Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Implemente el producto **nota** Este producto utiliza [AWS CloudFormation plantillas y pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) para automatizar su implementación. Las CloudFormation plantillas describen los AWS recursos incluidos en este producto y sus propiedades. La CloudFormation pila proporciona los recursos que se describen en las plantillas. Antes de lanzar el producto, revise el [costo](plan-your-deployment.md#plan-your-deployment-cost), la [arquitectura](architecture-overview.md), la [seguridad de la red](plan-your-deployment.md#plan-your-deployment-security) y otras consideraciones analizadas anteriormente en esta guía. **Topics** + [Requisitos previos](prerequisites.md) + [Crear recursos externos](create-external-resources.md) + [Paso 1: lanzar el producto](launch-the-product.md) + [Paso 2: inicie sesión por primera vez](first-sign-in.md) # Requisitos previos **Topics** + [Cree una Cuenta de AWS con un usuario administrativo](#aws-account) + [Cree un par de claves SSH de Amazon EC2](#create-ssh-key-pair) + [Aumentar las cuotas de servicio](#increase-service-quotas) + [Crear un grupo de usuarios de Cognito (opcional)](#create-cognito-user-pool) + [Crea un dominio personalizado (opcional)](#create-public-domain) + [Cree un dominio (GovCloud únicamente)](#create-domain-govcloud) + [Proporcione recursos externos](#external-resources) + [Configure LDAPS en su entorno (opcional)](#configure-ldaps) + [Configurar una cuenta de servicio para Microsoft Active Directory](#service-account-ms-ad) + [Configurar una VPC privada (opcional)](#private-vpc) ## Cree una Cuenta de AWS con un usuario administrativo Debe tener una Cuenta de AWS con un usuario administrativo: 1. Abre el [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup). 1. Siga las instrucciones que se le indiquen. Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono. Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Cree un par de claves SSH de Amazon EC2 Si no tiene un par de claves SSH de Amazon EC2, debe crear uno. Para obtener más información, consulte [Crear un par de claves mediante Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) en la *Guía del usuario de Amazon EC2*. ## Aumentar las cuotas de servicio Como práctica recomendada, [aumente las cuotas de servicio](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) para: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Aumente la cuota de direcciones IP elásticas por puerta de enlace NAT de cinco a ocho. + Aumente las puertas de enlace NAT por zona de disponibilidad de cinco a diez. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Aumente el EC2-VPC Elastic IPs de cinco a diez. Su AWS cuenta tiene cuotas predeterminadas para cada servicio. AWS A menos que se indique lo contrario, cada cuota es específica de la región de . Puede solicitar el aumento de algunas cuotas, pero otras no se pueden aumentar. Para obtener más información, consulte [Cuotas de los AWS servicios de este producto](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Crear un grupo de usuarios de Cognito (opcional) Tiene la opción de importar un grupo de usuarios de Cognito existente para la autenticación de usuarios y clientes al instalar RES. De lo contrario, RES creará automáticamente un nuevo grupo de usuarios de Cognito. El grupo de usuarios preexistente debe tener los siguientes atributos personalizados de registro: | Name | Tipo | Valor/longitud mínimos | Valor/longitud máximos | Mutable | | --- | --- | --- | --- | --- | | personalizado: aws\$1region | Cadena | | | TRUE | | personalizado: cluster\$1name | Cadena | | | TRUE | | personalizado: password\$1last\$1set | Número | | | TRUE | | personalizado: password\$1max\$1age | Número | | | TRUE | | personalizado: uid | Número | 2000200001 | 4294967294 | TRUE | ## Crea un dominio personalizado (opcional) Como práctica recomendada, usa un dominio personalizado para el producto a fin de crear una URL fácil de usar. Puede proporcionar un dominio personalizado y, si lo *desea*, proporcionarle un certificado. Hay un proceso en la pila de recursos externos para crear un certificado para un dominio personalizado que usted proporcione. Puede omitir estos pasos si tiene un dominio y desea utilizar las capacidades de generación de certificados de la pila de recursos externos. O bien, siga estos pasos para registrar un dominio mediante Amazon Route 53 e importar un certificado para el dominio mediante AWS Certificate Manager. 