Connexion à une instance gérée Windows Server à l’aide d’Remote Desktop - AWS Systems Manager
Configuration de votre environnementConfiguration des autorisations IAM pour le Bureau à distanceAuthentification des connexions Bureau à distanceDurée et simultanéité des connexions distantesConnexion à un nœud géré à l'aide du Bureau à distanceAffichage d’informations sur les connexions en cours et terminées

Connexion à une instance gérée Windows Server à l’aide d’Remote Desktop

Vous pouvez utiliser Fleet Manager, une fonctionnalité d’AWS Systems Manager, pour vous connecter à vos instances Amazon Elastic Compute Cloud (Amazon EC2) Windows Server à l’aide de Remote Desktop Protocol (RDP). Fleet Manager Le bureau à distance , qui fonctionne avec Amazon DCV, vous fournit une connectivité sécurisée à vos instances Windows Server directement depuis la console Systems Manager. Vous pouvez établir jusqu'à quatre connexions simultanées dans une seule fenêtre de navigateur.

Actuellement, vous ne pouvez utiliser le Bureau à distance qu’avec des instances exécutant Windows Server 2012 RTM ou une version ultérieure. Le Bureau à distance prend uniquement en charge la langue anglaise.

Note

Fleet Manager Remote Desktop est un service de console uniquement et ne prend pas en charge les connexions en ligne de commande à vos instances gérées. Pour vous connecter à une instance gérée Windows Server via un shell, vous pouvez utiliser Session Manager, une autre fonctionnalité d’AWS Systems Manager. Pour en savoir plus, consultez AWS Systems Manager Session Manager.

Pour plus d’informations sur la configuration des autorisations AWS Identity and Access Management (IAM) pour autoriser vos instances à interagir avec Systems Manager, veuillez consulter la rubrique Configurer des autorisations d’instance pour Systems Manager.

Configuration de votre environnement

Avant d'utiliser le Bureau à distance, vérifiez que votre environnement respecte les conditions requises suivantes :

  • Configuration des nœuds gérés

    Assurez-vous que vos instances Amazon EC2 sont configurées en tant que nœuds gérés dans Systems Manager.

  • Version minimale de SSM Agent

    Vérifiez que les nœuds exécutent SSM Agent version 3.0.222.0 ou supérieure. Pour plus d'informations sur la vérification de la version de l'agent exécutée sur un nœud, veuillez consulter la rubrique Vérification du numéro de version de l'SSM Agent. Pour plus d'informations sur l'installation ou la mise à jour de SSM Agent, consultez Utilisation de l’option SSM Agent.

  • Configuration du port RDP

    Pour accepter les connexions distantes, le service Remote Desktop Services sur vos nœuds Windows Server doit utiliser le port RDP 3389 par défaut. Il s'agit de la configuration par défaut sur les Amazon Machine Images (AMIs) fournies par AWS. Vous n'êtes pas explicitement obligé d'ouvrir des ports entrants pour utiliser le Bureau à distance.

  • Version du module PSReadLine pour les fonctionnalités du clavier

    Pour vous assurer que votre clavier fonctionne correctement dans PowerShell, vérifiez que la version 2.2.2 ou supérieure du module PSReadLine est installée sur les nœuds exécutant Windows Server 2022. S’ils utilisent une version antérieure, vous pouvez installer la version requise à l’aide des commandes suivantes.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Une fois le fournisseur de packages NuGet installé, exécutez la commande suivante.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Configuration de Session Manager

    Avant de pouvoir utiliser le Bureau à distance, vous devez remplir les conditions suivantes pour la configuration de Session Manager. Lorsque vous vous connectez à une instance à l'aide du Bureau à distance, toutes les préférences de session définies pour votre Compte AWS et votre Région AWS sont appliquées. Pour en savoir plus, consultez Configuration de Session Manager.

    Note

    Si vous journalisez l'activité de Session Manager à l'aide d'Amazon Simple Storage Service (Amazon S3), vos connexions Bureau à distance génèrent l'erreur suivante dans bucket_name/Port/stderr. Cette erreur est prévue et peut être ignorée sans risque.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Configuration des autorisations IAM pour le Bureau à distance

Outre les autorisations IAM requises pour Systems Manager et Session Manager, l’utilisateur ou le rôle que vous utilisez doit être autorisé à établir des connexions.

