Conéctese a una instancia administrada de Windows Server mediante Remote Desktop - AWS Systems Manager
Configuración del entornoConfiguración de los permisos de IAM para escritorio remotoAutenticación de conexiones del escritorio remotoDuración y simultaneidad de la conexión remotaConexión a un nodo administrado mediante escritorio remotoVer información sobre las conexiones actuales y completadas

Conéctese a una instancia administrada de Windows Server mediante Remote Desktop

Puede utilizar Fleet Manager, una capacidad de AWS Systems Manager, para conectarse a sus Windows Server instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante el Remote Desktop Protocol (RDP). Fleet Manager El escritorio remoto, que cuenta con tecnología Amazon DCV, brinda una conectividad segura a las instancias de Windows Server directamente desde la consola de Systems Manager. Puede tener hasta cuatro conexiones simultáneas en una sola ventana del navegador.

Actualmente, solo puede utilizar el escritorio remoto con instancias que ejecuten Windows Server 2012 RTM o versiones posteriores. El escritorio remoto solo admite entradas en idioma inglés.

nota

Fleet Manager Remote Desktop es un servicio exclusivo de consola y no admite conexiones de línea de comandos a las instancias administradas. Para conectarte a una instancia administrada Windows Server a través de un intérprete de comandos, puedes usar Session Manager, otra capacidad de AWS Systems Manager. Para obtener más información, consulte AWS Systems Manager Session Manager.

Para obtener más información sobre la configuración de los permisos de (IAM) AWS Identity and Access Management para permitir que las instancias interactúen con Systems Manager, consulte Configurar permisos de instancia para Systems Manager.

Configuración del entorno

Antes de utilizar el escritorio remoto, asegúrese de que el entorno cumple los siguientes requisitos:

  • Configuración de nodos administrados

    Asegúrese de que las instancias de Amazon EC2 estén configuradas como nodos administrados en Systems Manager.

  • Versión mínima de SSM Agent

    Verifique que los nodos ejecuten la versión 3.0.222.0 o versiones posteriores de SSM Agent. Para obtener información sobre cómo comprobar la versión de agente que se está ejecutando en un nodo, consulte Verificación del número de versión de SSM Agent. Para obtener información acerca cómo instalar o actualizar SSM Agent, consulte Uso de SSM Agent.

  • Configuración del puerto de RDP

    Para aceptar conexiones remotas, el servicio Remote Desktop Services de los nodos de Windows Server debe utilizar el puerto de RDP 3389 predeterminado. Esta es la configuración predeterminada en Amazon Machine Images (AMIs) que proporciona AWS. No es necesario abrir de manera explícita ningún puerto de entrada para utilizar el escritorio remoto.

  • Versión del módulo PSReadLine para la funcionalidad del teclado

    Para asegurarse de que el teclado funciona correctamente en PowerShell, verifique que los nodos que ejecutan Windows Server 2022 tengan instalada la versión 2.2.2 o versiones posteriores del módulo PSReadLine. Si están ejecutando una versión anterior, puede instalar la versión necesaria mediante los siguientes comandos.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Una vez instalado el proveedor de paquetes NuGet, ejecute el siguiente comando.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configuración del administrador de sesiones

    Para poder utilizar el escritorio remoto, debe completar los requisitos previos de la configuración del administrador de sesiones. Cuando se conecta a una instancia mediante el escritorio remoto, se aplican todas las preferencias de sesión que haya definido para la Cuenta de AWS y la Región de AWS. Para obtener más información, consulte Configuración de Session Manager.

    nota

    Si registra la actividad del administrador de sesiones mediante Amazon Simple Storage Service (Amazon S3), las conexiones del escritorio remoto generarán el siguiente error en bucket_name/Port/stderr. Se espera que aparezca este error, pero se puede omitir sin problemas.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configuración de los permisos de IAM para escritorio remoto

Además de los permisos de IAM necesarios para Systems Manager y Session Manager, el usuario o rol que utilice debe tener permisos para iniciar conexiones.