1. Siga las instrucciones para [registrar un dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) en Route 53. Deberías recibir un correo electrónico de confirmación. 1. Recupera la zona alojada de tu dominio. Route 53 lo crea automáticamente. 1. Abra la consola de Route 53. 1. Seleccione **Zonas alojadas** en el menú de navegación de la izquierda. 1. Abre la zona alojada creada para tu nombre de dominio y copia el **ID de la zona alojada**. 1. Abre AWS Certificate Manager y sigue estos pasos para [solicitar un certificado de dominio](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Asegúrese de estar en la región en la que planea implementar la solución. 1. Seleccione **Listar certificados** en la barra de navegación y busque su solicitud de certificado. La solicitud debería estar pendiente. 1. Elija su **ID de certificado** para abrir la solicitud. 1. En la sección **Dominios**, elija **Crear registros en Route 53**. La solicitud tardará aproximadamente diez minutos en procesarse. 1. Una vez emitido el certificado, copie el **ARN de la sección** de **estado del certificado**. ## Cree un dominio (GovCloud únicamente) Si va a realizar el despliegue en una AWS GovCloud región y utiliza un dominio personalizado para Research and Engineering Studio, debe completar estos pasos previos. 1. Implemente la [CloudFormation pila de certificados](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) en la AWS cuenta de la partición comercial en la que se creó el dominio hospedado público. 1. En los ** CloudFormation resultados del certificado**, busque y anote las `CertificateARN` letras y. `PrivateKeySecretARN` 1. En la cuenta de GovCloud partición, cree un secreto con el valor de la `CertificateARN` salida. Anote el nuevo ARN secreto y añada dos etiquetas al secreto para `vdc-gateway` poder acceder al valor secreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nombre del entorno] (podría ser res-demo) 1. En la cuenta de GovCloud partición, cree un secreto con el valor de la `PrivateKeySecretARN` salida. Anote el nuevo ARN secreto y añada dos etiquetas al secreto para `vdc-gateway` poder acceder al valor secreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nombre del entorno] (podría ser res-demo) ## Proporcione recursos externos Research and Engineering Studio on AWS espera que existan los siguientes recursos externos cuando se implemente. + **Redes (VPC, subredes públicas y subredes privadas)** Aquí es donde ejecutará las instancias EC2 que se utilizan para alojar el entorno RES, el Active Directory (AD) y el almacenamiento compartido. + **Almacenamiento (Amazon EFS)** Los volúmenes de almacenamiento contienen los archivos y los datos necesarios para la infraestructura de escritorio virtual (VDI). + **Servicio de directorio ()AWS Directory Service for Microsoft Active Directory** El servicio de directorio autentica a los usuarios en el entorno RES. + **Un secreto que contiene el nombre de usuario y la contraseña de la cuenta del servicio de Active Directory formateados como un par clave-valor (nombre de usuario y contraseña)** Research and Engineering Studio accede a [los secretos](secrets-management.md) que usted proporciona, incluida la contraseña de la cuenta de servicio, mediante. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) **aviso** Debe proporcionar una dirección de correo electrónico válida para todos los usuarios de Active Directory (AD) que desee sincronizar. **sugerencia** Si está implementando un entorno de demostración y no dispone de estos recursos externos, puede utilizar fórmulas informáticas de AWS alto rendimiento para generar los recursos externos. Consulte la siguiente sección para implementar recursos en su cuenta. [Crear recursos externos](create-external-resources.md) Para las implementaciones de demostración en una AWS GovCloud región, debe completar los pasos previos que se indican. [Cree un dominio (GovCloud únicamente)](#create-domain-govcloud) ## Configure LDAPS en su entorno (opcional) Si planea utilizar la comunicación LDAPS en su entorno, debe completar estos pasos para crear y adjuntar certificados al controlador de dominio AWS Managed Microsoft AD (AD) a fin de proporcionar comunicación entre AD y RES. 1. Siga los pasos que se indican en [Cómo habilitar el LDAPS del lado del servidor](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) para su. AWS Managed Microsoft AD Puede omitir este paso si ya ha activado el LDAPS. 