• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo grabar conexiones RDP
El acceso a los nodos justo a tiempo incluye la posibilidad de grabar las conexiones con el protocolo para escritorios remotos (RDP) realizadas con los nodos de Windows Server. Para grabar las conexiones RDP, se necesita un bucket de S3 y una clave de AWS Key Management Service (AWS KMS) administrada por el cliente. La AWS KMS key se usa para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. La clave administrada por el cliente debe ser una clave simétrica con un uso de cifrado y descifrado. Puede usar una clave multirregional para la organización o debe crear una clave administrada por el cliente en cada región en la que haya habilitado el acceso a los nodos justo a tiempo.
Si habilitó el cifrado de KMS en el bucket de S3 en el que almacena las grabaciones, debe dar acceso a la clave administrada por el cliente. Esta clave se utiliza para el cifrado del bucket en la entidad principal de servicio `ssm-guiconnect`. Esta clave administrada por el cliente puede ser diferente a la que especifique en la configuración de grabación, y debe incluir para que se requiere el permiso `kms:CreateGrant` para establecer conexiones.
## Configuración del cifrado de bucket de S3 para las grabaciones RDP
Las grabaciones de su conexión se almacenan en el bucket de S3 que especifique al habilitar la grabación RDP.
Si utiliza una clave de KMS como mecanismo de cifrado predeterminado para el bucket de S3 (SSE-KMS), debe permitir que la entidad principal de servicio `ssm-guiconnect` acceda a la acción `kms:GenerateDataKey` en la clave. Recomendamos usar una clave administrada por el cliente al usar el cifrado de SSE-KMS con un bucket de S3. Esto se debe a que puede actualizar la política de claves asociada para una clave administrada por el cliente. No puede actualizar las políticas de claves para Claves administradas por AWS.
**importante**
Debe etiquetar las claves de AWS KMS utilizadas para el cifrado de Session Manager y el registro de RDP en el acceso al nodo justo a tiempo con la clave de etiqueta `SystemsManagerJustInTimeNodeAccessManaged` y el valor de etiqueta `true`.
Para obtener más información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) en la *Guía para desarrolladores de AWS Key Management Service*.
Utilice la siguiente política de claves administrada por el cliente para permitir que el servicio `ssm-guiconnect` acceda a la clave KMS para el almacenamiento en S3. Para obtener información sobre la actualización de una clave administrada por el cliente, consulte [Cambio de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía para desarrolladores de AWS Key Management Service*.
Reemplace cada *example resource placeholder* con su propia información:
+ *account-id* representa el ID de Cuenta de AWS que inicia la conexión.
+ *region* representa la Región de AWS donde está ubicado el bucket de S3. (Puede usar `*` si el bucket recibirá grabaciones de varias regiones. Ejemplo: `s3.*.amazonaws.com`.)
**nota**
Puede usar `aws:SourceOrgID` en la política en lugar de `aws:SourceAccount` si la cuenta pertenece a una organización en AWS Organizations.
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## Cómo configurar permisos de IAM para grabar conexiones RDP
Además de los permisos de IAM necesarios del acceso a los nodos justo a tiempo, el usuario o el rol que utilice deben tener los siguientes permisos en función de la tarea que deba realizar.
**Permisos para configurar la grabación de conexiones**
Para configurar la grabación de conexiones RDP, se necesitan los siguientes permisos:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**Permisos para iniciar conexiones**
Para establecer conexiones RDP con acceso a los nodos justo a tiempo, se necesitan los siguientes permisos:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**Antes de empezar**
Para almacenar las grabaciones de las conexiones, primero debe crear un bucket de S3 y añadir la siguiente política de bucket. Reemplace cada *example resource placeholder* con su propia información.
Para obtener información sobre cómo agregar una política de bucket, consulte [Cómo agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## Habilitación y configuración de la grabación de conexiones RDP
En el siguiente procedimiento, se describe cómo habilitar y configurar la grabación de conexiones RDP.
**Para habilitar y configurar la grabación de conexiones RDP**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Grabación RDP**, seleccione **Habilitar grabación RDP**.
1. Elija el bucket de S3 en el que desee cargar las grabaciones de las sesiones.
1. Elija la clave administrada por el cliente que desee utilizar para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. Puede ser una clave administrada por el cliente diferente a la que utiliza para cifrar el bucket.
1. Seleccione **Guardar**.
## Valores de estado de la grabación de conexiones RDP
Los valores de estado válidos para las grabaciones de conexiones RDP son los siguientes:
+ `Recording`: la conexión está en proceso de grabación.
+ `Processing`: el video se está procesando una vez finalizada la conexión.
+ `Finished`: estado terminal exitoso; el video de grabación de la conexión se procesó correctamente y se cargó en el bucket especificado.
+ `Failed`: estado terminal fallido. La conexión no se grabó correctamente.
+ `ProcessingError`: se produjeron uno o más errores o fallos intermedios durante el procesamiento del vídeo. Las posibles causas incluyen fallos de dependencia del servicio o falta de permisos debido a una configuración incorrecta en el bucket de S3 especificado para almacenar las grabaciones. El servicio sigue intentando procesar cuando la grabación se encuentra en este estado.
**nota**
`ProcessingError` puede deberse a que la entidad principal de servicio `ssm-guiconnect` no tenga permiso para cargar objetos en el bucket de S3 una vez establecida la conexión. Otra posible causa es la falta de permisos de KMS en la clave de KMS que se utiliza para el cifrado del bucket de S3.