Connessione a un Windows Server istanza gestita utilizzando Remote Desktop - AWS Systems Manager
Configurazione dell'ambienteConfigurazione delle IAM autorizzazioni per Remote DesktopAutenticazione delle connessioni Desktop remotoDurata e simultaneità della connessione remotaConnessione a un nodo gestito tramite Desktop remoto

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a un Windows Server istanza gestita utilizzando Remote Desktop

È possibile utilizzare… Fleet Manager, una capacità di AWS Systems Manager, di connettersi al Windows Server Istanze Amazon Elastic Compute Cloud (AmazonEC2) che utilizzano Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, che è alimentato da Amazon DCV, ti offre una connettività sicura al tuo Windows Server istanze direttamente dalla console Systems Manager. È possibile avere fino a quattro connessioni simultanee in un'unica finestra del browser.

Attualmente, è possibile utilizzare Remote Desktop solo con istanze in esecuzione Windows Server 2012 RTM o versioni successive. Desktop remoto supporta solo input in lingua inglese.

Nota

Fleet Manager Remote Desktop è un servizio solo per console e non supporta le connessioni da riga di comando alle istanze gestite. Per connettersi a un Windows Server istanza gestita tramite una shell, puoi usare Session Manager, un'altra funzionalità di AWS Systems Manager. Per ulteriori informazioni, consulta AWS Systems Manager Session Manager.

Per informazioni sulla configurazione delle autorizzazioni AWS Identity and Access Management (IAM) per consentire alle istanze di interagire con Systems Manager, consulta Configurare le autorizzazioni delle istanze per Systems Manager.

Configurazione dell'ambiente

Prima di utilizzare Desktop remoto, verifica che il tuo ambiente soddisfi i requisiti seguenti:

  • Configurazione di nodi gestiti

    Assicurati che le tue EC2 istanze Amazon siano configurate come nodi gestiti in Systems Manager.

  • SSM Agent versione minima

    Verifica che i nodi siano in esecuzione SSM Agent versione 3.0.222.0 o successiva. Per informazioni su come verificare la versione dell'agente in esecuzione su un nodo, consulta Verifica del numero di versione di SSM Agent. Per informazioni sull'installazione o l'aggiornamento SSM Agent, consulta Utilizzo di SSM Agent.

  • RDPconfigurazione delle porte

    Per accettare connessioni remote, Remote Desktop Services servizio sul tuo Windows Server i nodi devono utilizzare la RDP porta predefinita 3389. Questa è la configurazione predefinita su Amazon Machine Images (AMIs) fornito da AWS. Non è richiesto esplicitamente di aprire alcuna porta in entrata per utilizzare Desktop remoto.

  • PSReadLine versione del modulo per la funzionalità della tastiera

    Per garantire che la tastiera funzioni correttamente in PowerShell, verifica che i nodi siano in esecuzione Windows Server 2022 hanno PSReadLine è installata la versione 2.2.2 o successiva del modulo. Se eseguono una versione precedente, è possibile installare la versione richiesta utilizzando i seguenti comandi.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Dopo aver installato il provider NuGet del pacchetto, esegui il comando seguente.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configurazione di Session Manager

    Prima di utilizzare Desktop remoto, è necessario completare i prerequisiti per l'installazione di Session Manager. Quando ti connetti a un'istanza utilizzando Remote Desktop, Regione AWS vengono applicate tutte le preferenze di sessione definite per il tuo Account AWS e. Per ulteriori informazioni, consulta Configurazione di Session Manager.

