Configuración de la grabación de sesiones de Bastion

Este artículo le ayudará a configurar la grabación de sesiones de Bastion. Cuando la característica Grabación de sesiones de Azure Bastion está habilitada, puede grabar las sesiones gráficas de las conexiones realizadas a máquinas virtuales (RDP y SSH) a través del host bastión. Una vez cerrada o desconectada la sesión, las sesiones grabadas se almacenan en un contenedor de blobs que se encuentra en su cuenta de almacenamiento (a través de la dirección URL de SAS). Cuando se desconecta una sesión, puede acceder y ver las sesiones grabadas en el portal de Azure en la página Grabación de sesión. La grabación de sesiones requiere la SKU de Bastion Premium.

Antes de empezar

En las secciones siguientes se describen las consideraciones, las limitaciones y los requisitos previos para la grabación de sesiones de Bastion.

Consideraciones y limitaciones

• Esta característica requiere la SKU Premium.
• La compatibilidad de Entra ID con sesiones RDP en el portal no se puede usar simultáneamente con la grabación gráfica de sesión en este momento.
• La grabación de sesiones no está disponible a través de un cliente nativo en este momento.
• Las directivas de almacenamiento inmutable no deben estar presentes
• La grabación de sesiones admite una cuenta de almacenamiento o contenedor a la vez.
• Cambiar los contenedores de almacenamiento mientras una sesión está activa puede provocar interrupciones en la sesión.
• El control de versiones de blobs en las grabaciones no debe estar presente
• Cuando la grabación de sesiones está habilitada en una implementación de Bastion, Bastion registra todas las sesiones que pasan por el host bastión habilitado para grabación.

Requisitos previos

• Azure Bastion se implementa en la red virtual. Consulte Quickstart: Implementación de Azure Bastion desde el portal de Azure para ver los pasos.
• Bastion debe configurarse para utilizar la SKU Premium para esta función. Puede actualizar a la SKU Premium desde una SKU inferior al configurar la característica de grabación de sesiones. Para comprobar la SKU y la actualización, si es necesario, consulte Visualización o actualización de una SKU.
• La máquina virtual a la que se conecta debe desplegarse en la red virtual que contiene al host Bastion, o en una red virtual que esté emparejada directamente con la red virtual de Bastion.
• Para ver o enumerar las grabaciones de sesión, el usuario debe tener el rol Lector de datos de Storage Blob .

Habilitación de la grabación de sesiones

Puede habilitar la grabación de sesiones al crear un nuevo recurso de host bastión o configurarlo más adelante después de implementar Bastion.

Captura de pantalla que muestra la página de configuración del host bastión

Pasos para nuevas implementaciones de Bastion

Al configurar e implementar manualmente un host bastión, puede especificar la SKU y las características en el momento de la implementación. Para obtener pasos completos para implementar Bastion, consulte Deploy Bastion desde el portal de Azure.

1. En el portal de Azure, seleccione Crear un recurso.
2. Busque Azure Bastion y seleccione Crear.
3. Rellene los valores mediante la configuración manual y asegúrese de seleccionar la SKU Premium.
4. En la pestaña Opciones avanzadas, seleccione Grabación de sesiones para habilitar esta característica.
5. Revise los detalles y seleccione Crear. Bastion comienza inmediatamente a crear el host bastión. Este proceso tarda unos 10 minutos en completarse.

Pasos para las implementaciones de Bastion existentes

Si ya ha implementado Bastion, siga estos pasos para habilitar la grabación de sesiones.

1. En el portal de Azure, vaya al recurso de Bastion.
2. En la página de Bastion, en el panel izquierdo, seleccione Configuración.
3. En la página Configuración, en Nivel, seleccione Premium si aún no aparece seleccionado. Esta característica requiere el SKU Premium.
4. Seleccione Grabación de sesiones en las características mostradas.
5. Seleccione Aplicar. Bastion comenzará inmediatamente a actualizar la configuración de su host bastión. Las actualizaciones tardan unos 10 minutos.

