如何使用 Systems Manager 会话管理器端口转发（而不使用堡垒机）通过 RDP 连接到我的 EC2 实例？

解决方法

端口转发是 Systems Manager 会话管理器的一项功能。利用此功能，您能够在本地系统和部署在私有子网中的实例之间创建隧道。您无需打开入站端口或配置堡垒机。当在安全组上阻止入站访问时，您可以使用此功能通过 RDP 连接到您的 Amazon EC2 Windows 实例。

**注意：**如果在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请确保您使用的是最新的 AWS CLI 版本。

检查先决条件

先决条件：

• 您在本地计算机上安装了 AWS CLI 版本 1.16.12 或更高版本，并为其配置会话管理器所需的权限。
• 您在本地计算机上安装了操作系统专用的会话管理器插件。
• 目标 EC2 实例由 AWS Systems Manager 管理。有关详细信息，请查看 Systems Manager 先决条件。
• AWS Systems Manager Agent (SSM Agent) 版本 2.3.672.0 或更高版本已安装并正在运行。

建立连接

1.    建立从本地计算机到 EC2 实例的端口转发会话：

在本地计算机上运行下列命令：

aws ssm start-session --target <instanceid> --document-name AWS-StartPortForwardingSession --parameters "localPortNumber=55678,portNumber=3389"

这将建立一条从本地计算机的端口 55678 到远程 EC2 实例中的端口 3389（RDP 端口）的隧道。

此命令还假设 EC2 实例操作系统配置为在默认端口 3389 上接受 RDP 连接。请将 localPortNumber 和 portNumber 的值替换为您的值。

如果您的会话连接成功，则您会收到下列消息：

Starting session with SessionId: xxxxx-01234567891011abc
Port 55678 opened for sessionId xxxxx-01234567891011abc
Waiting for connections...

2.    使用隧道通过 RDP 连接到远程 EC2 实例：

使用本地 RDP 客户端，连接到 localhost:55678。这会将流量转发到 EC2 实例上的远程端口 3389。

连接到 RDP 会话后，AWS CLI 指示已通过隧道建立连接，并显示以下消息：

Connection accepted for session [xxxxx-01234567891011abc]

3.    结束端口转发会话：

关闭 RDP 会话后，请在 AWS CLI 上按 Ctrl + C 结束端口转发会话。或者，您可以从 AWS Systems Manager 控制台结束会话。

您会看到一条类似于以下内容的消息：

Terminate signal received, exiting.  
Exiting session with sessionId: xxxxx-01234567891011abc.

连接故障排除

如果您的会话无法连接，则可能是由于以下原因：

• 权限不足（AccessDeniedException）： 验证启动会话的用户是否具有会话管理器所需的权限。
• 实例未连接（TargetNotConnected）： 未为会话管理器配置指定的目标节点。验证是否为会话管理器完全配置了目标节点，并且在 Systems Manager Fleet Manager 控制台中报告为联机。有关详细信息，请参阅托管节点不可用或未为会话管理器配置托管节点。如果您试图在位于不同 AWS 账户或 AWS 区域的托管节点上启动会话，也会发生此错误。
• 找不到会话管理器插件： 确保会话管理器插件已安装在本地计算机上。有关详细信息，请参阅安装适用于 AWS CLI 的会话管理器插件。
• 会话连接成功，但 RDP 客户端无法连接： 检查目标实例中的默认 RDP 端口是否已更改。请将 portNumber 参数值替换为您的值。有关详细信息，请参阅 Microsoft 网站上的检查 RDP 侦听器端口。

有关详细信息，请参阅会话管理器故障排除。