Connexion à une instance gérée Windows Server à l’aide d’Remote Desktop - AWS Systems Manager
Configuration de votre environnementConfiguration des autorisations IAM pour le Bureau à distanceAuthentification des connexions Bureau à distanceDurée et simultanéité des connexions distantesGestion des attributs AWS IAM Identity Center par Systems Manager GUI ConnectConnexion à un nœud géré à l'aide du Bureau à distanceAffichage d’informations sur les connexions en cours et terminées

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à une instance gérée Windows Server à l’aide d’Remote Desktop

Vous pouvez utiliser Fleet Manager un outil pour vous connecter à vos instances Windows Server Amazon Elastic Compute Cloud (Amazon EC2) à l'aide du Remote Desktop Protocol (RDP). AWS Systems ManagerFleet Manager Le bureau à distance , qui fonctionne avec Amazon DCV, vous fournit une connectivité sécurisée à vos instances Windows Server directement depuis la console Systems Manager. Vous pouvez établir jusqu'à quatre connexions simultanées dans une seule fenêtre de navigateur.

L'API Fleet Manager Remote Desktop est nommée AWS Systems Manager GUI Connect. Pour plus d’informations sur l’utilisation de l’API Systems Manager GUI Connect, consultez la Référence de l’API AWS Systems Manager GUI Connect.

Actuellement, vous ne pouvez utiliser le Bureau à distance qu’avec des instances exécutant Windows Server 2012 RTM ou une version ultérieure. Le Bureau à distance prend uniquement en charge la langue anglaise.

Fleet Manager Remote Desktop est un service de console uniquement et ne prend pas en charge les connexions en ligne de commande à vos instances gérées. Pour vous connecter à une instance gérée Windows Server via un shell, vous pouvez utiliser Session Manager, un autre outil d’ AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Session Manager.

Note

La durée d’une connexion RDP n’est pas déterminée par la durée de vos informations d’identification AWS Identity and Access Management (IAM). Au lieu de cela, la connexion persiste jusqu’à ce que la durée maximale de connexion ou la limite de temps d’inactivité soit atteinte, selon la première éventualité. Pour de plus amples informations, veuillez consulter Durée et simultanéité des connexions distantes.

Pour plus d'informations sur la configuration des autorisations AWS Identity and Access Management (IAM) permettant à vos instances d'interagir avec Systems Manager, consultez la section Configurer les autorisations d'instance pour Systems Manager.

Configuration de votre environnement

Avant d'utiliser le Bureau à distance, vérifiez que votre environnement respecte les conditions requises suivantes :

  • Configuration des nœuds gérés

    Assurez-vous que vos EC2 instances Amazon sont configurées en tant que nœuds gérés dans Systems Manager.

  • Version minimale de SSM Agent

    Vérifiez que les nœuds exécutent SSM Agent version 3.0.222.0 ou supérieure. Pour plus d'informations sur la vérification de la version de l'agent exécutée sur un nœud, veuillez consulter la rubrique Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation ou la mise à jour de SSM Agent, consultez Utilisation de l’option SSM Agent.

  • Configuration du port RDP

    Pour accepter les connexions distantes, le service Remote Desktop Services sur vos nœuds Windows Server doit utiliser le port RDP 3389 par défaut. Il s'agit de la configuration par défaut sur Amazon Machine Images (AMIs) fournie par AWS. Vous n'êtes pas explicitement obligé d'ouvrir des ports entrants pour utiliser le Bureau à distance.

  • Version du module PSReadLine pour les fonctionnalités du clavier

    Pour vous assurer que votre clavier fonctionne correctement dans PowerShell, vérifiez que la version 2.2.2 ou supérieure du module PSReadLine est installée sur les nœuds exécutant Windows Server 2022. S’ils utilisent une version antérieure, vous pouvez installer la version requise à l’aide des commandes suivantes.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Une fois le fournisseur de NuGet package installé, exécutez la commande suivante.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configuration de Session Manager

    Avant de pouvoir utiliser le Bureau à distance, vous devez remplir les conditions suivantes pour la configuration de Session Manager. Lorsque vous vous connectez à une instance à l'aide de Remote Desktop, toutes les préférences de session définies pour votre Compte AWS et Région AWS sont appliquées. Pour de plus amples informations, veuillez consulter Configuration de Session Manager.

