Aufzeichnen von RDP-Verbindungen - AWS Systems Manager
Konfigurieren der S3-Bucket-Verschlüsselung für RDP-AufzeichnungenKonfigurieren von IAM-Berechtigungen für die Aufzeichnung von RDP-VerbindungenAktivierung und Konfiguration der RDP-VerbindungsaufzeichnungStatuswerte für die RDP-Verbindungsaufzeichnung

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufzeichnen von RDP-Verbindungen

Just-in-time Der Knotenzugriff beinhaltet die Möglichkeit, RDP-Verbindungen aufzuzeichnen, die zu Ihren Windows Server Knoten hergestellt wurden. Für die Aufzeichnung von RDP-Verbindungen sind ein S3-Bucket und ein kundenverwalteter AWS Key Management Service -Schlüssel (AWS KMS) erforderlich. Das AWS KMS key wird verwendet, um die Aufzeichnungsdaten vorübergehend zu verschlüsseln, während sie generiert und auf Systems Manager Manager-Ressourcen gespeichert werden. Bei dem kundenverwalteten Schlüssel muss es sich um einen symmetrischen Schlüssel handeln, der zum Verschlüsseln und Entschlüsseln verwendet wird. Sie können entweder einen Schlüssel für mehrere Regionen für Ihre Organisation verwenden, oder Sie müssen in jeder Region, in der Sie den just-in-time Knotenzugriff aktiviert haben, einen vom Kunden verwalteten Schlüssel erstellen.

Wenn Sie die KMS-Verschlüsselung für den S3-Bucket aktiviert haben, in dem Sie die Aufzeichnungen speichern, müssen Sie dem ssm-guiconnect-Service-Prinzipal Zugriff auf den kundenverwalteten Schlüssel gewähren, der für die Bucket-Verschlüsselung verwendet wird. Bei dem kundenverwalteten Schlüssel kann es sich um einen anderen Schlüssel handeln als den, den Sie in den Einstellungen für die Aufzeichnung angegeben haben. Darin muss auch festgelegt sein, wofür die kms:CreateGrant-Berechtigung zum Herstellen von Verbindungen erforderlich ist.

Konfigurieren der S3-Bucket-Verschlüsselung für RDP-Aufzeichnungen

Verbindungsaufzeichnungen werden in dem S3-Bucket gespeichert, den Sie angeben, wenn Sie die RDP-Aufzeichnung aktivieren.

Wenn Sie einen KMS-Schlüssel als Standardverschlüsselungsmechanismus für den S3-Bucket (SSE-KMS) verwenden, müssen Sie dem ssm-guiconnect-Service-Prinzipal Zugriff auf kms:GenerateDataKey-Aktionen für den Schlüssel gewähren. Wir empfehlen die Verwendung eines kundenverwalteten Schlüssels, wenn Sie die SSE-KMS-Verschlüsselung mit dem S3-Bucket verwenden. Der Grund ist, dass Sie für einen kundenverwalteten Schlüssel die zugehörige Schlüsselrichtlinie aktualisieren können. Sie können die wichtigsten Richtlinien für Von AWS verwaltete Schlüssel nicht aktualisieren.

Wichtig

Sie müssen die AWS KMS Schlüssel, die für die Session Manager Verschlüsselung und RDP-Aufzeichnung beim just-in-time Knotenzugriff verwendet werden, mit dem Tag-Schlüssel SystemsManagerJustInTimeNodeAccessManaged und dem Tag-Wert true kennzeichnen.

Weitere Informationen zum Kennzeichnen von KMS-Schlüsseln finden Sie unter Tags in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Verwenden Sie die folgende Richtlinie für kundenverwaltete Schlüssel, um dem ssm-guiconnect-Service Zugriff auf den KMS-Schlüssel für S3-Speicher zu gewähren. Informationen zur Aktualisierung eines kundenverwalteten Schlüssels finden Sie unter Ändern einer Schlüsselrichtlinie im Entwicklerhandbuch für AWS Key Management Service .

Ersetzen Sie sie jeweils example resource placeholder durch Ihre eigenen Informationen:

  • account-idsteht für die ID AWS-Konto desjenigen, der die Verbindung initiiert.

