Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à un Windows Server instance gérée à l'aide de Remote Desktop
Vous pouvez utiliser … Fleet Manager, un outil intégré AWS Systems Manager, pour se connecter à votre Windows Server Instances Amazon Elastic Compute Cloud (Amazon EC2) utilisant Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, qui est alimenté par Amazon DCV, vous fournit une connectivité sécurisée à votre Windows Server instances directement depuis la console Systems Manager. Vous pouvez établir jusqu'à quatre connexions simultanées dans une seule fenêtre de navigateur.
Actuellement, vous ne pouvez utiliser Remote Desktop qu'avec des instances en cours d'exécution Windows Server 2012 RTM ou supérieur. Le Bureau à distance prend uniquement en charge la langue anglaise.
Note
Fleet Manager Remote Desktop est un service réservé à la console et ne prend pas en charge les connexions en ligne de commande à vos instances gérées. Pour vous connecter à un Windows Server instance gérée via un shell, vous pouvez utiliser Session Manager, un autre outil dans AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Session Manager.
Pour plus d'informations sur la configuration des autorisations AWS Identity and Access Management (IAM) permettant à vos instances d'interagir avec Systems Manager, consultez la section Configurer les autorisations d'instance pour Systems Manager.
Rubriques
- Configuration de votre environnement
- Configuration des autorisations IAM pour le Bureau à distance
- Authentification des connexions Bureau à distance
- Durée et simultanéité des connexions distantes
- Connexion à un nœud géré à l'aide du Bureau à distance
- Affichage d’informations sur les connexions en cours et terminées
Configuration de votre environnement
Avant d'utiliser le Bureau à distance, vérifiez que votre environnement respecte les conditions requises suivantes :
-
Configuration des nœuds gérés
Assurez-vous que vos EC2 instances Amazon sont configurées en tant que nœuds gérés dans Systems Manager.
-
SSM Agent version minimale
Vérifiez que les nœuds sont en cours d'exécution SSM Agent version 3.0.222.0 ou supérieure. Pour plus d'informations sur la vérification de la version de l'agent exécutée sur un nœud, veuillez consulter la rubrique En vérifiant le SSM Agent numéro de version. Pour plus d'informations sur l'installation ou la mise à jour SSM Agent, voir Utilisation de l’option SSM Agent.
-
Configuration du port RDP
Pour accepter les connexions à distance, Remote Desktop Services service sur votre Windows Server les nœuds doivent utiliser le port RDP par défaut 3389. Il s'agit de la configuration par défaut sur Amazon Machine Images (AMIs) fourni par AWS. Vous n'êtes pas explicitement obligé d'ouvrir des ports entrants pour utiliser le Bureau à distance.
-
PSReadLine version du module pour les fonctionnalités du clavier
Pour garantir le bon fonctionnement de votre clavier dans PowerShell, vérifiez que les nœuds s'exécutent Windows Server 2022 ont PSReadLine module version 2.2.2 ou supérieure installé. S’ils utilisent une version antérieure, vous pouvez installer la version requise à l’aide des commandes suivantes.
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceUne fois le fournisseur de NuGet package installé, exécutez la commande suivante.
Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2 -Force -
Configuration de Session Manager
Avant de pouvoir utiliser le Bureau à distance, vous devez remplir les conditions suivantes pour la configuration de Session Manager. Lorsque vous vous connectez à une instance à l'aide de Remote Desktop, toutes les préférences de session définies pour votre Compte AWS et Région AWS sont appliquées. Pour de plus amples informations, veuillez consulter Configuration de Session Manager.
Note
Si vous journalisez l'activité de Session Manager à l'aide d'Amazon Simple Storage Service (Amazon S3), vos connexions Bureau à distance génèrent l'erreur suivante dans
bucket_name/Port/stderr. Cette erreur est prévue et peut être ignorée sans risque.Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest> <ClientErrorMessage>Session is already terminated</ClientErrorMessage> </BadRequest>
Configuration des autorisations IAM pour le Bureau à distance
Outre les autorisations IAM requises pour Systems Manager et Session Manager, l'utilisateur ou le rôle que vous utilisez doit être autorisé à établir des connexions.
