Conectar a uma instância gerenciada pelo Windows Server usando o Remote Desktop
Você pode usar o Fleet Manager, um recurso do AWS Systems Manager, para se conectar às instâncias Windows Server do Amazon Elastic Compute Cloud (Amazon EC2) usando o Remote Desktop Protocol (RDP). Fleet Manager O Remote Desktop, baseado no NICE DCV, fornece conectividade segura às suas instâncias do Windows Server diretamente do console do Systems Manager. É possível ter até quatro conexões simultâneas em uma única janela de navegador.
Atualmente, apenas é possível usar a Área de Trabalho Remota com instâncias que estejam executando o Windows Server 2012 RTM ou versões posteriores. Atualmente, a Área de Trabalho Remoto oferece suporte somente a entradas no idioma inglês.
nota
O Fleet Manager Remote Desktop é um serviço exclusivo para console e não oferece suporte a conexões de linha de comando com suas instâncias gerenciadas. Para se conectar a uma instância gerenciada pelo Windows Server por meio de um shell, é possível usar o Session Manager, outro recurso doAWS Systems Manager. Para ter mais informações, consulte AWS Systems Manager Session Manager.
Para obter informações sobre como configurar as permissões do AWS Identity and Access Management (IAM) para permitir que suas instâncias interajam com o Systems Manager, consulte Configurar permissões de instâncias para o Systems Manager.
Tópicos
Configuração de seu ambiente
Antes de usar a Área de Trabalho Remota, verifique se o ambiente atende aos seguintes requisitos:
-
Configuração de nós gerenciados
Confirme se suas instâncias do Amazon EC2 estão configuradas como nós gerenciados no Systems Manager.
-
Versão mínima do SSM Agent
Verifique se os nós estão executando o SSM Agent versão 3.0.222.0 ou posterior. Para obter informações sobre como verificar qual versão do agente está sendo executada em um nó, consulte Verificar o número de versão do SSM Agent. Para obter informações sobre como instalar ou atualizar o SSM Agent, consulte Trabalhar com o SSM Agent.
-
Configuração da porta RDP
Para aceitar conexões remotas, o serviço do Remote Desktop Services em seus nós do Windows Server deve usar a porta RDP padrão 3389. Essa é a configuração padrão em Amazon Machine Images (AMIs) fornecida pela AWS. Não é necessário abrir explicitamente nenhuma porta de entrada para usar a Área de Trabalho Remota.
-
Versão do módulo do PSReadLine para funcionalidade do teclado
Para garantir que o teclado funcione corretamente no PowerShell, verifique se os nós que executam o Windows Server 2022 têm a versão 2.2.2 ou posterior do módulo do PSReadLine instalada. Se estiverem executando uma versão mais antiga, você poderá instalar a versão necessária usando o comando a seguir.
Install-Module ` -Name PSReadLine ` -Repository PSGallery `-MinimumVersion 2.2.2 -
Configuração do Gerenciador de Sessões
Antes de usar a Área de Trabalho Remota, é necessário atender aos pré-requisitos para a configuração do Gerenciador de Sessões. Quando você se conecta a uma instância usando a Área de Trabalho Remota, aplicam-se todas as preferências de sessão definidas para sua Conta da AWS e Região da AWS. Para ter mais informações, consulte Configurar o Session Manager.
nota
Se você registrar em log as atividades do Gerenciador de Sessões usando o Amazon Simple Storage Service (Amazon S3), as conexões da Área de Trabalho Remota gerarão o erro a seguir em
bucket_name/Port/stderr. Esse erro é um comportamento esperado e pode ser ignorado com segurança.Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest> <ClientErrorMessage>Session is already terminated</ClientErrorMessage> </BadRequest>
Configurar permissões do IAM para a Área de Trabalho Remota
Além das permissões do IAM necessárias para o Systems Manager e o Session Manager, o usuário ou o perfil que você usa para acessar o console deverá permitir as seguintes ações:
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection
Veja a seguir exemplos de políticas do IAM que você pode associar a um usuário ou perfil para permitir diferentes tipos de interação com a Área de Trabalho Remota. Substitua cada espaço reservado para recurso de exemplo por suas próprias informações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
nota
Na política do IAM a seguir, a seção SSMStartSession exige um nome do recurso da Amazon (ARN) para a ação ssm:StartSession Conforme mostrado, o ARN que você especifica não exige uma ID de Conta da AWS. Se você especificar um ID de conta, o Fleet Manager retornará uma AccessDeniedException.
A seção AccessTaggedInstances, localizada na parte inferior da política de exemplo, também exige ARNs para ssm:StartSession. Para esses ARNs, é necessário especificar IDs de Conta da AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
Autenticar conexões da Área de Trabalho Remota
Ao estabelecer uma conexão remota, você pode se autenticar usando credenciais do Windows ou o par de chaves do Amazon EC2 (arquivo .pem) que está associado à instância. Para obter mais informações sobre pares de chaves, consulte Pares de chaves do Amazon EC2 e instâncias do Windows no Guia do usuário do Amazon EC2.
Como alternativa, se você estiver autenticado para o AWS Management Console usando AWS IAM Identity Center, você pode se conectar às instâncias sem fornecer credenciais adicionais. Para ver um exemplo de uma política para permitir a autenticação de conexão remota usando o Centro de Identidade do IAM, consulte Configurar permissões do IAM para a Área de Trabalho Remota.
Antes de começar
Observe as seguintes condições para utilizar a autenticação do IAM Identity Center antes de iniciar a conexão usando o Remote Desktop.
-
A Área de Trabalho Remota é compatível com a autenticação do Centro de Identidade do IAM para nós na mesma Região da AWS em que você habilitou o Centro de Identidade do IAM.
