Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à un Windows Server instance gérée à l'aide de Remote Desktop
Vous pouvez utiliser … Fleet Manager, une capacité de AWS Systems Manager, pour se connecter à votre Windows Server Instances Amazon Elastic Compute Cloud (AmazonEC2) utilisant Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, développé par Amazon DCV, vous fournit une connectivité sécurisée à votre Windows Server instances directement depuis la console Systems Manager. Vous pouvez établir jusqu'à quatre connexions simultanées dans une seule fenêtre de navigateur.
Actuellement, vous ne pouvez utiliser Remote Desktop qu'avec des instances en cours d'exécution Windows Server 2012 RTM ou version ultérieure. Le Bureau à distance prend uniquement en charge la langue anglaise.
Note
Fleet Manager Remote Desktop est un service réservé à la console et ne prend pas en charge les connexions en ligne de commande à vos instances gérées. Pour vous connecter à un Windows Server instance gérée via un shell, vous pouvez utiliser Session Manager, une autre fonctionnalité de AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Session Manager.
Pour plus d'informations sur les autorisations de configuration AWS Identity and Access Management (IAM) permettant à vos instances d'interagir avec Systems Manager, consultez la section Configurer les autorisations d'instance pour Systems Manager.
Rubriques
Configuration de votre environnement
Avant d'utiliser le Bureau à distance, vérifiez que votre environnement respecte les conditions requises suivantes :
-
Configuration des nœuds gérés
Assurez-vous que vos EC2 instances Amazon sont configurées en tant que nœuds gérés dans Systems Manager.
-
SSM Agent version minimale
Vérifiez que les nœuds sont en cours d'exécution SSM Agent version 3.0.222.0 ou supérieure. Pour plus d'informations sur la vérification de la version de l'agent exécutée sur un nœud, veuillez consulter la rubrique Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation ou la mise à jour SSM Agent, voir Utilisation de l’option SSM Agent.
-
RDPconfiguration des ports
Pour accepter les connexions à distance, Remote Desktop Services service sur votre Windows Server les nœuds doivent utiliser le RDP port par défaut 3389. Il s'agit de la configuration par défaut sur Amazon Machine Images (AMIs) fourni par AWS. Vous n'êtes pas explicitement obligé d'ouvrir des ports entrants pour utiliser le Bureau à distance.
-
PSReadLine version du module pour les fonctionnalités du clavier
Pour garantir le bon fonctionnement de votre clavier dans PowerShell, vérifiez que les nœuds s'exécutent Windows Server 2022 ont PSReadLine module version 2.2.2 ou supérieure installé. S'ils exécutent une ancienne version, vous pouvez installer la version requise à l'aide des commandes suivantes.
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceUne fois le fournisseur de NuGet package installé, exécutez la commande suivante.
Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2 -Force -
Configuration de Session Manager
Avant de pouvoir utiliser le Bureau à distance, vous devez remplir les conditions suivantes pour la configuration de Session Manager. Lorsque vous vous connectez à une instance à l'aide de Remote Desktop, toutes les préférences de session définies pour votre Compte AWS et Région AWS sont appliquées. Pour de plus amples informations, veuillez consulter Configuration de Session Manager.
Note
Si vous journalisez l'activité de Session Manager à l'aide d'Amazon Simple Storage Service (Amazon S3), vos connexions Bureau à distance génèrent l'erreur suivante dans
bucket_name/Port/stderr. Cette erreur est prévue et peut être ignorée sans risque.Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest> <ClientErrorMessage>Session is already terminated</ClientErrorMessage> </BadRequest>
Configuration des IAM autorisations pour Remote Desktop
Outre les IAM autorisations requises pour Systems Manager et Session Manager, l'utilisateur ou le rôle que vous utilisez pour accéder à la console doit autoriser les actions suivantes :
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection
Vous trouverez ci-dessous des exemples de IAM politiques que vous pouvez associer à un utilisateur ou à un rôle pour autoriser différents types d'interaction avec Remote Desktop. Remplacez chacun example resource placeholder avec vos propres informations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
Note
Dans la IAM politique suivante, la SSMStartSession section nécessite un nom de ressource Amazon (ARN) pour l'ssm:StartSessionaction. Comme indiqué, le ARN que vous spécifiez ne nécessite pas d' Compte AWS identifiant. Si vous spécifiez un identifiant de compte, Fleet Manager renvoie unAccessDeniedException.
