Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Управлять доступом к серийной консоли

Статья создана
Улучшена
Обновлена 26 мая 2026 г.

Серийная консоль позволяет получить доступ к виртуальной машине вне зависимости от состояния сети или операционной системы.

Чтобы управлять доступом к серийной консоли, необходима роль compute.admin или editor.

По умолчанию доступ к серийной консоли виртуальных машин Compute Cloud запрещен.

Важно

Оцените риск разрешения доступа к ВМ через серийную консоль, учитывая следующие факторы:

  • ВМ будет доступна для управления из интернета даже при отсутствии у нее внешнего IP-адреса.

    При наличии необходимых прав доступа к ВМ подключиться к серийной консоли сможет пользователь, успешно аутентифицированный в консоли управления Yandex Cloud.

    Доступ к серийной консоли ВМ из клиентского приложения SSH (например, Putty) или CLI также возможен путем аутентификации с помощью SSH-ключа. Поэтому необходимо защитить SSH-ключ от несанкционированного доступа, а также всегда завершать веб-сессию для снижения рисков ее перехвата.

  • Сессия работы с серийной консолью будет доступна одновременно всем пользователям, имеющим право доступа к серийной консоли. Действия одного пользователя будут видны другим пользователям, если в это время они просматривают вывод серийной консоли.

  • Незавершенная сессия работы с серийной консолью может быть использована другим пользователем.

Мы рекомендуем разрешать доступ к серийной консоли только в случае крайней необходимости, выдавать такой доступ узкому кругу доверенных лиц и использовать стойкие пароли для доступа к ВМ.

После завершения использования серийной консоли не забудьте запретить доступ к ней.

Разрешить доступ к серийной консоли

Вы можете разрешить доступ к серийной консоли как при создании новой виртуальной машины, так и изменив существующую ВМ.

Создать новую ВМ с разрешенным доступом к серийной консоли

Чтобы разрешить доступ к серийной консоли при создании новой виртуальной машины на основе публичного образа из Yandex Cloud Marketplace:

  1. В консоли управления выберите каталог, в котором будет создана ВМ.

  2. Перейдите в сервис Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. В блоке Образ загрузочного диска выберите один из образов Yandex Cloud Marketplace.

  6. В блоке Расположение выберите зону доступности, в которой будет находиться ВМ.

  7. В блоке Вычислительные ресурсы выберите одну из готовых конфигураций или создайте свою.

  8. В блоке Сетевые настройки:

    • В поле Подсеть укажите идентификатор подсети в зоне доступности создаваемой ВМ или выберите облачную сеть из списка.

      • У каждой сети должна быть как минимум одна подсеть. Если подсети нет, создайте ее, выбрав Создать подсеть.
      • Если сети нет, нажмите Создать сеть и создайте ее.

    • В поле Публичный IP-адрес выберите способ назначения адреса Автоматически, чтобы назначить случайный IP-адрес из пула адресов Yandex Cloud.

    • Выберите подходящие группы безопасности. Если оставить поле пустым, то виртуальной машине будет автоматически назначена группа безопасности по умолчанию.

  9. В блоке Доступ:

    • Выберите Доступ по OS Login, чтобы подключаться к создаваемой ВМ и управлять доступом к ней с помощью OS Login в Yandex Identity Hub.

      Используя OS Login, вы сможете подключаться к ВМ по SSH-ключам и SSH-сертификатам с помощью стандартного SSH-клиента или интерфейса командной строки Yandex Cloud. OS Login позволяет ротировать SSH-ключи, используемые для доступа к ВМ, и является наиболее безопасным вариантом доступа.

    • Если доступ по OS Login вам не подходит, выберите вариант SSH-ключ и укажите данные для доступа к ВМ:

      • В поле Логин введите имя пользователя.

        Внимание

        Не используйте логин root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

      • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

        Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

        1. Нажмите кнопку Добавить ключ.

        2. Задайте имя SSH-ключа.

        3. Выберите вариант:

          • Ввести вручную — вставьте содержимое открытого SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

          • Загрузить из файла — загрузите открытую часть SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

          • Сгенерировать ключ — автоматическое создание пары SSH-ключей.

            При добавлении сгенерированного SSH-ключа будет создан и загружен архив с парой ключей. В ОС на базе Linux или macOS распакуйте архив в папку /home/<имя_пользователя>/.ssh. В ОС Windows распакуйте архив в папку C:\Users\<имя_пользователя>/.ssh. Дополнительно вводить открытый ключ в консоли управления не требуется.

        4. Нажмите кнопку Добавить.

        SSH-ключ будет добавлен в ваш профиль пользователя организации. Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя внутри создаваемого ресурса.

    Если вы хотите добавить на ВМ одновременно нескольких пользователей с SSH-ключами, задайте данные этих пользователей в блоке Метаданные. С помощью метаданных вы также можете установить дополнительное ПО на ВМ при ее создании.

    В публичных образах Linux, предоставляемых Yandex Cloud, возможность подключения по протоколу SSH с использованием логина и пароля по умолчанию отключена.

  10. В блоке Общая информация задайте имя ВМ:

    • длина — от 3 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

    Примечание

    Имя виртуальной машины используется для генерации внутреннего FQDN единожды — при создании ВМ. Если для вас важен внутренний FQDN, учитывайте это и задавайте нужное имя ВМ при создании.

  11. Разверните блок Дополнительно и в поле Доступ к серийной консоли включите опцию Разрешить.

