• 2026 年 4 月 30 日之後， AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 錄製 RDP 連線
<a name="systems-manager-just-in-time-node-access-rdp-recording"></a>

即時節點存取包括錄製對 Windows Server 節點進行的 RDP 連線。錄製 RDP 連線需要 S3 儲存貯體和 AWS Key Management Service (AWS KMS) 客戶自管金鑰。在記錄資料產生並存放在 Systems Manager 資源時， AWS KMS key 會用來暫時加密記錄資料。客戶自管金鑰必須是具有加密和解密金鑰使用功能的對稱金鑰。您可以為組織使用多區域金鑰，或者在已啟用即時節點存取的每個區域中建立客戶自管金鑰。

如果您已在儲存錄製的 S3 儲存貯體上啟用 KMS 加密，則必須為 `ssm-guiconnect` 服務主體提供用於儲存貯體加密的客戶自管金鑰的存取權限。此客戶自管金鑰可以是不同於您在錄製設定中指定的金鑰，其中必須包含建立連線所需的 `kms:CreateGrant` 許可。

## 設定 RDP 錄製的 S3 儲存貯體加密
<a name="rdp-recording-bucket-encryption"></a>

您的連線錄製會存放在您在啟用 RDP 錄製時指定的 S3 儲存貯體中。

如果您使用 KMS 金鑰作為 S3 儲存貯體 (SSE-KMS) 的預設加密機制，則必須允許 `ssm-guiconnect` 服務主體存取金鑰上的 `kms:GenerateDataKey` 動作。建議在搭配使用 SSE-KMS 加密和 S3 儲存貯體時，使用客戶自管金鑰。這是因為您可以更新客戶自管金鑰的相關金鑰政策。您無法更新 的金鑰政策 AWS 受管金鑰。

**重要**  
您必須使用標籤 AWS KMS 金鑰 和標籤值 ，在just-in-time節點存取中標記用於Session Manager加密`SystemsManagerJustInTimeNodeAccessManaged`和 RDP 記錄的金鑰`true`。  
如需有關標記 KMS 金鑰的資訊，請參閱 *AWS Key Management Service Developer Guide* 中的 [Tags in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html)。

使用下列客戶自管金鑰政策，可允許 `ssm-guiconnect` 服務存取 S3 儲存的 KMS 金鑰。如需有關更新客戶自管金鑰的資訊，請參閱 *AWS Key Management Service Developer Guide* 中的 [Change a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。

使用您自己的資訊取代每個*範例資源預留位置*：
+ *account-id* 代表啟動連線的 AWS 帳戶 ID。
+ *region* 代表 S3 AWS 區域 儲存貯體所在的 。(如果儲存貯體會收到來自多個區域的錄製，您可以使用 `*`。範例：`s3.*.amazonaws.com`。)

**注意**  
如果帳戶屬於 AWS Organizations中的組織，您可以在政策中使用 `aws:SourceOrgID`，而不是 `aws:SourceAccount`。

```
{
    "Sid": "Allow the GUI Connect service principal to access S3",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-guiconnect.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "account-id"
        },
        "StringLike": {
            "kms:ViaService": "s3.region.amazonaws.com"
        }
    }
}
```

## 設定錄製 RDP 連線的 IAM 許可
<a name="rdp-recording-iam-policy-examples"></a>

除了即時節點存取所需的 IAM 許可之外，還必須根據要執行的任務，授予您要使用的使用者或角色下列許可。

**設定連線錄製的許可**  
若要設定 RDP 連線錄製，需要下列許可：
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`

**啟動連線的許可**  
若要使用 RDP 連線進行即時節點存取，需要下列許可：
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`

**開始之前**  
若要存放連線錄製，您必須先建立 S3 儲存貯體，並新增下列儲存貯體政策。將每個*範例資源預留位置*取代為您自己的資訊。

(如需有關新增儲存貯體政策的資訊，請參閱 *Amazon Simple Storage Service User Guide* 中的 [Adding a bucket policy by using the Amazon S3 console](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConnectionRecording",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm-guiconnect.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket", 
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition":{
            "StringEquals":{
                "aws:SourceAccount":"111122223333"
                }
            }            
        }
    ]
}
```

------

## 啟用和設定 RDP 連線錄製
<a name="enable-rdp-connection-recording"></a>

下列程序說明如何啟用和設定 RDP 連線錄製。

**啟用和設定 RDP 連線錄製**

1. 在 https：//[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。

1. 在導覽窗格中選取**設定**。

1. 選取**即時節點存取**索引標籤。

1. 在 **RDP 錄製**區段中，選取**啟用 RDP 錄製**。

1. 選擇您要向其上傳工作階段錄製的 S3 儲存貯體。

1. 選擇您要使用的客戶自管金鑰，用於暫時加密在 Systems Manager 資源上產生和存放的錄製資料。(此客戶自管金鑰可以與您用來加密儲存貯體的客戶自管金鑰不同。)

1. 選取**儲存**。

## RDP 連線錄製狀態值
<a name="rdp-recording-status"></a>

RPD 連線錄製的有效狀態值包括下列項目：
+ `Recording` – 連線正在進行錄製
+ `Processing` – 連線終止後正在處理影片。
+ `Finished` – 成功的終止狀態：連線錄製影片已成功處理並上傳至指定的儲存貯體。
+ `Failed` – 失敗的終止狀態。未成功錄製連線。
+ `ProcessingError` – 影片處理期間發生一或多個中繼失敗/錯誤。可能的原因包括服務相依性失敗，或由於指定用於儲存錄製的 S3 儲存貯體上存在設定錯誤而缺少許可。錄製處於此狀態時，服務會繼續嘗試處理。

**注意**  
`ProcessingError` 可能是連線建立後，`ssm-guiconnect` 服務主體沒有許可將物件上傳至 S3 儲存貯體的結果。另一個可能原因是用於 S3 儲存貯體加密的 KMS 金鑰缺少 KMS 許可。