La AccessTaggedInstances section, située plus bas dans l'exemple de politique, nécessite ARNs égalementssm:StartSession. Pour ceux-làARNs, vous spécifiez Compte AWS IDs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ] }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
Authentification des connexions Bureau à distance
Lorsque vous établissez une connexion à distance, vous pouvez vous authentifier à l'aide de Windows les informations d'identification ou la paire de EC2 clés Amazon (.pemfichier) associée à l'instance. Pour plus d'informations sur l'utilisation des paires de clés, consultez Amazon EC2 Key Pairs et Windows des instances dans le guide de EC2 l'utilisateur Amazon.
Sinon, si vous êtes authentifié auprès de l'utilisateur AWS IAM Identity Center, AWS Management Console vous pouvez vous connecter à vos instances sans fournir d'informations d'identification supplémentaires. Pour un exemple de politique autorisant l'authentification des connexions à distance à l'aide d'IAMIdentity Center, consultezConfiguration des IAM autorisations pour Remote Desktop.
Avant de commencer
Notez les conditions suivantes pour utiliser l'authentification IAM Identity Center avant de commencer à vous connecter à l'aide de Remote Desktop.
-
Remote Desktop prend en charge l'authentification IAM Identity Center pour les nœuds sur Région AWS lesquels vous avez activé IAM Identity Center.
-
Remote Desktop prend en charge les noms d'utilisateur IAM Identity Center comportant jusqu'à 16 caractères.
-
Remote Desktop prend en charge les noms d'utilisateur d'IAMIdentity Center composés de caractères alphanumériques et des caractères spéciaux suivants :
.-_Important
Les connexions échoueront pour les noms d'utilisateur d'IAMIdentity Center contenant les caractères suivants :
+=,IAMIdentity Center prend en charge ces caractères dans les noms d'utilisateur, mais Fleet Manager RDPles connexions ne le font pas.
En outre, si le nom d'utilisateur d'IAMIdentity Center contient un ou plusieurs
@symboles, Fleet Manager ne tient pas compte du premier@symbole et de tous les caractères qui le suivent, qu'ils@introduisent ou non la partie domaine d'une adresse e-mail. Par exemple, pour le nom d'utilisateur IAM Identity Centerdiego_ramirez@example.com, la@example.compartie est ignorée et le nom d'utilisateur pour Fleet Manager devientdiego_ramirez. Pourdiego_r@mirez@example.com, Fleet Manager ignore@mirez@example.com, et le nom d'utilisateur pour Fleet Manager devientdiego_r. -
Lorsqu'une connexion est authentifiée à l'aide IAM d'Identity Center, Remote Desktop crée une connexion locale Windows utilisateur du groupe d'administrateurs locaux de l'instance. Cet utilisateur persiste après la fin de la connexion distante.
-
Remote Desktop n'autorise pas l'authentification IAM Identity Center pour les nœuds qui sont Microsoft Active Directory contrôleurs de domaine.
-
Bien que Remote Desktop vous permette d'utiliser IAM l'authentification Identity Center pour les nœuds joints à un Active Directory domaine, nous vous déconseillons de le faire. Cette méthode d'authentification accorde aux utilisateurs des autorisations administratives qui peuvent remplacer les autorisations plus restrictives accordées par le domaine.
