Registrazione di connessioni RDP - AWS Systems Manager
Configurazione della crittografia dei bucket S3 per le registrazioni RDPConfigurazione delle autorizzazioni IAM per la registrazione delle connessioni RDPAbilitazione e configurazione della registrazione delle connessioni RDPValori dello stato di registrazione della connessione RDP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di connessioni RDP

Just-in-time l'accesso ai nodi include la possibilità di registrare le connessioni RDP effettuate ai Windows Server nodi. La registrazione delle connessioni RDP richiede un bucket S3 e una chiave AWS Key Management Service (AWS KMS) gestita dal cliente. AWS KMS key Viene utilizzato per crittografare temporaneamente i dati di registrazione mentre vengono generati e archiviati nelle risorse di Systems Manager. La chiave gestita dal cliente deve essere una chiave simmetrica con un utilizzo chiave di crittografia e decrittografia. Puoi utilizzare una chiave multiregionale per la tua organizzazione oppure devi creare una chiave gestita dal cliente in ogni regione in cui hai abilitato l'accesso al nodo. just-in-time

Se hai abilitato la crittografia KMS sul bucket S3 in cui memorizzi le registrazioni, devi fornire l'accesso alla chiave gestita dal cliente utilizzata per la crittografia dei bucket al responsabile del servizio. ssm-guiconnect Questa chiave gestita dal cliente può essere diversa da quella specificata nelle impostazioni di registrazione, che devono includere la chiave per cui è kms:CreateGrant richiesta l'autorizzazione per stabilire connessioni.

Configurazione della crittografia dei bucket S3 per le registrazioni RDP

Le registrazioni delle connessioni vengono archiviate nel bucket S3 che specifichi quando abiliti la registrazione RDP.

Se si utilizza una chiave KMS come meccanismo di crittografia predefinito per il bucket S3 (SSE-KMS), è necessario consentire al responsabile del servizio l'accesso all'azione sulla chiave. ssm-guiconnect kms:GenerateDataKey Ti consigliamo di utilizzare una chiave gestita dal cliente quando utilizzi la crittografia SSE-KMS con il bucket S3. Questo perché puoi aggiornare la politica di chiave associata per una chiave gestita dal cliente. Non è possibile aggiornare le politiche chiave per Chiavi gestite da AWS.

Di seguito è riportato un esempio della politica che può essere utilizzata per consentire al ssm-guiconnect servizio l'accesso alla chiave KMS per lo storage S3. Per informazioni sull'aggiornamento di una chiave gestita dal cliente, consulta Modificare una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "s3.us-east-1.amazonaws.com"
        }
    }
}

Configurazione delle autorizzazioni IAM per la registrazione delle connessioni RDP

Oltre alle autorizzazioni IAM richieste per l'accesso al just-in-time nodo, all'utente o al ruolo che utilizzi devono essere concesse le seguenti autorizzazioni in base all'attività da eseguire.

Autorizzazioni per la configurazione della registrazione delle connessioni

Per configurare la registrazione della connessione RDP, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Autorizzazioni per l'avvio delle connessioni

Per effettuare connessioni RDP con accesso al just-in-time nodo, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Prima di iniziare

Per archiviare le registrazioni delle connessioni, devi prima creare un bucket S3 e aggiungere la seguente politica sui bucket. Sostituisci ogni example resource placeholder con le tue informazioni.

(Per informazioni sull'aggiunta di una policy bucket, consulta Aggiungere una policy bucket utilizzando la console Amazon S3 nella Amazon Simple Storage Service User Guide.)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

Abilitazione e configurazione della registrazione delle connessioni RDP

La procedura seguente descrive come abilitare e configurare la registrazione delle connessioni RDP.

Per abilitare e configurare la registrazione delle connessioni RDP

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Scegli Impostazioni nel pannello di navigazione.

  3. Seleziona la scheda di accesso al Just-in-time nodo.

  4. Nella sezione Registrazione RDP, seleziona Abilita registrazione RDP.

  5. Scegli il bucket S3 in cui vuoi caricare le registrazioni delle sessioni.

  6. Scegli la chiave gestita dal cliente che desideri utilizzare per crittografare temporaneamente i dati di registrazione mentre vengono generati e archiviati su risorse Systems Manager. (Può trattarsi di una chiave gestita dal cliente diversa da quella utilizzata per crittografare il bucket.)

  7. Seleziona Salva.

Valori dello stato di registrazione della connessione RDP

I valori di stato validi per le registrazioni delle connessioni RPD includono:

  • Recording- La connessione è in fase di registrazione

  • Processing- Il video viene elaborato dopo la fine della connessione.

  • Finished- Stato terminale riuscito: il video di registrazione della connessione è stato elaborato correttamente e caricato nel bucket specificato.

  • Failed- Stato del terminale non riuscito. La connessione non è stata registrata correttamente.

  • ProcessingError- Si sono verificati uno o più guasti/errori intermedi durante l'elaborazione video. Le cause potenziali includono errori di dipendenza dal servizio o autorizzazioni mancanti a causa di una configurazione errata del bucket S3 specificato per l'archiviazione delle registrazioni. Il servizio continua a tentare l'elaborazione quando la registrazione è in questo stato.

Nota

ProcessingErrorpuò essere il risultato del mancato consenso del responsabile del ssm-guiconnect servizio a caricare oggetti nel bucket S3 dopo aver stabilito la connessione. Un'altra causa potenziale è la mancanza delle autorizzazioni KMS sulla chiave KMS utilizzata per la crittografia dei bucket S3.