• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Conectar a uma instância gerenciada pelo Windows Server usando o Remote Desktop
Você pode usar o Fleet Manager, uma ferramenta do AWS Systems Manager, para se conectar às instâncias Windows Server do Amazon Elastic Compute Cloud (Amazon EC2) usando o Remote Desktop Protocol (RDP). Fleet Manager O Remote Desktop, baseado no [Amazon DCV](https://docs.aws.amazon.com/dcv/latest/adminguide/what-is-dcv.html), fornece conectividade segura às suas instâncias do Windows Server diretamente do console do Systems Manager. É possível ter até quatro conexões simultâneas em uma única janela de navegador.
A API Fleet Manager da área de trabalho remota é denominada AWS Systems Manager GUI Connect. Para obter informações sobre como usar a API Systems Manager GUI Connect, consulte a *[Referência da API AWS Systems Manager GUI Connect](https://docs.aws.amazon.com/ssm-guiconnect/latest/APIReference)*.
Atualmente, apenas é possível usar a Área de Trabalho Remota com instâncias que estejam executando o Windows Server 2012 RTM ou versões posteriores. Atualmente, a Área de Trabalho Remoto oferece suporte somente a entradas no idioma inglês.
O Fleet Manager Remote Desktop é um serviço exclusivo para console e não oferece suporte a conexões de linha de comando com suas instâncias gerenciadas. Para se conectar a uma instância gerenciada pelo Windows Server por meio de um shell, é possível usar o Session Manager, outra ferramenta do AWS Systems Manager. Para obter mais informações, consulte [AWS Systems Manager Session Manager](session-manager.md).
**nota**
A duração de uma conexão RDP não é determinada pela duração de suas credenciais (IAM) AWS Identity and Access Management. Em vez disso, a conexão persiste até que a duração máxima da conexão ou o limite de tempo de inatividade seja atingido, o que ocorrer primeiro. Para obter mais informações, consulte [Duração e simultaneidade da conexão remota](#rdp-duration-concurrency).
Para obter informações sobre como configurar as permissões do AWS Identity and Access Management (IAM) para permitir que suas instâncias interajam com o Systems Manager, consulte [Configurar permissões de instâncias para o Systems Manager](setup-instance-permissions.md).
**Topics**
+ [Configuração de seu ambiente](#rdp-prerequisites)
+ [Configurar permissões do IAM para a Área de Trabalho Remota](#rdp-iam-policy-examples)
+ [Autenticar conexões da Área de Trabalho Remota](#rdp-authentication)
+ [Duração e simultaneidade da conexão remota](#rdp-duration-concurrency)
+ [Systems Manager GUI Connect: tratamento de atributos Centro de Identidade do AWS IAM](#iam-identity-center-attribute-handling)
+ [Conectar-se a um nó gerenciado usando a Área de Trabalho Remota](#rdp-connect-to-node)
+ [Visualizar informações sobre conexões atuais e concluídas](#list-connections)
## Configuração de seu ambiente
Antes de usar a Área de Trabalho Remota, verifique se o ambiente atende aos seguintes requisitos:
+ **Configuração de nós gerenciados**
Confirme se suas instâncias do Amazon EC2 estão configuradas como [nós gerenciados](fleet-manager-managed-nodes.md) no Systems Manager.
+ **SSM Agent Versão mínima do**
Verifique se os nós estão executando o SSM Agent versão 3.0.222.0 ou posterior. Para obter informações sobre como verificar qual versão do agente está sendo executada em um nó, consulte [Verificar o número de versão do SSM Agent](ssm-agent-get-version.md). Para obter informações sobre como instalar ou atualizar o SSM Agent, consulte [Trabalhar com o SSM Agent](ssm-agent.md).
+ **Configuração da porta RDP**
Para aceitar conexões remotas, o serviço do Remote Desktop Services em seus nós do Windows Server deve usar a porta RDP padrão 3389. Essa é a configuração padrão em Amazon Machine Images (AMIs) fornecida pela AWS. Não é necessário abrir explicitamente nenhuma porta de entrada para usar a Área de Trabalho Remota.
+ **PSReadLine Versão do módulo do para funcionalidade do teclado**
Para garantir que o teclado funcione corretamente no PowerShell, verifique se os nós que executam o Windows Server 2022 têm a versão 2.2.2 ou posterior do módulo do PSReadLine instalada. Se estiverem executando uma versão mais antiga, você poderá instalar a versão necessária usando os comandos a seguir.