Régions prises en charge pour IAM l'authentification par Identity Center
Remote Desktop les connexions utilisant l'authentification IAM Identity Center sont prises en charge dans les pays suivants Régions AWS :
-
USA Est (Ohio) (us-east-2)
-
USA Est (Virginie du Nord) (us-east-1)
-
US Ouest (N. California) (us-west-1)
-
USA Ouest (Oregon) (us-west-2)
-
Afrique (Le Cap) (af-south-1)
-
Asie-Pacifique (Hong Kong) (ap-east-1)
-
Asie-Pacifique (Mumbai) (ap-south-1)
-
Asie-Pacifique (Tokyo) (ap-northeast-1)
-
Asie-Pacifique (Séoul) (ap-northeast-2)
-
Asie-Pacifique (Osaka) (ap-northeast-3)
-
Asie-Pacifique (Singapour) (ap-southeast-1)
-
Asie-Pacifique (Sydney) (ap-southeast-2)
-
Asie-Pacifique (Jakarta) (ap-southeast-3)
-
Canada (Centre) (ca-central-1)
-
Europe (Francfort) (eu-central-1)
-
Europe (Stockholm) (eu-north-1)
-
Europe (Irlande) (eu-west-1)
-
Europe (Londres) (eu-west-2)
-
Europe (Paris) (eu-west-3)
-
Israël (Tel Aviv) (il-central-1)
-
Amérique du Sud (São Paulo) (sa-east-1)
-
Europe (Milan) (eu-south-1)
-
Moyen-Orient (Bahreïn) (me-south-1)
-
AWS GovCloud (USA Est) (us-gov-east-1)
-
AWS GovCloud (US-Ouest) (us-gov-west-1)
Durée et simultanéité des connexions distantes
Les conditions suivantes s'appliquent aux connexions Bureau à distance actives :
-
Durée de connexion
Par défaut, une connexion Bureau à distance est déconnectée au bout de 60 minutes. Pour empêcher la déconnexion d'une connexion, vous pouvez choisir Renouveler la session avant d'être déconnecté pour réinitialiser la durée.
-
Délai de connexion
Une connexion Bureau à distance se déconnecte après plus de 10 minutes d'inactivité.
-
Connexions simultanées
Par défaut, vous pouvez avoir un maximum de 5 connexions Remote Desktop actives à la fois pour le même Compte AWS et Région AWS. Pour demander une augmentation du quota de service allant jusqu'à 25 connexions simultanées, veuillez consulter la rubrique Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas.
Connexion à un nœud géré à l'aide du Bureau à distance
Support du copier-coller du texte dans le navigateur
À l'aide des navigateurs Google Chrome et Microsoft Edge, vous pouvez copier et coller du texte d'un nœud géré vers votre machine locale, et de votre machine locale vers un nœud géré auquel vous êtes connecté.
À l'aide du navigateur Mozilla Firefox, vous pouvez copier et coller du texte depuis un nœud géré vers votre ordinateur local uniquement. La copie depuis votre machine locale vers le nœud géré n'est pas prise en charge.
Pour vous connecter à un nœud géré à l'aide de Fleet Manager Bureau à distance
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le volet de navigation, choisissez Fleet Manager.
-
Choisissez le nœud auquel vous souhaitez vous connecter. Vous pouvez sélectionner la case à cocher ou le nom du nœud.
-
Dans le menu Actions du nœud, sélectionnez Se connecter au Bureau à distance.
-
Sélectionnez votre type d'authentification préféré dans le champ Authentication type (Type d'authentification). Si vous sélectionnez Informations d'identification de l'utilisateur, entrez le nom d'utilisateur et le mot de passe d'un Windows compte utilisateur sur le nœud auquel vous vous connectez. Si vous choisissez Paire de clés, vous pouvez fournir l'authentification à l'aide d'une des méthodes suivantes :
-
Choisissez Parcourir la machine locale si vous souhaitez sélectionner la PEM clé associée à votre instance dans votre système de fichiers local.
- ou -
-
Choisissez Coller le contenu de la paire de clés si vous souhaitez copier le contenu du PEM fichier et le coller dans le champ prévu à cet effet.
-
-
Cliquez sur Connect (Connexion).
-
Pour choisir votre résolution d'affichage préférée, dans le menu Actions, choisissez Resolutions (Résolutions), puis sélectionnez l'une des options suivantes :
-
Adaptation automatique
-
1920 x 1080
-
1400 x 900
-
1 366 x 768
-
800 x 600
L'option Adapt Automatically (Adapter automatiquement) définit la résolution en fonction de la taille d'écran détectée.
-