    Nota

    Se registri l'attività di Session Manager utilizzando Amazon Simple Storage Service (Amazon S3), le connessioni Desktop remoto genereranno l'errore seguente in bucket_name/Port/stderr. Questo errore è previsto e può essere ignorato.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configurazione delle IAM autorizzazioni per Remote Desktop

Oltre alle IAM autorizzazioni richieste per Systems Manager e Session Manager, l'utente o il ruolo utilizzato per accedere alla console deve consentire le seguenti azioni:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Di seguito sono riportati alcuni esempi IAM di policy che è possibile allegare a un utente o a un ruolo per consentire diversi tipi di interazione con Remote Desktop. Sostituisci ciascuno example resource placeholder con le tue informazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
Nota

Nella seguente IAM politica, la SSMStartSession sezione richiede un Amazon Resource Name (ARN) per l'ssm:StartSessionazione. Come mostrato, ARN il valore specificato non richiede un Account AWS ID. Se si specifica un ID di account, Fleet Manager restituisce unAccessDeniedException.

La AccessTaggedInstances sezione, che si trova più in basso nella politica di esempio, richiede anche ARNs forssm:StartSession. Per quelliARNs, devi specificare Account AWS IDs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}

Autenticazione delle connessioni Desktop remoto

Quando si stabilisce una connessione remota, è possibile autenticarsi utilizzando Windows credenziali o la coppia di EC2 chiavi Amazon (.pemfile) associata all'istanza. Per informazioni sull'uso delle coppie di chiavi, consulta Amazon EC2 key pairs e Windows istanze nella Amazon EC2 User Guide.

In alternativa, se sei autenticato all' AWS Management Console utilizzo AWS IAM Identity Center, puoi connetterti alle tue istanze senza fornire credenziali aggiuntive. Per un esempio di policy per consentire l'autenticazione della connessione remota tramite IAM Identity Center, consulta. Configurazione delle IAM autorizzazioni per Remote Desktop

Prima di iniziare

Tieni presente le seguenti condizioni per l'utilizzo IAM dell'autenticazione Identity Center prima di iniziare la connessione tramite Remote Desktop.

  • Remote Desktop supporta l'autenticazione IAM Identity Center per i nodi nello stesso in Regione AWS cui è stato abilitato IAM Identity Center.

  • Remote Desktop supporta nomi utente di IAM Identity Center composti da un massimo di 16 caratteri.

  • Remote Desktop supporta i nomi utente di IAM Identity Center composti da caratteri alfanumerici e dai seguenti caratteri speciali: . - _

    Importante

    Le connessioni non avranno esito positivo per i nomi utente di IAM Identity Center che contengono i seguenti caratteri: + = ,

    IAMIdentity Center supporta questi caratteri nei nomi utente, ma Fleet Manager RDPle connessioni no.

    Inoltre, se il nome utente di IAM Identity Center contiene uno o più @ simboli, Fleet Manager ignora il primo @ simbolo e tutti i caratteri che lo seguono, indipendentemente dal fatto che @ introduca o meno la parte di dominio di un indirizzo e-mail. Ad esempio, per il nome utente di IAM Identity Centerdiego_ramirez@example.com, la @example.com parte viene ignorata e il nome utente per Fleet Manager diventadiego_ramirez. Perdiego_r@mirez@example.com, Fleet Manager dissaluti @mirez@example.com e il nome utente per Fleet Manager diventadiego_r.

  • Quando una connessione viene autenticata tramite IAM Identity Center, Remote Desktop crea una connessione locale Windows utente nel gruppo Local Administrators dell'istanza. Questo utente persiste dopo la fine della connessione remota.

  • Remote Desktop non consente IAM l'autenticazione dell'Identity Center per i nodi che sono Microsoft Active Directory controller di dominio.

  • Sebbene Remote Desktop consenta di utilizzare l'autenticazione IAM Identity Center per i nodi uniti a un Active Directory dominio, non è consigliabile farlo. Questo metodo di autenticazione concede autorizzazioni amministrative agli utenti che potrebbero sovrascrivere le autorizzazioni più restrittive concesse dal dominio.

