Cómo grabar conexiones RDP - AWS Systems Manager
Configuración del cifrado de bucket de S3 para las grabaciones RDPCómo configurar permisos de IAM para grabar conexiones RDPHabilitación y configuración de la grabación de conexiones RDPValores de estado de la grabación de conexiones RDP

Cómo grabar conexiones RDP

El acceso a los nodos justo a tiempo incluye la posibilidad de grabar las conexiones con el protocolo para escritorios remotos (RDP) realizadas con los nodos de Windows Server. Para grabar las conexiones RDP, se necesita un bucket de S3 y una clave de AWS Key Management Service (AWS KMS) administrada por el cliente. La AWS KMS key se usa para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. La clave administrada por el cliente debe ser una clave simétrica con un uso de cifrado y descifrado. Puede usar una clave multirregional para la organización o debe crear una clave administrada por el cliente en cada región en la que haya habilitado el acceso a los nodos justo a tiempo.

Si habilitó el cifrado de KMS en el bucket de S3 en el que almacena las grabaciones, debe dar acceso a la clave administrada por el cliente. Esta clave se utiliza para el cifrado del bucket en la entidad principal de servicio ssm-guiconnect. Esta clave administrada por el cliente puede ser diferente a la que especifique en la configuración de grabación, y debe incluir para que se requiere el permiso kms:CreateGrant para establecer conexiones.

Configuración del cifrado de bucket de S3 para las grabaciones RDP

Las grabaciones de su conexión se almacenan en el bucket de S3 que especifique al habilitar la grabación RDP.

Si utiliza una clave de KMS como mecanismo de cifrado predeterminado para el bucket de S3 (SSE-KMS), debe permitir que la entidad principal de servicio ssm-guiconnect acceda a la acción kms:GenerateDataKey en la clave. Recomendamos usar una clave administrada por el cliente al usar el cifrado de SSE-KMS con un bucket de S3. Esto se debe a que puede actualizar la política de claves asociada para una clave administrada por el cliente. No puede actualizar las políticas de claves para Claves administradas por AWS.

importante

Debe etiquetar las claves de AWS KMS utilizadas para el cifrado de Session Manager y el registro de RDP en el acceso al nodo justo a tiempo con la clave de etiqueta SystemsManagerJustInTimeNodeAccessManaged y el valor de etiqueta true.

Para obtener más información acerca del etiquetado de claves KMS, consulte Etiquetas en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Utilice la siguiente política de claves administrada por el cliente para permitir que el servicio ssm-guiconnect acceda a la clave KMS para el almacenamiento en S3. Para obtener información sobre la actualización de una clave administrada por el cliente, consulte Cambio de una política de claves en la Guía para desarrolladores de AWS Key Management Service.

Reemplace cada example resource placeholder con su propia información:

  • account-id representa el ID de Cuenta de AWS que inicia la conexión.

  • region representa la Región de AWS donde está ubicado el bucket de S3. (Puede usar * si el bucket recibirá grabaciones de varias regiones. Ejemplo: s3.*.amazonaws.com.)

nota

Puede usar aws:SourceOrgID en la política en lugar de aws:SourceAccount si la cuenta pertenece a una organización en AWS Organizations.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

Cómo configurar permisos de IAM para grabar conexiones RDP

Además de los permisos de IAM necesarios del acceso a los nodos justo a tiempo, el usuario o el rol que utilice deben tener los siguientes permisos en función de la tarea que deba realizar.

Permisos para configurar la grabación de conexiones

Para configurar la grabación de conexiones RDP, se necesitan los siguientes permisos:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Permisos para iniciar conexiones

Para establecer conexiones RDP con acceso a los nodos justo a tiempo, se necesitan los siguientes permisos:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Antes de empezar

Para almacenar las grabaciones de las conexiones, primero debe crear un bucket de S3 y añadir la siguiente política de bucket. Reemplace cada example resource placeholder con su propia información.

Para obtener información sobre cómo agregar una política de bucket, consulte Cómo agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

Habilitación y configuración de la grabación de conexiones RDP

En el siguiente procedimiento, se describe cómo habilitar y configurar la grabación de conexiones RDP.

Para habilitar y configurar la grabación de conexiones RDP

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. Seleccione Configuración en el panel de navegación.

  3. Seleccione la pestaña Acceso a los nodos justo a tiempo.

  4. En la sección Grabación RDP, seleccione Habilitar grabación RDP.

  5. Elija el bucket de S3 en el que desee cargar las grabaciones de las sesiones.

  6. Elija la clave administrada por el cliente que desee utilizar para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. Puede ser una clave administrada por el cliente diferente a la que utiliza para cifrar el bucket.

  7. Seleccione Guardar.

Valores de estado de la grabación de conexiones RDP

Los valores de estado válidos para las grabaciones de conexiones RDP son los siguientes:

  • Recording: la conexión está en proceso de grabación.

  • Processing: el video se está procesando una vez finalizada la conexión.

  • Finished: estado terminal exitoso; el video de grabación de la conexión se procesó correctamente y se cargó en el bucket especificado.

  • Failed: estado terminal fallido. La conexión no se grabó correctamente.

  • ProcessingError: se produjeron uno o más errores o fallos intermedios durante el procesamiento del vídeo. Las posibles causas incluyen fallos de dependencia del servicio o falta de permisos debido a una configuración incorrecta en el bucket de S3 especificado para almacenar las grabaciones. El servicio sigue intentando procesar cuando la grabación se encuentra en este estado.

nota

ProcessingError puede deberse a que la entidad principal de servicio ssm-guiconnect no tenga permiso para cargar objetos en el bucket de S3 una vez establecida la conexión. Otra posible causa es la falta de permisos de KMS en la clave de KMS que se utiliza para el cifrado del bucket de S3.