Menghubungkan ke Windows Server instance terkelola menggunakan Remote Desktop - AWS Systems Manager
Menyiapkan lingkungan AndaMengkonfigurasi IAM izin untuk Remote DesktopMengautentikasi koneksi Remote DesktopDurasi koneksi jarak jauh dan konkurensiConnect ke node terkelola menggunakan Remote Desktop

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke Windows Server instance terkelola menggunakan Remote Desktop

Anda dapat menggunakan Fleet Manager, kemampuan AWS Systems Manager, untuk terhubung ke Windows Server Instans Amazon Elastic Compute Cloud (AmazonEC2) menggunakan Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, yang didukung oleh Amazon DCV, memberi Anda konektivitas aman Windows Server instance langsung dari konsol Systems Manager. Anda dapat memiliki hingga empat koneksi simultan dalam satu jendela browser.

Saat ini, Anda hanya dapat menggunakan Remote Desktop dengan instance yang sedang berjalan Windows Server 2012 RTM atau lebih tinggi. Remote Desktop hanya mendukung input bahasa Inggris.

catatan

Fleet Manager Remote Desktop adalah layanan khusus konsol dan tidak mendukung koneksi baris perintah ke instance terkelola Anda. Untuk terhubung ke Windows Server instance terkelola melalui shell, Anda dapat menggunakan Session ManagerKemampuan lain dari AWS Systems Manager Untuk informasi selengkapnya, lihat AWS Systems ManagerĀ Session Manager.

Untuk informasi tentang mengkonfigurasi AWS Identity and Access Management (IAM) izin agar instans Anda berinteraksi dengan Systems Manager, lihat Mengonfigurasi izin instans untuk Systems Manager.

Menyiapkan lingkungan Anda

Sebelum menggunakan Remote Desktop, verifikasi bahwa lingkungan Anda memenuhi persyaratan berikut:

  • Konfigurasi simpul terkelola

    Pastikan EC2 instans Amazon Anda dikonfigurasi sebagai node terkelola di Systems Manager.

  • SSM Agent versi minimum

    Verifikasi bahwa node sedang berjalan SSM Agent versi 3.0.222.0 atau lebih tinggi. Untuk informasi tentang cara memeriksa versi agen mana yang berjalan pada node, lihatMemeriksa nomor SSM Agent versi. Untuk informasi tentang menginstal atau memperbarui SSM Agent, lihat Bekerja dengan SSM Agent.

  • RDPkonfigurasi port

    Untuk menerima koneksi jarak jauh, Remote Desktop Services layanan pada Anda Windows Server node harus menggunakan RDP port default 3389. Ini adalah konfigurasi default pada Amazon Machine Images (AMIs) disediakan oleh AWS. Anda tidak secara eksplisit diharuskan untuk membuka port masuk apa pun untuk menggunakan Remote Desktop.

  • PSReadLine versi modul untuk fungsionalitas keyboard

    Untuk memastikan bahwa keyboard Anda berfungsi dengan baik di PowerShell, verifikasi bahwa node berjalan Windows Server 2022 memiliki PSReadLine modul versi 2.2.2 atau lebih tinggi diinstal. Jika mereka menjalankan versi yang lebih lama, Anda dapat menginstal versi yang diperlukan menggunakan perintah berikut.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Setelah penyedia NuGet paket diinstal, jalankan perintah berikut.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Konfigurasi Manajer Sesi

    Sebelum Anda dapat menggunakan Remote Desktop, Anda harus menyelesaikan prasyarat untuk pengaturan Session Manager. Saat Anda terhubung ke instans menggunakan Remote Desktop, preferensi sesi apa pun yang ditentukan untuk Anda Akun AWS dan Wilayah AWS diterapkan. Untuk informasi selengkapnya, lihat Menyiapkan Session Manager.

    catatan

    Jika Anda mencatat aktivitas Session Manager menggunakan Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), maka koneksi Remote Desktop Anda akan menghasilkan kesalahan berikut. bucket_name/Port/stderr Kesalahan ini adalah perilaku yang diharapkan dan dapat diabaikan dengan aman.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Mengkonfigurasi IAM izin untuk Remote Desktop

