录制 RDP 连接 - Amazon Systems Manager
配置 IAM 权限以录制 RDP 连接
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

录制 RDP 连接

即时节点访问包括录制与 Windows Server 节点建立的 RDP 连接的功能。录制 RDP 连接需要 S3 存储桶和 Amazon Key Management Service(Amazon KMS)客户自主管理型密钥。当录制数据生成并存储在 Systems Manager 资源上时,KMS 密钥用于临时加密这些数据。上传到 S3 存储桶的录制内容不使用此密钥加密。客户自主管理型密钥必须是对称密钥,其密钥使用方式为加密和解密。您可以为组织使用多区域密钥,也可以在已启用即时节点访问的每个区域中创建客户自主管理型密钥。

配置 IAM 权限以录制 RDP 连接

除了即时节点访问所需的 IAM 权限外,根据您需要执行的任务,您使用的用户或角色还必须拥有以下权限。

配置连接录制的权限

要配置 RDP 连接录制,需要以下权限:

  • ssm-guiconnect:UpdateConnectionRecordingPreferences

  • ssm-guiconnect:GetConnectionRecordingPreferences

  • ssm-guiconnect:DeleteConnectionRecordingPreferences

  • kms:CreateGrant

启动连接的权限

要使用即时节点访问来建立 RDP 连接,需要以下权限:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

  • kms:CreateGrant

开始前的准备工作

要存储连接录制内容,必须先创建 S3 存储桶并添加以下存储桶策略。将每个示例资源占位符替换为您自己的信息。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket name", 
                "arn:aws:s3:::bucket name/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"123456789012"
                }
            }            
        }
    ]
}

有关添加存储桶策略的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 控制台添加存储桶策略

以下过程介绍如何启用和配置 RDP 连接录制。

配置 RDP 连接录制

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中选择设置

  3. 选择即时节点访问选项卡。

  4. RDP 录制部分中,选择启用 RDP 录制

  5. 请选择要将会话录制内容上传到的 S3 存储桶。

  6. 选择在录制数据生成并存储在 Systems Manager 资源上时要用于临时加密录制数据的客户自主管理型密钥。上传到 S3 存储桶的录制内容不使用此密钥加密。

  7. 选择保存