使用远程桌面连接 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用远程桌面连接

借助 Amazon Systems Manager 的 Fleet Manager 功能,您可以使用远程桌面协议(RDP)连接到 Windows Server 2012R2 及更高版本的实例。这些由 NICE DCV 提供支持的远程桌面会话可以直接从浏览器连接到实例。使用 Fleet Manager,每个浏览器窗口最多可以连接四个实例。目前,Fleet Manager 仅支持英国英语输入。尽管你可以使用使用 RDP 通过 Fleet Manager 连接到实例,而无需打开任何入站端口,但目前 Fleet Manager 只支持使用原定设置 RDP 端口 3389 的操作系统配置。如果更改了实例上 RDP 侦听端口的值,Fleet Manager 将无法建立连接。连接到实例时,可以使用 Windows 凭证或与实例关联的 Amazon EC2 密钥对(.pem 文件)进行身份验证。有关 Amazon EC2 密钥对的信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南适用于 Windows 实例的 Amazon EC2 用户指南中的 Amazon EC2 密钥对和 Linux 实例以及 Amazon EC2 密钥对和 Windows 实例

或者,如果您已使用 Amazon IAM Identity Center (successor to Amazon Single Sign-On) 通过了 Amazon Web Services Management Console 身份验证,则 Fleet Manager 会与 IAM Identity Center 集成,以便您无需提供其他凭证,即可连接到您的实例。Fleet Manager 支持在启用 IAM Identity Center 的相同 Amazon Web Services 区域中使用经过 IAM Identity Center 身份验证的 RDP 连接,并且用户名最多可包含 16 个字符。对于经过 IAM Identity Center 身份验证的 RDP 连接,Fleet Manager 将在连接结束后仍然存在的实例上创建一个本地用户。对于作为 Microsoft Active Directory 域控制器的节点,不支持经过 IAM Identity Center 身份验证的 RDP 连接。

重要

请注意以下重要详细信息。

  • 要通过 RDP 使用 Fleet Manager,必须在实例上运行 SSM Agent 3.0.222.0 或更高版本。有关如何确定实例上运行的版本号的信息,请参阅 正在检查 SSM Agent 版本号。有关手动安装或自动更新 SSM Agent 的信息,请参阅 使用 SSM Agent

  • Fleet Manager RDP 连接的最长会话持续时间为 60 分钟。当达到该持续时间时,Fleet Manager 会断开会话的连接。可以使用您的凭证重新连接到同一会话。您还可以选择 Renew session(续订会话),以在会话结束之前重新启动持续时间计时器。

  • Fleet Manager RDP 连接的空闲会话超时为 10 分钟。当达到该持续时间时,Fleet Manager 会断开会话的连接。可以使用您的凭证重新连接到同一会话。

  • 如果您连接的是 Windows Server 2022 实例,则可能需要安装 2.2.2 或更高版本的 PSReadLine 模块,以确保在使用 PowerShell 时键盘功能正常。示例命令如下。

    Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2

由于 Fleet Manager 通过 RDP,使用 Session Manager 连接到 Windows 实例,您必须完成 Session Manager 的先决条件才能使用此功能。Session Manager 是 Amazon Systems Manager 的一项功能。使用 RDP 连接实例时,会应用 Amazon Web Services 账户 和 Amazon Web Services 区域 中的会话首选项。有关设置 Session Manager 的信息,请参阅 设置 Session Manager

除 Systems Manager 和 Session Manager 所需的 Amazon Identity and Access Management (IAM) 权限外,用于访问控制台的用户或角色还必须允许以下操作:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

以下是使用 RDP 与 Fleet Manager 连接到实例的示例 IAM policy。将每个示例资源占位符替换为您自己的信息。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }

通过 Fleet Manager,使用 RDP 连接实例

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Fleet Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后在导航窗格中选择 Fleet Manager

  3. 选择要使用 RDP 连接的实例旁边的按钮。

  4. Node actions(节点操作)菜单中,选择 Connect with Remote Desktop(连接远程桌面)。

  5. 选择首选的 Authentication type(身份验证类型)。如果您选择 User credentials(用户凭证),请输入连接到实例时要使用的 Windows 用户账户的用户名和密码。如果您选择 Key pair(密钥对),请选择 Browse local machine(浏览本地计算机)选项以浏览您的本地计算机,然后选择与实例关联的 PEM 密钥,或者在选择 Paste key pair content(粘贴密钥对内容)选项后,将内容复制并粘贴到空白字段中。

  6. 选择 Connect(连接)。