录制 RDP 连接 - Amazon Systems Manager
配置用于 RDP 录制的 S3 存储桶加密配置 IAM 权限以录制 RDP 连接启用和配置 RDP 连接录制RDP 连接录制状态值
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

录制 RDP 连接

即时节点访问包括录制与 Windows Server 节点建立的 RDP 连接的功能。录制 RDP 连接需要 S3 存储桶和 Amazon Key Management Service(Amazon KMS)客户自主管理型密钥。当录制数据生成并存储在 Systems Manager 资源上时,Amazon KMS key用于临时加密这些数据。客户自主管理型密钥必须是对称密钥,其密钥使用方式为加密和解密。您可以为组织使用多区域密钥,也可以在已启用即时节点访问的每个区域中创建客户自主管理型密钥。

如果您在存储录制的 S3 存储桶上启用了 KMS 加密,则必须向 ssm-guiconnect 服务主体提供存储桶加密所用客户自主管理型密钥的访问权限。该客户自主管理型密钥可以与录制设置中指定的密钥不同,录制设置中必须包含建立连接所需的 kms:CreateGrant 权限。

配置用于 RDP 录制的 S3 存储桶加密

连接录制将存储在启用 RDP 录制时指定的 S3 存储桶中。

如果将 KMS 密钥作为 S3 存储桶的默认加密机制(SSE-KMS),则必须允许 ssm-guiconnect 服务主体访问该密钥的 kms:GenerateDataKey 操作。我们建议在将 SSE-KMS 加密用于 S3 存储桶时使用客户自主管理型密钥。这是因为您可以更新客户自主管理型密钥的关联密钥策略。您无法更新 Amazon 托管式密钥的密钥策略。

重要

您必须使用标签键 SystemsManagerJustInTimeNodeAccessManaged 和标签值 true 来标记用于即时节点访问中的 Session Manager 加密和 RDP 记录的 Amazon KMS 密钥。

有关标记 KMS 密钥的信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Tags in Amazon KMS

使用以下客户自主管理型密钥策略允许 ssm-guiconnect 服务访问 S3 存储的 KMS 密钥。有关更新客户自主管理型密钥的信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Change a key policy

将每个示例资源占位符替换为您自己的信息:

  • account-id 表示发起连接的 Amazon Web Services 账户 的 ID。

  • region 表示 S3 存储桶所在的 Amazon Web Services 区域。(如果存储桶将接收来自多个区域的录音,则可以使用 *。示例:s3.*.amazonaws.com。)

注意

如果账户属于 Amazon Organizations 中的某个组织,则可以在策略中使用 aws:SourceOrgID,而不是 aws:SourceAccount

{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}

配置 IAM 权限以录制 RDP 连接

除了即时节点访问所需的 IAM 权限外,根据您需要执行的任务,您使用的用户或角色还必须拥有以下权限。

配置连接录制的权限

要配置 RDP 连接录制,需要以下权限:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

启动连接的权限

要使用即时节点访问来建立 RDP 连接,需要以下权限:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

开始前的准备工作

要存储连接录制内容,必须先创建 S3 存储桶并添加以下存储桶策略。将每个示例资源占位符替换为您自己的信息。

(有关添加存储桶策略的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 控制台添加存储桶策略。)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

启用和配置 RDP 连接录制

以下过程介绍如何启用和配置 RDP 连接录制。

启用和配置 RDP 连接录制

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中选择设置

  3. 选择即时节点访问选项卡。

  4. RDP 录制部分中,选择启用 RDP 录制

  5. 请选择要将会话录制内容上传到的 S3 存储桶。

  6. 选择在录制数据生成并存储在 Systems Manager 资源上时要用于临时加密录制数据的客户自主管理型密钥。(这可以与您用于加密存储桶的客户自主管理型密钥不同。)

  7. 选择保存

RDP 连接录制状态值

RPD 连接录制的有效状态值如下:

  • Recording:正在录制连接

  • Processing:连接终止后正在处理视频。

  • Finished:最终成功状态;连接录制视频处理成功并上已传到指定存储桶。

  • Failed:最终失败状态。连接录制未成功。

  • ProcessingError:视频处理过程中出现一个或多个中间故障/错误。可能的原因包括服务依赖项故障,或指定用于存储录制的 S3 存储桶配置错误导致的权限缺失。处于此录制状态时,服务会继续尝试处理。

注意

ProcessingError 可能是因 ssm-guiconnect 服务主体在建立连接后缺乏将对象上传到 S3 存储桶的权限所致。另一个可能的原因是缺少用于 S3 存储桶加密的 KMS 密钥的 KMS 权限。