Connessione a un Windows Server istanza gestita utilizzando Remote Desktop - AWS Systems Manager
Configurazione dell'ambienteConfigurazione delle autorizzazioni IAM per Desktop remotoAutenticazione delle connessioni Desktop remotoDurata e simultaneità della connessione remotaConnessione a un nodo gestito tramite Desktop remotoVisualizzazione delle informazioni sulle connessioni correnti e completate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a un Windows Server istanza gestita utilizzando Remote Desktop

È possibile utilizzare… Fleet Manager, uno strumento in AWS Systems Manager, per connettersi al Windows Server Istanze Amazon Elastic Compute Cloud (Amazon EC2) che utilizzano Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, basato su Amazon DCV, ti offre una connettività sicura al tuo Windows Server istanze direttamente dalla console Systems Manager. È possibile avere fino a quattro connessioni simultanee in un'unica finestra del browser.

Attualmente, è possibile utilizzare Remote Desktop solo con istanze in esecuzione Windows Server 2012 RTM o versione successiva. Desktop remoto supporta solo input in lingua inglese.

Nota

Fleet Manager Remote Desktop è un servizio solo per console e non supporta connessioni da riga di comando alle istanze gestite. Per connettersi a un Windows Server istanza gestita tramite una shell, puoi usare Session Manager, un altro strumento in AWS Systems Manager. Per ulteriori informazioni, consulta AWS Systems Manager Session Manager.

Per informazioni sulla configurazione delle autorizzazioni AWS Identity and Access Management (IAM) per consentire alle istanze di interagire con Systems Manager, consulta Configurare le autorizzazioni delle istanze per Systems Manager.

Configurazione dell'ambiente

Prima di utilizzare Desktop remoto, verifica che il tuo ambiente soddisfi i requisiti seguenti:

  • Configurazione di nodi gestiti

    Assicurati che le tue EC2 istanze Amazon siano configurate come nodi gestiti in Systems Manager.

  • SSM Agent versione minima

    Verifica che i nodi siano in esecuzione SSM Agent versione 3.0.222.0 o successiva. Per informazioni su come verificare la versione dell'agente in esecuzione su un nodo, consulta Verifica del SSM Agent numero di versione. Per informazioni sull'installazione o l'aggiornamento SSM Agent, consulta Utilizzo di SSM Agent.

  • Configurazione della porta RDP

    Per accettare connessioni remote, Remote Desktop Services servizio sul tuo Windows Server i nodi devono utilizzare la porta RDP 3389 predefinita. Questa è la configurazione predefinita su Amazon Machine Images (AMIs) fornito da AWS. Non è richiesto esplicitamente di aprire alcuna porta in entrata per utilizzare Desktop remoto.

  • PSReadLine versione del modulo per la funzionalità della tastiera

    Per garantire che la tastiera funzioni correttamente in PowerShell, verifica che i nodi siano in esecuzione Windows Server 2022 hanno PSReadLine è installata la versione 2.2.2 o successiva del modulo. Se i nodi utilizzano una versione precedente, è possibile installare la versione richiesta utilizzando i seguenti comandi.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Dopo aver installato il fornitore NuGet del pacchetto, esegui il comando seguente.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configurazione di Session Manager

    Prima di utilizzare Desktop remoto, è necessario completare i prerequisiti per l'installazione di Session Manager. Quando ti connetti a un'istanza utilizzando Remote Desktop, Regione AWS vengono applicate tutte le preferenze di sessione definite per il tuo Account AWS e. Per ulteriori informazioni, consulta Configurazione di Session Manager.

    Nota

    Se registri l'attività di Session Manager utilizzando Amazon Simple Storage Service (Amazon S3), le connessioni Desktop remoto genereranno l'errore seguente in bucket_name/Port/stderr. Questo errore è previsto e può essere ignorato.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configurazione delle autorizzazioni IAM per Desktop remoto

Oltre alle autorizzazioni IAM richieste per Systems Manager e Session Manager, all'utente o al ruolo utilizzato devono essere concesse le autorizzazioni per l'avvio delle connessioni.

