Microsoft Azure ortamında yer alan sanal makinelerinize bağlanırken eminim artık Bastion servisini kullanıyorsunuzdur. Bastion’ın neden kullanılması gerektiği ile ilgili çok fazla bilgiyi bu yazıda paylaşmayacağım ama ana nedeninin uzaktan bağlantı yaparken RDP açıklarının elimine edilmesi ve güvenlik açısından çok önemli olduğunu birkez daha hatırlatmak isterim. Bastion ile ilgili daha fazla bilgi edinmek isteyenler mshowto içerisinde çok fazla teknik yazı ve videoyu bulabileceklerdir. Bu yazımda sizlere Bastion ile bağlanırken oturum açma bilgileri kısmında parola girmeden Key vault servisi yardımıyla nasıl login olabileceğinizi aktaracağım.
İlk olarak Azure ortamınızda Key vault servisini oluşturmanız gerekli, bunu birkaç şekilde yapabilirsiniz ama en kolay yöntemi arama bölümüne Key vault yazın ve Create key vault butonuna basın.
Resim-1
Key vault servisi oluştururken klasik bilgilerin girilmesi gerekmektedir, bunları girdikten sonra erişim politikası bölümüne gidebilirsiniz.
Resim-2
İsminden de anlayabileceğiniz üzere oluşturmuş olduğunuz kasaya kimlerin hangi haklarla erişebileceğini bu bölüm içerisinden ayarlayabiliyorsunuz. Create yazısına tıklayarak erişim haklarını belirliyorum.
Resim-3
İzinlerin tanımlanması bittikten sonra buraya hangi kullanıcı ya da grupların izinleri erişebileceğini seçiyorum. Tabi ki burada yardımımıza Azure AD hizmeti geliyor ve organizasyonumuzda yer alan kimlikleri seçiyoruz.
Resim-4
Eğer bir uygulama ile ilişkilendireceksiniz bunu da opsiyonel olarak seçebilirsiniz. Ben bu kısmı geçiyorum.
Resim-5
Access Policy adımları bu kadar sonradan da bu bölümdeki izinleri değiştirebilirsiniz, şimdi next butonu ile bir sonraki adıma geçiyoruz, networking bölümüne.
Resim-6
Networking bölümü Azure storage gibi servislerde de sıkça görmüş olduğumuz erişimin hangi network’ler üzerinden yapılacağının belirlendiği bölümdür. Sizlerin bu kısımda ayarlamalarınıza dikkat etmesini öneririm. Eğer genele açık bir kasa erişimi yapmayacaksanız, select network veya private endpoint’ler seçmenizi tavsiye ederim.
Resim-7
Tag’lama bölümünü geçiyorum ama sizler arama, raporlama v.b. işlemler için doldurabilirsiniz. Son kısımda ayarlarımı kontrol ediyorum ve create butonu ile key vault’u oluşturuyorum.
Resim-8
Oluşan Key vault’a gelerek objects bölümünün altında yer alan secrets alanına geliyorum. Amacım sanal makinelere bağlanırken kullanıcıya ait parolayı buradan almak ve her defasında yeniden yazmamak olduğu için secrets’ı kullanıyorum. Bunun için Generate/Import yazısına tıklıyorum.
Resim-9
Secret oluşturma adımında manual yükleme seçeneğini seçerek isim, kullanacağım parolayı girerek enabled seçeneğini seçerek işlemlerimi tamamlıyorum.
Resim-10
Enabled şekilde olan secret’im kullanıma hazır durumda. Tek yapmam gereken Azure sanal makinelere gelerek key vault’tan girmiş olduğum secret’i seçmek.
Resim-11
Sanal makineye bağlanmak bastion’ı seçiyorum Authenticaon type seçeneğinde Password from Azure Key vault seçiyorum.
Resim-12
Kullanıcı adını da elle girdikten sonra Connect butonuna basıyorum. Dikkat ederseniz artık parolayı elle girmiyorum bunun için key vault içerisine oluşturmuş olduğum secret’i kullanıyorum.
Resim-13
Çok kısa bir süre sonra Azure sanal makineye Key vault servisinde yer alan password ile erişebildiğim için sanal makinenin karşıma geldiğini görüyorum.
Resim-14
Gün içerisinde sürekli parola yazarak sanal makinelere bağlanmaktan yorulduysanız yukarıda detaylarını bahsettiğim adımlarla sizlerde bastion ve key vault yardımı ile kolayca bağlanabilirsiniz.
Bir sonraki Azure makalesinde görüşüne kadar sağlıklı günler dilerim.
Referanslar
TAGs: Azure sanal makineler, bastion, key vault, Password from Azure Key vault