```
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
```
Depois que o provedor de pacotes NuGet estiver instalado, execute o comando a seguir.
```
Install-Module `
-Name PSReadLine `
-Repository PSGallery `
-MinimumVersion 2.2.2 -Force
```
+ **Configuração do Gerenciador de Sessões**
Antes de usar a Área de Trabalho Remota, é necessário atender aos pré-requisitos para a configuração do Gerenciador de Sessões. Quando você se conecta a uma instância usando a Área de Trabalho Remota, aplicam-se todas as preferências de sessão definidas para sua Conta da AWS e Região da AWS. Para obter mais informações, consulte [Configurar o Session Manager](session-manager-getting-started.md).
**nota**
Se você registrar em log as atividades do Gerenciador de Sessões usando o Amazon Simple Storage Service (Amazon S3), as conexões da Área de Trabalho Remota gerarão o erro a seguir em `bucket_name/Port/stderr`. Esse erro é um comportamento esperado e pode ser ignorado com segurança.
```
Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service
Session is already terminated
```
## Configurar permissões do IAM para a Área de Trabalho Remota
Além das permissões do IAM necessárias para o Systems Manager e o Session Manager, o usuário ou perfil que você utilizar deverá ter permissões para iniciar conexões.
**Permissões para iniciar conexões**
Para fazer conexões RDP com instâncias do EC2 no console, as seguintes permissões são necessárias:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
**Permissões para listar conexões**
Para visualizar listas de conexões no console, a seguinte permissão é necessária:
`ssm-guiconnect:ListConnections`
Veja a seguir exemplos de políticas do IAM que você pode associar a um usuário ou perfil para permitir diferentes tipos de interação com a Área de Trabalho Remota. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
### Política padrão para conexão com instâncias do EC2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}"
]
}
}
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*",
"arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
### Política para conectar-se a instâncias do EC2 com etiquetas específicas
**nota**
Na política do IAM a seguir, a seção `SSMStartSession` exige um nome do recurso da Amazon (ARN) para a ação `ssm:StartSession` Conforme mostrado, o ARN que você especifica *não* exige uma ID de Conta da AWS. Se você especificar um ID de conta, o Fleet Manager retornará uma `AccessDeniedException`.
A seção `AccessTaggedInstances`, localizada na parte inferior da política de exemplo, também exige ARNs para `ssm:StartSession`. Para esses ARNs, é necessário especificar IDs de Conta da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "AccessTaggedInstances",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag key": [
"tag value"
]
}
}
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
### Política para os usuários do Centro de Identidade do AWS IAM se conectarem a instâncias do EC2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSO",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations*",
"identitystore:DescribeUser"
],
"Resource": "*"
},
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userName}"
]
}
}
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
]
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
## Autenticar conexões da Área de Trabalho Remota
Ao estabelecer uma conexão remota, você pode se autenticar usando credenciais do Windows ou o par de chaves do Amazon EC2 (arquivo `.pem`) que está associado à instância. Para obter mais informações sobre pares de chaves, consulte [Pares de chaves do Amazon EC2 e instâncias do Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) no *Guia do usuário do Amazon EC2*.
Como alternativa, se você estiver autenticado para o Console de gerenciamento da AWS usando Centro de Identidade do AWS IAM, você pode se conectar às instâncias sem fornecer credenciais adicionais. Para ver um exemplo de uma política para permitir a autenticação de conexão remota usando o Centro de Identidade do IAM, consulte [Configurar permissões do IAM para a Área de Trabalho Remota](#rdp-iam-policy-examples).
**Antes de começar**
Observe as seguintes condições para utilizar a autenticação do IAM Identity Center antes de iniciar a conexão usando o Remote Desktop.
+ A Área de Trabalho Remota é compatível com a autenticação do Centro de Identidade do IAM para nós na mesma Região da AWS em que você habilitou o Centro de Identidade do IAM.
+ A Área de Trabalho Remota é compatível com nomes de usuário do Centro de Identidade do IAM de até 16 caracteres.
+ A Área de Trabalho Remota é compatível com nomes de usuário do Centro de Identidade do IAM que consistem em caracteres alfanuméricos e nos seguintes caracteres especiais: `.` `-` `_`
**Importante**
As conexões não terão êxito para nomes de usuário do Centro de Identidade do IAM que contenham estes caracteres: `+` `=` `,`
O Centro de Identidade do IAM é compatível com esses caracteres nos nomes de usuário, mas as conexões RDP do Fleet Manager não são.