    Note

    Si vous journalisez l'activité de Session Manager à l'aide d'Amazon Simple Storage Service (Amazon S3), vos connexions Bureau à distance génèrent l'erreur suivante dans bucket_name/Port/stderr. Cette erreur est prévue et peut être ignorée sans risque.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configuration des autorisations IAM pour le Bureau à distance

Outre les autorisations IAM requises pour Systems Manager et Session Manager, l’utilisateur ou le rôle que vous utilisez doit être autorisé à établir des connexions.

Autorisations pour l’établissement de connexions

Pour établir des connexions RDP aux EC2 instances de la console, les autorisations suivantes sont requises :

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Autorisations pour répertorier les connexions

Pour afficher des listes de connexions dans la console, l’autorisation suivante est requise :

ssm-guiconnect:ListConnections

Vous trouverez ci-dessous des exemples de politiques IAM que vous pouvez attacher à un utilisateur ou un rôle pour permettre différents types d'interaction avec le Bureau à distance. Remplacez chaque example resource placeholder par vos propres informations.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
Note

Dans la politique IAM suivante, la section SSMStartSession requiert un Amazon Resource Name (ARN) pour l’action ssm:StartSession. Comme indiqué, l'ARN que vous spécifiez ne nécessite pas d' Compte AWS ID. Si vous spécifiez un ID de compte, Fleet Manager renvoie un AccessDeniedException.

La AccessTaggedInstances section, située plus bas dans l'exemple de politique, nécessite ARNs égalementssm:StartSession. Pour ceux-là ARNs, vous spécifiez Compte AWS IDs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Authentification des connexions Bureau à distance

Lorsque vous établissez une connexion à distance, vous pouvez vous authentifier à l'aide des Windows informations d'identification ou de la paire de EC2 clés Amazon (.pemfichier) associée à l'instance. Pour plus d'informations sur l'utilisation des paires de clés, consultez la section relative aux paires de EC2 clés et aux Windows instances Amazon dans le guide de EC2 l'utilisateur Amazon.

Sinon, si vous êtes authentifié auprès de l'utilisateur AWS IAM Identity Center, AWS Management Console vous pouvez vous connecter à vos instances sans fournir d'informations d'identification supplémentaires. Pour obtenir un exemple de politique permettant l'authentification des connexions distantes à l'aide d'IAM Identity Center, veuillez consulter la rubrique Configuration des autorisations IAM pour le Bureau à distance.

Avant de commencer

Veuillez tenir compte des conditions suivantes pour l'utilisation de l'authentification IAM Identity Center avant de commencer à vous connecter via le Bureau à distance.

  • Le Bureau à distance prend en charge l'authentification IAM Identity Center pour les nœuds dans la Région AWS dans laquelle vous avez activé IAM Identity Center.

  • Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant jusqu'à 16 caractères.

  • Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant des caractères alphanumériques et les caractères spéciaux suivants : . - _

    Important

    Les connexions échoueront pour les noms d’utilisateur IAM Identity Center qui contiennent les caractères suivants : + = ,

    IAM Identity Center prend en charge ces caractères dans les noms d'utilisateur, mais pas les connexions RDP Fleet Manager.

    En outre, si un nom d’utilisateur IAM Identity Center contient un ou plusieurs symboles @, Fleet Manager ne tient pas compte du premier symbole @ et de tous les caractères qui le suivent, que le @ introduise ou non la partie domaine d’une adresse e-mail. Par exemple, pour le nom d’utilisateur IAM Identity Center diego_ramirez@example.com, la partie @example.com est ignorée et le nom d’utilisateur de Fleet Manager devient diego_ramirez. Pour diego_r@mirez@example.com, Fleet Manager ignore @mirez@example.com et le nom d’utilisateur de Fleet Manager devient diego_r.

