Enregistrement des connexions RDP - AWS Systems Manager
Configuration du chiffrement de compartiment S3 pour les enregistrements RDPConfiguration des autorisations IAM pour l’enregistrement des connexions RDPActiver et configurer l’enregistrement des connexions RDPValeurs de statut d’enregistrement de connexion RDP

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement des connexions RDP

Just-in-time l'accès aux nœuds inclut la possibilité d'enregistrer les connexions RDP établies avec vos Windows Server nœuds. L’enregistrement des connexions RDP nécessite un compartiment S3 et une clé gérée par le client AWS Key Management Service (AWS KMS). Le AWS KMS key est utilisé pour chiffrer temporairement les données d'enregistrement pendant qu'elles sont générées et stockées sur les ressources de Systems Manager. La clé gérée par le client doit être une clé symétrique utilisant les fonctions de clé de chiffrement et de déchiffrement. Vous pouvez soit utiliser une clé multirégionale pour votre organisation, soit créer une clé gérée par le client dans chaque région où vous avez activé l'accès aux just-in-time nœuds.

Si vous avez activé le chiffrement KMS sur le compartiment S3 dans lequel vous stockez les enregistrements, vous devez fournir au principal de service ssm-guiconnect l’accès à la clé gérée par le client utilisée pour le chiffrement du compartiment. Cette clé gérée par le client peut être différente de celle que vous spécifiez dans les paramètres d’enregistrement, qui doivent inclure les éléments pour lesquels l’autorisation kms:CreateGrant est requise pour établir des connexions.

Configuration du chiffrement de compartiment S3 pour les enregistrements RDP

Vos enregistrements de connexion sont stockés dans le compartiment S3 que vous spécifiez lorsque vous activez l’enregistrement RDP.

Si vous utilisez une clé KMS comme mécanisme de chiffrement par défaut pour le compartiment S3 (SSE-KMS), vous devez autoriser le principal de service ssm-guiconnect à accéder à l’action kms:GenerateDataKey sur la clé. Nous recommandons d’utiliser une clé gérée par le client lors de l’utilisation du chiffrement SSE-KMS avec un compartiment S3. En effet, vous pouvez mettre à jour la stratégie de clé associée à une clé gérée par le client. Vous ne pouvez pas mettre à jour les principales politiques pour Clés gérées par AWS.

Important

Vous devez étiqueter les AWS KMS clés utilisées pour le Session Manager chiffrement et l'enregistrement RDP lors de l'accès aux just-in-time nœuds avec la clé de balise SystemsManagerJustInTimeNodeAccessManaged et la valeur de la true balise.

Pour plus d’informations sur le balisage des clés KMS, veuillez consulter la rubrique Tags dans AWS KMS dans le Guide du développeur AWS Key Management Service .

Utilisez la stratégie de clé gérée par le client suivante pour autoriser le service ssm-guiconnect à accéder à la clé KMS pour le stockage S3. Pour plus d’informations sur la mise à jour d’une clé gérée par le client, consultez Modifier une politique de clés dans le Guide du développeur AWS Key Management Service .

Remplacez chacune example resource placeholder par vos propres informations :

  • account-idreprésente l'ID de celui Compte AWS qui initie la connexion.

  • regionreprésente l' Région AWS emplacement du compartiment S3. (Vous pouvez utiliser * si le compartiment doit recevoir des enregistrements provenant de plusieurs régions. Exemple :s3.*.amazonaws.com.)

Note

Vous pouvez utiliser aws:SourceOrgID dans la stratégie plutôt que aws:SourceAccount si le compte appartient à une organisation dans AWS Organizations.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

Configuration des autorisations IAM pour l’enregistrement des connexions RDP

Outre les autorisations IAM requises pour l'accès aux just-in-time nœuds, l'utilisateur ou le rôle que vous utilisez doit disposer des autorisations suivantes en fonction de la tâche que vous devez effectuer.

Autorisations pour configurer l’enregistrement des connexions

Pour configurer l’enregistrement de connexion RDP, les autorisations suivantes sont requises :

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Autorisations pour l’établissement de connexions

Pour établir des connexions RDP avec accès aux just-in-time nœuds, les autorisations suivantes sont requises :

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Avant de commencer

Pour stocker vos enregistrements de connexion, vous devez d’abord créer un compartiment S3 et ajouter la stratégie de compartiment suivante. Remplacez chaque example resource placeholder par vos propres informations.

(Pour plus d’informations sur l’ajout d’une stratégie de compartiment, consultez Ajout d’une stratégie de compartiment à l’aide de la console Amazon Simple Storage Service dans le Guide de l’utilisateur Amazon S3.)

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}

Activer et configurer l’enregistrement des connexions RDP

La procédure suivante décrit comment activer et configurer l’enregistrement de connexion RDP.

Activer et configurer l’enregistrement des connexions RDP

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Sélectionnez Paramètres dans le volet de navigation.

  3. Sélectionnez l'onglet Accès au Just-in-time nœud.

  4. Dans la section Enregistrement RDP, sélectionnez Activer l’enregistrement RDP.

  5. Choisissez le compartiment S3 dans lequel vous souhaitez charger les enregistrements de session.

  6. Choisissez la clé gérée par le client que vous souhaitez utiliser pour chiffrer temporairement les données d’enregistrement pendant qu’elles sont générées et stockées sur les ressources de Systems Manager. (Il peut s’agir d’une clé gérée par le client différente de celle que vous utilisez pour chiffrer le compartiment.)

  7. Sélectionnez Save.

Valeurs de statut d’enregistrement de connexion RDP

Les valeurs de statut valides pour les enregistrements de connexion RDP sont les suivantes :

  • Recording : la connexion est en cours d’enregistrement

  • Processing : la vidéo est en cours de traitement une fois la connexion interrompue.

  • Finished : état du terminal réussi, la vidéo d’enregistrement de connexion a été traitée avec succès et chargée dans le compartiment spécifié.

  • Failed : échec de l’état du terminal. La connexion n’a pas été enregistrée correctement.

  • ProcessingError- Un ou plusieurs intermédiaires failures/errors se sont produits pendant le traitement vidéo. Les causes potentielles incluent des défaillances de dépendance au service ou des autorisations manquantes en raison d’une mauvaise configuration du compartiment S3 spécifié pour le stockage des enregistrements. Le service continue de tenter le traitement lorsque l’enregistrement est dans cet état.

Note

ProcessingError peut survenir si le principal de service ssm-guiconnect n’est pas autorisé à charger des objets dans le compartiment S3 une fois la connexion établie. Une autre cause potentielle est l’absence d’autorisations KMS sur la clé KMS utilisée pour le chiffrement du compartiment S3.