Connettersi a un'istanza gestita da Windows Server utilizzando Remote Desktop - AWS Systems Manager
Configurazione dell'ambienteConfigurazione delle autorizzazioni IAM per Desktop remotoAutenticazione delle connessioni Desktop remotoDurata e simultaneità della connessione remotaSystems Manager GUI Connect gestione degli attributi AWS IAM Identity CenterConnessione a un nodo gestito tramite Desktop remotoVisualizzazione delle informazioni sulle connessioni correnti e completate

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connettersi a un'istanza gestita da Windows Server utilizzando Remote Desktop

Puoi utilizzareFleet Manager, uno strumento in AWS Systems Manager, per connetterti alle tue istanze Windows Server Amazon Elastic Compute Cloud (Amazon EC2) utilizzando Remote Desktop Protocol (RDP). Fleet Manager Il Desktop remoto, basato su Amazon DCV, offre una connettività sicura alle istanze Windows Server direttamente dalla console di Systems Manager. È possibile avere fino a quattro connessioni simultanee in un'unica finestra del browser.

L'API Fleet Manager Remote Desktop è denominata AWS Systems Manager GUI Connect. Per informazioni sull'utilizzo dell'API Systems Manager GUI Connect, consulta il Documento di riferimento dell'API AWS Systems Manager GUI Connect.

Attualmente, è possibile utilizzare Desktop remoto solo con istanze che eseguono Windows Server 2012 RTM o versioni successive. Desktop remoto supporta solo input in lingua inglese.

Fleet Manager Remote Desktop è un servizio solo per console e non supporta connessioni da riga di comando alle istanze gestite. Per connettersi a un'istanza gestita Windows Server tramite una shell, è possibile utilizzare Session Manager, un altro strumento di AWS Systems Manager. Per ulteriori informazioni, consulta AWS Systems Manager Session Manager.

Nota

La durata di una connessione RDP non è determinata dalla durata delle credenziali AWS Identity and Access Management (IAM) dell'utente. Al contrario, la connessione persiste invece fino al raggiungimento della sua durata massima o del limite di inattività, a seconda dell'evento che si verifica per primo. Per ulteriori informazioni, consulta Durata e simultaneità della connessione remota.

Per informazioni sulla configurazione delle autorizzazioni AWS Identity and Access Management (IAM) per consentire alle istanze di interagire con Systems Manager, consulta Configurare le autorizzazioni delle istanze per Systems Manager.

Configurazione dell'ambiente

Prima di utilizzare Desktop remoto, verifica che il tuo ambiente soddisfi i requisiti seguenti:

  • Configurazione di nodi gestiti

    Assicurati che le tue EC2 istanze Amazon siano configurate come nodi gestiti in Systems Manager.

  • Versione minima di SSM Agent

    Verifica che i nodi eseguano SSM Agent versione 3.0.222.0 o successiva. Per informazioni su come verificare la versione dell'agente in esecuzione su un nodo, consulta Verifica del numero di versione di SSM Agent. Per informazioni sull'installazione o l'aggiornamento di SSM Agent, consulta Utilizzo di SSM Agent.

  • Configurazione della porta RDP

    Per accettare connessioni remote, il servizio Remote Desktop Services sui nodi Windows Server deve utilizzare la porta RDP 3389 predefinita. Questa è la configurazione predefinita di Amazon Machine Images (AMIs) fornita da AWS. Non è richiesto esplicitamente di aprire alcuna porta in entrata per utilizzare Desktop remoto.

  • Versione del modulo PSReadLine per la funzionalità della tastiera

    Per assicurarti che la tastiera funzioni correttamente in PowerShell, verifica che sui nodi che eseguono Windows Server 2022 sia installato il modulo PSReadLine versione 2.2.2 o successiva. Se i nodi utilizzano una versione precedente, è possibile installare la versione richiesta utilizzando i seguenti comandi.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Dopo aver installato il provider NuGet del pacchetto, esegui il comando seguente.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configurazione di Session Manager

    Prima di utilizzare Desktop remoto, è necessario completare i prerequisiti per l'installazione di Session Manager. Quando ti connetti a un'istanza utilizzando Remote Desktop, Regione AWS vengono applicate tutte le preferenze di sessione definite per il tuo Account AWS e. Per ulteriori informazioni, consulta Configurazione di Session Manager.

