Registrazione delle connessioni RDP - AWS Systems Manager
Configurazione della crittografia del bucket S3 per le registrazioni RDPConfigurazione delle autorizzazioni IAM per la registrazione delle connessioni RDPAbilitazione e configurazione della registrazione delle connessioni RDPValori dello stato di registrazione della connessione RDP

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle connessioni RDP

Just-in-time l'accesso al nodo include la possibilità di registrare le connessioni RDP effettuate ai Windows Server nodi. La registrazione delle connessioni RDP richiede un bucket S3 e una chiave AWS Key Management Service (AWS KMS) gestita dal cliente. AWS KMS key Viene utilizzato per crittografare temporaneamente i dati di registrazione mentre vengono generati e archiviati nelle risorse di Systems Manager. La chiave gestita dal cliente deve essere una chiave simmetrica con un utilizzo chiave di crittografia e decrittografia. È possibile utilizzare una chiave multiregionale per l'organizzazione oppure è necessario creare una chiave gestita dal cliente in ogni regione in cui è stato abilitato l'accesso ai just-in-time nodi.

Se hai abilitato la crittografia KMS sul bucket S3, in cui memorizzi le registrazioni, devi fornire l'accesso alla chiave gestita dal cliente utilizzata per la crittografia dei bucket al principale del servizio ssm-guiconnect. Questa chiave gestita dal cliente può essere diversa da quella specificata nelle impostazioni di registrazione, che devono includere la chiave per cui è richiesta l'autorizzazione kms:CreateGrant per stabilire connessioni.

Configurazione della crittografia del bucket S3 per le registrazioni RDP

Le registrazioni delle connessioni vengono archiviate nel bucket S3, che specifichi quando abiliti la registrazione RDP.

Se utilizzi una chiave KMS come meccanismo di crittografia predefinito per il bucket S3 (SSE-KMS), è necessario consentire al principale del servizio ssm-guiconnect l'accesso all'azione kms:GenerateDataKey sulla chiave. Si consiglia di utilizzare una chiave gestita dal cliente durante l’utilizzo della crittografia SSE-KMS con il bucket S3. In questo modo, è possibile aggiornare la policy della chiave associata per una chiave gestita dal cliente. Non puoi aggiornare le politiche chiave per Chiavi gestite da AWS.

Importante

È necessario etichettare le AWS KMS chiavi utilizzate per la Session Manager crittografia e la registrazione RDP nell'accesso ai just-in-time nodi con la chiave del tag SystemsManagerJustInTimeNodeAccessManaged e il valore true del tag.

Per ulteriori informazioni sull'applicazione di tag alle chiavi KMS, consulta Tag in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Utilizza la seguente policy della chiave gestita dal cliente per consentire al servizio ssm-guiconnect di accedere alla chiave KMS per l'archiviazione S3. Per informazioni sull'aggiornamento di una chiave gestita dal cliente, consulta Modifica una policy della chiave nella Guida per gli sviluppatori AWS Key Management Service .

Sostituisci example resource placeholder ognuna con le tue informazioni:

  • account-idrappresenta l'ID di Account AWS chi avvia la connessione.

  • regionrappresenta la posizione Regione AWS in cui si trova il bucket S3. (È possibile utilizzare *, se il bucket riceverà registrazioni da molteplici Regioni. Esempio: s3.*.amazonaws.com.)

Nota

Puoi utilizzare aws:SourceOrgID nella policy invece di aws:SourceAccount, se l'account appartiene a un'organizzazione di AWS Organizations.

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

Configurazione delle autorizzazioni IAM per la registrazione delle connessioni RDP

Oltre alle autorizzazioni IAM richieste per l'accesso al just-in-time nodo, all'utente o al ruolo utilizzato devono essere concesse le seguenti autorizzazioni in base all'attività da eseguire.

Autorizzazioni per la configurazione della registrazione delle connessioni

Per configurare la registrazione delle connessioni RDP, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

Autorizzazioni per l'avvio delle connessioni

Per effettuare connessioni RDP con accesso al just-in-time nodo, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

Prima di iniziare

Per archiviare le registrazioni delle connessioni, devi prima creare un bucket S3 e aggiungere la seguente policy di bucket. Sostituisci ogni example resource placeholder con le tue informazioni.

Per informazioni sull'aggiunta di una policy di bucket, consulta Aggiunta di una policy di bucket tramite l'utilizzo della console Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}

Abilitazione e configurazione della registrazione delle connessioni RDP

La seguente procedura descrive come abilitare e configurare la registrazione delle connessioni RDP.

Per abilitare e configurare la registrazione delle connessioni RDP

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Scegli Impostazioni nel pannello di navigazione.

  3. Seleziona la scheda di accesso al Just-in-time nodo.

  4. Nella sezione Registrazione RDP, seleziona Abilita registrazione RDP.

  5. Scegli il bucket S3 in cui caricare le registrazioni delle sessioni.

  6. Scegli la chiave gestita dal cliente da utilizzare per crittografare temporaneamente i dati di registrazione, mentre vengono generati e archiviati nelle risorse di Systems Manager. (Può trattarsi di una chiave gestita dal cliente diversa da quella utilizzata per crittografare il bucket.)

  7. Seleziona Salva.

Valori dello stato di registrazione della connessione RDP

I valori di stato validi per le registrazioni delle connessioni RPD includono i seguenti elementi:

  • Recording - La connessione è in fase di registrazione;

  • Processing - Il video viene elaborato dopo il termine della connessione;

  • Finished - Stato terminale completato: il video di registrazione della connessione è stato eseguito correttamente e caricato nel bucket specificato;

  • Failed - Stato terminale non eseguito. La registrazione della connessione non è eseguita.

  • ProcessingError- Durante l'elaborazione video failures/errors si sono verificati uno o più elementi intermedi. Le probabili cause includono errori di dipendenza dal servizio o autorizzazioni mancanti a causa di una configurazione errata del bucket S3 specificato per l'archiviazione delle registrazioni. Il servizio continua a tentare l'elaborazione, quando la registrazione è in questo stato.

Nota

ProcessingError può essere il risultato del mancato consenso del principale del servizio ssm-guiconnect a caricare oggetti nel bucket S3, dopo aver stabilito la connessione. Un'altra probabile causa è la mancanza delle autorizzazioni KMS sulla chiave KMS utilizzata per la crittografia dei bucket S3.