Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à un Windows Server instance gérée à l'aide de Remote Desktop
Vous pouvez utiliser … Fleet Manager, une capacité de AWS Systems Manager, pour se connecter à votre Windows Server Instances Amazon Elastic Compute Cloud (AmazonEC2) qui utilisent Remote Desktop Protocol (RDP). Fleet Manager Le Bureau à distance, qui est alimenté par Amazon DCV, vous fournit une connectivité sécurisée à votre Windows Server instances directement depuis la console Systems Manager. Vous pouvez établir jusqu'à quatre connexions simultanées dans une seule fenêtre de navigateur.
Actuellement, vous ne pouvez utiliser le Bureau à distance qu'avec des instances en cours d'exécution Windows Server 2012 RTM ou version ultérieure. Le Bureau à distance prend uniquement en charge la langue anglaise.
Note
Fleet Manager Remote Desktop est un service réservé à la console et ne prend pas en charge les connexions en ligne de commande à vos instances gérées. Pour vous connecter à un Windows Server instance gérée via un shell, vous pouvez utiliser Session Manager, une autre fonctionnalité de AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Session Manager.
Pour plus d'informations sur la configuration des autorisations AWS Identity and Access Management (IAM) pour autoriser vos instances à interagir avec Systems Manager, veuillez consulter la rubrique Configurer des autorisations d'instance pour Systems Manager.
Rubriques
- Configuration de votre environnement
- Configuration des IAM autorisations pour le Bureau à distance
- Authentification des connexions Bureau à distance
- Durée et simultanéité des connexions distantes
- Connexion à un nœud géré à l'aide du Bureau à distance
- Affichage des informations sur les connexions en cours et terminées
Configuration de votre environnement
Avant d'utiliser le Bureau à distance, vérifiez que votre environnement respecte les conditions requises suivantes :
-
Configuration des nœuds gérés
Assurez-vous que vos EC2 instances Amazon sont configurées en tant que nœuds gérés dans Systems Manager.
-
SSM Agent version minimale
Vérifiez que les nœuds sont en cours d'exécution SSM Agent version 3.0.222.0 ou supérieure. Pour plus d'informations sur la vérification de la version de l'agent exécutée sur un nœud, veuillez consulter la rubrique Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation ou la mise à jour SSM Agent, voir Utilisation de l’option SSM Agent.
-
RDPconfiguration des ports
Pour accepter les connexions à distance, Remote Desktop Services service sur votre Windows Server les nœuds doivent utiliser le RDP port par défaut 3389. Il s'agit de la configuration par défaut sur Amazon Machine Images (AMIs) fourni par AWS. Vous n'êtes pas explicitement obligé d'ouvrir des ports entrants pour utiliser le Bureau à distance.
-
PSReadLine version du module pour les fonctionnalités du clavier
Pour garantir le bon fonctionnement de votre clavier dans PowerShell, vérifiez que les nœuds s'exécutent Windows Server 2022 ont PSReadLine module version 2.2.2 ou supérieure installée. S'ils utilisent une version antérieure, vous pouvez installer la version requise à l'aide des commandes suivantes.
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceUne fois le fournisseur de NuGet package installé, exécutez la commande suivante.
Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2 -Force -
Configuration de Session Manager
Avant de pouvoir utiliser le Bureau à distance, vous devez remplir les conditions suivantes pour la configuration de Session Manager. Lorsque vous vous connectez à une instance à l'aide du Bureau à distance, toutes les préférences de session définies pour votre Compte AWS et votre Région AWS sont appliquées. Pour de plus amples informations, veuillez consulter Configuration de Session Manager.
Note
Si vous journalisez l'activité de Session Manager à l'aide d'Amazon Simple Storage Service (Amazon S3), vos connexions Bureau à distance génèrent l'erreur suivante dans
bucket_name/Port/stderr. Cette erreur est prévue et peut être ignorée sans risque.Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest> <ClientErrorMessage>Session is already terminated</ClientErrorMessage> </BadRequest>
Configuration des IAM autorisations pour le Bureau à distance
Outre les IAM autorisations requises pour Systems Manager et Session Manager, l'utilisateur ou le rôle que vous utilisez doit être autorisé à établir des connexions.