Permisos para iniciar conexiones

Para establecer conexiones RDP con instancias de EC2 en la consola, se necesitan los siguientes permisos:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Permisos para enumerar las conexiones

Para ver listas de conexiones en la consola, se necesita el siguiente permiso:

ssm-guiconnect:ListConnections

A continuación, se muestran ejemplos de políticas de IAM que puede adjuntar a un usuario o un rol para permitir distintos tipos de interacción con el escritorio remoto. Reemplace cada example resource placeholder con su propia información.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
nota

En la siguiente política de IAM, la sección SSMStartSession requiere un nombre de recurso de Amazon (ARN) para la acción ssm:StartSession. Como se muestra, el ARN que especifique no requiere un ID de Cuenta de AWS. Si especifica un ID de cuenta, Fleet Manager devuelve un AccessDeniedException.

La sección AccessTaggedInstances, que se encuentra en la parte inferior de la política de ejemplo, también requiere los ARN para ssm:StartSession. Para esos ARN, debe especificar los ID de Cuenta de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Autenticación de conexiones del escritorio remoto

Cuando se establece una conexión remota, puede autenticarse mediante las credenciales de Windows o el par de claves de Amazon EC2 (archivo .pem) que está asociado a la instancia. Para obtener información sobre cómo usar los pares de claves, consulte Pares de claves de Amazon EC2 e instancias de Windows en la Guía del usuario de Amazon EC2.

De forma alternativa, si está autenticado en la AWS Management Console con AWS IAM Identity Center, puede conectarse a las instancias sin proporcionar credenciales adicionales. Si desea ver un ejemplo de política para permitir la autenticación de conexiones remotas mediante IAM Identity Center, consulte Configuración de los permisos de IAM para escritorio remoto.

Antes de empezar

Tenga en cuenta las siguientes condiciones para utilizar la autenticación de IAM Identity Center antes de comenzar a conectarse mediante Remote Desktop.

  • El escritorio remoto admite la autenticación de IAM Identity Center para nodos en la misma Región de AWS donde se habilitó IAM Identity Center.

  • El escritorio remoto admite nombres de usuario de IAM Identity Center que tengan hasta 16 caracteres.

  • El escritorio remoto admite nombres de usuario de IAM Identity Center compuestos por caracteres alfanuméricos y los siguientes caracteres especiales: . - o _ .

    importante

    Las conexiones no se realizarán correctamente para los nombres de usuario de IAM Identity Center que contengan los siguientes caracteres: + = ,

    IAM Identity Center admite estos caracteres en los nombres de usuario, pero las conexiones de RDP de Fleet Manager no lo hace.

    Además, si un nombre de usuario del Centro de Identidad de IAM contiene uno o más símbolos @, Fleet Manager ignora el primer símbolo @ y todos los caracteres que le siguen, independientemente de que @ introduzca o no la parte de dominio de una dirección de correo electrónico. Por ejemplo, en el caso del nombre de usuario del Centro de Identidad de IAM diego_ramirez@example.com, la parte @example.com se ignora y el nombre de usuario para Fleet Manager pasa a ser diego_ramirez. Para diego_r@mirez@example.com, Fleet Manager ignora @mirez@example.com y el nombre de usuario para Fleet Manager pasa a ser diego_r.

  • Cuando se autentica una conexión mediante IAM Identity Center, el escritorio remoto crea un usuario de Windows local en el grupo de administradores locales de la instancia. Este usuario persiste una vez finalizada la conexión remota.

  • El escritorio remoto no permite la autenticación de IAM Identity Center para nodos que son controladores de dominio de Microsoft Active Directory.

  • Si bien el escritorio remoto permite utilizar la autenticación de IAM Identity Center para los nodos unidos a un dominio de Active Directory, no se recomienda hacerlo. Este método de autenticación concede permisos administrativos a usuarios que pueden anular los permisos más restrictivos concedidos por el dominio.

Regiones compatibles con la autenticación de IAM Identity Center

Las siguientes Regiones de AWS son compatibles con conexiones de Remote Desktop que utilicen la autenticación de IAM Identity Center:

  • Este de EE. UU. (Ohio) (us-east-2)

  • Este de EE. UU. (Norte de Virginia) (us-east-1)

  • EE. UU. Oeste (Norte de California) (us-west-1)

  • Oeste de EE. UU. (Oregón) (us-west-2)

  • África (Ciudad del Cabo) (af-south-1)

  • Asia-Pacífico (Hong Kong) (ap-east-1)

  • Asia Pacífico (Bombay) (ap-south-1)

  • Asia-Pacífico (Tokio) (ap-northeast-1)

  • Asia-Pacífico (Seúl) (ap-northeast-2)

  • Asia Pacific (Osaka) (ap-northeast-3)