  12. Нажмите кнопку Создать ВМ.

ВМ появится в списке. При создании ВМ назначаются IP-адрес и имя хоста (FQDN).

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Подготовьте пару ключей (открытый и закрытый) для SSH-доступа на ВМ.

  2. Создайте ВМ в каталоге по умолчанию. В приведенном примере будет создана ВМ на основе публичного образа из Yandex Cloud Marketplace на базе операционной системы Ubuntu 24.04 LTS:

    yc compute instance create \
  --name sample-instance \
  --zone kz1-a \
  --network-interface subnet-id=<идентификатор_подсети>,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=ubuntu-2404-lts-oslogin,auto-delete=true \
  --metadata enable-oslogin=false,serial-port-enable=1,ssh-keys='<имя_пользователя>:<публичный_SSH-ключ>'

    Где:

    • --name — имя ВМ. Требования к имени:

      • длина — от 3 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

      Примечание

      Имя виртуальной машины используется для генерации внутреннего FQDN единожды — при создании ВМ. Если для вас важен внутренний FQDN, учитывайте это и задавайте нужное имя ВМ при создании.

    • --zoneзона доступности, в которой будет создана виртуальная машина.

    • --network-interface — сетевые настройки создаваемой ВМ:

    • --metadataметаданные виртуальной машины:

      • enable-oslogin — параметр, отвечающий за доступ к ВМ по OS Login. Возможные значения:

        • true — чтобы включить доступ к ВМ по OS Login. В этом случае доступ по SSH-ключу, заданному через метаданные, будет невозможен.
        • false — чтобы отключить доступ к ВМ по OS Login. Доступ к ВМ будет возможен только по SSH-ключу, заданному через метаданные.

      • serial-port-enable=1 — параметр, разрешающий доступ к ВМ через серийную консоль.

      • ssh-keys — имя локального пользователя ВМ и содержимое публичного SSH-ключа, с которым этот пользователь сможет подключаться к ВМ по SSH.

    Подробнее о команде yc compute instance create читайте в справочнике CLI.

Разрешить доступ к серийной консоли для существующей ВМ

Чтобы разрешить доступ к серийной консоли для существующей виртуальной машины:

  1. В консоли управления выберите каталог, в котором находится нужная виртуальная машина.

  2. Перейдите в сервис Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. В списке виртуальных машин в строке с нужной ВМ нажмите значок и выберите Редактировать. В открывшемся окне:

    1. Разверните блок Дополнительно и в поле Доступ к серийной консоли включите опцию Разрешить.
    2. Нажмите кнопку Сохранить изменения.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Измените ВМ, указав в команде ее имя или идентификатор:

    yc compute instance update <имя_или_идентификатор_ВМ> \
  --metadata enable-oslogin=<true|false>,serial-port-enable=1,ssh-keys='<имя_пользователя>:<публичный_SSH-ключ>'

    Где --metadataметаданные виртуальной машины:

    • enable-oslogin — параметр, отвечающий за доступ к ВМ по OS Login. Возможные значения:

      • true — чтобы включить доступ к ВМ по OS Login. В этом случае доступ по SSH-ключу, заданному через метаданные, будет невозможен.
      • false — чтобы отключить доступ к ВМ по OS Login. Доступ к ВМ будет возможен только по SSH-ключу, заданному через метаданные.

    • serial-port-enable=1 — параметр, разрешающий доступ к ВМ через серийную консоль.

    • ssh-keys — имя локального пользователя ВМ и содержимое публичного SSH-ключа, с которым этот пользователь сможет подключаться к ВМ по SSH.

    Подробнее о команде yc compute instance update читайте в справочнике CLI.

Запретить доступ к серийной консоли

По умолчанию доступ к серийной консоли для всех вновь создаваемых виртуальных машин Compute Cloud запрещен.

Чтобы запретить доступ к серийной консоли для существующей виртуальной машины:

  1. В консоли управления выберите каталог, в котором находится нужная виртуальная машина.

  2. Перейдите в сервис Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. В списке виртуальных машин в строке с нужной ВМ нажмите значок и выберите Редактировать. В открывшемся окне:

    1. Разверните блок Дополнительно и в поле Доступ к серийной консоли отключите опцию Разрешить.
    2. Нажмите кнопку Сохранить изменения.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Измените ВМ, указав в команде ее имя или идентификатор:

    yc compute instance update <имя_или_идентификатор_ВМ> \
  --metadata enable-oslogin=<true|false>,serial-port-enable=0,ssh-keys='<имя_пользователя>:<публичный_SSH-ключ>'

    Где --metadataметаданные виртуальной машины:

    • enable-oslogin — параметр, отвечающий за доступ к ВМ по OS Login. Возможные значения:

      • true — чтобы включить доступ к ВМ по OS Login. В этом случае доступ по SSH-ключу, заданному через метаданные, будет невозможен.
      • false — чтобы отключить доступ к ВМ по OS Login. Доступ к ВМ будет возможен только по SSH-ключу, заданному через метаданные.

    • serial-port-enable=0 — параметр, запрещающий доступ к ВМ через серийную консоль.

    • ssh-keys — имя локального пользователя ВМ и содержимое публичного SSH-ключа, с которым этот пользователь сможет подключаться к ВМ по SSH.

    Подробнее о команде yc compute instance update читайте в справочнике CLI.

См. также

Предыдущая
Удалить файловое хранилище
Следующая
Подключиться к серийной консоли ВМ с ОС Linux