RDP-Verbindungen aufzeichnen - AWS Systems Manager
Konfiguration der S3-Bucket-Verschlüsselung für RDP-AufzeichnungenKonfiguration von IAM-Berechtigungen für die Aufzeichnung von RDP-VerbindungenAktivierung und Konfiguration der RDP-VerbindungsaufzeichnungStatuswerte für die RDP-Verbindungsaufzeichnung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

RDP-Verbindungen aufzeichnen

Just-in-time Der Knotenzugriff beinhaltet die Möglichkeit, RDP-Verbindungen aufzuzeichnen, die zu Ihren Windows Server Knoten hergestellt wurden. Für die Aufzeichnung von RDP-Verbindungen sind ein S3-Bucket und ein AWS Key Management Service (AWS KMS) vom Kunden verwalteter Schlüssel erforderlich. Das AWS KMS key wird verwendet, um die Aufzeichnungsdaten vorübergehend zu verschlüsseln, während sie generiert und auf Systems Manager Manager-Ressourcen gespeichert werden. Bei dem vom Kunden verwalteten Schlüssel muss es sich um einen symmetrischen Schlüssel handeln, der als Schlüssel Verschlüsseln und Entschlüsseln verwendet wird. Sie können entweder einen Schlüssel für mehrere Regionen für Ihre Organisation verwenden, oder Sie müssen in jeder Region, in der Sie den Knotenzugriff aktiviert haben, einen vom Kunden verwalteten Schlüssel erstellen. just-in-time

Wenn Sie die KMS-Verschlüsselung für den S3-Bucket aktiviert haben, in dem Sie Aufzeichnungen speichern, müssen Sie dem ssm-guiconnect Service Principal Zugriff auf den vom Kunden verwalteten Schlüssel gewähren, der für die Bucket-Verschlüsselung verwendet wird. Bei diesem vom Kunden verwalteten Schlüssel kann es sich um einen anderen Schlüssel handeln als den, den Sie in den Aufzeichnungseinstellungen angegeben haben. Dabei muss auch angegeben werden, für wen die kms:CreateGrant Genehmigung zum Herstellen von Verbindungen erforderlich ist.

Konfiguration der S3-Bucket-Verschlüsselung für RDP-Aufzeichnungen

Ihre Verbindungsaufzeichnungen werden in dem S3-Bucket gespeichert, den Sie angeben, wenn Sie die RDP-Aufzeichnung aktivieren.

Wenn Sie einen KMS-Schlüssel als Standardverschlüsselungsmechanismus für den S3-Bucket (SSE-KMS) verwenden, müssen Sie dem ssm-guiconnect Dienstprinzipal Zugriff auf kms:GenerateDataKey Aktionen für den Schlüssel gewähren. Wir empfehlen die Verwendung eines vom Kunden verwalteten Schlüssels, wenn Sie die SSE-KMS-Verschlüsselung mit dem S3-Bucket verwenden. Dies liegt daran, dass Sie die zugehörige Schlüsselrichtlinie für einen vom Kunden verwalteten Schlüssel aktualisieren können. Sie können die wichtigsten Richtlinien für nicht aktualisieren Von AWS verwaltete Schlüssel.

Im Folgenden finden Sie ein Beispiel für die Richtlinie, mit der dem ssm-guiconnect Dienst Zugriff auf den KMS-Schlüssel für S3-Speicher gewährt werden kann. Informationen zur Aktualisierung eines vom Kunden verwalteten Schlüssels finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "s3.us-east-1.amazonaws.com"
        }
    }
}

Konfiguration von IAM-Berechtigungen für die Aufzeichnung von RDP-Verbindungen

Zusätzlich zu den erforderlichen IAM-Berechtigungen für den just-in-time Knotenzugriff müssen dem Benutzer oder der Rolle, die Sie verwenden, je nach der Aufgabe, die Sie ausführen müssen, die folgenden Berechtigungen gewährt werden.

Berechtigungen für die Konfiguration der Verbindungsaufzeichnung

Um die RDP-Verbindungsaufzeichnung zu konfigurieren, sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Berechtigungen für das Initiieren von Verbindungen

Um RDP-Verbindungen mit just-in-time Knotenzugriff herzustellen, sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Bevor Sie beginnen

Um Ihre Verbindungsaufzeichnungen zu speichern, müssen Sie zunächst einen S3-Bucket erstellen und die folgende Bucket-Richtlinie hinzufügen. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

(Informationen zum Hinzufügen einer Bucket-Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

Aktivierung und Konfiguration der RDP-Verbindungsaufzeichnung

Im folgenden Verfahren wird beschrieben, wie Sie die RDP-Verbindungsaufzeichnung aktivieren und konfigurieren.

So aktivieren und konfigurieren Sie die RDP-Verbindungsaufzeichnung

  1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Einstellungen aus.

  3. Wählen Sie die Registerkarte Just-in-time Knotenzugriff aus.

  4. Wählen Sie im Bereich RDP-Aufnahme die Option RDP-Aufnahme aktivieren aus.

  5. Wählen Sie den S3-Bucket aus, in den Sie Sitzungsaufzeichnungen hochladen möchten.

  6. Wählen Sie den vom Kunden verwalteten Schlüssel aus, mit dem Sie die Aufzeichnungsdaten vorübergehend verschlüsseln möchten, während sie generiert und auf Systems Manager Manager-Ressourcen gespeichert werden. (Dabei kann es sich um einen anderen vom Kunden verwalteten Schlüssel handeln als den, den Sie zum Verschlüsseln des Buckets verwenden.)

  7. Wählen Sie Save (Speichern).

Statuswerte für die RDP-Verbindungsaufzeichnung

Zu den gültigen Statuswerten für RPD-Verbindungsaufzeichnungen gehören:

  • Recording- Die Verbindung wird gerade aufgezeichnet

  • Processing- Das Video wird verarbeitet, nachdem die Verbindung beendet wurde.

  • Finished- Erfolgreicher Terminalstatus: Das Video zur Verbindungsaufzeichnung wurde erfolgreich verarbeitet und in den angegebenen Bucket hochgeladen.

  • Failed- Fehlgeschlagener Terminalstatus. Die Verbindung wurde nicht erfolgreich aufgezeichnet.

  • ProcessingError- Bei der Videoverarbeitung sind ein oder mehrere Zwischenausfälle/Fehler aufgetreten. Mögliche Ursachen sind Fehler bei der Dienstabhängigkeit oder fehlende Berechtigungen aufgrund einer Fehlkonfiguration des S3-Buckets, der für das Speichern von Aufzeichnungen angegeben wurde. Der Dienst versucht weiterhin, die Aufzeichnung zu verarbeiten, wenn sich die Aufzeichnung in diesem Zustand befindet.

Anmerkung

ProcessingErrorkann darauf zurückzuführen sein, dass der ssm-guiconnect Dienstprinzipal nicht berechtigt ist, Objekte in den S3-Bucket hochzuladen, nachdem die Verbindung hergestellt wurde. Eine weitere mögliche Ursache sind fehlende KMS-Berechtigungen für den KMS-Schlüssel, der für die S3-Bucket-Verschlüsselung verwendet wird.