1. Tras confirmar que LDAPS está configurado en el AD, exporte el certificado de AD: 1. Vaya a su servidor de Active Directory. 1. PowerShell Ábralo como administrador. 1. Ejecute `certmgr.msc` para abrir la lista de certificados. 1. Abra la lista de certificados abriendo primero las autoridades emisoras de certificados raíz de confianza y, a continuación, los certificados. 1. Seleccione y mantenga pulsado (o haga clic con el botón derecho del ratón) en el certificado con el mismo nombre que su servidor de AD y, a continuación, seleccione **Todas las tareas** y, a continuación, **Exportar**. 1. **Seleccione **X.509 (.CER) codificado en base 64** y elija Siguiente.** 1. **Seleccione un directorio y, a continuación, elija Siguiente.** 1. Crea un secreto en AWS Secrets Manager: Al crear su secreto en Secrets Manager, seleccione **Otro tipo de secretos** en **Tipo de secreto** y pegue su certificado cifrado en PEM en el campo **Texto no cifrado**. 1. Anote el ARN creado e introdúzcalo como `DomainTLSCertificateSecretARN` parámetro en. [Paso 1: lanzar el producto](launch-the-product.md) ## Configurar una cuenta de servicio para Microsoft Active Directory Si elige Microsoft Active Directory (AD) como fuente de identidad para RES, dispondrá de una cuenta de servicio en su AD que le permitirá el acceso mediante programación. Debe transmitir un secreto con las credenciales de la cuenta de servicio como parte de la instalación de RES. El secreto debe tener el formato que se muestra aquí. ![\[Ejemplo de formato de nombre de usuario y contraseña\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-secret-value-example.png) Tenga en cuenta también que el `username` campo no admite nombres de inicio de sesión de este formato al estilo NT. `DOMAIN\username` La cuenta de servicio es responsable de las siguientes funciones: + Sincronizar usuarios desde el AD: RES debe sincronizar los usuarios del AD para que puedan iniciar sesión en el portal web. El proceso de sincronización utiliza la cuenta de servicio para consultar el AD mediante LDAP y determinar qué usuarios y grupos están disponibles. + Unirse al dominio de AD: esta es una operación opcional para los escritorios virtuales y los hosts de infraestructura de Linux en los que la instancia se une al dominio de AD. En RES, esto se controla con el `DisableADJoin` parámetro. Este parámetro está establecido en False de forma predeterminada, lo que significa que los escritorios virtuales Linux intentarán unirse al dominio AD en la configuración predeterminada. + Conectarse al AD: los escritorios virtuales y los hosts de infraestructura de Linux se conectarán al dominio de AD si no se unen a él (`DisableADJoin`= True). Para que esta funcionalidad funcione, la cuenta de servicio también necesita acceso de lectura para los usuarios y grupos que se encuentren dentro y fuera del sistema`UsersOU`. `GroupsOU` La cuenta de servicio requiere los siguientes permisos: + Para sincronizar los usuarios y conectarse a AD → Acceso de lectura para los usuarios `UsersOU` y grupos locales`GroupsOU`. + Para unirse al dominio AD → cree `Computer` objetos en`ComputersOU`. El script de [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) proporciona un ejemplo de cómo conceder los permisos adecuados a las cuentas de servicio. Puedes modificarlo en función de tu propio AD. ## Configurar una VPC privada (opcional) La implementación de Research and Engineering Studio en una VPC aislada ofrece una seguridad mejorada para cumplir con los requisitos de cumplimiento y gobierno de su organización. Sin embargo, la implementación estándar de RES se basa en el acceso a Internet para instalar las dependencias. Para instalar RES en una VPC privada, debe cumplir los siguientes requisitos previos: **Topics** + [Prepare imágenes de máquinas de Amazon (AMIs)](#prep-ami) + [Configurar puntos finales de VPC](#private-vpc-endpoints) + [Conéctese a servicios sin puntos finales de VPC](#connect-services-without-endpoints) + [Defina los parámetros de despliegue de una VPC privada](#vpc-deployment-parameters) ### Prepare imágenes de máquinas de Amazon (AMIs) 1. Descargue las dependencias a más tardar en [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/.tar.gz. res-installation-scripts](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz) Para implementarse en una VPC aislada, la infraestructura RES requiere la disponibilidad de dependencias sin tener acceso público a Internet. **importante** Sustituya **latest** el URI de descarga por el número de versión exacto (por ejemplo**2025.06**) si la versión de su entorno RES no es la más reciente. 