Menghubungkan ke instance Windows Server terkelola menggunakan Remote Desktop - AWS Systems Manager
Menyiapkan lingkungan AndaMengkonfigurasi izin IAM untuk Remote DesktopMengautentikasi koneksi Remote DesktopDurasi koneksi jarak jauh dan konkurensiSystems Manager GUI Connect menangani atribut AWS IAM Identity CenterConnect ke node terkelola menggunakan Remote DesktopMelihat informasi tentang koneksi saat ini dan yang sudah selesai

AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke instance Windows Server terkelola menggunakan Remote Desktop

Anda dapat menggunakanFleet Manager, alat dalam AWS Systems Manager, untuk menyambung ke instans Windows Server Amazon Elastic Compute Cloud (Amazon EC2) menggunakan Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, yang didukung oleh Amazon DCV, memberi Anda konektivitas aman ke Windows Server instans langsung dari konsol Systems Manager. Anda dapat memiliki hingga empat koneksi simultan dalam satu jendela browser.

Fleet ManagerRemote Desktop API diberi nama AWS Systems Manager GUI Connect. Untuk informasi tentang penggunaan Systems Manager GUI Connect API, lihat Referensi AWS Systems Manager GUI Connect API.

Saat ini, Anda hanya dapat menggunakan Remote Desktop dengan instance yang menjalankan Windows Server 2012 RTM atau lebih tinggi. Remote Desktop hanya mendukung input bahasa Inggris.

Fleet ManagerRemote Desktop adalah layanan khusus konsol dan tidak mendukung koneksi baris perintah ke instance terkelola Anda. Untuk terhubung ke instance Windows Server terkelola melalui shell, Anda dapat menggunakanSession Manager, alat lain di AWS Systems Manager. Untuk informasi selengkapnya, lihat AWS Systems ManagerĀ Session Manager.

catatan

Durasi koneksi RDP tidak ditentukan oleh durasi kredenal AWS Identity and Access Management (IAM) Anda. Sebaliknya, koneksi tetap ada hingga durasi koneksi maksimum atau batas waktu idle terpenuhi, mana yang lebih dulu. Untuk informasi selengkapnya, lihat Durasi koneksi jarak jauh dan konkurensi.

Untuk informasi tentang mengkonfigurasi izin AWS Identity and Access Management (IAM) agar instans Anda berinteraksi dengan Systems Manager, lihat Mengonfigurasi izin instans untuk Systems Manager.

Menyiapkan lingkungan Anda

Sebelum menggunakan Remote Desktop, verifikasi bahwa lingkungan Anda memenuhi persyaratan berikut:

  • Konfigurasi simpul terkelola

    Pastikan EC2 instans Amazon Anda dikonfigurasi sebagai node terkelola di Systems Manager.

  • SSM Agentversi minimum

    Verifikasi bahwa node menjalankan SSM Agent versi 3.0.222.0 atau lebih tinggi. Untuk informasi tentang cara memeriksa versi agen mana yang berjalan pada node, lihatMemeriksa nomor SSM Agent versi. Untuk informasi tentang menginstal atau memperbaruiSSM Agent, lihatBekerja dengan SSM Agent.

  • Konfigurasi port RDP

    Untuk menerima koneksi jarak jauh, Remote Desktop Services layanan pada Windows Server node Anda harus menggunakan port RDP default 3389. Ini adalah konfigurasi default on Amazon Machine Images (AMIs) yang disediakan oleh AWS. Anda tidak secara eksplisit diharuskan untuk membuka port masuk apa pun untuk menggunakan Remote Desktop.

