Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Merekam koneksi RDP
Just-in-time akses node mencakup kemampuan untuk merekam koneksi RDP yang dibuat ke node AndaWindows Server. Merekam koneksi RDP memerlukan bucket S3 dan AWS Key Management Service (AWS KMS) kunci yang dikelola pelanggan. AWS KMS key Ini digunakan untuk mengenkripsi sementara data rekaman saat itu dihasilkan dan disimpan pada sumber daya Systems Manager. Kunci yang dikelola pelanggan harus berupa kunci simetris dengan penggunaan kunci enkripsi dan dekripsi. Anda dapat menggunakan kunci Multi-wilayah untuk organisasi Anda, atau Anda harus membuat kunci terkelola pelanggan di setiap Wilayah tempat Anda mengaktifkan akses just-in-time node.
Jika Anda telah mengaktifkan enkripsi KMS pada bucket S3 tempat Anda menyimpan rekaman, Anda harus menyediakan akses ke kunci terkelola pelanggan yang digunakan untuk enkripsi bucket ke prinsipal ssm-guiconnect layanan. Kunci yang dikelola pelanggan ini bisa berbeda dari yang Anda tentukan dalam pengaturan perekaman, yang harus menyertakan kms:CreateGrant izin yang diperlukan untuk membuat koneksi.
Mengkonfigurasi enkripsi bucket S3 untuk rekaman RDP
Rekaman koneksi Anda disimpan di bucket S3 yang Anda tentukan saat Anda mengaktifkan perekaman RDP.
Jika Anda menggunakan kunci KMS sebagai mekanisme enkripsi default untuk bucket S3 (SSE-KMS), Anda harus mengizinkan akses prinsipal ssm-guiconnect layanan untuk kms:GenerateDataKey bertindak pada kunci tersebut. Sebaiknya gunakan kunci yang dikelola pelanggan saat menggunakan enkripsi SSE-KMS dengan bucket S3. Ini karena Anda dapat memperbarui kebijakan kunci terkait untuk kunci yang dikelola pelanggan. Anda tidak dapat memperbarui kebijakan utama untuk Kunci yang dikelola AWS.
Berikut ini adalah contoh kebijakan yang dapat digunakan untuk memungkinkan akses ssm-guiconnect layanan ke kunci KMS untuk penyimpanan S3. Untuk informasi tentang memperbarui kunci terkelola pelanggan, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang.
{ "Sid": "Allow the GUI Connect service principal to access S3", "Effect": "Allow", "Principal": { "Service": "ssm-guiconnect.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } }
Mengkonfigurasi izin IAM untuk merekam koneksi RDP
Selain izin IAM yang diperlukan untuk akses just-in-time node, pengguna atau peran yang Anda gunakan harus diizinkan izin berikut berdasarkan tugas yang perlu Anda lakukan.
Izin untuk mengonfigurasi rekaman koneksi
Untuk mengkonfigurasi rekaman koneksi RDP, izin berikut diperlukan:
-
ssm-guiconnect:UpdateConnectionRecordingPreferences -
ssm-guiconnect:GetConnectionRecordingPreferences -
ssm-guiconnect:DeleteConnectionRecordingPreferences -
kms:CreateGrant
Izin untuk memulai koneksi
Untuk membuat koneksi RDP dengan akses just-in-time node, izin berikut diperlukan:
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection -
kms:CreateGrant
Sebelum Anda mulai
Untuk menyimpan rekaman koneksi, Anda harus terlebih dahulu membuat bucket S3 dan menambahkan kebijakan bucket berikut. Ganti masing-masing example resource
placeholder dengan informasi Anda sendiri.
(Untuk informasi tentang menambahkan kebijakan bucket, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionRecording", "Effect": "Allow", "Principal": { "Service": [ "ssm-guiconnect.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::bucket name", "arn:aws:s3:::bucket name/*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" } } } ] }
Mengaktifkan dan mengonfigurasi rekaman koneksi RDP
Prosedur berikut menjelaskan cara mengaktifkan dan mengkonfigurasi rekaman koneksi RDP.
Untuk mengaktifkan dan mengkonfigurasi rekaman koneksi RDP
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. -
Pilih Pengaturan di panel navigasi.
-
Pilih tab akses Just-in-time node.
-
Di bagian perekaman RDP, pilih Aktifkan perekaman RDP.
-
Pilih bucket S3 yang ingin Anda unggah rekaman sesi.
-
Pilih kunci terkelola pelanggan yang ingin Anda gunakan untuk mengenkripsi sementara data rekaman saat dibuat dan disimpan di sumber daya Systems Manager. (Ini bisa menjadi kunci terkelola pelanggan yang berbeda dari yang Anda gunakan untuk mengenkripsi bucket.)
-
Pilih Simpan.
Nilai status perekaman koneksi RDP
Nilai status yang valid untuk rekaman koneksi RPD meliputi yang berikut:
-
Recording- Koneksi sedang dalam proses perekaman -
Processing- Video sedang diproses setelah koneksi dihentikan. -
Finished- Status terminal yang berhasil: Video rekaman koneksi berhasil diproses dan diunggah ke bucket yang ditentukan. -
Failed- Status terminal gagal. Koneksi tidak berhasil direkam. -
ProcessingError- Satu atau lebih kegagalan/kesalahan menengah terjadi selama pemrosesan video. Penyebab potensial termasuk kegagalan ketergantungan layanan atau izin yang hilang karena kesalahan konfigurasi pada bucket S3 yang ditentukan untuk menyimpan rekaman. Layanan terus mencoba memproses ketika rekaman dalam keadaan ini.
catatan
ProcessingErrordapat menjadi hasil dari kepala ssm-guiconnect layanan yang tidak memiliki izin untuk mengunggah objek ke bucket S3 setelah koneksi dibuat. Penyebab potensial lainnya adalah hilangnya izin KMS pada kunci KMS yang digunakan untuk enkripsi bucket S3.
