されることに注意してください。 |
許可されたメソッド | GET |
許可されたヘッダー | * |
公開されるヘッダー | * |
最長有効期間 | 86400 |
SAS URL の追加または更新
セッション記録を構成するには、Bastion の [セッション記録] の構成に SAS URL を追加する必要があります。 このセクションでは、コンテナーから BLOB SAS URL を生成し、それを bastion ホストにアップロードします。
以下の手順は、[SAS の生成] ページで必要な設定を直接構成するのに役立ちます。 ただし、必要に応じて一部の設定を構成するには、格納されるアクセス ポリシーを作成します。 その後、[SAS の生成] ページで、格納されたアクセス ポリシーを SAS トークンにリンクできます。 格納されるアクセス ポリシーを作成する場合は、アクセス ポリシー、または [SAS の生成] ページで [アクセス許可] と [開始日時と有効期限の日時] を選びます。
- ストレージ アカウント ページで、[データ ストレージ] -> [コンテナー] に移動します。
- Bastion セッション記録を格納するために作成したコンテナーを見つけて、コンテナーの右側にある 3 つのドット (省略記号) をクリックし、ドロップダウン リストから [SAS の生成] を選びます。
- [SAS の生成] ページの [アクセス許可] で [READ、CREATE、WRITE、LIST] を選びます。
- [開始日時と有効期限の日時] には、次の推奨事項を使います。
- [開始時刻] を現在時刻の 15 分以上前に設定します。
- [有効期限] をかなり先の未来に設定します。
- [許可されたプロトコル] に [HTTPS] のみを選びます。
- [SAS トークンおよび URL を生成] をクリックします。 生成された BLOB SAS トークンと BLOB SAS URL がページの下部に表示されます。
- [BLOB SAS URL] をコピーします。
- bastion ホストに移動します。 左ペインで、[セッション記録] を選びます。
- ページの上部にある [SAS URL の追加または更新] を選びます。 SAS URL を貼り付けて、[アップロード] をクリックします。
記録を表示する
bastion ホストでセッション記録が有効な場合、セッションは自動的に記録されます。 統合された Web プレーヤーを介して、Azure portal で記録を表示できます。
- Azure portal で、Bastion ホストに移動します。
- 左ペインにある [設定] で、[セッション記録] を選びます。
- SAS URL は既に (この演習の前半で) 構成されているはずです。 ただし、SAS URL の有効期限が切れている場合、または SAS URL を追加する必要がある場合は、前の手順を使って BLOB SAS URL を取得してアップロードします。
- 表示する VM と記録のリンクを選び、[記録の表示] を選びます。
次のステップ
Bastion の詳細については、Bastion の FAQ のページを参照してください。