Configuración del contenedor de cuenta de almacenamiento

En esta sección, va a configurar y especificar el contenedor para las grabaciones de sesiones.

1. Cree una cuenta de almacenamiento en un nuevo grupo de recursos: Para conocer los pasos, consulte Crear una cuenta de almacenamiento y Conceder acceso limitado a los recursos de Azure Storage utilizando firmas de acceso compartido (SAS).

2. Cree un Contenedor en la cuenta de almacenamiento. Este es el contenedor que usará para almacenar las grabaciones de sesión de Bastion. Se recomienda crear un contenedor exclusivo para las grabaciones de sesión. Consulte Creación de un contenedor para ver los pasos.

3. En la página de la cuenta de almacenamiento, en el panel izquierdo, expanda Configuración. Seleccione Uso compartido de recursos (CORS).

4. Cree una nueva directiva en Blob service y guarde los cambios en la parte superior de la página.

Adición o actualización de la dirección URL de SAS

Para configurar las grabaciones de sesión, debe agregar una dirección URL de SAS a la configuración de grabaciones de sesiones de Bastion. En esta sección, va a generar la dirección URL de SAS de blobs desde el contenedor y, a continuación, la cargará en el host bastión.

Los pasos siguientes le ayudarán a configurar las opciones necesarias directamente en la página Generar SAS. Sin embargo, opcionalmente, puede configurar algunas de las opciones mediante la creación de una directiva de acceso almacenada. A continuación, puede vincular la directiva de acceso almacenada al token de SAS en la página Generar SAS. Si quiere crear una directiva de acceso almacenada, seleccione Permisos y Fecha y hora de inicio y expiración en la directiva de acceso o en la página Generar SAS.

1. En la página de la cuenta de almacenamiento, vaya a Almacenamiento de datos: contenedores.
2. Busque el contenedor que creó para almacenar las grabaciones de sesiones de Bastion y, a continuación, haga clic en los tres puntos (puntos suspensivos) situados a la derecha del contenedor y seleccione Generar SAS en la lista desplegable.
3. En la página Generar SAS, en Permisos, seleccione READ, CREATE, WRITE, LIST.
4. En Fecha y hora de inicio y expiración, use las siguientes recomendaciones:
   • Establezca la hora de inicio en al menos 15 minutos antes de la hora actual.
   • Establezca la hora de expiración para que sea en un futuro lejano.
5. En Direcciones IP permitidas, seleccione la dirección IP o el intervalo IP para aceptar solicitudes. Para obtener más información, haga clic aquí.
6. En Protocolos permitidos, seleccione HTTPS solo.
7. Haga clic en Generar token de SAS y URL. Verá el token de SAS de blob y la dirección URL de SAS de blob generados en la parte inferior de la página.
8. Copie la URL SAS de Blob.
9. Vaya al host bastión. En el panel izquierdo, seleccione Grabaciones de sesiones.
10. En la parte superior de la página, seleccione Agregar o actualizar la dirección URL de SAS. Pegue la dirección URL de SAS y haga clic en Cargar.

Visualización de una grabación

Las sesiones se graban automáticamente cuando la grabación de sesiones está habilitada en el host bastión. Puede ver las grabaciones en el portal de Azure a través de un reproductor web integrado.

1. En el portal de Azure, vaya a su host Bastion.
2. En el panel izquierdo, en Configuración, seleccione Grabaciones de sesiones.
3. La dirección URL de SAS ya debe estar configurada (anteriormente en este ejercicio). Sin embargo, si la dirección URL de SAS ha expirado o necesita agregarla, siga los pasos anteriores para adquirir y cargar la dirección URL de SAS de Blob.
4. Seleccione la máquina virtual y el vínculo de grabación que desea ver y, a continuación, seleccione Ver grabación.

Pasos siguientes

Para más información sobre Bastion, consulte las Preguntas frecuentes sobre Bastion.