• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Merekam koneksi RDP
Just-in-time akses node mencakup kemampuan untuk merekam koneksi RDP yang dibuat ke node AndaWindows Server. Merekam koneksi RDP memerlukan bucket S3 dan AWS Key Management Service (AWS KMS) kunci yang dikelola pelanggan. AWS KMS key Ini digunakan untuk mengenkripsi sementara data rekaman saat itu dihasilkan dan disimpan pada sumber daya Systems Manager. Kunci yang dikelola pelanggan harus berupa kunci simetris dengan penggunaan kunci enkripsi dan dekripsi. Anda dapat menggunakan kunci Multi-wilayah untuk organisasi Anda, atau Anda harus membuat kunci terkelola pelanggan di setiap Wilayah tempat Anda mengaktifkan akses just-in-time node.
Jika Anda telah mengaktifkan enkripsi KMS pada bucket S3 tempat Anda menyimpan rekaman, Anda harus menyediakan akses ke kunci terkelola pelanggan yang digunakan untuk enkripsi bucket ke prinsipal `ssm-guiconnect` layanan. Kunci yang dikelola pelanggan ini bisa berbeda dari yang Anda tentukan dalam pengaturan perekaman, yang harus menyertakan `kms:CreateGrant` izin yang diperlukan untuk membuat koneksi.
## Mengkonfigurasi enkripsi bucket S3 untuk rekaman RDP
Rekaman koneksi Anda disimpan di bucket S3 yang Anda tentukan saat Anda mengaktifkan perekaman RDP.
Jika Anda menggunakan kunci KMS sebagai mekanisme enkripsi default untuk bucket S3 (SSE-KMS), Anda harus mengizinkan akses prinsipal `ssm-guiconnect` layanan untuk `kms:GenerateDataKey` bertindak pada kunci tersebut. Sebaiknya gunakan kunci yang dikelola pelanggan saat menggunakan enkripsi SSE-KMS dengan bucket S3. Ini karena Anda dapat memperbarui kebijakan kunci terkait untuk kunci yang dikelola pelanggan. Anda tidak dapat memperbarui kebijakan utama untuk Kunci yang dikelola AWS.
**penting**
Anda harus menandai AWS KMS kunci yang digunakan untuk Session Manager enkripsi dan perekaman RDP dalam akses just-in-time node dengan kunci tag `SystemsManagerJustInTimeNodeAccessManaged` dan nilai tag. `true`
Untuk informasi tentang menandai kunci KMS, lihat [Tag AWS KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) *Pengembang*.
Gunakan kebijakan kunci terkelola pelanggan berikut untuk mengizinkan akses `ssm-guiconnect` layanan ke kunci KMS untuk penyimpanan S3. Untuk informasi tentang memperbarui kunci terkelola pelanggan, lihat [Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di *Panduan AWS Key Management Service Pengembang*.
Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri:
+ *account-id*mewakili ID dari Akun AWS yang memulai koneksi.
+ *region*mewakili Wilayah AWS tempat bucket S3 berada. (Anda dapat menggunakan `*` jika bucket akan menerima rekaman dari beberapa Wilayah. Contoh:`s3.*.amazonaws.com`.)
**catatan**
Anda dapat menggunakan `aws:SourceOrgID` dalam kebijakan alih-alih `aws:SourceAccount` jika akun tersebut milik organisasi di AWS Organizations.
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## Mengkonfigurasi izin IAM untuk merekam koneksi RDP
Selain izin IAM yang diperlukan untuk akses just-in-time node, pengguna atau peran yang Anda gunakan harus diizinkan izin berikut berdasarkan tugas yang perlu Anda lakukan.
**Izin untuk mengonfigurasi rekaman koneksi**
Untuk mengkonfigurasi rekaman koneksi RDP, izin berikut diperlukan:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**Izin untuk memulai koneksi**
Untuk membuat koneksi RDP dengan akses just-in-time node, izin berikut diperlukan:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**Sebelum Anda mulai**
Untuk menyimpan rekaman koneksi, Anda harus terlebih dahulu membuat bucket S3 dan menambahkan kebijakan bucket berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
(Untuk informasi tentang menambahkan kebijakan bucket, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## Mengaktifkan dan mengonfigurasi rekaman koneksi RDP
Prosedur berikut menjelaskan cara mengaktifkan dan mengkonfigurasi rekaman koneksi RDP.
**Untuk mengaktifkan dan mengkonfigurasi rekaman koneksi RDP**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Pengaturan** di panel navigasi.
1. Pilih tab **akses Just-in-time node**.
1. Di bagian **perekaman RDP, pilih Aktifkan perekaman** **RDP**.
1. Pilih bucket S3 yang ingin Anda unggah rekaman sesi.
1. Pilih kunci terkelola pelanggan yang ingin Anda gunakan untuk mengenkripsi sementara data rekaman saat dibuat dan disimpan di sumber daya Systems Manager. (Ini bisa menjadi kunci yang dikelola pelanggan yang berbeda dari yang Anda gunakan untuk mengenkripsi bucket.)
1. Pilih **Simpan**.
## Nilai status perekaman koneksi RDP
Nilai status yang valid untuk rekaman koneksi RPD meliputi yang berikut:
+ `Recording`- Koneksi sedang dalam proses perekaman
+ `Processing`- Video sedang diproses setelah koneksi dihentikan.
+ `Finished`- Status terminal yang berhasil: Video rekaman koneksi berhasil diproses dan diunggah ke bucket yang ditentukan.
+ `Failed`- Status terminal gagal. Koneksi tidak berhasil direkam.
+ `ProcessingError`- Satu atau lebih perantara failures/errors terjadi selama pemrosesan video. Penyebab potensial termasuk kegagalan ketergantungan layanan atau izin yang hilang karena kesalahan konfigurasi pada bucket S3 yang ditentukan untuk menyimpan rekaman. Layanan terus mencoba memproses ketika rekaman dalam keadaan ini.
**catatan**
`ProcessingError`dapat menjadi hasil dari kepala `ssm-guiconnect` layanan yang tidak memiliki izin untuk mengunggah objek ke bucket S3 setelah koneksi dibuat. Penyebab potensial lainnya adalah hilangnya izin KMS pada kunci KMS yang digunakan untuk enkripsi bucket S3.