• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# RDP 接続を記録する
<a name="systems-manager-just-in-time-node-access-rdp-recording"></a>

ジャストインタイムノードアクセスには、Windows Server ノードへの RDP 接続を記録する機能があります。RDP 接続を記録するには、S3 バケットおよび AWS Key Management Service (AWS KMS) カスタマーマネージドキーが必要です。AWS KMS key は、記録対象のデータが生成されて Systems Manager リソースに保存される際に一時的に暗号化するために使用されます。カスタマーマネージドキーは、暗号化と復号を主な用途とする対称キーでなければなりません。組織で 1 つのマルチリージョンキーを使用することもできれば、ジャストインタイムノードアクセスを有効にしたリージョンごとにカスタマーマネージドキーを作成しなければならないこともあります。

記録を保存する S3 バケットで KMS 暗号化を有効にしている場合は、バケット暗号化に使用されるカスタマーマネージドキーへのアクセスを `ssm-guiconnect` サービスプリンシパルに提供する必要があります。このカスタマーマネージドキーは、記録設定で指定したものとは異なる場合があります。これには、接続を確立するために必要な `kms:CreateGrant` アクセス許可を含める必要があります。

## RDP 記録用の S3 バケット暗号化の設定
<a name="rdp-recording-bucket-encryption"></a>

接続記録は、RDP 記録を有効にするときに指定した S3 バケットに保存されます。

S3 バケット (SSE-KMS) のデフォルトの暗号化メカニズムとして KMS キーを使用する場合は、`ssm-guiconnect` サービスプリンシパルにキーに対する `kms:GenerateDataKey` アクションへのアクセスを許可する必要があります。S3 バケットで SSE-KMS 暗号化を使用する場合は、カスタマーマネージドキーを使用することをお勧めします。お勧めする理由は、カスタマーマネージドキーの関連付けられたキーポリシーを更新できるためです。AWS マネージドキー のキーポリシーを更新することはできません。

**重要**  
ジャストインタイムノードアクセスの Session Manager 暗号化と RDP 記録に使用する AWS KMS キーにタグキー `SystemsManagerJustInTimeNodeAccessManaged` とタグ値 `true` でタグ付けする必要があります。  
KMS キーのタグ付けの詳細については、「AWS Key Management Service デベロッパーガイド」の「[Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html)」を参照してください。

次のカスタマーマネージドキーポリシーを使用して、S3 ストレージの KMS キーへの `ssm-guiconnect` サービスアクセスを許可します。カスタマーマネージドキーの更新の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)」を参照してください。

各 *example resource placeholder* をユーザー自身の情報に置き換えます。
+ *account-id* は、接続を開始する AWS アカウントの ID を表します。
+ *region* は、S3 バケットが位置する AWS リージョンを表します。(バケットが複数のリージョンからの録画を受信する場合、`*` を使用できます。例: `s3.*.amazonaws.com`。)

**注記**  
アカウントが AWS Organizations の組織に属している場合、`aws:SourceAccount` の代わりにポリシーの `aws:SourceOrgID` を使用できます。

```
{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}
```

## RDP 接続を記録するように IAM アクセス許可を設定する
<a name="rdp-recording-iam-policy-examples"></a>

ジャストインタイムノードアクセスに IAM アクセス許可が必要になるほか、実行する必要があるタスクに基づいて、使用するユーザーやロールに対して以下のアクセス許可を付与する必要があります。

**接続を記録するように設定するためのアクセス許可**  
RDP 接続を記録するように設定するには、以下のアクセス許可が必要です。
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`

**接続を開始するためのアクセス許可**  
ジャストインタイムノードアクセスとの RDP 接続を確立するには、以下のアクセス許可が必要です。
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`

**[開始する前に]**  
接続の記録を保存するには、まず S3 バケットを作成し、以下のバケットポリシーを追加する必要があります。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。

(バケットポリシーの追加方法の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}
```

------

## RDP 接続記録の有効化と設定
<a name="enable-rdp-connection-recording"></a>

以下の手順では、RDP 接続の記録を有効にして設定する方法について説明します。

**RDP 接続記録を有効化および設定するには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインの **[設定]** を選択します。

1. **[ジャストインタイムノードアクセス]** タブを選択します。

1. **[RDP 記録]** セクションで、**[RDP 記録を有効にする]** を選択します。

1. セッション記録のアップロード先となる S3 バケットを選択します。

1. 記録対象のデータが生成されて Systems Manager リソースに保存される際に、データの一時的な暗号化に使用するカスタマーマネージドキーを選択します。(これは、バケットの暗号化に使用するものとは異なるカスタマーマネージドキーにすることができます。)

1. **[保存]** を選択します。

## RDP 接続の記録ステータス値
<a name="rdp-recording-status"></a>

RPD 接続記録の有効なステータス値は次のとおりです。
+ `Recording` - 接続は記録中です。
+ `Processing` - 接続が終了した後、動画が処理されています。
+ `Finished` - 正常な終了状態: 接続録画の動画が正常に処理され、指定されたバケットにアップロードされました。
+ `Failed` - 失敗した終了状態。接続は正常に記録されませんでした。
+ `ProcessingError` - 動画処理中に 1 つ以上の中間障害/エラーが発生しました。考えられる原因には、記録の保存用に指定された S3 バケットの設定ミスによるサービス依存関係の問題やアクセス許可の不足などがあります。記録がこの状態にある場合、サービスは処理を試行し続けます。

**注記**  
`ProcessingError` は、接続の確立後に S3 バケットにオブジェクトをアップロードするアクセス許可が `ssm-guiconnect` サービスプリンシパルに付与されていない可能性があります。もう 1 つの考えられる原因は、S3 バケット暗号化に使用される KMS キーに対する KMS アクセス許可がないことです。