Autorisations pour l’établissement de connexions
Pour établir des connexions RDP aux EC2 instances de la console, les autorisations suivantes sont requises :
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection
Autorisations pour répertorier les connexions
Pour afficher des listes de connexions dans la console, l’autorisation suivante est requise :
ssm-guiconnect:ListConnections
Vous trouverez ci-dessous des exemples de politiques IAM que vous pouvez attacher à un utilisateur ou un rôle pour permettre différents types d'interaction avec le Bureau à distance. Remplacez chaque example resource placeholder par vos propres informations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
Note
Dans la politique IAM suivante, la section SSMStartSession requiert un Amazon Resource Name (ARN) pour l’action ssm:StartSession. Comme indiqué, l'ARN que vous spécifiez ne nécessite pas d' Compte AWS ID. Si vous spécifiez un identifiant de compte, Fleet Manager renvoie unAccessDeniedException.
La AccessTaggedInstances section, située plus bas dans l'exemple de politique, nécessite ARNs égalementssm:StartSession. Pour ceux-là ARNs, vous spécifiez Compte AWS IDs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceInformation", "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ] }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
Authentification des connexions Bureau à distance
Lorsque vous établissez une connexion à distance, vous pouvez vous authentifier à l'aide de Windows les informations d'identification ou la paire de EC2 clés Amazon (.pemfichier) associée à l'instance. Pour plus d'informations sur l'utilisation des paires de clés, consultez Amazon EC2 Key Pairs et Windows des instances dans le guide de EC2 l'utilisateur Amazon.
Sinon, si vous êtes authentifié auprès de l'utilisateur AWS IAM Identity Center, AWS Management Console vous pouvez vous connecter à vos instances sans fournir d'informations d'identification supplémentaires. Pour obtenir un exemple de politique permettant l'authentification des connexions distantes à l'aide d'IAM Identity Center, veuillez consulter la rubrique Configuration des autorisations IAM pour le Bureau à distance.
Avant de commencer
Veuillez tenir compte des conditions suivantes pour l'utilisation de l'authentification IAM Identity Center avant de commencer à vous connecter via le Bureau à distance.
-
Le Bureau à distance prend en charge l'authentification IAM Identity Center pour les nœuds dans la Région AWS dans laquelle vous avez activé IAM Identity Center.
-
Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant jusqu'à 16 caractères.
-
Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant des caractères alphanumériques et les caractères spéciaux suivants :
.-_Important
Les connexions échoueront pour les noms d’utilisateur IAM Identity Center qui contiennent les caractères suivants :
+=,IAM Identity Center prend en charge ces caractères dans les noms d'utilisateur, mais Fleet Manager Les connexions RDP ne le sont pas.
En outre, si le nom d'utilisateur d'un IAM Identity Center contient un ou plusieurs
@symboles, Fleet Manager ne tient pas compte du premier@symbole et de tous les caractères qui le suivent, qu'ils@introduisent ou non la partie domaine d'une adresse e-mail. Par exemple, pour le nom d'utilisateur du centre d'identité IAMdiego_ramirez@example.com, la@example.compartie est ignorée et le nom d'utilisateur pour Fleet Manager devientdiego_ramirez. Pourdiego_r@mirez@example.com, Fleet Manager ignore@mirez@example.com, et le nom d'utilisateur pour Fleet Manager devientdiego_r. -
Lorsqu'une connexion est authentifiée à l'aide d'IAM Identity Center, Remote Desktop crée une connexion locale Windows utilisateur du groupe d'administrateurs locaux de l'instance. Cet utilisateur persiste après la fin de la connexion distante.
-
Remote Desktop n'autorise pas l'authentification IAM Identity Center pour les nœuds qui sont Microsoft Active Directory contrôleurs de domaine.
-
Bien que Remote Desktop vous permette d'utiliser l'authentification IAM Identity Center pour les nœuds joints à un Active Directory domaine, nous vous déconseillons de le faire. Cette méthode d'authentification accorde aux utilisateurs des autorisations administratives qui peuvent remplacer les autorisations plus restrictives accordées par le domaine.
