Azure StackのPEP(privileged endpoint, 特権エンドポイント)へどこから接続すべきか

Azure Stackではログ収集や一部の操作を行うためにPEP(privileged endpoint, 特権エンドポイント)に接続するケースがあります。個人的に一番多いのはTest-AzureStackコマンドでテストすることでしょうか。

そのPEPにはRemote PowerShellで接続するのですが、そこに対してどこから接続すべきか、というガイドラインが当初と大きく変更されていますので少々注意が必要です。

上記の最新のドキュメントでは下記の説明が記載されています。

注意

セキュリティ上の理由から、PEP への接続は、ハードウェア ライフサイクル ホスト上で実行するセキュリティを強化された仮想マシンから、または Privileged Access Workstation のような専用のセキュリティで保護されたコンピューターからに限定して行う必要があります。 ハードウェア ライフサイクル ホストは、元の構成から変更しないようにするか (新しいソフトウェアのインストールするなど)、または PEP への接続に使わないようにする必要があります。

HLH(ハードウェアライフサイクルホスト)から直接接続するのではなく、その上で動く仮想マシンや専用のPCからの接続が推奨されています。

これ、実は当初はHLHから直接接続することが推奨されていたんです。このことは過去の編集履歴を参照するとわかります。

ドキュメントがGithub上で管理されているので過去の履歴も追いやすくて良いですね。

これからAzure Stackを利用する場合にはどうということもないのですが、HLHから接続するようにしていたところ、ある時からPEPに接続ができなくなっていてこの事に気が付きました。

OEMのUpdateを適用する中でHLHへのセキュリティ設定が変更され、HLHからPEPへのRemote PowerShellでの接続も禁止されたようでした。

同様の変更は今後は発生しないとは思いますが、いつものことながら英語の最新版のドキュメントを参考にするのが色々と良さそうです。

 

子供3人。家族優先。都内SIer勤務。Windows系中心のインフラよりの何でも屋。脱原発。 Microsoft MVP for Cloud and Datacenter Management.

コメントを残す

メールアドレスが公開されることはありません。

x
11月15日にHuaweiさん、IIJさん、Microsoftさん、JBSでAzure Stackのセミナーを行います。私も登壇させてもらいます。懇親会もあります。 是非ご参加下さい! セミナー申し込みページ:https://www.jbs.co.jp/event/list/2018/1115