Compartir a través de


Habilitar y deshabilitar la consola serie de Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows

Al igual que cualquier otro recurso, la consola serie de Azure puede activarse y desactivarse. La consola serie está activada por defecto para todas las suscripciones en Azure global. Actualmente, al desactivar la consola serie se desactiva el servicio para toda la suscripción. Para deshabilitar o volver a habilitar la Consola serie para una suscripción se requiere acceso de nivel de colaborador o superior en la suscripción.

También puede desactivar la consola serie para una instancia individual de VM o conjunto de escalas de máquinas virtuales desactivando el diagnóstico de arranque. Necesitará acceso de nivel de colaborador o superior tanto en el conjunto de escalas VM/máquina virtual como en su cuenta de almacenamiento de diagnósticos de arranque.

Desactivación a nivel de máquina virtual

La consola serie puede deshabilitarse para una VM específica o un conjunto de escalas de máquinas virtuales deshabilitando la configuración de diagnóstico de arranque. Desactive el diagnóstico de arranque desde el portal de Azure para desactivar la consola serie para la máquina virtual o el conjunto de escalado de la máquina virtual. Si utiliza la consola serie en un conjunto de escalas de máquinas virtuales, asegúrese de actualizar las instancias del conjunto de escalas de máquinas virtuales al modelo más reciente.

Activación/desactivación a nivel de suscripción

Nota:

Asegúrese de que se encuentra en la nube correcta (Azure Public Cloud, Azure US Government Cloud, etc.) antes de ejecutar este comando. Puede comprobarlo con az cloud list y fijar su nube con az cloud set -n <Name of cloud>.

CLI de Azure

La consola en serie se puede desactivar y volver a activar para toda una suscripción utilizando los siguientes comandos en la CLI de Azure (puede utilizar el botón "Probar" para iniciar una instancia de Azure Cloud Shell en la que ejecutar los comandos):

Para desactivar la consola serie para una suscripción, utilice los siguientes comandos:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"

Para activar la consola serie para una suscripción, utilice los siguientes comandos:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"

Para obtener el estado actual activado/desactivado de la Consola Serie para una suscripción, utilice los siguientes comandos:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2023-01-01" | jq .properties

PowerShell

La consola serie también se puede activar y desactivar mediante PowerShell.

Para desactivar la consola serie para una suscripción, utilice los siguientes comandos:

$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01

Para activar la consola serie para una suscripción, utilice los siguientes comandos:

$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01

Habilitación del acceso con privilegios mínimos a la consola serie mediante RBAC

Para habilitar el acceso con privilegios mínimos a la Consola serie, debe crear una función Azure con los permisos necesarios que tenga derechos sobre el grupo de recursos de la máquina virtual (la máquina virtual en la que necesita acceder a la Consola serie) o la suscripción en la que se encuentra la máquina virtual. Puede asignar este rol Azure a los usuarios que necesiten acceder a Serial Console.

El rol que crees necesitará los siguientes permisos de Azure Actions:

"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"

La siguiente tabla explica lo que hace cada acción de Azure:

Acción Azure Description
"Microsoft.Compute/virtualMachines/start/action" Inicie la máquina virtual
"Microsoft.Compute/virtualMachines/read" Obtención de las propiedades de una máquina virtual
"Microsoft.Compute/virtualMachines/write" Crea una nueva máquina virtual o actualiza una existente
" Microsoft.Resources/subscriptions/resourceGroups/read Obtención o enumeración de los grupos de recursos
"Microsoft.Storage/storageAccounts/listKeys/action" Devuelve las claves de acceso de la cuenta de almacenamiento especificada
"Microsoft.Storage/storageAccounts/read" Devuelve la lista de cuentas de almacenamiento u obtiene las propiedades de la cuenta de almacenamiento especificada
"Microsoft.SerialConsole/serialPorts/connect/action" Conectar a un puerto serie

El JSON que se muestra a continuación puede utilizarse para definir un rol personalizado con acceso de mínimo privilegio a las máquinas virtuales de una suscripción y a las máquinas virtuales de un grupo de recursos de una suscripción.

Si sólo desea asignar acceso a las máquinas virtuales de un grupo de recursos, elimine el primer valor "/subscriptions/<subscriptionID>/" de la propiedad assignableScopes que aparece a continuación.

Si desea asignar acceso a máquinas virtuales en una suscripción, elimine el segundo valor "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" de la propiedad assignableScopes que aparece a continuación.

"properties": {
    "roleName": "Azure Serial Console Access Role",
    "description": "Serial Console access with least privilege.",
    "assignableScopes": [
        "/subscriptions/<subscriptionID>/"
        "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
    ],
    "permissions": [
        {
            "actions": [
                "Microsoft.Compute/virtualMachines/start/action",
                "Microsoft.Compute/virtualMachines/read",
                "Microsoft.Compute/virtualMachines/write",
                "Microsoft.Resources/subscriptions/resourceGroups/read",
                "Microsoft.Storage/storageAccounts/listKeys/action",
                "Microsoft.Storage/storageAccounts/read",
                "Microsoft.SerialConsole/serialPorts/connect/action"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
        }
    ]
}

Para obtener instrucciones sobre cómo utilizar el portal de Azure para crear un rol personalizado para el acceso de mínimo privilegio a la consola Serial, lea la siguiente documentación Crear o actualizar roles personalizados de Azure utilizando el portal de Azure.

Para Paso 1: Determine los permisos que necesita, los permisos que necesita para el rol son las acciones de Azure que se muestran arriba.

Para Paso 5: Ámbitos asignables, configure el ámbito para que sea el grupo de recursos de la VM si sólo desea que el usuario con el rol tenga acceso a la Consola serie de una VM en particular. También puede establecer que el ámbito sea la suscripción si desea que el usuario tenga acceso de Consola serie a cualquier máquina virtual de la suscripción.

Para obtener instrucciones sobre cómo utilizar el portal de Azure para asignar roles, lea la siguiente documentación Asignar roles de Azure utilizando el portal de Azure.

Pasos siguientes

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.