Autorisations pour l’établissement de connexions

Pour établir des connexions RDP à des instances EC2 dans la console, les autorisations suivantes sont requises :

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Autorisations pour répertorier les connexions

Pour afficher des listes de connexions dans la console, l’autorisation suivante est requise :

ssm-guiconnect:ListConnections

Vous trouverez ci-dessous des exemples de politiques IAM que vous pouvez attacher à un utilisateur ou un rôle pour permettre différents types d'interaction avec le Bureau à distance. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
Note

Dans la politique IAM suivante, la section SSMStartSession requiert un Amazon Resource Name (ARN) pour l’action ssm:StartSession. Comme indiqué, l’ARN que vous spécifiez ne nécessite pas d’ID de Compte AWS. Si vous spécifiez un ID de compte, Fleet Manager renvoie un AccessDeniedException.

La section AccessTaggedInstances, située plus bas dans l’exemple de politique, requiert également des ARN pour ssm:StartSession. Pour ces ARN, vous devez spécifier des ID de Compte AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Authentification des connexions Bureau à distance

Lorsque vous établissez une connexion distante, vous pouvez vous authentifier à l’aide des informations d’identification Windows ou de la paire de clés Amazon EC2 (fichier .pem) associée à l’instance. Pour obtenir les informations relatives à l’utilisation des paires de clés, veuillez consulter la rubrique Paires de clés Amazon EC2 et instances Windows dans le Guide de l’utilisateur Amazon EC2.

Sinon, si vous êtes authentifié à la AWS Management Console à l'aide d'AWS IAM Identity Center, vous pouvez vous connecter à vos instances sans fournir d'informations d'identification supplémentaires. Pour obtenir un exemple de politique permettant l'authentification des connexions distantes à l'aide d'IAM Identity Center, veuillez consulter la rubrique Configuration des autorisations IAM pour le Bureau à distance.

Avant de commencer

Veuillez tenir compte des conditions suivantes pour l'utilisation de l'authentification IAM Identity Center avant de commencer à vous connecter via le Bureau à distance.

  • Le Bureau à distance prend en charge l'authentification IAM Identity Center pour les nœuds dans la Région AWS dans laquelle vous avez activé IAM Identity Center.

  • Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant jusqu'à 16 caractères.

  • Le Bureau à distance prend en charge les noms d'utilisateur IAM Identity Center comportant des caractères alphanumériques et les caractères spéciaux suivants : . - _

    Important

    Les connexions échoueront pour les noms d’utilisateur IAM Identity Center qui contiennent les caractères suivants : + = ,

    IAM Identity Center prend en charge ces caractères dans les noms d'utilisateur, mais pas les connexions RDP Fleet Manager.

    En outre, si un nom d’utilisateur IAM Identity Center contient un ou plusieurs symboles @, Fleet Manager ne tient pas compte du premier symbole @ et de tous les caractères qui le suivent, que le @ introduise ou non la partie domaine d’une adresse e-mail. Par exemple, pour le nom d’utilisateur IAM Identity Center diego_ramirez@example.com, la partie @example.com est ignorée et le nom d’utilisateur de Fleet Manager devient diego_ramirez. Pour diego_r@mirez@example.com, Fleet Manager ignore @mirez@example.com et le nom d’utilisateur de Fleet Manager devient diego_r.

  • Lorsqu'une connexion est authentifiée à l'aide d'IAM Identity Center, le Bureau à distance crée un utilisateur local Windows dans le groupe d'administrateurs locaux de l'instance. Cet utilisateur persiste après la fin de la connexion distante.

  • Le Bureau à distance n'autorise pas l'authentification IAM Identity Center pour les nœuds qui sont des contrôleurs de domaine Microsoft Active Directory.

  • Bien que le Bureau à distance vous permette d'utiliser l'authentification IAM Identity Center pour les nœuds joints à un domaine Active Directory, nous vous déconseillons de le faire. Cette méthode d'authentification accorde aux utilisateurs des autorisations administratives qui peuvent remplacer les autorisations plus restrictives accordées par le domaine.

Régions prises en charge pour l'authentification IAM Identity Center

Les connexions Remote Desktop qui utilisent l'authentification IAM Identity Center sont prises en charge dans les Régions AWS suivantes :

  • USA Est (Ohio) (us-east-2)

  • USA Est (Virginie du Nord) (us-east-1)

  • US Ouest (N. California) (us-west-1)

  • USA Ouest (Oregon) (us-west-2)

  • Afrique (Le Cap) (af-south-1)

  • Asie-Pacifique (Hong Kong) (ap-east-1)

  • Asie-Pacifique (Mumbai) (ap-south-1)

  • Asie-Pacifique (Tokyo) (ap-northeast-1)

  • Asie-Pacifique (Séoul) (ap-northeast-2)

  • Asie-Pacifique (Osaka) (ap-northeast-3)

  • Asie-Pacifique (Singapour) (ap-southeast-1)

  • Asie-Pacifique (Sydney) (ap-southeast-2)