-
A Área de Trabalho Remota é compatível com nomes de usuário do Centro de Identidade do IAM de até 16 caracteres.
-
A Área de Trabalho Remota é compatível com nomes de usuário do Centro de Identidade do IAM que consistem em caracteres alfanuméricos e nos seguintes caracteres especiais:
.-_Importante
As conexões não terão êxito para nomes de usuário do Centro de Identidade do IAM que contenham estes caracteres:
+=,@.O Centro de Identidade do IAM é compatível com esses caracteres nos nomes de usuário, mas as conexões RDP do Fleet Manager não são.
-
Quando uma conexão é autenticada usando o Centro de Identidade do IAM, a Área de Trabalho Remota cria um usuário local do Windows no grupo Administradores locais da instância. O usuário persiste após o término da conexão remota.
-
A Área de Trabalho Remota não permite a autenticação do Centro de Identidade do IAM para nós que são controladores de domínio do Microsoft Active Directory.
-
Embora a Área de Trabalho Remota permita usar a autenticação do Centro de Identidade do IAM para nós associados a um domínio do Active Directory, isso não é recomendável. Esse método de autenticação concede permissões administrativas aos usuários, o que poderá substituir as permissões mais restritivas concedidas pelo domínio.
Regiões com suporte para a autenticação do Centro de Identidade do IAM
As conexões Remote Desktop usando a autenticação do Centro de Identidade do IAM são compatíveis com o seguinte Regiões da AWS:
-
Leste dos EUA (Ohio) (us-east-2)
-
Leste dos EUA (Norte da Virgínia) (us-east-1)
-
Oeste dos EUA (Norte da Califórnia) (us-west-1)
-
Oeste dos EUA (Oregon) (us-west-2)
-
África (Cidade do Cabo) (af-south-1)
-
Ásia-Pacífico (Hong Kong) (ap-east-1)
-
Ásia-Pacífico (Mumbai) (ap-south-1)
-
Ásia Pacific (Tóquio) (ap-northeast-1)
-
Ásia-Pacífico (Seul) (ap-northeast-2)
-
Ásia-Pacífico (Osaka) (ap-northeast-3)
-
Ásia-Pacífico (Singapura) (ap-southeast-1)
-
Ásia-Pacífico (Sydney) (ap-southeast-2)
-
Ásia-Pacífico (Jacarta) (ap-southeast-3)
-
Canadá (Central) (ca-central-1)
-
Europa (Frankfurt) (eu-central-1)
-
UE (Estocolmo) (eu-north-1)
-
Europa (Irlanda) (eu-west-1)
-
Europa (Londres) (eu-west-2)
-
Europa (Paris) (eu-west-3)
-
Israel (Tel Aviv) (il-central-1)
-
América do Sul (São Paulo) (sa-east-1)
-
UE (Milão) (eu-south-1)
-
Oriente Médio (Bahrein) (me-south-1)
-
AWS GovCloud (Leste dos EUA) (us-gov-east-1)
-
AWS GovCloud (Oeste dos EUA) (us-gov-wast-1)
Duração e simultaneidade da conexão remota
Estas condições se aplicam às conexões ativas da Área de Trabalho Remota:
-
Duração da conexão
Por padrão, uma conexão da Área de Trabalho Remota é desconectada após 60 minutos. Para evitar que a conexão seja desconectada, você pode escolher Renovar sessão antes de ser desconectada para redefinir o cronômetro de duração.
-
Tempo limite da conexão
Uma conexão da Área de Trabalho Remota se desconecta depois de ficar ociosa por mais de dez minutos.
-
Conexões simultâneas
Por padrão, você pode ter no máximo cinco conexões da Área de Trabalho Remota ativas ao mesmo tempo para a mesma Conta da AWS e Região da AWS. Para solicitar o aumento da cota de serviço para até 25 conexões simultâneas, consulte Requesting a Quota Increase no Guia do usuário do Service Quotas.
Conectar-se a um nó gerenciado usando a Área de Trabalho Remota
Suporte a copiar/colar texto em um navegador
Usando os navegadores Google Chrome e Microsoft Edge, você pode copiar e colar texto de um nó gerenciado em sua máquina local e de sua máquina local em um nó gerenciado ao qual você está conectado.
Usando o navegador Mozilla Firefox, você pode copiar e colar texto de um nó gerenciado somente na sua máquina local. Não há suporte à cópia da máquina local para o nó gerenciado.
Para conectar-se a um nó gerenciado usando a Área de Trabalho Remota do Fleet Manager
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. No painel de navegação, escolha Fleet Manager.
-
Escolha o nó ao qual deseja se conectar. Marque a caixa de seleção ou o nome do nó.
-
No menu Ações do nó, selecione Conectar Área de Trabalho Remota.
-
Escolha o seu Tipo de autenticação preferido. Se você escolher Credenciais do usuário, insira o nome de usuário e a senha de uma conta de usuário do Windows no nó ao qual está se conectando. Se você escolher Par de chaves, poderá fornecer autenticação usando um destes métodos:
-
Escolha Procurar máquina local para selecionar a chave PEM associada à instância no sistema de arquivos local.
- ou -
-
Escolha Colar conteúdo de par de chaves para copiar o conteúdo do arquivo PEM e colá-lo no campo fornecido.
-
-
Selecione Connect (Conectar-se).
-
Para escolher a resolução de tela de sua preferência, no menu Ações, escolha Resoluções e selecione uma destas opções:
-
Adaptar automaticamente
-
1920 x 1080
-
1400 x 900
-
1366 x 768
-
800 x 600
A opção Adaptar automaticamente define a resolução com base no tamanho da tela detectada.
-
