RDP 연결 기록
JIT(Just-in-Time) 노드 액세스에는 Windows Server 노드에 대한 RDP 연결을 기록하는 기능이 포함됩니다. RDP 연결을 기록하려면 S3 버킷과 AWS Key Management Service (AWS KMS) 고객 관리형 키가 필요합니다. AWS KMS key는 Systems Manager 리소스에서 생성 및 저장되는 동안 기록 데이터를 일시적으로 암호화하는 데 사용됩니다. 고객 관리형 키는 키 사용이 암호화 및 복호화인 대칭 키여야 합니다. 조직에서 다중 리전 키를 사용하거나 JIT(Just-in-Time) 노드 액세스를 활성화한 각 리전에서 고객 관리형 키를 생성해야 합니다.
기록을 저장하는 S3 버킷에서 KMS 암호화를 활성화한 경우 ssm-guiconnect 서비스 위탁자에게 버킷 암호화에 사용되는 고객 관리형 키에 대한 액세스를 제공해야 합니다. 이 고객 관리형 키는 기록 설정에서 지정한 것과 다를 수 있으며, 여기에는 연결을 설정하는 데 필요한 kms:CreateGrant 권한이 포함되어야 합니다.
RDP 기록에 대한 S3 버킷 암호화 구성
연결 기록은 RDP 기록을 활성화할 때 지정한 S3 버킷에 저장됩니다.
KMS 키를 S3 버킷(SSE-KMS)의 기본 암호화 메커니즘으로 사용하는 경우 ssm-guiconnect 서비스 위탁자가 키에 대한 kms:GenerateDataKey 작업에 액세스할 수 있도록 허용해야 합니다. S3 버킷에서 SSE-KMS 암호화를 사용할 때는 고객 관리형 키를 사용하는 것이 좋습니다. 고객 관리형 키에 연결된 키 정책을 업데이트할 수 있기 때문입니다. AWS 관리형 키에 대한 키 정책은 업데이트할 수 없습니다.
중요
Just-in-Time 노드 액세스에서 Session Manager 암호화 및 RDP 기록에 사용되는 AWS KMS 키에 태그 키 SystemsManagerJustInTimeNodeAccessManaged 및 태그 값 true를 사용하여 태그를 지정해야 합니다.
KMS 키 태그 지정에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 Tags in AWS KMS를 참조하세요.
다음과 같은 고객 관리형 키 정책을 사용하여 S3 스토리지용 KMS 키에 대한 ssm-guiconnect 서비스 액세스를 허용합니다. 고객 관리형 키의 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 Change a key policy를 참조하세요.
각 example resource placeholder를 사용자의 정보로 바꿉니다.
-
account-id는 연결을 시작하는 AWS 계정의 ID를 나타냅니다. -
region은 S3 버킷이 있는 AWS 리전을 나타냅니다. (버킷이 여러 리전에서 기록을 수신하는 경우*를 사용할 수 있습니다. 예:s3.*.amazonaws.com.)
참고
계정이 AWS Organizations의 조직에 속하는 경우 aws:SourceAccount 대신 정책에서 aws:SourceOrgID를 사용할 수 있습니다.
{ "Sid": "Allow the GUI Connect service principal to access S3", "Effect": "Allow", "Principal": { "Service": "ssm-guiconnect.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "kms:ViaService": "s3.region.amazonaws.com" } } }
RDP 연결 기록을 위한 IAM 권한 구성
JIT(Just-in-Time) 노드 액세스에 필요한 IAM 권한 외에도 사용하는 사용자 또는 역할에 수행해야 하는 작업에 따라 다음 권한이 허용되어야 합니다.
연결 기록 구성을 위한 권한
RDP 연결 기록을 구성하려면 다음 권한이 필요합니다.
-
ssm-guiconnect:UpdateConnectionRecordingPreferences -
ssm-guiconnect:GetConnectionRecordingPreferences -
ssm-guiconnect:DeleteConnectionRecordingPreferences -
kms:CreateGrant
연결을 시작하기 위한 권한
JIT(Just-in-Time) 노드 액세스 권한이 있는 RDP 연결을 만들려면 다음 권한이 필요합니다.
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection -
kms:CreateGrant
시작하기 전 준비 사항
연결 기록을 저장하려면 먼저 S3 버킷을 생성하고 다음 버킷 정책을 추가해야 합니다. 각 example resource placeholder를 사용자의 정보로 바꿉니다.
(버킷 정책 추가에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionRecording", "Effect": "Allow", "Principal": { "Service": [ "ssm-guiconnect.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::bucket name", "arn:aws:s3:::bucket name/*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" } } } ] }
RDP 연결 기록 활성화 및 구성
다음 절차에서는 RDP 연결 기록을 활성화하고 구성하는 방법을 설명합니다.
RDP 연결 기록을 활성화 및 구성하려면
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
탐색 창에서 설정을 선택합니다.
-
JIT(Just-in-Time) 노드 액세스 탭을 선택합니다.
-
RDP 기록 섹션에서 RDP 기록 활성화를 선택합니다.
-
세션 기록을 업로드할 S3 버킷을 선택합니다.
-
Systems Manager 리소스에서 생성 및 저장되는 동안 기록 데이터를 일시적으로 암호화하는 데 사용할 고객 관리형 키를 선택합니다. (이는 버킷을 암호화하는 데 사용하는 것과 다른 고객 관리형 키일 수 있습니다.)
-
저장을 선택합니다.
RDP 연결 기록 상태 값
RPD 연결 기록에 유효한 상태 값은 다음과 같습니다.
-
Recording- 연결이 기록되는 중입니다. -
Processing- 연결이 종료된 후 비디오가 처리되고 있습니다. -
Finished- 성공적인 터미널 상태: 연결 기록 비디오가 성공적으로 처리되어 지정된 버킷에 업로드되었습니다. -
Failed- 실패한 터미널 상태입니다. 연결이 성공적으로 기록되지 않았습니다. -
ProcessingError- 비디오 처리 중에 하나 이상의 중간 장애/오류가 발생했습니다. 잠재적 원인에는 기록 저장을 위해 지정된 S3 버킷에 대한 잘못된 구성으로 인한 서비스 종속성 실패 또는 권한 누락이 포함됩니다. 기록이 이 상태일 때 서비스는 계속 처리를 시도합니다.
참고
ProcessingError는 연결이 설정된 후 S3 버킷에 객체를 업로드할 권한이 ssm-guiconnect 서비스 위탁자에게 없기 때문일 수 있습니다. 또 다른 잠재적 원인은 S3 버킷 암호화에 사용되는 KMS 키에 대한 KMS 권한이 누락되는 것입니다.