Régions prises en charge pour l'authentification IAM Identity Center
Remote Desktop les connexions utilisant l'authentification IAM Identity Center sont prises en charge dans les pays suivants : Régions AWS
-
USA Est (Ohio) (us-east-2)
-
USA Est (Virginie du Nord) (us-east-1)
-
USA Ouest (Californie du Nord) (us-west-1)
-
USA Ouest (Oregon) (us-west-2)
-
Afrique (Le Cap) (af-south-1)
-
Asie-Pacifique (Hong Kong) (ap-east-1)
-
Asie-Pacifique (Mumbai) (ap-south-1)
-
Asie-Pacifique (Tokyo) (ap-northeast-1)
-
Asie-Pacifique (Séoul) (ap-northeast-2)
-
Asie-Pacifique (Osaka) (ap-northeast-3)
-
Asie-Pacifique (Singapour) (ap-southeast-1)
-
Asie-Pacifique (Sydney) (ap-southeast-2)
-
Asie-Pacifique (Jakarta) (ap-southeast-3)
-
Canada (Centre) (ca-central-1)
-
Europe (Francfort) (eu-central-1)
-
Europe (Stockholm) (eu-north-1)
-
Europe (Irlande) (eu-west-1)
-
Europe (Londres) (eu-west-2)
-
Europe (Paris) (eu-west-3)
-
Israël (Tel Aviv) (il-central-1)
-
Amérique du Sud (São Paulo) (sa-east-1)
-
Europe (Milan) (eu-south-1)
-
Moyen-Orient (Bahreïn) (me-south-1)
-
AWS GovCloud (USA Est) (us-gov-east-1)
-
AWS GovCloud (US-Ouest) (us-gov-west-1)
Durée et simultanéité des connexions distantes
Les conditions suivantes s'appliquent aux connexions Bureau à distance actives :
-
Durée de connexion
Par défaut, une connexion Bureau à distance est déconnectée au bout de 60 minutes. Pour empêcher la déconnexion d'une connexion, vous pouvez choisir Renouveler la session avant d'être déconnecté pour réinitialiser la durée.
-
Délai de connexion
Une connexion Bureau à distance se déconnecte après plus de 10 minutes d'inactivité.
-
Connexions simultanées
Par défaut, vous pouvez avoir un maximum de 5 connexions Remote Desktop actives à la fois pour le même Compte AWS et Région AWS. Pour demander une augmentation du quota de service allant jusqu'à 25 connexions simultanées, veuillez consulter la rubrique Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas.
Connexion à un nœud géré à l'aide du Bureau à distance
Prise en charge du copier/coller de texte par les navigateurs
À l’aide des navigateurs Google Chrome et Microsoft Edge, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local, et de votre ordinateur local vers un nœud géré auquel vous êtes connecté.
Avec le navigateur Mozilla Firefox, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local uniquement. La copie de votre ordinateur local vers le nœud géré n’est pas prise en charge.
Pour vous connecter à un nœud géré à l'aide de Fleet Manager Bureau à distance
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le volet de navigation, choisissez Fleet Manager.
-
Choisissez le nœud auquel vous souhaitez vous connecter. Vous pouvez sélectionner la case à cocher ou le nom du nœud.
-
Dans le menu Actions du nœud, sélectionnez Se connecter au Bureau à distance.
-
Sélectionnez votre type d'authentification préféré dans le champ Authentication type (Type d'authentification). Si vous sélectionnez Informations d'identification de l'utilisateur, entrez le nom d'utilisateur et le mot de passe d'un Windows compte utilisateur sur le nœud auquel vous vous connectez. Si vous choisissez Paire de clés, vous pouvez fournir l'authentification à l'aide d'une des méthodes suivantes :
-
Choisissez Parcourir la machine locale si vous souhaitez sélectionner la clé PEM associée à votre instance dans votre système de fichiers local.
- ou -
-
Choisissez Coller le contenu de la paire de clés si vous souhaitez copier le contenu du fichier PEM et le coller dans le champ prévu à cet effet.
-
-
Cliquez sur Connect (Connexion).
-
Pour choisir votre résolution d'affichage préférée, dans le menu Actions, choisissez Resolutions (Résolutions), puis sélectionnez l'une des options suivantes :
-
Adaptation automatique
-
1920 x 1080
-
1400 x 900
-
1 366 x 768
-
800 x 600
L'option Adapt Automatically (Adapter automatiquement) définit la résolution en fonction de la taille d'écran détectée.
-
Affichage d’informations sur les connexions en cours et terminées
Vous pouvez utiliser le plugin Fleet Manager section de la console Systems Manager pour afficher les informations relatives aux connexions RDP établies dans votre compte. À l’aide d’un ensemble de filtres, vous pouvez limiter la liste des connexions affichées à une plage de temps, à une instance spécifique, à l’utilisateur qui a établi les connexions et aux connexions d’un statut spécifique. La console propose également des onglets qui affichent des informations sur toutes les connexions actuellement actives et sur toutes les connexions passées.
Pour afficher des informations sur les connexions en cours et terminées
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le volet de navigation, choisissez Fleet Manager.
-
Choisissez Gestion des comptes, Connexion avec Remote Desktop.
-
Choisissez l’un des onglets suivants :
-
Connexions actives
-
Historique des connexions
-
-
Pour réduire davantage la liste des résultats de connexion affichés, spécifiez un ou plusieurs filtres dans la zone de recherche (
). Vous pouvez également saisir un terme de recherche en texte libre.
