• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 录制 RDP 连接
即时节点访问包括录制与 Windows Server 节点建立的 RDP 连接的功能。录制 RDP 连接需要 S3 存储桶和 AWS Key Management Service(AWS KMS)客户自主管理型密钥。当录制数据生成并存储在 Systems Manager 资源上时,AWS KMS key用于临时加密这些数据。客户自主管理型密钥必须是对称密钥,其密钥使用方式为加密和解密。您可以为组织使用多区域密钥,也可以在已启用即时节点访问的每个区域中创建客户自主管理型密钥。
如果您在存储录制的 S3 存储桶上启用了 KMS 加密,则必须向 `ssm-guiconnect` 服务主体提供存储桶加密所用客户自主管理型密钥的访问权限。该客户自主管理型密钥可以与录制设置中指定的密钥不同,录制设置中必须包含建立连接所需的 `kms:CreateGrant` 权限。
## 配置用于 RDP 录制的 S3 存储桶加密
连接录制将存储在启用 RDP 录制时指定的 S3 存储桶中。
如果将 KMS 密钥作为 S3 存储桶的默认加密机制(SSE-KMS),则必须允许 `ssm-guiconnect` 服务主体访问该密钥的 `kms:GenerateDataKey` 操作。我们建议在将 SSE-KMS 加密用于 S3 存储桶时使用客户自主管理型密钥。这是因为您可以更新客户自主管理型密钥的关联密钥策略。您无法更新 AWS 托管式密钥的密钥策略。
**重要**
您必须使用标签键 `SystemsManagerJustInTimeNodeAccessManaged` 和标签值 `true` 来标记用于即时节点访问中的 Session Manager 加密和 RDP 记录的 AWS KMS 密钥。
有关标记 KMS 密钥的信息,请参阅《*AWS Key Management Service 开发人员指南*》中的 [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html)。
使用以下客户自主管理型密钥策略允许 `ssm-guiconnect` 服务访问 S3 存储的 KMS 密钥。有关更新客户自主管理型密钥的信息,请参阅《AWS Key Management Service 开发人员指南》中的 [Change a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)**。
将每个*示例资源占位符*替换为您自己的信息:
+ *account-id* 表示发起连接的 AWS 账户 的 ID。
+ *region* 表示 S3 存储桶所在的 AWS 区域。(如果存储桶将接收来自多个区域的录音,则可以使用 `*`。示例:`s3.*.amazonaws.com`。)
**注意**
如果账户属于 AWS Organizations 中的某个组织,则可以在策略中使用 `aws:SourceOrgID`,而不是 `aws:SourceAccount`。
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## 配置 IAM 权限以录制 RDP 连接
除了即时节点访问所需的 IAM 权限外,根据您需要执行的任务,您使用的用户或角色还必须拥有以下权限。
**配置连接录制的权限**
要配置 RDP 连接录制,需要以下权限:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**启动连接的权限**
要使用即时节点访问来建立 RDP 连接,需要以下权限:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**开始前的准备工作**
要存储连接录制内容,必须先创建 S3 存储桶并添加以下存储桶策略。将每个*示例资源占位符*替换为您自己的信息。
(有关添加存储桶策略的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)**。)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## 启用和配置 RDP 连接录制
以下过程介绍如何启用和配置 RDP 连接录制。
**启用和配置 RDP 连接录制**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中选择**设置**。
1. 选择**即时节点访问**选项卡。
1. 在 **RDP 录制**部分中,选择**启用 RDP 录制**。
1. 请选择要将会话录制内容上传到的 S3 存储桶。
1. 选择在录制数据生成并存储在 Systems Manager 资源上时要用于临时加密录制数据的客户自主管理型密钥。(这可以与您用于加密存储桶的客户自主管理型密钥不同。)
1. 选择**保存**。
## RDP 连接录制状态值
RPD 连接录制的有效状态值如下:
+ `Recording`:正在录制连接
+ `Processing`:连接终止后正在处理视频。
+ `Finished`:最终成功状态;连接录制视频处理成功并上已传到指定存储桶。
+ `Failed`:最终失败状态。连接录制未成功。
+ `ProcessingError`:视频处理过程中出现一个或多个中间故障/错误。可能的原因包括服务依赖项故障,或指定用于存储录制的 S3 存储桶配置错误导致的权限缺失。处于此录制状态时,服务会继续尝试处理。
**注意**
`ProcessingError` 可能是因 `ssm-guiconnect` 服务主体在建立连接后缺乏将对象上传到 S3 存储桶的权限所致。另一个可能的原因是缺少用于 S3 存储桶加密的 KMS 密钥的 KMS 权限。