    Nota

    Se registri l'attività di Session Manager utilizzando Amazon Simple Storage Service (Amazon S3), le connessioni Desktop remoto genereranno l'errore seguente in bucket_name/Port/stderr. Questo errore è previsto e può essere ignorato.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configurazione delle autorizzazioni IAM per Desktop remoto

Oltre alle autorizzazioni IAM richieste per Systems ManagerSession Manager, l'utente o il ruolo utilizzato deve disporre delle autorizzazioni per l'avvio delle connessioni.

Autorizzazioni per l'avvio delle connessioni

Per effettuare connessioni RDP alle EC2 istanze nella console, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Autorizzazioni per elencare le connessioni

Per visualizzare gli elenchi di connessioni nella console, è richiesta la seguente autorizzazione:

ssm-guiconnect:ListConnections

Di seguito sono riportati alcuni esempi di policy IAM che è possibile collegare a un utente o a un ruolo per consentire diversi tipi di interazione con Desktop remoto. Sostituisci ogni example resource placeholder con le tue informazioni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
Nota

Nella seguente policy IAM, la sezione SSMStartSession richiede un nome della risorsa Amazon (ARN) per l'azione ssm:StartSession. Come mostrato, l'ARN specificato non richiede un Account AWS ID. Se si specifica un ID account, Fleet Manager restituisce AccessDeniedException.

La AccessTaggedInstances sezione, che si trova più in basso nella politica di esempio, richiede anche ARNs forssm:StartSession. Per quelli ARNs, devi specificare Account AWS IDs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:111122223333:instance/*",
                "arn:aws:ssm:*:111122223333:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Autenticazione delle connessioni Desktop remoto

Quando stabilisci una connessione remota, puoi autenticarti utilizzando Windows le credenziali o la coppia di EC2 chiavi Amazon (.pemfile) associata all'istanza. Per informazioni sull'uso delle coppie di chiavi, consulta le coppie di EC2 chiavi e Windows le istanze di Amazon nella Amazon EC2 User Guide.

In alternativa, se sei autenticato all' Console di gestione AWS utilizzo AWS IAM Identity Center, puoi connetterti alle tue istanze senza fornire credenziali aggiuntive. Per un esempio di policy per consentire l'autenticazione della connessione remota utilizzando Centro identità IAM, consulta Configurazione delle autorizzazioni IAM per Desktop remoto.

Prima di iniziare

Osserva le seguenti condizioni per l'uso dell'autenticazione di Centro identità IAM prima di avviare la connessione utilizzando Desktop remoto.

  • Desktop remoto supporta l'autenticazione di Centro identità IAM per i nodi nella stessa Regione AWS in cui hai abilitato Centro identità IAM.

  • Desktop remoto supporta nomi utente di IAM Identity Center composti da un massimo di 16 caratteri.

  • Desktop remoto supporta nomi utente di IAM Identity Center composti da caratteri alfanumerici e dai seguenti caratteri speciali: . - _

    Importante

    Le connessioni non avranno esito positivo per i nomi utente di IAM Identity Center che contengono i seguenti caratteri: + = ,

    IAM Identity Center supporta questi caratteri nei nomi utente, a differenza delle connessioni Fleet Manager RDP.

    Inoltre, se un nome utente IAM Identity Center contiene uno o più simboli @, Fleet Manager ignora il primo simbolo @ e tutti i caratteri che lo seguono, indipendentemente dal fatto che @ introduca o meno la parte di dominio di un indirizzo e-mail. Ad esempio, per il nome utente IAM Identity Center diego_ramirez@example.com, la parte @example.com viene ignorata e il nome utente di Fleet Manager diventa diego_ramirez. Per diego_r@mirez@example.com, Fleet Manager ignora @mirez@example.com e il nome utente di Fleet Manager diventa diego_r.