Selain IAM izin yang diperlukan untuk Systems Manager dan Session Manager, pengguna atau peran yang Anda gunakan untuk mengakses konsol harus mengizinkan tindakan berikut:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Berikut ini adalah contoh IAM kebijakan yang dapat Anda lampirkan ke pengguna atau peran untuk memungkinkan berbagai jenis interaksi dengan Remote Desktop. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Dalam IAM kebijakan berikut, SSMStartSession bagian ini memerlukan Nama Sumber Daya Amazon (ARN) untuk ssm:StartSession tindakan tersebut. Seperti yang ditunjukkan, yang ARN Anda tentukan tidak memerlukan Akun AWS ID. Jika Anda menentukan ID akun, Fleet Manager mengembalikan sebuahAccessDeniedException.

AccessTaggedInstancesBagian, yang terletak lebih rendah dalam kebijakan contoh, juga membutuhkan ARNs untukssm:StartSession. Bagi merekaARNs, Anda menentukan Akun AWS IDs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}

Mengautentikasi koneksi Remote Desktop

Saat membuat koneksi jarak jauh, Anda dapat mengautentikasi menggunakan Windows credentials atau Amazon EC2 key pair (.pemfile) yang terkait dengan instance. Untuk informasi tentang penggunaan pasangan kunci, lihat pasangan EC2 kunci Amazon dan Windows contoh di Panduan EC2 Pengguna Amazon.

Atau, jika Anda diautentikasi ke AWS Management Console penggunaan AWS IAM Identity Center, Anda dapat terhubung ke instans Anda tanpa memberikan kredensi tambahan. Untuk contoh kebijakan untuk mengizinkan otentikasi koneksi jarak jauh menggunakan Pusat IAM Identitas, lihatMengkonfigurasi IAM izin untuk Remote Desktop.

Sebelum Anda mulai

Perhatikan kondisi berikut untuk menggunakan autentikasi Pusat IAM Identitas sebelum Anda mulai menghubungkan menggunakan Remote Desktop.

  • Remote Desktop mendukung otentikasi Pusat IAM Identitas untuk node yang sama di Wilayah AWS mana Anda mengaktifkan Pusat IAM Identitas.

  • Remote Desktop mendukung nama pengguna Pusat IAM Identitas hingga 16 karakter.

  • Remote Desktop mendukung nama pengguna Pusat IAM Identitas yang terdiri dari karakter alfanumerik dan karakter khusus berikut: . - _

    penting

    Koneksi tidak akan berhasil untuk nama pengguna Pusat IAM Identitas yang berisi karakter berikut: + = ,

    IAMIdentity Center mendukung karakter ini dalam nama pengguna, tetapi Fleet Manager RDPkoneksi tidak.

    Selain itu, jika nama pengguna Pusat IAM Identitas berisi satu atau lebih @ simbol, Fleet Manager mengabaikan @ simbol pertama dan semua karakter yang mengikutinya, apakah @ memperkenalkan bagian domain dari alamat email atau tidak. Misalnya, untuk nama pengguna Pusat IAM Identitasdiego_ramirez@example.com, @example.com bagian diabaikan dan nama pengguna untuk Fleet Manager menjadidiego_ramirez. Untukdiego_r@mirez@example.com, Fleet Manager mengabaikan@mirez@example.com, dan nama pengguna untuk Fleet Manager menjadidiego_r.

  • Ketika koneksi diautentikasi menggunakan IAM Identity Center, Remote Desktop membuat lokal Windows pengguna dalam grup Administrator Lokal instans. Pengguna ini bertahan setelah koneksi jarak jauh berakhir.

  • Remote Desktop tidak mengizinkan otentikasi Pusat IAM Identitas untuk node yang Microsoft Active Directory pengontrol domain.

  • Meskipun Remote Desktop memungkinkan Anda untuk menggunakan otentikasi Pusat IAM Identitas untuk node yang bergabung Active Directory domain, kami tidak menyarankan melakukannya. Metode otentikasi ini memberikan izin administratif kepada pengguna yang mungkin mengganti izin yang lebih ketat yang diberikan oleh domain.

