Azure シリアル コンソールを有効または無効にする
他のリソースと同様に、Azure シリアル コンソールを有効または無効にすることができます。 シリアル コンソールは、グローバル Azure 内のすべてのサブスクリプションに対して既定で有効になっています。 現在、シリアル コンソールを無効にすると、サブスクリプション全体のサービスが無効になります。 サブスクリプションのシリアル コンソールを無効または再度有効にするには、サブスクリプションで共同作成者レベル以上のアクセス権が必要です。
ブート 診断を無効にすることで、個々の VM または仮想マシン スケール セット インスタンスのシリアル コンソールを無効にすることもできます。 VM/仮想マシン スケール セットとブート 診断 ストレージ アカウントの両方に共同作成者レベル以上のアクセス権が必要です。
VM レベルの無効化
シリアル コンソールは、ブート 診断設定を無効にすることで、特定の VM または仮想マシン スケール セットに対して無効にすることができます。 VM または仮想マシン スケール セットのシリアル コンソールを無効にするには、Azure portalからブート 診断をオフにします。 仮想マシン スケール セットでシリアル コンソールを使用している場合は、仮想マシン スケール セット インスタンスを最新のモデルにアップグレードしてください。
サブスクリプション レベルの有効化/無効化
注:
このコマンドを実行する前に、適切なクラウド (Azure Public Cloud、Azure US Government Cloud など) にあることを確認してください。 を使用してチェックし、 をaz cloud list使用してクラウドaz cloud set -n <Name of cloud>を設定できます。
Azure CLI
Azure CLI で次のコマンドを使用して、サブスクリプション全体に対してシリアル コンソールを無効にして再度有効にすることができます (コマンドを実行できる Azure Cloud Shellのインスタンスを起動するには、[Try it]\(試す\) ボタンを使用できます)。
サブスクリプションのシリアル コンソールを無効にするには、次のコマンドを使用します。
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"
サブスクリプションのシリアル コンソールを有効にするには、次のコマンドを使用します。
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"
サブスクリプションのシリアル コンソールの現在の有効/無効状態を取得するには、次のコマンドを使用します。
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2018-05-01" | jq .properties
PowerShell
シリアル コンソールは、PowerShell を使用して有効または無効にすることもできます。
サブスクリプションのシリアル コンソールを無効にするには、次のコマンドを使用します。
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01
サブスクリプションのシリアル コンソールを有効にするには、次のコマンドを使用します。
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01
RBAC を使用したシリアル コンソールへの最小限の特権アクセスの有効化
シリアル コンソールへの最小限の特権アクセスを有効にするには、仮想マシン (シリアル コンソールにアクセスする必要がある仮想マシン) リソース グループまたは VM が存在するサブスクリプションに対する権限を持つ必要なアクセス許可を持つ Azure ロールを作成する必要があります。 シリアル コンソールにアクセスする必要があるユーザーに、この Azure ロールを割り当てることができます。
作成するロールには、次の Azure Actions アクセス許可が必要です。
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
次の表では、各 Azure アクションの動作について説明します。
| Azure Action | 説明 |
|---|---|
| "Microsoft.Compute/virtualMachines/start/action" | 仮想マシンを起動します |
| "Microsoft.Compute/virtualMachines/read" | 仮想マシンのプロパティを取得する |
| "Microsoft.Compute/virtualMachines/write" | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| "Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します |
| "Microsoft.Storage/storageAccounts/listKeys/action" | 指定したストレージ アカウントのアクセス キーを返します |
| "Microsoft.Storage/storageAccounts/read" | ストレージ アカウントの一覧を返すか、指定したストレージ アカウントのプロパティを取得します |
| "Microsoft.SerialConsole/serialPorts/connect/action" | シリアル ポートに接続する |
以下の JSON を使用して、サブスクリプション内の VM とサブスクリプション内のリソース グループ内の VM への最小限の特権アクセス権を持つカスタム ロールを定義できます。
リソース グループ内の VM へのアクセスのみを割り当てる場合は、以下のプロパティの最初の値 "/subscriptions/<subscriptionID>/" を assignableScopes 削除します。
サブスクリプション内の VM へのアクセスを割り当てる場合は、次のプロパティの 2 番目の値 "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" を assignableScopes 削除します。
"properties": {
"roleName": "Azure Serial Console Access Role",
"description": "Serial Console access with least privilege.",
"assignableScopes": [
"/subscriptions/<subscriptionID>/"
"/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
],
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Azure portalを使用してシリアル コンソールへの最小限の特権アクセス用のカスタム ロールを作成する方法については、次のドキュメント「Azure portal を使用して Azure カスタム ロールを作成または更新する」を参照してください。
手順 1: 必要なアクセス許可を決定します。ロールに必要なアクセス許可は、上記の Azure アクションです。
[手順 5: 割り当て可能なスコープ] で、ロールを持つユーザーのみが特定の VM のシリアル コンソールにアクセスできるようにする場合は、スコープを VM のリソース グループに設定します。 ユーザーがサブスクリプション内の任意の VM にシリアル コンソールアクセスできるようにする場合は、スコープをサブスクリプションに設定することもできます。
Azure portalを使用してロールを割り当てる方法については、次のドキュメント「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
次の手順
- Linux VM 用 Azure シリアル コンソールの詳細
- Windows VM 用 Azure シリアル コンソールの詳細
- Azure シリアル コンソール内の電源管理オプションについて説明します
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示