Habilitar e desabilitar o Console Serial do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows
Assim como qualquer outro recurso, o Console Serial do Azure pode ser habilitado e desabilitado. O Console Serial é habilitado por padrão para todas as assinaturas no Azure global. Atualmente, desabilitar o Console Serial desabilitará o serviço para toda a sua assinatura. Desabilitar ou reabilitar o Console Serial para uma assinatura requer acesso no nível do colaborador ou superior na assinatura.
Você também pode desabilitar o Console Serial para uma VM individual ou instância do conjunto de dimensionamento de máquinas virtuais desabilitando o diagnóstico de inicialização. Você precisará de acesso no nível do colaborador ou superior no conjunto de dimensionamento de VM/máquinas virtuais e na conta de armazenamento de diagnóstico de inicialização.
Desabilitação no nível da VM
O console serial pode ser desabilitado para uma VM específica ou conjunto de dimensionamento de máquinas virtuais desabilitando a configuração de diagnóstico de inicialização. Desative o diagnóstico de inicialização do portal do Azure para desabilitar o console serial da VM ou do conjunto de dimensionamento de máquinas virtuais. Se você estiver usando o Console Serial em um conjunto de dimensionamento de máquinas virtuais, certifique-se de atualizar suas instâncias do conjunto de dimensionamento de máquinas virtuais para o modelo mais recente.
Ativação/desativação no nível da assinatura
Observação
Verifique se você está na nuvem correta (Nuvem Pública do Azure, Nuvem do Azure US Government e assim por diante) antes de executar esse comando. Você pode verificar az cloud list e definir sua nuvem com az cloud set -n <Name of cloud>.
CLI do Azure
O Console Serial pode ser desabilitado e habilitado novamente para uma assinatura inteira usando os seguintes comandos na CLI do Azure (você pode usar o botão "Experimentar" para iniciar uma instância do Azure Cloud Shell na qual você pode executar os comandos):
Para desabilitar o Console Serial para uma assinatura, use os seguintes comandos:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"
Para habilitar o Console Serial para uma assinatura, use os seguintes comandos:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"
Para obter o status atual habilitado/desabilitado do Console Serial para uma assinatura, use os seguintes comandos:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2023-01-01" | jq .properties
PowerShell
O Console Serial também pode ser habilitado e desabilitado usando o PowerShell.
Para desabilitar o Console Serial para uma assinatura, use os seguintes comandos:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01
Para habilitar o Console Serial para uma assinatura, use os seguintes comandos:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01
Habilitando o acesso com privilégios mínimos ao console serial usando o RBAC
Para habilitar o acesso com privilégios mínimos ao Console Serial, você precisa criar uma função do Azure com as permissões necessárias que tenha direitos sobre o grupo de recursos da máquina virtual (a máquina virtual na qual você precisa acessar o Console Serial) ou a assinatura em que a VM está. Você pode atribuir essa função do Azure a usuários que precisam acessar o Console Serial.
A função que você criar precisará das seguintes permissões do Azure Actions:
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
A tabela a seguir explica o que cada ação do Azure faz:
| Ação do Azure | descrição |
|---|---|
| "Microsoft.Compute/virtualMachines/start/action" | Inicia a máquina virtual |
| "Microsoft.Compute/virtualMachines/read" | Obter as propriedades de uma máquina virtual |
| "Microsoft.Compute/virtualMachines/write" | Criar uma nova máquina virtual ou atualizar uma máquina virtual existente |
| "Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos |
| "Microsoft.Storage/storageAccounts/listKeys/action" | Retorna as chaves de acesso para a conta de armazenamento especificada |
| "Microsoft.Storage/storageAccounts/read" | Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada |
| "Microsoft.SerialConsole/serialPorts/connect/action" | Conectar a uma porta serial |
O JSON abaixo pode ser usado para definir uma função personalizada com acesso de privilégios mínimos a VMs em uma assinatura e VMs em um grupo de recursos em uma assinatura.
Se você quiser atribuir acesso apenas a VMs em um grupo de recursos, exclua o assignableScopes primeiro valor "/subscriptions/<subscriptionID>/" na propriedade abaixo.
Se você quiser atribuir acesso a VMs em uma assinatura, exclua o assignableScopes segundo valor "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" na propriedade abaixo.
"properties": {
"roleName": "Azure Serial Console Access Role",
"description": "Serial Console access with least privilege.",
"assignableScopes": [
"/subscriptions/<subscriptionID>/"
"/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
],
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Para obter instruções sobre como usar o portal do Azure para criar uma função personalizada para acesso com privilégios mínimos ao console Serial, leia a documentação a seguir Criar ou atualizar funções personalizadas do Azure usando o portal do Azure.
Para a Etapa 1: Determinar as permissões necessárias, as permissões necessárias para a função são as ações do Azure mostradas acima.
Para Etapa 5: Escopos atribuíveis, defina o escopo como o grupo de recursos da VM se quiser que apenas o usuário com a função tenha acesso ao Console Serial de uma VM específica. Você também pode definir o escopo como a assinatura se quiser que o usuário tenha acesso ao Console Serial a qualquer VM na assinatura.
Para obter instruções sobre como usar o portal do Azure para atribuir funções, leia a documentação a seguir Atribuir funções do Azure usando o portal do Azure.
Próximas etapas
- Saiba mais sobre o Console Serial do Azure para VMs do Linux
- Saiba mais sobre o Console Serial do Azure para VMs do Windows
- Saiba mais sobre as opções de gerenciamento de energia no Console Serial do Azure
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.