Autorizzazioni per l'avvio delle connessioni

Per effettuare connessioni RDP alle EC2 istanze nella console, sono necessarie le seguenti autorizzazioni:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Autorizzazioni per elencare le connessioni

Per visualizzare gli elenchi di connessioni nella console, è richiesta la seguente autorizzazione:

ssm-guiconnect:ListConnections

Di seguito sono riportati alcuni esempi di policy IAM che è possibile collegare a un utente o a un ruolo per consentire diversi tipi di interazione con Desktop remoto. Sostituisci ogni example resource placeholder con le tue informazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
Nota

Nella seguente policy IAM, la sezione SSMStartSession richiede un nome della risorsa Amazon (ARN) per l'azione ssm:StartSession. Come mostrato, l'ARN specificato non richiede un Account AWS ID. Se si specifica un ID di account, Fleet Manager restituisce unAccessDeniedException.

La AccessTaggedInstances sezione, che si trova più in basso nella politica di esempio, richiede anche ARNs forssm:StartSession. Per quelli ARNs, devi specificare Account AWS IDs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Autenticazione delle connessioni Desktop remoto

Quando si stabilisce una connessione remota, è possibile autenticarsi utilizzando Windows credenziali o la coppia di EC2 chiavi Amazon (.pemfile) associata all'istanza. Per informazioni sull'uso delle coppie di chiavi, consulta Amazon EC2 key pairs e Windows istanze nella Amazon EC2 User Guide.

In alternativa, se sei autenticato all' AWS Management Console utilizzo AWS IAM Identity Center, puoi connetterti alle tue istanze senza fornire credenziali aggiuntive. Per un esempio di policy per consentire l'autenticazione della connessione remota utilizzando Centro identità IAM, consulta Configurazione delle autorizzazioni IAM per Desktop remoto.

Prima di iniziare

Osserva le seguenti condizioni per l'uso dell'autenticazione di Centro identità IAM prima di avviare la connessione utilizzando Desktop remoto.

  • Desktop remoto supporta l'autenticazione di Centro identità IAM per i nodi nella stessa Regione AWS in cui hai abilitato Centro identità IAM.

  • Desktop remoto supporta nomi utente di IAM Identity Center composti da un massimo di 16 caratteri.

  • Desktop remoto supporta nomi utente di IAM Identity Center composti da caratteri alfanumerici e dai seguenti caratteri speciali: . - _

    Importante

    Le connessioni non avranno esito positivo per i nomi utente di IAM Identity Center che contengono i seguenti caratteri: + = ,

    IAM Identity Center supporta questi caratteri nei nomi utente, ma Fleet Manager Le connessioni RDP non lo fanno.

    Inoltre, se un nome utente IAM Identity Center contiene uno o più @ simboli, Fleet Manager ignora il primo @ simbolo e tutti i caratteri che lo seguono, indipendentemente dal fatto che @ introduca o meno la parte di dominio di un indirizzo e-mail. Ad esempio, per il nome utente IAM Identity Centerdiego_ramirez@example.com, la @example.com parte viene ignorata e il nome utente per Fleet Manager diventadiego_ramirez. Perdiego_r@mirez@example.com, Fleet Manager dissaluti @mirez@example.com e il nome utente per Fleet Manager diventadiego_r.

  • Quando una connessione viene autenticata utilizzando IAM Identity Center, Remote Desktop crea una connessione locale Windows utente nel gruppo Local Administrators dell'istanza. Questo utente persiste dopo la fine della connessione remota.

  • Remote Desktop non consente l'autenticazione IAM Identity Center per i nodi che sono Microsoft Active Directory controller di dominio.

  • Sebbene Remote Desktop consenta di utilizzare l'autenticazione IAM Identity Center per i nodi uniti a un Active Directory dominio, non è consigliabile farlo. Questo metodo di autenticazione concede autorizzazioni amministrative agli utenti che potrebbero sovrascrivere le autorizzazioni più restrittive concesse dal dominio.

Regioni supportate per l'autenticazione di Centro identità IAM

Remote Desktop le connessioni che utilizzano l'autenticazione IAM Identity Center sono supportate nei seguenti casi Regioni AWS:

  • Stati Uniti orientali (Ohio) (us-east-2)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

  • Stati Uniti occidentali (California settentrionale) (us-west-1)

  • Stati Uniti occidentali (Oregon) (us-west-2)

  • Africa (Città del Capo) (af-south-1)

  • Asia Pacifico (Hong Kong) (ap-east-1)

  • Asia Pacifico (Mumbai) (ap-south-1)

  • Asia Pacifico (Tokyo) (ap-northeast-1)

  • Asia Pacifico (Seoul) (ap-northeast-2)

  • Asia Pacifico (Osaka-Locale) (ap-northeast-3)

  • Asia Pacifico (Singapore) (ap-southeast-1)

  • Asia Pacifico (Sydney) (ap-southeast-2)