  • Lorsqu'une connexion est authentifiée à l'aide d'IAM Identity Center, le Bureau à distance crée un utilisateur local Windows dans le groupe d'administrateurs locaux de l'instance. Cet utilisateur persiste après la fin de la connexion distante.

  • Le Bureau à distance n'autorise pas l'authentification IAM Identity Center pour les nœuds qui sont des contrôleurs de domaine Microsoft Active Directory.

  • Bien que le Bureau à distance vous permette d'utiliser l'authentification IAM Identity Center pour les nœuds joints à un domaine Active Directory, nous vous déconseillons de le faire. Cette méthode d'authentification accorde aux utilisateurs des autorisations administratives qui peuvent remplacer les autorisations plus restrictives accordées par le domaine.

Régions prises en charge pour l'authentification IAM Identity Center

Les connexions Remote Desktop qui utilisent l'authentification IAM Identity Center sont prises en charge dans les Régions AWS suivantes :

  • USA Est (Ohio) (us-east-2)

  • USA Est (Virginie du Nord) (us-east-1)

  • USA Ouest (Californie du Nord) (us-west-1)

  • USA Ouest (Oregon) (us-west-2)

  • Afrique (Le Cap) (af-south-1)

  • Asie-Pacifique (Hong Kong) (ap-east-1)

  • Asie-Pacifique (Mumbai) (ap-south-1)

  • Asie-Pacifique (Tokyo) (ap-northeast-1)

  • Asie-Pacifique (Séoul) (ap-northeast-2)

  • Asie-Pacifique (Osaka) (ap-northeast-3)

  • Asie-Pacifique (Singapour) (ap-southeast-1)

  • Asie-Pacifique (Sydney) (ap-southeast-2)

  • Asie-Pacifique (Jakarta) (ap-southeast-3)

  • Canada (Centre) (ca-central-1)

  • Europe (Francfort) (eu-central-1)

  • Europe (Stockholm) (eu-north-1)

  • Europe (Irlande) (eu-west-1)

  • Europe (Londres) (eu-west-2)

  • Europe (Paris) (eu-west-3)

  • Israël (Tel Aviv) (il-central-1)

  • Amérique du Sud (São Paulo) (sa-east-1)

  • Europe (Milan) (eu-south-1)

  • Moyen-Orient (Bahreïn) (me-south-1)

  • AWS GovCloud (USA Est) (us-gov-east-1)

  • AWS GovCloud (US-Ouest) (us-gov-west-1)

Durée et simultanéité des connexions distantes

Les conditions suivantes s'appliquent aux connexions Bureau à distance actives :

  • Durée de connexion

    Par défaut, une connexion Bureau à distance est déconnectée au bout de 60 minutes. Pour empêcher la déconnexion d'une connexion, vous pouvez choisir Renouveler la session avant d'être déconnecté pour réinitialiser la durée.

  • Délai de connexion

    Une connexion Bureau à distance se déconnecte après plus de 10 minutes d'inactivité.

  • Persistance de connexion

    Une fois que vous vous connectez à Windows Server avec Bureau à distance, la connexion persiste jusqu’à ce que la durée maximale de connexion (60 minutes) ou le délai d’inactivité (10 minutes) soit atteint. La durée de la connexion n'est pas déterminée par la durée de vos informations d'identification AWS Identity and Access Management (IAM). La connexion persiste après l’expiration des informations d’identification IAM si les limites de durée de connexion ne sont pas respectées. Lorsque vous utilisez Bureau à distance, vous devez mettre fin à votre connexion après l’expiration de vos informations d’identification IAM en quittant la page du navigateur.

  • Connexions simultanées

    Par défaut, vous pouvez avoir un maximum de 5 connexions Remote Desktop actives à la fois pour le même Compte AWS et Région AWS. Pour demander une augmentation du quota de service jusqu'à 50 connexions simultanées, voir Demande d'augmentation de quota dans le Guide de l'utilisateur des quotas de service.