Além disso, se um nome de usuário do IAM Identity Center contiver um ou mais símbolos `@`, o Fleet Manager desconsiderará o primeiro símbolo `@` e todos os caracteres que o seguem, independentemente de `@` introduzir ou não a parte do domínio de um endereço de e-mail. Por exemplo, para o nome de usuário do Centro de Identidade do IAM `diego_ramirez@example.com`, a parte `@example.com` é ignorada, e o nome do usuário Fleet Manager se torna `diego_ramirez`. Para `diego_r@mirez@example.com`, o Fleet Manager desconsidera `@mirez@example.com`, e o nome de usuário do Fleet Manager se torna `diego_r`.
+ Quando uma conexão é autenticada usando o Centro de Identidade do IAM, a Área de Trabalho Remota cria um usuário local do Windows no grupo Administradores locais da instância. O usuário persiste após o término da conexão remota.
+ A Área de Trabalho Remota não permite a autenticação do Centro de Identidade do IAM para nós que são controladores de domínio do Microsoft Active Directory.
+ Embora a Área de Trabalho Remota permita usar a autenticação do Centro de Identidade do IAM para nós *associados* a um domínio do Active Directory, isso não é recomendável. Esse método de autenticação concede permissões administrativas aos usuários, o que poderá substituir as permissões mais restritivas concedidas pelo domínio.
**Regiões com suporte para a autenticação do Centro de Identidade do IAM**
As conexões Remote Desktop usando a autenticação do Centro de Identidade do IAM são compatíveis com o seguinte Regiões da AWS:
+ Leste dos EUA (Ohio) (us-east-2)
+ Leste dos EUA (Norte da Virgínia) (us-east-1)
+ Oeste dos EUA (Norte da Califórnia) (us-west-1)
+ Oeste dos EUA (Oregon) (us-west-2)
+ África (Cidade do Cabo) (af-south-1)
+ Ásia-Pacífico (Hong Kong) (ap-east-1)
+ Ásia-Pacífico (Mumbai) (ap-south-1)
+ Ásia Pacific (Tóquio) (ap-northeast-1)
+ Ásia-Pacífico (Seul) (ap-northeast-2)
+ Ásia-Pacífico (Osaka) (ap-northeast-3)
+ Ásia-Pacífico (Singapura) (ap-southeast-1)
+ Ásia-Pacífico (Sydney) (ap-southeast-2)
+ Ásia-Pacífico (Jacarta) (ap-southeast-3)
+ Canadá (Central) (ca-central-1)
+ Europa (Frankfurt) (eu-central-1)
+ UE (Estocolmo) (eu-north-1)
+ Europa (Irlanda) (eu-west-1)
+ Europa (Londres) (eu-west-2)
+ Europa (Paris) (eu-west-3)
+ Israel (Tel Aviv) (il-central-1)
+ América do Sul (São Paulo) (sa-east-1)
+ UE (Milão) (eu-south-1)
+ Oriente Médio (Bahrein) (me-south-1)
+ AWS GovCloud (Leste dos EUA) (us-gov-east-1)
+ AWS GovCloud (Oeste dos EUA) (us-gov-wast-1)
## Duração e simultaneidade da conexão remota
Estas condições se aplicam às conexões ativas da Área de Trabalho Remota:
+ **Duração da conexão**
Por padrão, uma conexão da Área de Trabalho Remota é desconectada após 60 minutos. Para evitar que a conexão seja desconectada, você pode escolher **Renovar sessão** antes de ser desconectada para redefinir o cronômetro de duração.
+ **Tempo limite da conexão**
Uma conexão da Área de Trabalho Remota se desconecta depois de ficar ociosa por mais de dez minutos.
+ **Persistência de conexão**
Depois de se conectar a um Windows Server usando a Área de Trabalho Remota, a conexão persiste até que a duração máxima da conexão (60 minutos) ou o limite de tempo de inatividade (10 minutos) seja atingido. A duração de uma conexão não é determinada pela duração de suas credenciais (IAM) AWS Identity and Access Management. A conexão persiste após a expiração das credenciais do IAM, se os limites de duração da conexão não forem atingidos. Ao usar a Área de Trabalho Remota, você deve encerrar sua conexão após a expiração das credenciais do IAM saindo da página do navegador.
+ **Conexões simultâneas**
Por padrão, você pode ter no máximo cinco conexões da Área de Trabalho Remota ativas ao mesmo tempo para a mesma Conta da AWS e Região da AWS. Para solicitar o aumento da cota de serviço para até 25 conexões simultâneas, consulte [Solicitar um aumento de cota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) no *Guia do usuário do Service Quotas*.
