連線至 Windows Server 使用 的受管執行個體 Remote Desktop - AWS Systems Manager
設定您的環境設定遠端桌面的IAM許可驗證遠端桌面連線遠端連線持續時間與並行使用遠端桌面連線至受管節點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線至 Windows Server 使用 的受管執行個體 Remote Desktop

您可以使用...Fleet Manager,一種 功能 AWS Systems Manager,可連線至您的 Windows Server 使用 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 Remote Desktop Protocol (RDP). Fleet Manager 遠端桌面由 Amazon DCV提供支援,可讓您安全連線至您的 Windows Server 執行個體。在單一瀏覽器視窗中,您最多可同時建立四條連線。

目前,您只能將遠端桌面與執行中的執行個體搭配使用 Windows Server 2012 RTM或更新版本。遠端桌面僅支援英文語言輸入。

注意

Fleet Manager 遠端桌面是主控台限定的服務,不支援與受管執行個體的命令列連線。若要連線至 Windows Server 透過 Shell 的 受管執行個體,您可以使用 Session Manager,是 的另一個功能 AWS Systems Manager。如需詳細資訊,請參閱AWS Systems Manager Session Manager

如需有關設定 AWS Identity and Access Management (IAM) 許可以允許執行個體與 Systems Manager 互動的資訊,請參閱設定 Systems Manager 的執行個體許可

設定您的環境

在您使用遠端桌面之前,請確定您的環境符合下列要求:

  • 受管節點組態

    請確定您的 Amazon EC2執行個體已在 Systems Manager 中設定為受管節點

  • SSM Agent 最低版本

    確認節點正在執行 SSM Agent 3.0.222.0 版或更新版本。如需有關如何檢查節點執行之代理程式版本的詳細資訊,請參閱 檢查 SSM Agent 版本編號。如需有關安裝或更新 的資訊 SSM Agent,請參閱使用 SSM Agent

  • RDP 連接埠組態

    若要接受遠端連線,Remote Desktop Services 上的 服務 Windows Server 節點必須使用預設RDP連接埠 3389。這是 上的預設組態 Amazon Machine Images (AMIs) 由 提供 AWS。您不需要明確開啟任何傳入連接埠即可使用遠端桌面。

  • PSReadLine 鍵盤功能的模組版本

    為了確保您的鍵盤在 中正常運作 PowerShell,驗證執行中的節點 Windows Server 2022 年 PSReadLine 已安裝模組 2.2.2 版或更新版本。如果他們執行較舊的版本,您可以使用下列命令安裝所需的版本。

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    安裝 NuGet 套件提供者後,請執行下列命令。

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Session Manager 組態

    您必須先完成 Session Manager 設定的先決條件,才能使用遠端桌面。當您使用遠端桌面連線至執行個體時, AWS 區域 會套用為 AWS 帳戶 和 定義的任何工作階段偏好設定。如需詳細資訊,請參閱設定 Session Manager

    注意

    如果使用 Amazon Simple Storage Service (Amazon S3) 記錄 Session Manager 的活動,則遠端桌面連線會在 bucket_name/Port/stderr 中產生以下錯誤。此錯誤是預期會出現的行為,可以安全忽略。

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

設定遠端桌面的IAM許可

除了 Systems Manager 和 所需的IAM許可之外 Session Manager,您用來存取主控台的使用者或角色必須允許下列動作:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

以下是您可以連接到使用者或角色的範例IAM政策,以允許不同類型的遠端桌面互動。取代每個 example resource placeholder 使用您自己的資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
注意

在下列IAM政策中, SSMStartSession區段需要ssm:StartSession動作的 Amazon Resource Name (ARN)。如所示,ARN您指定的 不需要 AWS 帳戶 ID。如果您指定帳戶 ID,Fleet Manager 傳回 AccessDeniedException

範例政策中較低的 AccessTaggedInstances區段也需要 ARNs 用於 ssm:StartSession。對於這些 ARNs,您確實指定 AWS 帳戶 IDs。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition"{
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection"
            ],
            "Resource": "*"
        }
    ]
}

驗證遠端桌面連線

建立遠端連線時,您可以使用 進行身分驗證 Windows 憑證或與執行個體相關聯的 Amazon EC2金鑰對 (.pem 檔案)。如需有關使用金鑰對的資訊,請參閱 Amazon EC2金鑰對和 WindowsAmazon EC2使用者指南 中的 執行個體

或者,如果您 AWS Management Console 使用 對 進行身分驗證 AWS IAM Identity Center,則可以連線到執行個體,而無需提供其他憑證。如需使用 IAM Identity Center 允許遠端連線身分驗證的政策範例,請參閱 設定遠端桌面的IAM許可