Regioni supportate per IAM l'autenticazione dell'Identity Center

Remote Desktop le connessioni che utilizzano l'autenticazione IAM Identity Center sono supportate nei seguenti casi Regioni AWS:

  • Stati Uniti orientali (Ohio) (us-east-2)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

  • Stati Uniti occidentali (California settentrionale) (us-west-1)

  • Stati Uniti occidentali (Oregon) (us-west-2)

  • Africa (Città del Capo) (af-south-1)

  • Asia Pacifico (Hong Kong) (ap-east-1)

  • Asia Pacifico (Mumbai) (ap-south-1)

  • Asia Pacifico (Tokyo) (ap-northeast-1)

  • Asia Pacifico (Seoul) (ap-northeast-2)

  • Asia Pacifico (Osaka-Locale) (ap-northeast-3)

  • Asia Pacifico (Singapore) (ap-southeast-1)

  • Asia Pacifico (Sydney) (ap-southeast-2)

  • Asia Pacific (Giacarta) (ap-southeast-3)

  • Canada (Centrale) (ca-central-1)

  • Europa (Francoforte) (eu-central-1)

  • Europa (Stoccolma) (eu-north-1)

  • Europa (Irlanda) (eu-west-1)

  • Europa (Londra) (eu-west-2)

  • Europe (Parigi) (eu-west-3)

  • Israele (Tel Aviv) (il-central-1)

  • Sud America (San Paolo) (sa-east-1)

  • Europa (Milano) (eu-south-1)

  • Medio Oriente (Bahrein) (me-south-1)

  • AWS GovCloud (Stati Uniti orientali) (us-gov-east-1)

  • AWS GovCloud (Stati Uniti occidentali) (us-gov-west-1)

Durata e simultaneità della connessione remota

Le seguenti condizioni si applicano alle connessioni Desktop remoto attive:

  • Durata della connessione

    Per impostazione predefinita, una connessione Desktop remoto viene interrotta dopo 60 minuti. Per evitare che una connessione venga interrotta, puoi scegliere Rinnova sessione prima di disconnetterti per reimpostare il timer di durata.

  • Timeout di connessione

    Una connessione Desktop remoto si interrompe dopo essere rimasta inattiva per più di 10 minuti.

  • Connessioni simultanee

    Per impostazione predefinita, è possibile avere un massimo di 5 connessioni Desktop remoto attive contemporaneamente per la stessa Account AWS e Regione AWS. Per richiedere un aumento di quote di servizio fino a 25 connessioni simultanee, consulta Richiesta di aumento delle quote nella Guida per l'utente di Service Quotas.

Connessione a un nodo gestito tramite Desktop remoto

Supporto per il copia/incolla del testo nel browser

Utilizzando i browser Google Chrome e Microsoft Edge, puoi copiare e incollare testo da un nodo gestito al tuo computer locale e dal tuo computer locale a un nodo gestito a cui sei connesso.

Utilizzando il browser Mozilla Firefox, puoi copiare e incollare il testo da un nodo gestito solo sul tuo computer locale. La copia dal computer locale al nodo gestito non è supportata.

Per connettersi a un nodo gestito utilizzando Fleet Manager Remote Desktop (Desktop remoto)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Fleet Manager.

  3. Scegli il nodo a cui desideri connetterti. Puoi selezionare la casella di controllo o il nome del nodo.

  4. Nel menu Azioni di nodi, scegli Connessione con Desktop remoto.

  5. Scegli il tuo Tipo di autenticazione preferito. Se scegli Credenziali utente, inserisci il nome utente e la password per Windows account utente sul nodo a cui ti stai connettendo. Se scegli Coppia di chiavi, puoi fornire l'autenticazione utilizzando uno dei seguenti metodi:

    1. Scegli Browse local machine se desideri selezionare la PEM chiave associata all'istanza dal tuo file system locale.

      oppure

    2. Scegli Incolla contenuto key pair se desideri copiare il contenuto del PEM file e incollarlo nel campo fornito.

  6. Seleziona Connetti.

  7. Per scegliere la risoluzione dello schermo preferita, nel menu Azioni, scegli Risoluzioni, quindi seleziona una delle seguenti opzioni:

    • Adatta automaticamente

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    L'opzione Adatta automaticamente imposta la risoluzione in base alle dimensioni dello schermo rilevate.