記錄 RDP 連線 - AWS Systems Manager
設定 RDP 記錄的 S3 儲存貯體加密設定記錄 RDP 連線的 IAM 許可啟用和設定 RDP 連線記錄RDP 連線記錄狀態值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

記錄 RDP 連線

Just-in-time節點存取包括記錄對Windows Server節點進行的 RDP 連線的能力。記錄 RDP 連線需要 S3 儲存貯體和 AWS Key Management Service (AWS KMS) 客戶受管金鑰。 AWS KMS key 用於暫時加密在 Systems Manager 資源上產生和存放的錄製資料。客戶受管金鑰必須是具有加密和解密金鑰使用情況的對稱金鑰。您可以為您的組織使用多區域金鑰,或者您必須在已啟用just-in-time節點存取的每個區域中建立客戶受管金鑰。

如果您已在儲存記錄的 S3 儲存貯體上啟用 KMS 加密,您必須將用於儲存貯體加密的客戶受管金鑰存取權提供給ssm-guiconnect服務主體。此客戶受管金鑰可以是不同於您在記錄設定中指定的金鑰,其中必須包含建立連線所需的kms:CreateGrant許可。

設定 RDP 記錄的 S3 儲存貯體加密

您的連線記錄會存放在您在啟用 RDP 記錄時指定的 S3 儲存貯體中。

如果您使用 KMS 金鑰做為 S3 儲存貯體 (SSE-KMS) 的預設加密機制,您必須允許ssm-guiconnect服務主體存取金鑰上的kms:GenerateDataKey動作。建議在搭配 S3 儲存貯體使用 SSE-KMS 加密時,使用客戶受管金鑰。這是因為您可以更新客戶受管金鑰的相關金鑰政策。您無法更新 的金鑰政策 AWS 受管金鑰。

重要

您必須使用標籤 AWS KMS 金鑰 和標籤值 ,在just-in-time節點存取中標記用於Session Manager加密SystemsManagerJustInTimeNodeAccessManaged和 RDP 記錄的金鑰true

如需有關標記 KMS 金鑰的資訊,請參閱《 AWS Key Management Service 開發人員指南中的 中的標籤 AWS KMS

使用下列客戶受管金鑰政策,允許ssm-guiconnect服務存取 S3 儲存的 KMS 金鑰。如需有關更新客戶受管金鑰的資訊,請參閱《 AWS Key Management Service 開發人員指南》中的變更金鑰政策

將每個範例資源預留位置取代為您自己的資訊:

  • account-id 代表啟動連線 AWS 帳戶 的 ID。

  • region 代表 S3 AWS 區域 儲存貯體所在的 。(*如果儲存貯體將收到來自多個區域的錄音,您可以使用 。 範例:s3.*.amazonaws.com。)

注意

您可以在政策aws:SourceOrgID中使用 ,而不是aws:SourceAccount如果帳戶屬於 組織 AWS Organizations。

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

設定記錄 RDP 連線的 IAM 許可

除了just-in-time節點存取所需的 IAM 許可之外,還必須根據您需要執行的任務,允許您使用的使用者或角色下列許可。

設定連線錄製的許可

若要設定 RDP 連線錄製,需要下列許可:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

啟動連線的許可

若要使用just-in-time節點存取進行 RDP 連線,需要下列許可:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

開始之前

若要存放連線錄音,您必須先建立 S3 儲存貯體,並新增下列儲存貯體政策。將每個範例資源預留位置取代為您自己的資訊。

(如需新增儲存貯體政策的相關資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策。) 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

啟用和設定 RDP 連線記錄

下列程序說明如何啟用和設定 RDP 連線記錄。

啟用和設定 RDP 連線記錄

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選取設定

  3. 選取Just-in-time節點存取索引標籤。

  4. RDP 錄製區段中,選取啟用 RDP 錄製

  5. 選擇您要上傳工作階段錄製的 S3 儲存貯體。

  6. 選擇您要使用的客戶受管金鑰,在記錄資料產生並存放在 Systems Manager 資源時暫時加密記錄資料。(這可以是不同於您用來加密儲存貯體的客戶受管金鑰。)

  7. 選取 Save (儲存)。

RDP 連線記錄狀態值

RPD 連線記錄的有效狀態值包括下列項目:

  • Recording - 連線正在進行記錄

  • Processing - 連線終止後正在處理影片。

  • Finished - 成功的終端狀態:連線錄製影片已成功處理並上傳至指定的儲存貯體。

  • Failed - 失敗的終端機狀態。未成功記錄連線。

  • ProcessingError - 影片處理期間發生一或多個中繼失敗/錯誤。可能的原因包括服務相依性失敗,或由於在用於儲存記錄的 S3 儲存貯體上設定錯誤而缺少許可。當錄製處於此狀態時,服務會繼續嘗試處理。

注意

ProcessingError 可能是建立連線後ssm-guiconnect,服務主體沒有許可將物件上傳至 S3 儲存貯體的結果。另一個潛在原因是缺少用於 S3 儲存貯體加密之 KMS 金鑰的 KMS 許可。