開始之前

在您開始使用遠端桌面連線之前,請注意下列使用 IAM Identity Center 身分驗證的條件。

  • 遠端桌面支援對啟用 IAM Identity Center AWS 區域 的相同節點進行 IAM Identity Center 身分驗證。

  • Remote Desktop 支援最多 16 個字元的 IAM Identity Center 使用者名稱。

  • 遠端桌面支援由英數字元和下列特殊字元組成的 IAM Identity Center 使用者名稱: . - _

    重要

    包含下列字元的 IAM Identity Center 使用者名稱將無法成功連線: + = ,

    IAM Identity Center 在使用者名稱中支援這些字元,但 Fleet Manager RDP 連線不會。

    此外,如果 IAM Identity Center 使用者名稱包含一或多個@符號,Fleet Manager 無論 是否@引入電子郵件地址的網域部分, 都會忽略第一個@符號及其後面的所有字元。例如,對於 IAM Identity Center 使用者名稱 diego_ramirez@example.com,會忽略 @example.com部分,並忽略 的使用者名稱 Fleet Manager 會變成 diego_ramirez。對於 diego_r@mirez@example.com,Fleet Manager 忽略 @mirez@example.com和 的使用者名稱 Fleet Manager 會變成 diego_r

  • 使用 IAM Identity Center 驗證連線時,遠端桌面會建立本機 Windows 執行個體本機管理員群組中的 使用者。遠端連線結束後,此使用者仍將存在。

  • 遠端桌面不允許對屬於 的節點進行 IAM Identity Center 身分驗證 Microsoft Active Directory 網域控制器。

  • 雖然遠端桌面可讓您針對加入 的節點使用 IAM Identity Center 身分驗證 Active Directory 域,我們不建議這樣做。此驗證方法會將系統管理許可授予使用者,從而導致使用者可能會覆寫網域授予的更嚴格許可。

Identity IAM Center 身分驗證的支援區域

Remote Desktop 下列 支援使用 IAM Identity Center 身分驗證的連線 AWS 區域:

  • 美國東部 (俄亥俄) (us-east-2)

  • 美國東部 (維吉尼亞北部) (us-east-1)

  • 美國西部 (加利佛尼亞北部) (us-west-1)

  • 美國西部 (奧勒岡) (us-west-2)

  • 非洲 (開普敦) (af-south-1)

  • 亞太區域 (香港) (ap-east-1)

  • 亞太區域 (孟買) (ap-south-1)

  • 亞太區域 (東京) (ap-northeast-1)

  • 亞太區域 (首爾) (ap-northeast-2)

  • 亞太區域 (大阪) (ap-northeast-3)

  • 亞太區域 (新加坡) (ap-southeast-1)

  • 亞太區域 (雪梨) (ap-southeast-2)

  • 亞太區域 (雅加達) (ap-southeast-3)

  • 加拿大 (中部) (ca-central-1)

  • 歐洲 (法蘭克福) (eu-central-1)

  • 歐洲 (斯德哥爾摩) (eu-north-1)

  • 歐洲 (愛爾蘭) (eu-west-1)

  • 歐洲 (倫敦) (eu-west-2)

  • 歐洲 (巴黎) (eu-west-3)

  • 以色列 (特拉維夫) (il-central-1)

  • 南美洲 (聖保羅) (sa-east-1)

  • 歐洲 (米蘭) (eu-south-1)

  • 中東 (巴林) (me-south-1)

  • AWS GovCloud (美國東部) (us-gov-east-1)

  • AWS GovCloud (美國西部) (us-gov-west-1)

遠端連線持續時間與並行

下列條件適用於作用中的遠端桌面連線:

  • 連線持續時間

    根據預設,遠端桌面連線會在 60 分鐘後中斷。若要避免中斷連線,您可以在中斷連線前選擇續約工作階段來重設持續時間計時器。

  • 連線逾時

    遠端桌面連線會在閒置超過 10 分鐘後中斷。

  • 並行連線

    根據預設,您一次最多可以有 5 個作用中遠端桌面連線,用於相同的 AWS 帳戶 和 AWS 區域。若要請求將服務配額提高到最高 25 個並行連線,請參閱《Service Quotas 使用者指南》中的請求提高配額

使用遠端桌面連線至受管節點

瀏覽器複製/貼上文字支援

使用 Google Chrome 和 Microsoft Edge 瀏覽器,您可以將文字從受管節點複製並貼到本機機器,以及從本機機器複製並貼到您連線的受管節點。

使用 Mozilla Firefox 瀏覽器,您只能將文字從受管節點複製並貼到本機機器。不支援從本機機器複製到受管節點。

若要使用 連線至受管節點 Fleet Manager 遠端桌面

  1. 在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Fleet Manager.

  3. 選擇您要連線到的節點。您可以選取核取方塊或節點名稱。

  4. 節點動作選單中,選擇使用遠端桌面連線

  5. 選擇您偏好的 Authentication type (身分驗證類型)。如果您選擇使用者憑證 ,請輸入 的使用者名稱和密碼 Windows 您連線之節點上的使用者帳戶。如果選擇金鑰對,您可以使用以下其中一種方法提供身份驗證憑證:

    1. 如果您想要從本機檔案系統選取與執行個體相關聯的金鑰,請選擇瀏覽本機機器。 PEM

      - 或 -

    2. 如果您想要複製PEM檔案的內容,並將其貼到提供的欄位中,請選擇貼上金鑰對內容。

  6. 選取 Connect (連線)。

  7. 若要選擇您偏好的顯示解析度,請在動作功能表中選擇解析度,然後從下列選項中選取:

    • 自動調整

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    自動調整選項會根據偵測到的螢幕大小自動設定解析度。