  • regionsteht für den AWS-Region Ort, an dem sich der S3-Bucket befindet. (Sie können * verwenden, wenn der Bucket Aufzeichnungen aus mehreren Regionen empfängt. Beispiel: s3.*.amazonaws.com.)

Anmerkung

Sie können in der Richtlinie aws:SourceOrgID anstatt aws:SourceAccount verwenden, wenn das Konto einer Organisation in AWS Organizations angehört.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

Konfigurieren von IAM-Berechtigungen für die Aufzeichnung von RDP-Verbindungen

Zusätzlich zu den erforderlichen IAM-Berechtigungen für den just-in-time Knotenzugriff müssen dem Benutzer oder der Rolle, die Sie verwenden, je nach der Aufgabe, die Sie ausführen müssen, die folgenden Berechtigungen gewährt werden.

Berechtigungen für die Konfiguration der Verbindungsaufzeichnung

Zum Konfigurieren der RDP-Verbindungsaufzeichnung sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Berechtigungen für das Initiieren von Verbindungen

Um RDP-Verbindungen mit just-in-time Knotenzugriff herzustellen, sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Bevor Sie beginnen

Um Ihre Verbindungsaufzeichnungen zu speichern, müssen Sie zunächst einen S3-Bucket erstellen und die folgende Bucket-Richtlinie hinzufügen. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

(Informationen zum Hinzufügen oder Ändern einer Bucket-Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole im Benutzerhandbuch für Amazon Simple Storage Service.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}

Aktivierung und Konfiguration der RDP-Verbindungsaufzeichnung

Im folgenden Verfahren wird beschrieben, wie Sie die RDP-Verbindungsaufzeichnung aktivieren und konfigurieren.

Aktivieren und Konfigurieren Sie die RDP-Verbindungsaufzeichnung wie folgt

  1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Einstellungen aus.

  3. Wählen Sie die Registerkarte Just-in-time Knotenzugriff aus.

  4. Wählen Sie im Bereich RDP-Aufzeichnung die Option RDP-Aufzeichnung aktivieren aus.

  5. Wählen Sie den S3-Bucket aus, in den Sie Sitzungsaufzeichnungen hochladen möchten.

  6. Wählen Sie den kundenverwalteten Schlüssel aus, der verwendet werden soll, um die Aufzeichnungsdaten vorübergehend zu verschlüsseln, während sie generiert und auf Systems Manager-Ressourcen gespeichert werden. (Dabei kann es sich um einen anderen kundenverwalteten Schlüssel handeln als den, den Sie zum Verschlüsseln des Buckets verwenden.)

  7. Wählen Sie Speichern.

Statuswerte für die RDP-Verbindungsaufzeichnung

Zu den gültigen Statuswerten für RPD-Verbindungsaufzeichnungen gehören:

  • Recording: Die Verbindung wird gerade aufgezeichnet

  • Processing: Das Video wird verarbeitet, nachdem die Verbindung beendet wurde.

  • Finished: Endstatus „Erfolg“: Das aufgezeichnete Video wurde verarbeitet und in den angegebenen Bucket hochgeladen.

  • Failed: Endstatus „Fehler“. Die Verbindung wurde nicht aufgezeichnet.

  • ProcessingError- Bei der Videoverarbeitung ist ein oder mehrere Zwischenprodukte failures/errors aufgetreten. Mögliche Ursachen sind Fehler bei der Serviceabhängigkeit oder fehlende Berechtigungen aufgrund einer Fehlkonfiguration des S3-Buckets, der für das Speichern von Aufzeichnungen angegeben wurde. In diesem Status wird der Service weiterhin versuchen, die Aufzeichnung zu verarbeiten.

Anmerkung

ProcessingError kann darauf zurückzuführen sein, dass der ssm-guiconnect-Service-Prinzipal nicht berechtigt ist, Objekte in den S3-Bucket hochzuladen, nachdem die Verbindung hergestellt wurde. Eine weitere mögliche Ursache sind fehlende KMS-Berechtigungen für den KMS-Schlüssel, der für die S3-Bucket-Verschlüsselung verwendet wird.