    Note

    La licence standard Windows Server permet d’établir deux connexions RDP simultanées. Pour prendre en charge davantage de connexions, vous devez acheter des licences d'accès client supplémentaires (CALs) auprès de Microsoft ou des licences Microsoft Remote Desktop Services auprès de AWS. Pour de plus amples informations sur la gestion des licences suplémentaires, veuillez consulter les rubriques suivantes :

Gestion des attributs AWS IAM Identity Center par Systems Manager GUI Connect

Systems Manager GUI Connect est l'API qui prend en charge les Fleet Manager connexions aux EC2 instances à l'aide du protocole RDP. Les données utilisateur IAM Identity Center suivantes sont conservées après la fermeture d’une connexion :

  • username

Systems Manager GUI Connect chiffre cet attribut d'identité au repos à l'aide d'un Clé gérée par AWS par défaut. Les clés gérées par le client ne sont pas prises en charge pour le chiffrement de cet attribut dans Systems Manager GUI Connect. Si vous supprimez un utilisateur dans votre instance IAM Identity Center, Systems Manager GUI Connect conserve l’attribut username associé à cet utilisateur pendant 7 ans, après quoi il est supprimé. Ces données sont conservées pour prendre en charge les événements d’audit, comme la liste de l’historique des connexions Systems Manager GUI Connect. Les données ne peuvent pas être supprimées manuellement.

Connexion à un nœud géré à l'aide du Bureau à distance

copy/paste Support du navigateur pour le texte

À l’aide des navigateurs Google Chrome et Microsoft Edge, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local, et de votre ordinateur local vers un nœud géré auquel vous êtes connecté.

Avec le navigateur Mozilla Firefox, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local uniquement. La copie de votre ordinateur local vers le nœud géré n’est pas prise en charge.

Pour vous connecter à un nœud géré à l'aide de Fleet Manager Bureau à distance

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez le nœud auquel vous souhaitez vous connecter. Vous pouvez sélectionner la case à cocher ou le nom du nœud.

  4. Dans le menu Actions du nœud, sélectionnez Se connecter au Bureau à distance.

  5. Sélectionnez votre type d'authentification préféré dans le champ Authentication type (Type d'authentification). Si vous choisissez Informations d'identification utilisateur, saisissez le nom d'utilisateur et le mot de passe d'un compte utilisateur Windows sur le nœud auquel vous vous connectez. Si vous choisissez Paire de clés, vous pouvez fournir l'authentification à l'aide d'une des méthodes suivantes :

    1. Choisissez Parcourir la machine locale si vous souhaitez sélectionner la clé PEM associée à votre instance dans votre système de fichiers local.

      - ou -

    2. Choisissez Coller le contenu de la paire de clés si vous souhaitez copier le contenu du fichier PEM et le coller dans le champ prévu à cet effet.

  6. Cliquez sur Connect (Connexion).

  7. Pour choisir votre résolution d'affichage préférée, dans le menu Actions, choisissez Resolutions (Résolutions), puis sélectionnez l'une des options suivantes :

    • Adaptation automatique

    • 1920 x 1080

    • 1400 x 900

    • 1 366 x 768

    • 800 x 600

    L'option Adapt Automatically (Adapter automatiquement) définit la résolution en fonction de la taille d'écran détectée.

Affichage d’informations sur les connexions en cours et terminées

Vous pouvez utiliser la section Fleet Manager de la console Systems Manager pour afficher des informations sur les connexions RDP qui ont été établies dans votre compte. À l’aide d’un ensemble de filtres, vous pouvez limiter la liste des connexions affichées à une plage de temps, à une instance spécifique, à l’utilisateur qui a établi les connexions et aux connexions d’un statut spécifique. La console propose également des onglets qui affichent des informations sur toutes les connexions actuellement actives et sur toutes les connexions passées.

Pour afficher des informations sur les connexions en cours et terminées

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez Gestion des comptes, Connexion avec Remote Desktop.

  4. Choisissez l’un des onglets suivants :

    • Connexions actives

    • Historique des connexions

  5. Pour réduire davantage la liste des résultats de connexion affichés, spécifiez un ou plusieurs filtres dans la zone de recherche ( The Search icon ). Vous pouvez également saisir un terme de recherche en texte libre.