• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Registrazione delle connessioni RDP
<a name="systems-manager-just-in-time-node-access-rdp-recording"></a>

Just-in-time l'accesso al nodo include la possibilità di registrare le connessioni RDP effettuate ai Windows Server nodi. La registrazione delle connessioni RDP richiede un bucket S3 e una chiave AWS Key Management Service (AWS KMS) gestita dal cliente. AWS KMS key Viene utilizzato per crittografare temporaneamente i dati di registrazione mentre vengono generati e archiviati nelle risorse di Systems Manager. La chiave gestita dal cliente deve essere una chiave simmetrica con un utilizzo chiave di crittografia e decrittografia. È possibile utilizzare una chiave multiregionale per l'organizzazione oppure è necessario creare una chiave gestita dal cliente in ogni regione in cui è stato abilitato l'accesso ai just-in-time nodi.

Se hai abilitato la crittografia KMS sul bucket S3, in cui memorizzi le registrazioni, devi fornire l'accesso alla chiave gestita dal cliente utilizzata per la crittografia dei bucket al principale del servizio `ssm-guiconnect`. Questa chiave gestita dal cliente può essere diversa da quella specificata nelle impostazioni di registrazione, che devono includere la chiave per cui è richiesta l'autorizzazione `kms:CreateGrant` per stabilire connessioni. 

## Configurazione della crittografia del bucket S3 per le registrazioni RDP
<a name="rdp-recording-bucket-encryption"></a>

Le registrazioni delle connessioni vengono archiviate nel bucket S3, che specifichi quando abiliti la registrazione RDP.

Se utilizzi una chiave KMS come meccanismo di crittografia predefinito per il bucket S3 (SSE-KMS), è necessario consentire al principale del servizio `ssm-guiconnect` l'accesso all'azione `kms:GenerateDataKey` sulla chiave. Si consiglia di utilizzare una chiave gestita dal cliente durante l’utilizzo della crittografia SSE-KMS con il bucket S3. In questo modo, è possibile aggiornare la policy della chiave associata per una chiave gestita dal cliente. Non puoi aggiornare le politiche chiave per Chiavi gestite da AWS.

**Importante**  
È necessario etichettare le AWS KMS chiavi utilizzate per la Session Manager crittografia e la registrazione RDP nell'accesso ai just-in-time nodi con la chiave del tag `SystemsManagerJustInTimeNodeAccessManaged` e il valore `true` del tag.  
Per ulteriori informazioni sull'applicazione di tag alle chiavi KMS, consulta [Tag in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

Utilizza la seguente policy della chiave gestita dal cliente per consentire al servizio `ssm-guiconnect` di accedere alla chiave KMS per l'archiviazione S3. Per informazioni sull'aggiornamento di una chiave gestita dal cliente, consulta [Modifica una policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *Guida per gli sviluppatori AWS Key Management Service *.

Sostituisci *example resource placeholder* ognuna con le tue informazioni:
+ *account-id*rappresenta l'ID di Account AWS chi avvia la connessione.
+ *region*rappresenta la posizione Regione AWS in cui si trova il bucket S3. (È possibile utilizzare `*`, se il bucket riceverà registrazioni da molteplici Regioni. Esempio: `s3.*.amazonaws.com`.)

**Nota**  
Puoi utilizzare `aws:SourceOrgID` nella policy invece di `aws:SourceAccount`, se l'account appartiene a un'organizzazione di AWS Organizations.

```
{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}
```

## Configurazione delle autorizzazioni IAM per la registrazione delle connessioni RDP
<a name="rdp-recording-iam-policy-examples"></a>

Oltre alle autorizzazioni IAM richieste per l'accesso al just-in-time nodo, all'utente o al ruolo utilizzato devono essere concesse le seguenti autorizzazioni in base all'attività da eseguire.

**Autorizzazioni per la configurazione della registrazione delle connessioni**  
Per configurare la registrazione delle connessioni RDP, sono necessarie le seguenti autorizzazioni:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`

**Autorizzazioni per l'avvio delle connessioni**  
Per effettuare connessioni RDP con accesso al just-in-time nodo, sono necessarie le seguenti autorizzazioni:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`

**Prima di iniziare**  
Per archiviare le registrazioni delle connessioni, devi prima creare un bucket S3 e aggiungere la seguente policy di bucket. Sostituisci ogni *example resource placeholder* con le tue informazioni.

Per informazioni sull'aggiunta di una policy di bucket, consulta [Aggiunta di una policy di bucket tramite l'utilizzo della console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nella *Guida per l'utente di Amazon Simple Storage Service*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}
```

------

## Abilitazione e configurazione della registrazione delle connessioni RDP
<a name="enable-rdp-connection-recording"></a>

La seguente procedura descrive come abilitare e configurare la registrazione delle connessioni RDP.

**Per abilitare e configurare la registrazione delle connessioni RDP**

1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Scegli **Impostazioni** nel pannello di navigazione.

1. Seleziona la scheda di **accesso al Just-in-time nodo**.

1. Nella sezione **Registrazione RDP**, seleziona Abilita registrazione RDP.

1. Scegli il bucket S3 in cui caricare le registrazioni delle sessioni.

1. Scegli la chiave gestita dal cliente da utilizzare per crittografare temporaneamente i dati di registrazione, mentre vengono generati e archiviati nelle risorse di Systems Manager. (Può trattarsi di una chiave gestita dal cliente diversa da quella utilizzata per crittografare il bucket.)

1. Seleziona **Salva**.

## Valori dello stato di registrazione della connessione RDP
<a name="rdp-recording-status"></a>

I valori di stato validi per le registrazioni delle connessioni RPD includono i seguenti elementi:
+ `Recording` - La connessione è in fase di registrazione;
+ `Processing` - Il video viene elaborato dopo il termine della connessione;
+ `Finished` - Stato terminale completato: il video di registrazione della connessione è stato eseguito correttamente e caricato nel bucket specificato; 
+ `Failed` - Stato terminale non eseguito. La registrazione della connessione non è eseguita. 
+ `ProcessingError`- Durante l'elaborazione video failures/errors si sono verificati uno o più elementi intermedi. Le probabili cause includono errori di dipendenza dal servizio o autorizzazioni mancanti a causa di una configurazione errata del bucket S3 specificato per l'archiviazione delle registrazioni. Il servizio continua a tentare l'elaborazione, quando la registrazione è in questo stato.

**Nota**  
`ProcessingError` può essere il risultato del mancato consenso del principale del servizio `ssm-guiconnect` a caricare oggetti nel bucket S3, dopo aver stabilito la connessione. Un'altra probabile causa è la mancanza delle autorizzazioni KMS sulla chiave KMS utilizzata per la crittografia dei bucket S3.