  • PSReadLineversi modul untuk fungsionalitas keyboard

    Untuk memastikan keyboard Anda berfungsi dengan benarPowerShell, verifikasi bahwa node yang menjalankan Windows Server 2022 memiliki PSReadLine modul versi 2.2.2 atau lebih tinggi diinstal. Jika mereka menjalankan versi yang lebih lama, Anda dapat menginstal versi yang diperlukan menggunakan perintah berikut.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Setelah penyedia NuGet paket diinstal, jalankan perintah berikut.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Konfigurasi Manajer Sesi

    Sebelum Anda dapat menggunakan Remote Desktop, Anda harus menyelesaikan prasyarat untuk pengaturan Session Manager. Saat Anda terhubung ke instans menggunakan Remote Desktop, preferensi sesi apa pun yang ditentukan untuk Anda Akun AWS dan Wilayah AWS diterapkan. Untuk informasi selengkapnya, lihat Mengatur Session Manager.

    catatan

    Jika Anda mencatat aktivitas Session Manager menggunakan Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), maka koneksi Remote Desktop Anda akan menghasilkan kesalahan berikut. bucket_name/Port/stderr Kesalahan ini adalah perilaku yang diharapkan dan dapat diabaikan dengan aman.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Mengkonfigurasi izin IAM untuk Remote Desktop

Selain izin IAM yang diperlukan untuk Systems Manager danSession Manager, pengguna atau peran yang Anda gunakan harus diizinkan izin untuk memulai koneksi.

Izin untuk memulai koneksi

Untuk membuat koneksi RDP ke EC2 instance di konsol, izin berikut diperlukan:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Izin untuk koneksi daftar

Untuk melihat daftar koneksi di konsol, izin berikut diperlukan:

ssm-guiconnect:ListConnections

Berikut ini adalah contoh kebijakan IAM yang dapat Anda lampirkan ke pengguna atau peran untuk memungkinkan berbagai jenis interaksi dengan Remote Desktop. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Dalam kebijakan IAM berikut, SSMStartSession bagian ini memerlukan Nama Sumber Daya Amazon (ARN) untuk ssm:StartSession tindakan tersebut. Seperti yang ditunjukkan, ARN yang Anda tentukan tidak memerlukan ID Akun AWS . Jika Anda menentukan ID akun, Fleet Manager mengembalikan fileAccessDeniedException.

AccessTaggedInstancesBagian, yang terletak lebih rendah dalam kebijakan contoh, juga membutuhkan ARNs untukssm:StartSession. Bagi mereka ARNs, Anda menentukan Akun AWS IDs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Mengautentikasi koneksi Remote Desktop

Saat membuat koneksi jarak jauh, Anda dapat mengautentikasi menggunakan Windows kredensional atau Amazon EC2 key pair (.pemfile) yang terkait dengan instance. Untuk informasi tentang penggunaan pasangan kunci, lihat pasangan EC2 kunci Amazon dan Windows instans di Panduan EC2 Pengguna Amazon.

Atau, jika Anda diautentikasi ke Konsol Manajemen AWS penggunaan AWS IAM Identity Center, Anda dapat terhubung ke instans Anda tanpa memberikan kredensi tambahan. Untuk contoh kebijakan untuk mengizinkan otentikasi koneksi jarak jauh menggunakan IAM Identity Center, lihat. Mengkonfigurasi izin IAM untuk Remote Desktop

Sebelum Anda mulai

Perhatikan kondisi berikut untuk menggunakan autentikasi IAM Identity Center sebelum Anda mulai menghubungkan menggunakan Remote Desktop.

  • Remote Desktop mendukung autentikasi IAM Identity Center untuk node yang sama di Wilayah AWS mana Anda mengaktifkan IAM Identity Center.

  • Remote Desktop mendukung nama pengguna IAM Identity Center hingga 16 karakter.

  • Remote Desktop mendukung nama pengguna IAM Identity Center yang terdiri dari karakter alfanumerik dan karakter khusus berikut: . - _

    penting

    Koneksi tidak akan berhasil untuk nama pengguna IAM Identity Center yang berisi karakter berikut: + = ,

    IAM Identity Center mendukung karakter ini dalam nama pengguna, tetapi koneksi Fleet Manager RDP tidak.

    Selain itu, jika nama pengguna IAM Identity Center berisi satu atau lebih @ simbol, Fleet Manager abaikan @ simbol pertama dan semua karakter yang mengikutinya, baik @ memperkenalkan bagian domain dari alamat email atau tidak. Misalnya, untuk nama pengguna IAM Identity Centerdiego_ramirez@example.com, @example.com bagian diabaikan dan nama pengguna untuk Fleet Manager menjadidiego_ramirez. Untukdiego_r@mirez@example.com, Fleet Manager mengabaikan@mirez@example.com, dan nama pengguna untuk Fleet Manager menjadi. diego_r

  • Ketika koneksi diautentikasi menggunakan IAM Identity Center, Remote Desktop membuat Windows pengguna lokal dalam grup Administrator Lokal instans. Pengguna ini bertahan setelah koneksi jarak jauh berakhir.