  • Asie-Pacifique (Jakarta) (ap-southeast-3)

  • Canada (Centre) (ca-central-1)

  • Europe (Francfort) (eu-central-1)

  • Europe (Stockholm) (eu-north-1)

  • Europe (Irlande) (eu-west-1)

  • Europe (Londres) (eu-west-2)

  • Europe (Paris) (eu-west-3)

  • Israël (Tel Aviv) (il-central-1)

  • Amérique du Sud (São Paulo) (sa-east-1)

  • Europe (Milan) (eu-south-1)

  • Moyen-Orient (Bahreïn) (me-south-1)

  • AWS GovCloud (US-Est) (us-gov-east-1)

  • AWS GovCloud (US-West) (us-gov-west-1)

Durée et simultanéité des connexions distantes

Les conditions suivantes s'appliquent aux connexions Bureau à distance actives :

  • Durée de connexion

    Par défaut, une connexion Bureau à distance est déconnectée au bout de 60 minutes. Pour empêcher la déconnexion d'une connexion, vous pouvez choisir Renouveler la session avant d'être déconnecté pour réinitialiser la durée.

  • Délai de connexion

    Une connexion Bureau à distance se déconnecte après plus de 10 minutes d'inactivité.

  • Connexions simultanées

    Par défaut, vous pouvez avoir un maximum de cinq connexions Bureau à distance actives à la fois pour le même Compte AWS et la même Région AWS. Pour demander une augmentation du quota de service allant jusqu'à 25 connexions simultanées, veuillez consulter la rubrique Demande d'augmentation de quota dans le Guide de l'utilisateur Service Quotas.

Connexion à un nœud géré à l'aide du Bureau à distance

Prise en charge du copier/coller de texte par les navigateurs

À l’aide des navigateurs Google Chrome et Microsoft Edge, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local, et de votre ordinateur local vers un nœud géré auquel vous êtes connecté.

Avec le navigateur Mozilla Firefox, vous pouvez copier et coller du texte d’un nœud géré vers votre ordinateur local uniquement. La copie de votre ordinateur local vers le nœud géré n’est pas prise en charge.

Pour vous connecter à un nœud géré à l'aide de Fleet Manager Bureau à distance

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez le nœud auquel vous souhaitez vous connecter. Vous pouvez sélectionner la case à cocher ou le nom du nœud.

  4. Dans le menu Actions du nœud, sélectionnez Se connecter au Bureau à distance.

  5. Sélectionnez votre type d'authentification préféré dans le champ Authentication type (Type d'authentification). Si vous choisissez Informations d'identification utilisateur, saisissez le nom d'utilisateur et le mot de passe d'un compte utilisateur Windows sur le nœud auquel vous vous connectez. Si vous choisissez Paire de clés, vous pouvez fournir l'authentification à l'aide d'une des méthodes suivantes :

    1. Choisissez Parcourir la machine locale si vous souhaitez sélectionner la clé PEM associée à votre instance dans votre système de fichiers local.

      - ou -

    2. Choisissez Coller le contenu de la paire de clés si vous souhaitez copier le contenu du fichier PEM et le coller dans le champ prévu à cet effet.

  6. Cliquez sur Connect (Connexion).

  7. Pour choisir votre résolution d'affichage préférée, dans le menu Actions, choisissez Resolutions (Résolutions), puis sélectionnez l'une des options suivantes :

    • Adaptation automatique

    • 1920 x 1080

    • 1400 x 900

    • 1 366 x 768

    • 800 x 600

    L'option Adapt Automatically (Adapter automatiquement) définit la résolution en fonction de la taille d'écran détectée.

Affichage d’informations sur les connexions en cours et terminées

Vous pouvez utiliser la section Fleet Manager de la console Systems Manager pour afficher des informations sur les connexions RDP qui ont été établies dans votre compte. À l’aide d’un ensemble de filtres, vous pouvez limiter la liste des connexions affichées à une plage de temps, à une instance spécifique, à l’utilisateur qui a établi les connexions et aux connexions d’un état spécifique. La console propose également des onglets qui affichent des informations sur toutes les connexions actuellement actives et sur toutes les connexions passées.

Pour afficher des informations sur les connexions en cours et terminées

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Fleet Manager.

  3. Choisissez Gestion des comptes, Connexion avec Remote Desktop.

  4. Choisissez l’un des onglets suivants :

    • Connexions actives

    • Historique des connexions

  5. Pour réduire davantage la liste des résultats de connexion affichés, spécifiez un ou plusieurs filtres dans la zone de recherche ( The Search icon ). Vous pouvez également saisir un terme de recherche en texte libre.