Autorisations pour initier des connexions
Pour établir RDP des connexions aux EC2 instances de la console, les autorisations suivantes sont requises :
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection
Autorisations pour répertorier des connexions
Pour afficher les listes de connexions dans la console, les autorisations suivantes sont requises :
ssm-guiconnect:ListConnections
Vous trouverez ci-dessous des exemples de IAM politiques que vous pouvez attacher à un utilisateur ou un rôle pour permettre différents types d'interaction avec le Bureau à distance. Remplacez chacun example resource placeholder avec vos propres informations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
Note
Dans la IAM politique suivante, la SSMStartSession section nécessite un nom de ressource Amazon (ARN) pour l'ssm:StartSessionaction. Comme indiqué, le ARN que vous spécifiez ne nécessite pas d' Compte AWS identifiant. Si vous spécifiez un ID de compte, Fleet Manager renvoie unAccessDeniedException.
La AccessTaggedInstances section, située plus bas dans l'exemple de politique, nécessite ARNs égalementssm:StartSession. Pour ceux-làARNs, vous spécifiez Compte AWS IDs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ] }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
Authentification des connexions Bureau à distance
Lorsque vous établissez une connexion à distance, vous pouvez vous authentifier à l'aide de Windows les informations d'identification ou la paire de EC2 clés Amazon (.pemfichier) associée à l'instance. Pour plus d'informations sur l'utilisation des paires de clés, consultez Amazon EC2 Key Pairs et Windows des instances dans le guide de EC2 l'utilisateur Amazon.
Sinon, si vous êtes authentifié à la à l' AWS Management Console aide de AWS IAM Identity Center, vous pouvez vous connecter à vos instances sans fournir d'informations d'identification supplémentaires. Pour obtenir un exemple de politique permettant l'authentification des connexions distantes à l'aide d'IAMIdentity Center, veuillez consulter la rubriqueConfiguration des IAM autorisations pour le Bureau à distance.
Avant de commencer
Veuillez tenir compte des conditions suivantes pour l'utilisation de l'authentification IAM Identity Center avant de commencer à vous connecter via le Bureau à distance.
-
Le Bureau à distance prend en charge l'authentification IAM Identity Center pour les nœuds dans la dans Région AWS laquelle vous avez activé IAM Identity Center.
-
Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant jusqu'à 16 caractères.
-
Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant des caractères alphanumériques et les caractères spéciaux suivants :
.-_Important
Les connexions échoueront pour les noms d'utilisateur d'IAMIdentity Center contenant les caractères suivants :
+=,IAMIdentity Center prend en charge ces caractères dans les noms d'utilisateur, mais Fleet Manager RDPles connexions ne le font pas.
En outre, si le nom d'utilisateur d'IAMIdentity Center contient un ou plusieurs
@symboles, Fleet Manager ne tient pas compte du premier@symbole et de tous les caractères qui le suivent, qu'ils@introduisent ou non la partie domaine d'une adresse e-mail. Par exemple, pour le nom d'utilisateur d'IAMIdentity Centerdiego_ramirez@example.com, la@example.compartie est ignorée et le nom d'utilisateur pour Fleet Manager devientdiego_ramirez. Pourdiego_r@mirez@example.com, Fleet Manager ignore@mirez@example.com, et le nom d'utilisateur pour Fleet Manager devientdiego_r. -
Lorsqu'une connexion est authentifiée à l'aide IAM d'Identity Center, le Bureau à distance crée un local Windows utilisateur du groupe d'administrateurs locaux de l'instance. Cet utilisateur persiste après la fin de la connexion distante.
-
Le Bureau à distance n'autorise pas l'authentification IAM Identity Center pour les nœuds qui sont Microsoft Active Directory contrôleurs de domaine.
-
Bien que Remote Desktop vous permette d'utiliser IAM l'authentification Identity Center pour les nœuds joints à un Active Directory domaine, nous vous déconseillons de le faire. Cette méthode d'authentification accorde aux utilisateurs des autorisations administratives qui peuvent remplacer les autorisations plus restrictives accordées par le domaine.