  • Remote Desktop tidak mengizinkan autentikasi IAM Identity Center untuk node yang merupakan pengontrol Microsoft Active Directory domain.

  • Meskipun Remote Desktop memungkinkan Anda untuk menggunakan autentikasi IAM Identity Center untuk node yang bergabung ke Active Directory domain, kami tidak menyarankan melakukannya. Metode otentikasi ini memberikan izin administratif kepada pengguna yang mungkin mengganti izin yang lebih ketat yang diberikan oleh domain.

Wilayah yang Didukung untuk autentikasi Pusat Identitas IAM

Remote Desktopkoneksi menggunakan autentikasi IAM Identity Center didukung sebagai berikut: Wilayah AWS

  • AS Timur (Ohio) (us-east-2)

  • AS Timur (Virginia Utara) (us-east-1)

  • AS Barat (California Utara) (us-west-1)

  • AS Barat (Oregon) (us-west-2)

  • Africa (Cape Town) (af-south-1)

  • Asia Pacific (Hong Kong) (ap-east-1)

  • Asia Pasifik (Mumbai) (ap-south-1)

  • Asia Pasifik (Tokyo) (ap-northeast-1)

  • Asia Pasifik (Seoul) (ap-northeast-2)

  • Asia Pasifik (Osaka) (ap-northeast-3)

  • Asia Pasifik (Singapura) (ap-southeast-1)

  • Asia Pasifik (Sydney) (ap-southeast-2)

  • Asia Pasifik (Jakarta) (ap-southeast-3)

  • Kanada (Pusat) (ca-central-1)

  • Eropa (Frankfurt) (eu-central-1)

  • Eropa (Stockholm) (eu-north-1)

  • Eropa (Irlandia) (eu-west-1)

  • Eropa (London) (eu-west-2)

  • Eropa (Paris) (eu-west-3)

  • Israel (Tel Aviv) (il-central-1)

  • Amerika Selatan (Sao Paulo) (sa-east-1)

  • Europe (Milan) (eu-south-1)

  • Middle East (Bahrain) (me-south-1)

  • AWS GovCloud (AS-Timur) (us-gov-east-1)

  • AWS GovCloud (AS-Barat) (us-gov-west-1)

Durasi koneksi jarak jauh dan konkurensi

Ketentuan berikut berlaku untuk koneksi Remote Desktop yang aktif:

  • Durasi koneksi

    Secara default, koneksi Remote Desktop terputus setelah 60 menit. Untuk mencegah koneksi terputus, Anda dapat memilih Perbarui sesi sebelum terputus untuk mengatur ulang pengatur waktu durasi.

  • Batas waktu koneksi

    Koneksi Remote Desktop terputus setelah idle selama lebih dari 10 menit.

  • Ketekunan koneksi

    Setelah Anda terhubung ke Remote Desktop Windows Server menggunakan, koneksi tetap ada hingga durasi koneksi maksimum (60 menit) atau batas waktu idle (10 menit) terpenuhi. Durasi koneksi tidak ditentukan oleh durasi kredenal AWS Identity and Access Management (IAM) Anda. Sambungan tetap ada setelah kredensil IAM kedaluwarsa jika batas durasi koneksi tidak terpenuhi. Saat menggunakan Remote Desktop, Anda harus menghentikan koneksi Anda setelah kredensi IAM Anda kedaluwarsa dengan meninggalkan halaman browser.

