Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrement des connexions RDP
Just-in-time l'accès aux nœuds inclut la possibilité d'enregistrer les connexions RDP établies avec vos Windows Server nœuds. L'enregistrement des connexions RDP nécessite un compartiment S3 et une clé gérée par le client AWS Key Management Service (AWS KMS). Le AWS KMS key est utilisé pour chiffrer temporairement les données d'enregistrement pendant qu'elles sont générées et stockées sur les ressources de Systems Manager. La clé gérée par le client doit être une clé symétrique utilisant les fonctions de chiffrement et de déchiffrement. Vous pouvez soit utiliser une clé multirégionale pour votre organisation, soit créer une clé gérée par le client dans chaque région où vous avez activé l'accès aux just-in-time nœuds.
Si vous avez activé le chiffrement KMS sur le compartiment S3 dans lequel vous stockez les enregistrements, vous devez fournir au principal du ssm-guiconnect service l'accès à la clé gérée par le client utilisée pour le chiffrement du compartiment. Cette clé gérée par le client peut être différente de celle que vous spécifiez dans les paramètres d'enregistrement, qui doivent inclure les éléments pour lesquels l'kms:CreateGrantautorisation est requise pour établir des connexions.
Configuration du chiffrement du compartiment S3 pour les enregistrements RDP
Vos enregistrements de connexion sont stockés dans le compartiment S3 que vous spécifiez lorsque vous activez l'enregistrement RDP.
Si vous utilisez une clé KMS comme mécanisme de chiffrement par défaut pour le compartiment S3 (SSE-KMS), vous devez autoriser le principal du ssm-guiconnect service à kms:GenerateDataKey agir sur la clé. Nous recommandons d'utiliser une clé gérée par le client lors de l'utilisation du chiffrement SSE-KMS avec un compartiment S3. Cela est dû au fait que vous pouvez mettre à jour la politique relative aux clés associée à une clé gérée par le client. Vous ne pouvez pas mettre à jour les principales politiques pour Clés gérées par AWS.
Important
Vous devez étiqueter les AWS KMS clés utilisées pour le Session Manager chiffrement et l'enregistrement RDP lors de l'accès aux just-in-time nœuds avec la clé de balise SystemsManagerJustInTimeNodeAccessManaged et la valeur de la true balise.
Pour plus d'informations sur le balisage des clés KMS, consultez la section Balises du manuel du AWS Key Management Service développeur. AWS KMS
Utilisez la politique de clé gérée par le client suivante pour autoriser le ssm-guiconnect service à accéder à la clé KMS pour le stockage S3. Pour plus d'informations sur la mise à jour d'une clé gérée par le client, voir Modifier une politique en matière de clés dans le Guide du AWS Key Management Service développeur.
Remplacez chacune example resource placeholder par vos propres informations :
-
account-idreprésente l'ID de celui Compte AWS qui initie la connexion. -
regionreprésente l' Région AWS emplacement du compartiment S3. (Vous pouvez l'utiliser*si le bucket doit recevoir des enregistrements provenant de plusieurs régions. Exemple :s3.*.amazonaws.com.)
Note
Vous pouvez l'utiliser aws:SourceOrgID dans la politique plutôt que aws:SourceAccount si le compte appartient à une organisation dans AWS Organizations.
{ "Sid": "Allow the GUI Connect service principal to access S3", "Effect": "Allow", "Principal": { "Service": "ssm-guiconnect.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "kms:ViaService": "s3.region.amazonaws.com" } } }
Configuration des autorisations IAM pour l'enregistrement des connexions RDP
Outre les autorisations IAM requises pour l'accès aux just-in-time nœuds, l'utilisateur ou le rôle que vous utilisez doit disposer des autorisations suivantes en fonction de la tâche que vous devez effectuer.
Autorisations pour configurer l'enregistrement des connexions
Pour configurer l'enregistrement des connexions RDP, les autorisations suivantes sont requises :
-
ssm-guiconnect:UpdateConnectionRecordingPreferences -
ssm-guiconnect:GetConnectionRecordingPreferences -
ssm-guiconnect:DeleteConnectionRecordingPreferences -
kms:CreateGrant
Autorisations pour l’établissement de connexions
Pour établir des connexions RDP avec accès aux just-in-time nœuds, les autorisations suivantes sont requises :
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection -
kms:CreateGrant
Avant de commencer
Pour stocker vos enregistrements de connexion, vous devez d'abord créer un compartiment S3 et ajouter la politique de compartiment suivante. Remplacez chaque example resource
placeholder par vos propres informations.
(Pour plus d'informations sur l'ajout d'une politique de compartiment, consultez la section Ajouter une politique de compartiment à l'aide de la console Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionRecording", "Effect": "Allow", "Principal": { "Service": [ "ssm-guiconnect.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::bucket name", "arn:aws:s3:::bucket name/*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" } } } ] }
Activation et configuration de l'enregistrement des connexions RDP
La procédure suivante décrit comment activer et configurer l'enregistrement des connexions RDP.
Pour activer et configurer l'enregistrement des connexions RDP
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. -
Sélectionnez Paramètres dans le volet de navigation.
-
Sélectionnez l'onglet Accès au Just-in-time nœud.
-
Dans la section Enregistrement RDP, sélectionnez Activer l'enregistrement RDP.
-
Choisissez le compartiment S3 dans lequel vous souhaitez télécharger les enregistrements de session.
-
Choisissez la clé gérée par le client que vous souhaitez utiliser pour chiffrer temporairement les données d'enregistrement pendant qu'elles sont générées et stockées sur les ressources de Systems Manager. (Il peut s'agir d'une clé gérée par le client différente de celle que vous utilisez pour chiffrer le compartiment.)
-
Sélectionnez Save.
Connexion RDP enregistrant les valeurs d'état
Les valeurs d'état valides pour les enregistrements de connexion RDP sont les suivantes :
-
Recording- La connexion est en cours d'enregistrement -
Processing- La vidéo est en cours de traitement une fois la connexion interrompue. -
Finished- État du terminal réussi : la vidéo d'enregistrement de connexion a été traitée avec succès et téléchargée dans le compartiment spécifié. -
Failed- État du terminal défaillant. La connexion n'a pas été enregistrée correctement. -
ProcessingError- Un ou plusieurs intermédiaires failures/errors se sont produits pendant le traitement vidéo. Les causes potentielles incluent des défaillances de dépendance au service ou des autorisations manquantes en raison d'une mauvaise configuration du compartiment S3 spécifié pour le stockage des enregistrements. Le service continue de tenter le traitement lorsque l'enregistrement est dans cet état.
Note
ProcessingErrorpeut être dû au fait que le principal du ssm-guiconnect service n'est pas autorisé à télécharger des objets dans le compartiment S3 une fois la connexion établie. Une autre cause potentielle est l'absence d'autorisations KMS sur la clé KMS utilisée pour le chiffrement du compartiment S3.
