錄製 RDP 連線 - AWS Systems Manager
設定 RDP 錄製的 S3 儲存貯體加密設定錄製 RDP 連線的 IAM 許可啟用和設定 RDP 連線錄製RDP 連線錄製狀態值

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

錄製 RDP 連線

即時節點存取包括錄製對 Windows Server 節點進行的 RDP 連線。錄製 RDP 連線需要 S3 儲存貯體和 AWS Key Management Service (AWS KMS) 客戶自管金鑰。在記錄資料產生並存放在 Systems Manager 資源時, AWS KMS key 會用來暫時加密記錄資料。客戶自管金鑰必須是具有加密和解密金鑰使用功能的對稱金鑰。您可以為組織使用多區域金鑰,或者在已啟用即時節點存取的每個區域中建立客戶自管金鑰。

如果您已在儲存錄製的 S3 儲存貯體上啟用 KMS 加密,則必須為 ssm-guiconnect 服務主體提供用於儲存貯體加密的客戶自管金鑰的存取權限。此客戶自管金鑰可以是不同於您在錄製設定中指定的金鑰,其中必須包含建立連線所需的 kms:CreateGrant 許可。

設定 RDP 錄製的 S3 儲存貯體加密

您的連線錄製會存放在您在啟用 RDP 錄製時指定的 S3 儲存貯體中。

如果您使用 KMS 金鑰作為 S3 儲存貯體 (SSE-KMS) 的預設加密機制,則必須允許 ssm-guiconnect 服務主體存取金鑰上的 kms:GenerateDataKey 動作。建議在搭配使用 SSE-KMS 加密和 S3 儲存貯體時,使用客戶自管金鑰。這是因為您可以更新客戶自管金鑰的相關金鑰政策。您無法更新 的金鑰政策 AWS 受管金鑰。

重要

您必須使用標籤 AWS KMS 金鑰 和標籤值 ,在just-in-time節點存取中標記用於Session Manager加密SystemsManagerJustInTimeNodeAccessManaged和 RDP 記錄的金鑰true

如需有關標記 KMS 金鑰的資訊,請參閱 AWS Key Management Service Developer Guide 中的 Tags in AWS KMS

使用下列客戶自管金鑰政策,可允許 ssm-guiconnect 服務存取 S3 儲存的 KMS 金鑰。如需有關更新客戶自管金鑰的資訊,請參閱 AWS Key Management Service Developer Guide 中的 Change a key policy

使用您自己的資訊取代每個範例資源預留位置

  • account-id 代表啟動連線的 AWS 帳戶 ID。

  • region 代表 S3 AWS 區域 儲存貯體所在的 。(如果儲存貯體會收到來自多個區域的錄製,您可以使用 *。範例:s3.*.amazonaws.com。)

注意

如果帳戶屬於 AWS Organizations中的組織,您可以在政策中使用 aws:SourceOrgID,而不是 aws:SourceAccount

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

設定錄製 RDP 連線的 IAM 許可

除了即時節點存取所需的 IAM 許可之外,還必須根據要執行的任務,授予您要使用的使用者或角色下列許可。

設定連線錄製的許可

若要設定 RDP 連線錄製,需要下列許可:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

啟動連線的許可

若要使用 RDP 連線進行即時節點存取,需要下列許可:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

開始之前

若要存放連線錄製,您必須先建立 S3 儲存貯體,並新增下列儲存貯體政策。將每個範例資源預留位置取代為您自己的資訊。

(如需有關新增儲存貯體政策的資訊,請參閱 Amazon Simple Storage Service User Guide 中的 Adding a bucket policy by using the Amazon S3 console。)

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}

啟用和設定 RDP 連線錄製

下列程序說明如何啟用和設定 RDP 連線錄製。

啟用和設定 RDP 連線錄製

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選取設定

  3. 選取即時節點存取索引標籤。

  4. RDP 錄製區段中,選取啟用 RDP 錄製

  5. 選擇您要向其上傳工作階段錄製的 S3 儲存貯體。

  6. 選擇您要使用的客戶自管金鑰,用於暫時加密在 Systems Manager 資源上產生和存放的錄製資料。(此客戶自管金鑰可以與您用來加密儲存貯體的客戶自管金鑰不同。)

  7. 選取 Save (儲存)。

RDP 連線錄製狀態值

RPD 連線錄製的有效狀態值包括下列項目:

  • Recording – 連線正在進行錄製

  • Processing – 連線終止後正在處理影片。

  • Finished – 成功的終止狀態:連線錄製影片已成功處理並上傳至指定的儲存貯體。

  • Failed – 失敗的終止狀態。未成功錄製連線。

  • ProcessingError – 影片處理期間發生一或多個中繼失敗/錯誤。可能的原因包括服務相依性失敗,或由於指定用於儲存錄製的 S3 儲存貯體上存在設定錯誤而缺少許可。錄製處於此狀態時,服務會繼續嘗試處理。

注意

ProcessingError 可能是連線建立後,ssm-guiconnect 服務主體沒有許可將物件上傳至 S3 儲存貯體的結果。另一個可能原因是用於 S3 儲存貯體加密的 KMS 金鑰缺少 KMS 許可。