  • Asia-Pacífico (Singapur) (ap-southeast-1)

  • Asia-Pacífico (Sídney) (ap-southeast-2)

  • Asia-Pacífico (Yakarta) (ap-southeast-3)

  • Canadá (centro) (ca-central-1)

  • Europa (Fráncfort) (eu-central-1)

  • Europa (Estocolmo) (eu-north-1)

  • Europa (Irlanda) (eu-west-1)

  • Europa (Londres) (eu-west-2)

  • Europa (París) (eu-west-3)

  • Israel (Tel Aviv) (il-central-1)

  • América del Sur (São Paulo) (sa-east-1)

  • UE (Milán) (eu-south-1)

  • Medio Oriente (Baréin) (me-south-1)

  • AWS GovCloud (EE. UU. Este) (us-gov-east-1)

  • AWS GovCloud (EE. UU. Oeste) (us-gov-west-1)

Duración y simultaneidad de la conexión remota

Las siguientes condiciones se aplican a las conexiones activas del escritorio remoto:

  • Duración de la conexión

    Una conexión al escritorio remoto dura 60 minutos de forma predeterminada. Para evitar que una conexión se desconecte, puede elegir Renovar sesión antes de que se desconecte para restablecer el temporizador de duración.

  • Tiempo de espera de la conexión

    Una conexión del escritorio remoto se desconecta después de haber estado inactiva durante más de 10 minutos.

  • Conexiones simultáneas

    De forma predeterminada, puede tener un máximo de 5 conexiones del escritorio remoto activas a la vez para la misma Cuenta de AWS y la misma Región de AWS. Para solicitar un aumento de cuota de servicio de hasta 25 conexiones simultáneas, consulte Solicitud de aumento de cuota en la Guía del usuario de Service Quotas.

Conexión a un nodo administrado mediante escritorio remoto

Soporte para copiar/pegar texto en el navegador

Con los navegadores Google Chrome y Microsoft Edge, puede copiar y pegar texto desde un nodo administrado a su equipo local y desde su equipo local a un nodo administrado al que esté conectado.

Con el navegador Mozilla Firefox, solo puede copiar y pegar texto desde un nodo administrado a su equipo local. No se admite la copia desde el equipo local al nodo administrado.

Para conectarse a un nodo administrado mediante el escritorio remoto de Fleet Manager

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Fleet Manager.

  3. Haga clic en el nodo al que desea conectarse. Puede seleccionar la casilla de verificación o el nombre del nodo.

  4. En el menú Acciones de nodos, elija Conectar con escritorio remoto.

  5. Elija el Tipo de autenticación preferido. Si selecciona Credenciales de usuario, ingrese el nombre de usuario y la contraseña de una cuenta de usuario de Windows en el nodo al que se está conectando. Si elige Par de claves, puede proporcionar la autenticación mediante uno de los siguientes métodos:

    1. Elija Examinar equipo local si desea seleccionar la clave PEM asociada a la instancia desde su sistema de archivos local.

      - o bien -

    2. Elija Pegar el contenido del par de claves si desea copiar el contenido del archivo PEM y pegarlo en el campo proporcionado.

  6. Seleccione Conectar.

  7. Para elegir la resolución de pantalla de preferencia, en el menú Acciones, elija Resoluciones y, luego, seleccione una de las siguientes opciones:

    • Ajuste automático

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    La opción Adaptar automáticamente establece la resolución en función del tamaño de pantalla detectado.

Ver información sobre las conexiones actuales y completadas

Puede utilizar la sección Fleet Manager de la consola de Systems Manager para ver información sobre las conexiones RDP que se han establecido en la cuenta. Puede utilizar un conjunto de filtros para limitar la lista de conexiones que aparecen a un intervalo de tiempo, una instancia específica, el usuario que estableció las conexiones y las conexiones de un estado específico. Además, la consola ofrece pestañas que muestran información sobre todas las conexiones actualmente activas y todas las conexiones anteriores.

Para ver información sobre las conexiones actuales y completadas

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Fleet Manager.

  3. Seleccione Administración de cuentas, Establecer conexión con el escritorio remoto.

  4. Elija una de las siguientes pestañas:

    • Conexiones activas

    • Historial de conexiones

  5. Para reducir aún más la lista de resultados de conexiones que aparecen, especifique uno o varios filtros en la casilla de búsqueda ( The Search icon ). También puede ingresar un término de búsqueda de texto libre.