  • Quando una connessione viene autenticata utilizzando IAM Identity Center, Remote Desktop crea un utente Windows locale nel gruppo Local Administrators dell'istanza. Questo utente persiste dopo la fine della connessione remota.

  • Desktop remoto non consente l'autenticazione IAM Identity Center per i nodi che sono controller del dominio Microsoft Active Directory.

  • Sebbene Desktop remoto consenta di utilizzare l'autenticazione IAM Identity Center per i nodi uniti a un dominio Active Directory, non è consigliabile farlo. Questo metodo di autenticazione concede autorizzazioni amministrative agli utenti che potrebbero sovrascrivere le autorizzazioni più restrittive concesse dal dominio.

Regioni supportate per l'autenticazione di Centro identità IAM

Connessioni Remote Desktop che utilizzano l'autenticazione di Centro identità IAM sono supportate nelle Regioni AWS seguenti:

  • Stati Uniti orientali (Ohio) (us-east-2)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

  • Stati Uniti occidentali (California settentrionale) (us-west-1)

  • Stati Uniti occidentali (Oregon) (us-west-2)

  • Africa (Città del Capo) (af-south-1)

  • Asia Pacifico (Hong Kong) (ap-east-1)

  • Asia Pacifico (Mumbai) (ap-south-1)

  • Asia Pacifico (Tokyo) (ap-northeast-1)

  • Asia Pacifico (Seoul) (ap-northeast-2)

  • Asia Pacifico (Osaka-Locale) (ap-northeast-3)

  • Asia Pacifico (Singapore) (ap-southeast-1)

  • Asia Pacifico (Sydney) (ap-southeast-2)

  • Asia Pacific (Giacarta) (ap-southeast-3)

  • Canada (Centrale) (ca-central-1)

  • Europa (Francoforte) (eu-central-1)

  • Europa (Stoccolma) (eu-north-1)

  • Europa (Irlanda) (eu-west-1)

  • Europa (Londra) (eu-west-2)

  • Europe (Parigi) (eu-west-3)

  • Israele (Tel Aviv) (il-central-1)

  • Sud America (San Paolo) (sa-east-1)

  • Europa (Milano) (eu-south-1)

  • Medio Oriente (Bahrein) (me-south-1)

  • AWS GovCloud (Stati Uniti orientali) (-1) us-gov-east

  • AWS GovCloud (Stati Uniti occidentali) (us-gov-west-1)

Durata e simultaneità della connessione remota

Le seguenti condizioni si applicano alle connessioni Desktop remoto attive:

  • Durata della connessione

    Per impostazione predefinita, una connessione Desktop remoto viene interrotta dopo 60 minuti. Per evitare che una connessione venga interrotta, puoi scegliere Rinnova sessione prima di disconnetterti per reimpostare il timer di durata.

  • Timeout di connessione

    Una connessione Desktop remoto si interrompe dopo essere rimasta inattiva per più di 10 minuti.

  • Connessioni persistenti

    Dopo la connessione a Windows Server tramite Desktop remoto, la connessione persiste fino al raggiungimento della sua massima durata (60 minuti) o del limite di timeout di inattività (10 minuti). La durata della connessione non è determinata dalla durata delle credenziali AWS Identity and Access Management (IAM) dell'utente. La connessione persiste dopo la scadenza delle credenziali IAM, se i suoi limiti di durata non vengono soddisfatti. Quando si utilizza Desktop remoto, è necessario terminare la connessione dopo la scadenza delle credenziali IAM uscendo dalla pagina del browser.

  • Connessioni simultanee

    Per impostazione predefinita, puoi avere un massimo di 5 connessioni Desktop remoto attive contemporaneamente per la stessa Account AWS e Regione AWS. Per richiedere un aumento di quote di servizio fino a 50 connessioni simultanee, consulta Richiesta di aumento delle quote nella Guida per l'utente di Service Quotas.

