Aktivieren und Deaktivieren der seriellen Azure-Konsole
Wie jede andere Ressource kann die serielle Azure-Konsole aktiviert und deaktiviert werden. Die serielle Konsole ist standardmäßig für alle Abonnements global in Azure aktiviert. Derzeit wird durch Deaktivieren der seriellen Konsole der Dienst für Ihr gesamtes Abonnement deaktiviert. Zum Deaktivieren oder erneuten Aktivieren der seriellen Konsole für ein Abonnement sind Berechtigungen auf der Zugriffsebene „Mitwirkender“ oder höher für das Abonnement erforderlich.
Sie können die serielle Konsole auch für einen einzelnen virtuellen Computer oder eine VM-Skalierungsgruppeninstanz deaktivieren, indem Sie die Startdiagnose deaktivieren. Dazu benötigen Sie Berechtigungen auf der Zugriffsebene „Mitwirkender“ oder höher für den virtuellen Computer oder die VM-Skalierungsgruppe sowie für das Startdiagnose-Speicherkonto.
Deaktivieren auf VM-Ebene
Die serielle Konsole kann für bestimmte VMs oder VM-Skalierungsgruppen deaktiviert werden, indem die Startdiagnose deaktiviert wird. Deaktivieren Sie die Startdiagnose im Azure-Portal, um die serielle Konsole für eine VM oder VM-Skalierungsgruppe zu deaktivieren. Sie müssen Ihre VM-Skalierungsgruppeninstanzen auf die neueste Version aktualisieren, wenn Sie die serielle Konsole für eine VM-Skalierungsgruppe verwenden.
Aktivieren/Deaktivieren auf Abonnementebene
Hinweis
Stellen Sie vor der Ausführung dieses Befehls sicher, dass Sie sich in der richtigen Cloud (öffentliche Azure-Cloud, Azure US Government-Cloud) befinden. Dies können Sie mit az cloud list überprüfen und mit az cloud set -n <Name of cloud> Ihre Cloud festlegen.
Azure CLI
Die serielle Konsole kann für ein gesamtes Abonnement deaktiviert und wieder aktiviert werden, indem Sie die folgenden Befehle in der Azure CLI verwenden (Sie können die Schaltfläche „Ausprobieren“ verwenden, um eine Instanz der Azure Cloud Shell zu starten, in der Sie die Befehle ausführen können):
Verwenden Sie zum Deaktivieren der seriellen Konsole für ein Abonnement die folgenden Befehle:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"
Verwenden Sie zum Aktivieren der seriellen Konsole für ein Abonnement die folgenden Befehle:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"
Verwenden Sie die folgenden Befehle, um den aktuellen Status (aktiviert oder deaktiviert) der seriellen Konsole für ein Abonnement abzurufen:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2018-05-01" | jq .properties
PowerShell
Die serielle Konsole kann auch mit PowerShell aktiviert und deaktiviert werden.
Verwenden Sie zum Deaktivieren der seriellen Konsole für ein Abonnement die folgenden Befehle:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01
Verwenden Sie zum Aktivieren der seriellen Konsole für ein Abonnement die folgenden Befehle:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01
Aktivieren des Zugriffs mit geringsten Rechten auf die serielle Konsole mit RBAC
Um den Least Privilege-Zugriff auf die serielle Konsole zu aktivieren, müssen Sie eine Azure-Rolle mit den erforderlichen Berechtigungen erstellen, die Rechte auf die Ressourcengruppe der virtuellen Maschine (die virtuelle Maschine, auf die Sie auf die serielle Konsole zugreifen müssen) oder auf das Abonnement hat, in dem sich die VM befindet. Sie können diese Azure-Rolle den Benutzern zuweisen, die auf die serielle Konsole zugreifen müssen.
Die von Ihnen erstellte Rolle benötigt die folgenden Azure Actions-Berechtigungen:
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
In der folgenden Tabelle wird erläutert, was die einzelnen Azure-Aktionen bewirken:
| Azure Aktion | Beschreibung |
|---|---|
| „Microsoft.Compute/virtualMachines/start/action“ | Startet den virtuellen Computer. |
| „Microsoft.Compute/virtualMachines/read“ | Erhalten Sie die Eigenschaften eines virtuellen Computers. |
| „Microsoft.Compute/virtualMachines/write“ | Erstellt eine neue virtuelle Maschine oder aktualisiert eine vorhandene virtuelle Maschine |
| „Microsoft.Ressourcen/Abonnements/ResourceGroups/read“ | Ruft Ressourcengruppen ab oder listet sie auf |
| „Microsoft.Storage/storageAccounts/listKeys/action“ | Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück |
| „Microsoft.Storage/storageAccounts/read“ | Gibt die Liste der Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab |
| „Microsoft.SerialConsole/serialPorts/connect/action“ | Anschluss an eine serielle Schnittstelle |
Das unten stehende JSON kann verwendet werden, um eine benutzerdefinierte Rolle mit Zugriff mit geringsten Rechten auf VMs in einem Abonnement und VMs in einer Ressourcengruppe in einem Abonnement zu definieren.
Wenn Sie den Zugriff nur VMs in einer Ressourcengruppe zuweisen möchten, löschen Sie den ersten Wert "/subscriptions/<subscriptionID>/" in der Eigenschaft assignableScopes unten.
Wenn Sie den Zugriff auf VMs in einem Abonnement zuweisen möchten, dann löschen Sie den zweiten Wert "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" in der Eigenschaft assignableScopes unten.
"properties": {
"roleName": "Azure Serial Console Access Role",
"description": "Serial Console access with least privilege.",
"assignableScopes": [
"/subscriptions/<subscriptionID>/"
"/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
],
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Anweisungen zur Verwendung des Azure-Portals zum Erstellen einer benutzerdefinierten Rolle für den Zugriff auf die serielle Konsole mit den geringsten Rechten finden Sie in der folgenden Dokumentation Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen mithilfe des Azure-Portals.
Für Schritt 1: Bestimmen Sie die benötigten Berechtigungen sind die Berechtigungen, die Sie für die Rolle benötigen, die oben gezeigten Azure-Aktionen.
Legen Sie für Schritt 5: Zuweisbare Bereiche den Bereich auf die Ressourcengruppe der VM fest, wenn Sie möchten, dass der Benutzer mit der Rolle nur Zugriff auf die serielle Konsole einer bestimmten VM hat. Sie können auch das Abonnement als Geltungsbereich festlegen, wenn Sie möchten, dass der Benutzer über die serielle Konsole auf jede VM im Abonnement zugreifen kann.
Anweisungen zur Verwendung des Azure-Portals für die Zuweisung von Rollen finden Sie in der folgenden Dokumentation Zuweisung von Azure-Rollen über das Azure-Portal.
Nächste Schritte
- Weitere Informationen zur seriellen Azure-Konsole für virtuelle Linux-Computer
- Weitere Informationen zur seriellen Azure-Konsole für virtuelle Windows-Computer
- Informationen zu Energieoptionen in der seriellen Azure-Konsole
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für