1. Cree un rol de IAM con acceso de solo lectura a Amazon S3 y una identidad de confianza como Amazon EC2. 1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. **En **Roles, elija Crear rol**.** 1. En la página **Seleccionar entidad de confianza**: + En **Tipo de entidad de confianza**, elija Servicio de AWS. + **En Caso de uso** en **Servicio o Caso de uso**, elija **EC2** y elija **Siguiente**. 1. En **Agregar permisos**, seleccione las siguientes políticas de permisos y, a continuación, elija **Siguiente**: + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Añada un **nombre y una **descripción del** rol** y, a continuación, elija **Crear rol**. 1. Cree el componente generador de imágenes de EC2: 1. Abra la consola [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) EC2 Image Builder en. 1. En **Recursos guardados**, elija **Componentes** y elija **Crear componente**. 1. En la página **Crear componente**, introduzca los siguientes detalles: + En **Tipo de componente**, elija **Construir**. + Para ver los **detalles del componente**, elija: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/prerequisites.html) 1. En la página **Crear componente**, elija **Definir el contenido del documento**. 1. Antes de introducir el contenido del documento de definición, necesitará un URI de archivo para el archivo tar.gz. Cargue el archivo tar.gz proporcionado por RES a un bucket de Amazon S3 y copie el URI del archivo de las propiedades del bucket. 1. Introduzca lo siguiente: **nota** `AddEnvironmentVariables`es opcional y puede eliminarlo si no necesita variables de entorno personalizadas en los hosts de su infraestructura. Si está configurando variables de `https_proxy` entorno, `no_proxy` los parámetros son necesarios para evitar que la instancia utilice el proxy para consultar el host local, las direcciones IP de los metadatos de la instancia y los servicios que admiten los puntos de enlace de la VPC. `http_proxy` ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. Seleccione **Crear componente**. 1. Cree una receta de imágenes de Image Builder. 1. En la página **Crear receta**, introduzca lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/prerequisites.html) 1. Elija **Crear receta**. 1. Cree la configuración de infraestructura de Image Builder. 1. En **Recursos guardados**, elija **Configuraciones de infraestructura**. 1. Elija **Crear configuración de infraestructura**. 1. En la página **Crear configuración de infraestructura**, introduzca lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/prerequisites.html) 1. Elija **Crear configuración de infraestructura**. 1. Cree una nueva canalización de EC2 Image Builder: 1. Vaya a las **canalizaciones de imágenes** y elija **Crear canalización de imágenes**. 1. En la página **Especificar los detalles de la canalización**, introduce lo siguiente y selecciona **Siguiente**: + Nombre de la canalización y descripción opcional + En **Crear un cronograma**, defina un cronograma o elija **Manual** si desea iniciar el proceso de horneado AMI manualmente. 1. En la página **Elegir receta**, elija **Usar receta existente** e introduzca el **nombre de la receta** creada anteriormente. Elija **Siguiente**. 1. En la página **Definir el proceso de imagen**, seleccione los flujos de trabajo predeterminados y elija **Siguiente**. 1. En la página **Definir configuración de infraestructura**, elija **Usar la configuración de infraestructura existente e** introduzca el nombre de la configuración de infraestructura creada anteriormente. Elija **Siguiente**. 1. En la página **Definir la configuración de distribución**, tenga en cuenta lo siguiente para sus selecciones: + La imagen de salida debe residir en la misma región que el entorno RES implementado, de modo que RES pueda lanzar correctamente las instancias del host de infraestructura desde allí. Si se utilizan los valores predeterminados del servicio, la imagen de salida se creará en la región en la que se utilice el servicio Image Builder de EC2. + Si desea implementar RES en varias regiones, puede elegir **Crear una nueva configuración de distribución** y añadir allí más regiones. 