  • Asia Pacific (Giacarta) (ap-southeast-3)

  • Canada (Centrale) (ca-central-1)

  • Europa (Francoforte) (eu-central-1)

  • Europa (Stoccolma) (eu-north-1)

  • Europa (Irlanda) (eu-west-1)

  • Europa (Londra) (eu-west-2)

  • Europe (Parigi) (eu-west-3)

  • Israele (Tel Aviv) (il-central-1)

  • Sud America (San Paolo) (sa-east-1)

  • Europa (Milano) (eu-south-1)

  • Medio Oriente (Bahrein) (me-south-1)

  • AWS GovCloud (Stati Uniti orientali) (us-gov-east-1)

  • AWS GovCloud (Stati Uniti occidentali) (us-gov-west-1)

Durata e simultaneità della connessione remota

Le seguenti condizioni si applicano alle connessioni Desktop remoto attive:

  • Durata della connessione

    Per impostazione predefinita, una connessione Desktop remoto viene interrotta dopo 60 minuti. Per evitare che una connessione venga interrotta, puoi scegliere Rinnova sessione prima di disconnetterti per reimpostare il timer di durata.

  • Timeout di connessione

    Una connessione Desktop remoto si interrompe dopo essere rimasta inattiva per più di 10 minuti.

  • Connessioni simultanee

    Per impostazione predefinita, è possibile avere un massimo di 5 connessioni Desktop remoto attive contemporaneamente per la stessa Account AWS e Regione AWS. Per richiedere un aumento di quote di servizio fino a 25 connessioni simultanee, consulta Richiesta di aumento delle quote nella Guida per l'utente di Service Quotas.

Connessione a un nodo gestito tramite Desktop remoto

Supporto per il copia/incolla del testo nel browser

Utilizzando i browser Google Chrome e Microsoft Edge, è possibile copiare e incollare testo da un nodo gestito al computer locale e dal computer locale a un nodo gestito a cui hai effettuato la connessione.

Utilizzando il browser Mozilla Firefox, è possibile copiare e incollare il testo da un nodo gestito solo sul proprio computer locale. La copia dal computer locale al nodo gestito non è supportata.

Per connettersi a un nodo gestito utilizzando Fleet Manager Remote Desktop (Desktop remoto)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Fleet Manager.

  3. Scegli il nodo a cui desideri connetterti. Puoi selezionare la casella di controllo o il nome del nodo.

  4. Nel menu Operazioni del nodo, scegli Connessione con Desktop remoto.

  5. Scegli il tuo Tipo di autenticazione preferito. Se scegli Credenziali utente, inserisci il nome utente e la password per Windows account utente sul nodo a cui ti stai connettendo. Se scegli Coppia di chiavi, puoi fornire l'autenticazione utilizzando uno dei seguenti metodi:

    1. Scegli Sfoglia la macchina locale se desideri selezionare la chiave PEM associata all'istanza dal file system locale.

      oppure

    2. Scegli Incolla contenuto della coppia di chiavi se desideri copiare il contenuto del file PEM e incollarlo nel campo fornito.

  6. Seleziona Connetti.

  7. Per scegliere la risoluzione dello schermo preferita, nel menu Operazioni, scegli Risoluzioni, quindi seleziona una delle seguenti opzioni:

    • Adatta automaticamente

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    L'opzione Adatta automaticamente imposta la risoluzione in base alle dimensioni dello schermo rilevate.

Visualizzazione delle informazioni sulle connessioni correnti e completate

Puoi utilizzare il plugin Fleet Manager sezione della console Systems Manager per visualizzare le informazioni sulle connessioni RDP effettuate nell'account. Utilizzando un set di filtri, è possibile limitare l'elenco delle connessioni visualizzate a un intervallo di tempo, un'istanza specifica, l'utente che ha effettuato le connessioni e le connessioni con uno stato specifico. La console fornisce anche schede che mostrano informazioni su tutte le connessioni attualmente attive e tutte le connessioni passate.

Per visualizzare le informazioni sulle connessioni correnti e completate

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Fleet Manager.

  3. Scegli Gestione account, Connessione con Remote Desktop (Desktop remoto).

  4. Scegli una delle seguenti schede:

    • Connessioni attive

    • Cronologia delle connessioni

  5. Per restringere ulteriormente l'elenco dei risultati di connessione visualizzati, specificate uno o più filtri nella casella di ricerca ( The Search icon ). È anche possibile inserire un termine di ricerca a testo libero.