**nota**
A licença padrão para o Windows Server permite duas conexões RDP simultâneas. Para oferecer suporte a mais conexões, você deve comprar licenças de acesso para cliente (CALs) adicionais da Microsoft ou licenças dos Serviços de Área de Trabalho Remota da Microsoft na AWS. Para obter mais informações sobre licenciamento suplementar, consulte os seguintes tópicos:
[Licenças de acesso para clientes e licenças de gerenciamento](https://www.microsoft.com/en-us/licensing/product-licensing/client-access-license) no site da Microsoft
[Use assinaturas baseadas no usuário do License Manager para produtos de software compatíveis](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html) no *Guia do usuário do License Manager*
## Systems Manager GUI Connect: tratamento de atributos Centro de Identidade do AWS IAM
O Systems Manager GUI Connect é a API que suporta conexões Fleet Manager com instâncias do EC2 usando RDP. Os seguintes dados do usuário do IAM Identity Center são retidos após o fechamento de uma conexão:
+ `username`
O Systems Manager GUI Connect criptografa esse atributo de identidade em repouso usando Chave gerenciada pela AWS por padrão. As chaves gerenciadas pelo cliente não são suportadas para criptografar esse atributo no Systems Manager GUI Connect. Se você excluir um usuário em sua instância do IAM Identity Center, o Systems Manager GUI Connect continuará retendo o atributo `username` associado a esse usuário por 7 anos, após os quais ele será excluído. Esses dados são retidos para dar suporte a eventos de auditoria, como listar o histórico de conexões do Systems Manager GUI Connect. Os dados não podem ser excluídos manualmente.
## Conectar-se a um nó gerenciado usando a Área de Trabalho Remota
**Suporte a copiar/colar texto em um navegador**
Usando os navegadores Google Chrome e Microsoft Edge, você pode copiar e colar texto de um nó gerenciado em sua máquina local e de sua máquina local em um nó gerenciado ao qual você está conectado.
Usando o navegador Mozilla Firefox, você pode copiar e colar texto de um nó gerenciado somente na sua máquina local. Não há suporte à cópia da máquina local para o nó gerenciado.
**Para conectar-se a um nó gerenciado usando a Área de Trabalho Remota do Fleet Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Fleet Manager**.
1. Escolha o nó ao qual deseja se conectar. Marque a caixa de seleção ou o nome do nó.
1. No menu **Ações do nó**, selecione **Conectar Área de Trabalho Remota**.
1. Escolha o seu **Tipo de autenticação** preferido. Se você escolher **Credenciais do usuário**, insira o nome de usuário e a senha de uma conta de usuário do Windows no nó ao qual está se conectando. Se você escolher **Par de chaves**, poderá fornecer autenticação usando um destes métodos:
1. Escolha **Procurar máquina local** para selecionar a chave PEM associada à instância no sistema de arquivos local.
- ou -
1. Escolha **Colar conteúdo de par de chaves** para copiar o conteúdo do arquivo PEM e colá-lo no campo fornecido.
1. Selecione **Connect** (Conectar-se).
1. Para escolher a resolução de tela de sua preferência, no menu **Ações**, escolha **Resoluções** e selecione uma destas opções:
+ **Adaptar automaticamente**
+ **1920 x 1080**
+ **1400 x 900**
+ **1366 x 768**
+ **800 x 600**
A opção **Adaptar automaticamente** define a resolução com base no tamanho da tela detectada.
## Visualizar informações sobre conexões atuais e concluídas
É possível usar a seção Fleet Manager do console do Systems Manager para visualizar informações sobre conexões RDP que foram feitas em sua conta. Usando um conjunto de filtros, é possível limitar a lista de conexões exibidas a um intervalo de tempo, a uma instância específica, ao usuário que fez as conexões e às conexões de um status específico. O console também fornece guias que mostram informações sobre todas as conexões ativas no momento e todas as conexões passadas.
**Para visualizar informações sobre conexões atuais e concluídas**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Fleet Manager**.
1. Escolha **Gerenciamento de contas, Conectar com Remote Desktop**.
1. Escolha uma das seguintes guias:
+ **Conexões ativas**
+ **Histórico de conexão**
1. Para restringir ainda mais a lista de resultados de conexão exibidos, especifique um ou mais filtros na caixa de pesquisa (![\[\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)). Você também pode inserir um termo de pesquisa de texto livre.