  • Koneksi bersamaan

    Secara default, Anda dapat memiliki maksimum 5 koneksi Remote Desktop aktif pada satu waktu untuk yang sama Akun AWS dan Wilayah AWS. Untuk meminta peningkatan kuota layanan hingga 50 koneksi bersamaan, lihat Meminta peningkatan kuota pada Panduan Pengguna Service Quotas.

    catatan

    Lisensi standar untuk Windows Server memungkinkan dua koneksi RDP bersamaan. Untuk mendukung lebih banyak koneksi, Anda harus membeli Lisensi Akses Klien (CALs) tambahan dari lisensi Microsoft atau Microsoft Remote Desktop Services dari. AWS Untuk informasi lebih lanjut tentang lisensi tambahan, lihat topik berikut:

Systems Manager GUI Connect menangani atribut AWS IAM Identity Center

Systems Manager GUI Connect adalah API yang mendukung Fleet Manager koneksi ke EC2 instans menggunakan RDP. Data pengguna IAM Identity Center berikut disimpan setelah koneksi ditutup:

  • username

Systems Manager GUI Connect mengenkripsi atribut identitas ini saat istirahat menggunakan secara default. Kunci yang dikelola AWS Kunci terkelola pelanggan tidak didukung untuk mengenkripsi atribut ini di Systems Manager GUI Connect. Jika Anda menghapus pengguna di instans Pusat Identitas IAM Anda, Systems Manager GUI Connect terus mempertahankan username atribut yang terkait dengan pengguna tersebut selama 7 tahun, setelah itu dihapus. Data ini disimpan untuk mendukung peristiwa audit, seperti mencantumkan riwayat koneksi GUI Connect Systems Manager. Data tidak dapat dihapus secara manual.

Connect ke node terkelola menggunakan Remote Desktop

copy/paste Dukungan browser untuk teks

Menggunakan browser Google Chrome dan Microsoft Edge, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda, dan dari mesin lokal Anda ke node terkelola yang terhubung dengan Anda.

Menggunakan browser Mozilla Firefox, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda saja. Menyalin dari mesin lokal Anda ke node terkelola tidak didukung.

Untuk terhubung ke node terkelola menggunakan Fleet Manager Remote Desktop

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Fleet Manager.

  3. Pilih node yang ingin Anda sambungkan. Anda dapat memilih kotak centang atau nama simpul.

  4. Pada menu tindakan Node, pilih Connect with Remote Desktop.

  5. Pilih jenis Otentikasi pilihan Anda. Jika Anda memilih kredensi pengguna, masukkan nama pengguna dan kata sandi untuk akun Windows pengguna pada node yang Anda sambungkan. Jika Anda memilih Pasangan kunci, Anda dapat memberikan otentikasi menggunakan salah satu metode berikut:

    1. Pilih Jelajahi mesin lokal jika Anda ingin memilih kunci PEM yang terkait dengan instance Anda dari sistem file lokal Anda.

      - atau -

    2. Pilih Tempel konten key pair jika Anda ingin menyalin konten file PEM dan menempelkannya ke bidang yang disediakan.

  6. Pilih Connect.

  7. Untuk memilih resolusi tampilan yang Anda inginkan, di menu Tindakan, pilih Resolusi, lalu pilih dari yang berikut ini:

    • Beradaptasi secara otomatis

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    Opsi Adaptasi Secara Otomatis menetapkan resolusi berdasarkan ukuran layar yang terdeteksi.

Melihat informasi tentang koneksi saat ini dan yang sudah selesai

Anda dapat menggunakan Fleet Manager bagian konsol Systems Manager untuk melihat informasi tentang koneksi RDP yang telah dibuat di akun Anda. Menggunakan satu set filter, Anda dapat membatasi daftar koneksi yang ditampilkan ke rentang waktu, contoh tertentu, pengguna yang membuat koneksi, dan koneksi dari status tertentu. Konsol juga menyediakan tab yang menampilkan informasi tentang semua koneksi yang saat ini aktif, dan semua koneksi sebelumnya.

Untuk melihat informasi tentang koneksi saat ini dan yang sudah selesai

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Fleet Manager.

  3. Pilih Pengelolaan akun, Connect with Remote Desktop.

  4. Pilih salah satu tab berikut:

    • Koneksi aktif

    • Riwayat koneksi

  5. Untuk lebih mempersempit daftar hasil koneksi yang ditampilkan, tentukan satu atau beberapa filter di kotak search ( The Search icon ). Anda juga dapat memasukkan istilah pencarian teks gratis.