    Nota

    La licenza standard di Windows Server consente due connessioni RDP simultanee. Per supportare più connessioni, è necessario acquistare licenze di accesso client aggiuntive (CALs) da Microsoft o licenze Microsoft Remote Desktop Services da. AWS Per ulteriori informazioni sulle licenze aggiuntive, consulta i seguenti argomenti:

Systems Manager GUI Connect gestione degli attributi AWS IAM Identity Center

Systems Manager GUI Connect è l'API che supporta le Fleet Manager connessioni alle EC2 istanze che utilizzano RDP. I seguenti dati utente di IAM Identity Center vengono conservati dopo la chiusura di una connessione:

  • username

Systems Manager GUI Connect crittografa questo attributo di identità a riposo utilizzando un Chiave gestita da AWS per impostazione predefinita. Le chiavi gestite dal cliente non sono supportate per la crittografia di questo attributo in Systems Manager GUI Connect. Se elimini un utente nella tua istanza IAM Identity Center, Systems Manager GUI Connect continua a mantenere l'attributo username associato a quell'utente per sette anni, dopodiché viene eliminato. Questi dati vengono conservati per supportare gli eventi di controllo, ad esempio elencare la cronologia delle connessioni di Systems Manager GUI Connect. I dati non possono essere eliminati manualmente.

Connessione a un nodo gestito tramite Desktop remoto

copy/paste Supporto del browser per il testo

Utilizzando i browser Google Chrome e Microsoft Edge, è possibile copiare e incollare testo da un nodo gestito al computer locale e dal computer locale a un nodo gestito a cui hai effettuato la connessione.

Utilizzando il browser Mozilla Firefox, è possibile copiare e incollare il testo da un nodo gestito solo sul proprio computer locale. La copia dal computer locale al nodo gestito non è supportata.

Per connetterti a un nodo gestito tramite Desktop remoto di Fleet Manager

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Fleet Manager.

  3. Scegli il nodo a cui desideri connetterti. Puoi selezionare la casella di controllo o il nome del nodo.

  4. Nel menu Operazioni del nodo, scegli Connessione con Desktop remoto.

  5. Scegli il tuo Tipo di autenticazione preferito. Se scegli Credenziali utente, inserisci il nome utente e la password per un account utente Windows sul nodo a cui stai eseguendo la connessione. Se scegli Coppia di chiavi, puoi fornire l'autenticazione utilizzando uno dei seguenti metodi:

    1. Scegli Sfoglia la macchina locale se desideri selezionare la chiave PEM associata all'istanza dal file system locale.

      oppure

    2. Scegli Incolla contenuto della coppia di chiavi se desideri copiare il contenuto del file PEM e incollarlo nel campo fornito.

  6. Seleziona Connetti.

  7. Per scegliere la risoluzione dello schermo preferita, nel menu Operazioni, scegli Risoluzioni, quindi seleziona una delle seguenti opzioni:

    • Adatta automaticamente

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    L'opzione Adatta automaticamente imposta la risoluzione in base alle dimensioni dello schermo rilevate.

Visualizzazione delle informazioni sulle connessioni correnti e completate

Utilizza la sezione Fleet Manager della console Systems Manager per visualizzare le informazioni sulle connessioni RDP effettuate nel proprio account. Utilizzando un set di filtri, è possibile limitare l'elenco delle connessioni visualizzate a un intervallo di tempo, un'istanza specifica, l'utente che ha effettuato le connessioni e le connessioni con uno stato specifico. La console fornisce anche schede che mostrano informazioni su tutte le connessioni attualmente attive e tutte le connessioni passate.

Per visualizzare le informazioni sulle connessioni correnti e completate

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Fleet Manager.

  3. Scegli Gestione account, Connessione con Remote Desktop (Desktop remoto).

  4. Scegli una delle seguenti schede:

    • Connessioni attive

    • Cronologia delle connessioni

  5. Per restringere ulteriormente l'elenco dei risultati di connessione visualizzati, specificate uno o più filtri nella casella di ricerca ( The Search icon ). È anche possibile inserire un termine di ricerca a testo libero.