前提

MacOS Catalina(10.15.2)
IAMユーザー(AdministratorAccessをアタッチ済み)
踏み台用のLinuxサーバーを作成済み
(踏み台サーバーにscpコマンドでシークレットキーをコピー済み)

概要

以下のように、踏み台用サーバーはパブリックサブネットに、
windowsサーバーはプライベートサブネットに立てます。

EC2インスタンスの構築
Microsoft Remote Desktopのインストール
踏み台用サーバーからリモートデスクトップ接続

1.EC2インスタンスの構築

AMIの選択

今回は「Microsoft Windows Server 2019 Base」を使用します。

インスタンスタイプ
インスタンスの設定
ストレージの追加
タグの追加

は任意で設定してください。

セキュリティセキュリティグループの設定

セキュリティグループに、Remote Desktop(RDP)が使用する3389番を通すよう設定します。
また、ソースは踏み台サーバーのIPアドレスか、踏み台サーバーが設定されているセキュリティグループを選択します。

インスタンス作成の確認

今回は既存のキーペアを選択します。後に、Windows用のログインパスワードを取得する際に、選択したキーペアが必要となります。

2.Microsoft Remote Desktopのインストール

App Storeから「Microsoft Remote Desktop 10」をインストールします。

3.踏み台用サーバーからリモートデスクトップ接続

EC２マネージメントコンソールから、Windowsパスワードを取得してください。後ほどリモート接続する際に使用します。
踏み台用サーバーへSSHログインします。その際に-Lオプションを利用してローカルフォワードを設定します。これにより、ローカルマシンの13389ポートに接続すると、
Windowsサーバの3389ポート（RDP接続用のポート）に繋がります。

また、-iオプションは「サーバにはこの鍵を使って入ります」という意味なので、ローカル上にて鍵が保存された場所に従って適宜書き換えてください。
```
$ ssh -L 13389:[WindowsサーバのプライベートIPアドレス]:3389 -i ~/tech-kadai-my-key.pem ec2-user@[踏み台サーバのIPアドレス]
```
Microsoft Remote Desktop 10を開いたあと、ユーザーアカウントを追加します。
Username:Administrator
Password:(1で取得したwindowsパスワード)
Friendly name:(任意)

PC nameを「localhost:13389」にして「Add」をクリックします。
問題なくカードが追加されたら、右クリックでconnectします。途中で警告が出ますがこちらもcontinueで問題ありません。
Windowsのデスクトップ画面が表示されれば、windowへのリモートデスクトップ接続は完了です。

4.まとめ
作業自体はむずかしくないのですが、ローカルフォワードを設定するところが肝であると思います。
またセキュリティーグループに3389番を通るよう設定することも忘れないでください。