Lire en anglais

Partager via

Activer et désactiver la console série Azure

  • Article

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows

Comme n’importe quelle autre ressource, la console série Azure peut être activée et désactivée. La console série est activée par défaut pour tous les abonnements dans Azure global. Actuellement, la désactivation de la console série désactive le service pour l’ensemble de votre abonnement. La désactivation ou la réactivation de la console série pour un abonnement requiert un accès de niveau contributeur ou supérieur dans l’abonnement.

Vous pouvez également désactiver la console série pour une machine virtuelle individuelle ou une instance de groupe de machines virtuelles identiques en désactivant les diagnostics de démarrage. Vous aurez besoin d’un accès de niveau collaborateur ou supérieur sur la machine virtuelle/le groupe de machines virtuelles identiques et votre compte de stockage des diagnostics de démarrage.

Désactiver au niveau de la machine virtuelle

La console série peut être désactivée pour une machine virtuelle ou un groupe de machines virtuelles identiques spécifique en désactivant le paramètre des diagnostics de démarrage. Désactivez les diagnostics de démarrage à partir du portail Azure afin de désactiver la console série pour la machine virtuelle ou le groupe de machines virtuelles identiques. Si vous utilisez la console série sur un groupe de machines virtuelles identiques, veillez à mettre à niveau vos instances de groupe de machines virtuelles identiques vers les modèles les plus récents.

Activer/désactiver au niveau de l’abonnement

Notes

Vérifiez que vous êtes dans le cloud approprié (cloud public Azure, cloud Azure US Government, etc.) avant d’exécuter cette commande. Vous pouvez vérifier en consultant az cloud list et définir votre cloud avec az cloud set -n <Name of cloud>.

Azure CLI

La console série peut être désactivée et réactivée pour l’intégralité d’un abonnement à l’aide des commandes suivantes dans l’interface de ligne de commande Azure (vous pouvez utiliser le bouton « Essayer » pour lancer une instance d’Azure Cloud Shell dans laquelle vous pouvez exécuter les commandes) :

Pour désactiver la console série pour un abonnement, utilisez les commandes suivantes :

Azure CLI 
$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"

Pour activer la console série pour un abonnement, utilisez les commandes suivantes :

Azure CLI 
$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"

Pour obtenir l’état activé/désactivé actuel de la console série pour un abonnement, utilisez les commandes suivantes :

Azure CLI 
$subscriptionId=$(az account show --output=json | jq -r .id)

az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2023-01-01" | jq .properties

PowerShell

La console série peut aussi être activée et désactivée à l’aide de PowerShell.

Pour désactiver la console série pour un abonnement, utilisez les commandes suivantes :

Azure PowerShell 
$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01

Pour activer la console série pour un abonnement, utilisez les commandes suivantes :

Azure PowerShell 
$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01

Activation de l’accès au moindre privilège à la console série à l’aide de RBAC

Pour activer l’accès au moindre privilège à la console série, vous devez créer un rôle Azure avec les autorisations requises qui dispose de droits sur le groupe de ressources de la machine virtuelle (la machine virtuelle sur laquelle vous devez accéder à la console série) ou sur l’abonnement dans lequel se trouve la machine virtuelle. Vous pouvez attribuer ce rôle Azure aux utilisateurs qui doivent accéder à la console série.

Le rôle que vous créez aura besoin des autorisations Azure Actions suivantes :

Actions 
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"

Le tableau ci-dessous explique ce que fait chaque action Azure :

Action Azure Description
« Microsoft.Compute/virtualMachines/démarrer/action » Permet de lancer la machine virtuelle
« Microsoft.Compute/virtualMachines/read » Obtenir les propriétés d’une machine virtuelle
« Microsoft.Compute/virtualMachines/write » Crée une nouvelle machine virtuelle ou met à jour une machine virtuelle existante
« Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou liste les groupes de ressources
« Microsoft.Storage/storageAccounts/listKeys/action » Renvoie les clés d’accès pour le compte de stockage spécifié
« Microsoft.Storage/storageAccounts/read » Renvoie la liste des comptes de stockage ou obtient les propriétés du compte de stockage spécifié
« Microsoft.SerialConsole/serialPorts/connect/action » Connectez-vous à un port série

Le JSON ci-dessous peut être utilisé pour définir un rôle personnalisé avec un accès au moindre privilège aux machines virtuelles d’un abonnement et aux machines virtuelles d’un groupe de ressources dans un abonnement.

Si vous souhaitez attribuer uniquement l’accès aux machines virtuelles d’un groupe de ressources, supprimez la première valeur "/subscriptions/<subscriptionID>/" dans la propriété assignableScopes ci-dessous.

Si vous souhaitez attribuer l’accès aux machines virtuelles dans un abonnement, supprimez la deuxième valeur "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" dans la propriété assignableScopes ci-dessous.

JSON 
"properties": {
    "roleName": "Azure Serial Console Access Role",
    "description": "Serial Console access with least privilege.",
    "assignableScopes": [
        "/subscriptions/<subscriptionID>/"
        "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
    ],
    "permissions": [
        {
            "actions": [
                "Microsoft.Compute/virtualMachines/start/action",
                "Microsoft.Compute/virtualMachines/read",
                "Microsoft.Compute/virtualMachines/write",
                "Microsoft.Resources/subscriptions/resourceGroups/read",
                "Microsoft.Storage/storageAccounts/listKeys/action",
                "Microsoft.Storage/storageAccounts/read",
                "Microsoft.SerialConsole/serialPorts/connect/action"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
        }
    ]
}

Pour savoir comment utiliser le portail Azure pour créer un rôle personnalisé pour l’accès au moindre privilège à la console série, lisez la documentation suivante Créer ou mettre à jour des rôles personnalisés Azure à l’aide du portail Azure.

Dans l’étape 1 : déterminer les autorisations nécessaires, les autorisations dont vous avez besoin pour le rôle sont les actions Azure indiquées ci-dessus.

Dans l’étape 5 : étendues attribuables, définissez l’étendue sur le groupe de ressources de la machine virtuelle si vous souhaitez que seul l’utilisateur doté du rôle ait accès à la console série d’une machine virtuelle spécifique. Vous pouvez également définir l’étendue sur l’abonnement si vous souhaitez que l’utilisateur ait accès à la console série à n’importe quelle machine virtuelle de l’abonnement.

Pour savoir comment utiliser le portail Azure pour attribuer des rôles, lisez la documentation suivante Attribuer des rôles Azure à l’aide du portail Azure.

Prochaines étapes

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.