Wilayah yang Didukung untuk otentikasi Pusat IAM Identitas

Remote Desktop koneksi menggunakan otentikasi Pusat IAM Identitas didukung dalam hal berikut: Wilayah AWS

  • AS Timur (Ohio) (us-east-2)

  • AS Timur (Virginia Utara) (us-east-1)

  • AS Barat (California Utara) (us-west-1)

  • AS Barat (Oregon) (us-west-2)

  • Africa (Cape Town) (af-south-1)

  • Asia Pacific (Hong Kong) (ap-east-1)

  • Asia Pasifik (Mumbai) (ap-south-1)

  • Asia Pasifik (Tokyo) (ap-northeast-1)

  • Asia Pasifik (Seoul) (ap-northeast-2)

  • Asia Pasifik (Osaka) (ap-northeast-3)

  • Asia Pasifik (Singapura) (ap-southeast-1)

  • Asia Pasifik (Sydney) (ap-southeast-2)

  • Asia Pasifik (Jakarta) (ap-southeast-3)

  • Kanada (Pusat) (ca-central-1)

  • Eropa (Frankfurt) (eu-central-1)

  • Eropa (Stockholm) (eu-north-1)

  • Eropa (Irlandia) (eu-west-1)

  • Eropa (London) (eu-west-2)

  • Eropa (Paris) (eu-west-3)

  • Israel (Tel Aviv) (il-central-1)

  • Amerika Selatan (Sao Paulo) (sa-east-1)

  • Europe (Milan) (eu-south-1)

  • Middle East (Bahrain) (me-south-1)

  • AWS GovCloud (AS-Timur) (us-gov-east-1)

  • AWS GovCloud (AS-Barat) (us-gov-west-1)

Durasi koneksi jarak jauh dan konkurensi

Ketentuan berikut berlaku untuk koneksi Remote Desktop yang aktif:

  • Durasi koneksi

    Secara default, koneksi Remote Desktop terputus setelah 60 menit. Untuk mencegah koneksi terputus, Anda dapat memilih Perbarui sesi sebelum terputus untuk mengatur ulang pengatur waktu durasi.

  • Batas waktu koneksi

    Koneksi Remote Desktop terputus setelah idle selama lebih dari 10 menit.

  • Koneksi bersamaan

    Secara default, Anda dapat memiliki maksimum 5 koneksi Remote Desktop aktif pada satu waktu untuk yang sama Akun AWS dan Wilayah AWS. Untuk meminta peningkatan kuota layanan hingga 25 koneksi bersamaan, lihat Meminta peningkatan kuota dalam Panduan Pengguna Service Quotas.

Connect ke node terkelola menggunakan Remote Desktop

Dukungan salin/tempel browser untuk teks

Menggunakan browser Google Chrome dan Microsoft Edge, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda, dan dari mesin lokal Anda ke node terkelola yang terhubung dengan Anda.

Menggunakan browser Mozilla Firefox, Anda dapat menyalin dan menempelkan teks dari node terkelola ke mesin lokal Anda saja. Menyalin dari mesin lokal Anda ke node terkelola tidak didukung.

Untuk terhubung ke node terkelola menggunakan Fleet Manager Desktop Jarak Jauh

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Fleet Manager.

  3. Pilih node yang ingin Anda sambungkan. Anda dapat memilih kotak centang atau nama simpul.

  4. Pada menu tindakan Node, pilih Connect with Remote Desktop.

  5. Pilih jenis Otentikasi pilihan Anda. Jika Anda memilih kredensi Pengguna, masukkan nama pengguna dan kata sandi untuk Windows akun pengguna pada node yang Anda sambungkan. Jika Anda memilih Pasangan kunci, Anda dapat memberikan otentikasi menggunakan salah satu metode berikut:

    1. Pilih Jelajahi mesin lokal jika Anda ingin memilih PEM kunci yang terkait dengan instance Anda dari sistem file lokal Anda.

      - atau -

    2. Pilih Tempel konten key pair jika Anda ingin menyalin isi PEM file dan menempelkannya ke bidang yang disediakan.

  6. Pilih Connect.

  7. Untuk memilih resolusi tampilan yang Anda inginkan, di menu Tindakan, pilih Resolusi, lalu pilih dari yang berikut ini:

    • Beradaptasi secara otomatis

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    Opsi Adaptasi Secara Otomatis menetapkan resolusi berdasarkan ukuran layar yang terdeteksi.