Régions prises en charge pour IAM l'authentification Identity Center
Remote Desktop les connexions qui utilisent IAM l'authentification Identity Center sont prises en charge dans les suivantes Régions AWS :
-
USA Est (Ohio) (us-east-2)
-
USA Est (Virginie du Nord) (us-east-1)
-
US Ouest (N. California) (us-west-1)
-
USA Ouest (Oregon) (us-west-2)
-
Afrique (Le Cap) (af-south-1)
-
Asie-Pacifique (Hong Kong) (ap-east-1)
-
Asie-Pacifique (Mumbai) (ap-south-1)
-
Asie-Pacifique (Tokyo) (ap-northeast-1)
-
Asie-Pacifique (Séoul) (ap-northeast-2)
-
Asie-Pacifique (Osaka) (ap-northeast-3)
-
Asie-Pacifique (Singapour) (ap-southeast-1)
-
Asie-Pacifique (Sydney) (ap-southeast-2)
-
Asie-Pacifique (Jakarta) (ap-southeast-3)
-
Canada (Centre) (ca-central-1)
-
Europe (Francfort) (eu-central-1)
-
Europe (Stockholm) (eu-north-1)
-
Europe (Irlande) (eu-west-1)
-
Europe (Londres) (eu-west-2)
-
Europe (Paris) (eu-west-3)
-
Israël (Tel Aviv) (il-central-1)
-
Amérique du Sud (São Paulo) (sa-east-1)
-
Europe (Milan) (eu-south-1)
-
Moyen-Orient (Bahreïn) (me-south-1)
-
AWS GovCloud (USA Est) (us-gov-east-1)
-
AWS GovCloud (US-Ouest) (us-gov-west-1)
Durée et simultanéité des connexions distantes
Les conditions suivantes s'appliquent aux connexions Bureau à distance actives :
-
Durée de connexion
Par défaut, une connexion Bureau à distance est déconnectée au bout de 60 minutes. Pour empêcher la déconnexion d'une connexion, vous pouvez choisir Renouveler la session avant d'être déconnecté pour réinitialiser la durée.
-
Délai de connexion
Une connexion Bureau à distance se déconnecte après plus de 10 minutes d'inactivité.
-
Connexions simultanées
Par défaut, vous pouvez avoir un maximum de cinq connexions Bureau à distance actives à la fois pour le même Compte AWS et la même Région AWS. Pour demander une augmentation du quota de service allant jusqu'à 25 connexions simultanées, veuillez consulter la rubrique Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas.
Connexion à un nœud géré à l'aide du Bureau à distance
Support du copier-coller du texte dans le navigateur
À l'aide des navigateurs Google Chrome et Microsoft Edge, vous pouvez copier et coller du texte d'un nœud géré vers votre machine locale, et de votre machine locale vers un nœud géré auquel vous êtes connecté.
À l'aide du navigateur Mozilla Firefox, vous pouvez copier et coller du texte depuis un nœud géré vers votre ordinateur local uniquement. La copie de votre ordinateur local vers le nœud géré n'est pas prise en charge.
Pour vous connecter à un nœud géré à l'aide d' Fleet Manager Bureau à distance
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, choisissez Fleet Manager.
-
Choisissez le nœud auquel vous souhaitez vous connecter. Vous pouvez sélectionner la case à cocher ou le nom du nœud.
-
Dans le menu Actions du nœud, sélectionnez Se connecter au Bureau à distance.
-
Sélectionnez votre type d'authentification préféré dans le champ Authentication type (Type d'authentification). Si vous choisissez Identifiants d'utilisateur, entrez le nom d'utilisateur et le mot de passe pour Windows compte utilisateur sur le nœud auquel vous vous connectez. Si vous choisissez Paire de clés, vous pouvez fournir l'authentification à l'aide d'une des méthodes suivantes :
-
Choisissez Parcourir la machine locale si vous souhaitez sélectionner la PEM clé associée à votre instance dans votre système de fichiers local.
- ou -
-
Choisissez Coller le contenu de la paire de clés si vous souhaitez copier le contenu du PEM fichier et le coller dans le champ prévu à cet effet.
-
-
Cliquez sur Connect (Connexion).
-
Pour choisir votre résolution d'affichage préférée, dans le menu Actions, choisissez Resolutions (Résolutions), puis sélectionnez l'une des options suivantes :
-
Adaptation automatique
-
1920 x 1080
-
1400 x 900
-
1 366 x 768
-
800 x 600
L'option Adapt Automatically (Adapter automatiquement) définit la résolution en fonction de la taille d'écran détectée.
-
Affichage des informations sur les connexions en cours et terminées
Vous pouvez utiliser le plugin Fleet Manager section de la console Systems Manager pour afficher des informations sur RDP les connexions établies dans votre compte. À l'aide d'un ensemble de filtres, vous pouvez limiter la liste des connexions affichées à une plage de temps, à une instance spécifique, à l'utilisateur qui a établi les connexions et aux connexions ayant un statut spécifique. La console fournit également des onglets qui affichent des informations sur toutes les connexions actuellement actives et toutes les connexions passées.
Pour afficher des informations sur les connexions en cours et terminées
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, choisissez Fleet Manager.
-
Choisissez Gestion du compte, puis Connect with Remote Desktop.
-
Choisissez l'un des onglets suivants :
-
Connexions actives
-
Historique des connexions
-
-
Pour affiner davantage la liste des résultats de connexion affichés, spécifiez un ou plusieurs filtres dans le champ de recherche (
). Vous pouvez également saisir un terme de recherche en texte libre.