1. Revisa tus selecciones y selecciona **Crear canalización**. 1. Ejecute la canalización de EC2 Image Builder: 1. En **Image Pipelines**, busque y seleccione la canalización que ha creado. 1. Elige **Acciones** y selecciona **Ejecutar canalización**. La canalización puede tardar entre 45 minutos y una hora en crear una imagen de AMI. 1. Anote el ID de AMI de la AMI generada y utilícelo como entrada para el parámetro InfrastructureHost AMI en[Paso 1: lanzar el producto](launch-the-product.md). ### Configurar puntos finales de VPC Para implementar RES y lanzar escritorios virtuales, Servicios de AWS necesita acceso a su subred privada. Debe configurar los puntos de enlace de VPC para proporcionar el acceso necesario y tendrá que repetir estos pasos para cada punto de enlace. 1. Si los puntos de conexión no se han configurado previamente, siga las instrucciones que se proporcionan en [Acceso y Servicio de AWS uso de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Seleccione una subred privada en cada una de las dos zonas de disponibilidad. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/prerequisites.html) ### Conéctese a servicios sin puntos finales de VPC Para integrarse con servicios que no admiten puntos de enlace de VPC, puede configurar un servidor proxy en una subred pública de su VPC. Siga estos pasos para crear un servidor proxy con el acceso mínimo necesario para una implementación de Research and Engineering Studio utilizando AWS Identity Center como proveedor de identidad. 1. Lance una instancia de Linux en la subred pública de la VPC que utilizará para la implementación de RES. + Familia Linux: Amazon Linux 2 o Amazon Linux 3 + Arquitectura: x86 + Tipo de instancia: t2.micro o superior + Grupo de seguridad: TCP en el puerto 3128 desde 0.0.0.0/0 1. Conéctese a la instancia para configurar un servidor proxy. 1. Abre la conexión http. 1. Permita la conexión a los siguientes dominios desde todas las subredes relevantes: + .amazonaws.com (para servicios genéricos) AWS + .amazoncognito.com (para Amazon Cognito) + .awsapps.com (para Identity Center) + .signin.aws (para Identity Center) + . amazonaws-us-gov.com (para Gov Cloud) 1. Denegar todas las demás conexiones. 1. Active e inicie el servidor proxy. 1. Anote el PUERTO en el que escucha el servidor proxy. 1. Configure su tabla de rutas para permitir el acceso al servidor proxy. 1. Vaya a la consola de VPC e identifique las tablas de enrutamiento de las subredes que utilizará para los hosts de infraestructura y los hosts de VDI. 1. Edite la tabla de rutas para permitir que todas las conexiones entrantes vayan a la instancia del servidor proxy creada en los pasos anteriores. 1. Haga esto para las tablas de enrutamiento de todas las subredes (sin acceso a Internet) que vaya a utilizar para VDIs Infrastructure/. 1. Modifique el grupo de seguridad de la instancia EC2 del servidor proxy y asegúrese de que permite las conexiones TCP entrantes en el puerto por el que escucha el servidor proxy. ### Defina los parámetros de despliegue de una VPC privada En[Paso 1: lanzar el producto](launch-the-product.md), se espera que introduzcas determinados parámetros en la CloudFormation plantilla. Asegúrese de configurar los siguientes parámetros, tal y como se indica, para implementarlos correctamente en la VPC privada que acaba de configurar. | Parámetro | Input | | --- |--- | | InfrastructureHostAMI | Utilice el ID de AMI de infraestructura creado en[Prepare imágenes de máquinas de Amazon (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Establézcalo en falso. | | LoadBalancerSubnets | Elija subredes privadas sin acceso a Internet. | | InfrastructureHostSubnets | Elija subredes privadas sin acceso a Internet. | | VdiSubnets | Elija subredes privadas sin acceso a Internet. | | ClientIP | Puede elegir el CIDR de la VPC para permitir el acceso a todas las direcciones IP de la VPC. | | HttpProxy | Ejemplo: http://10.1.2.3:123 | | HttpsProxy | Ejemplo: http://10.1.2.3:123 | | NoProxy | Ejemplo: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Crear recursos externos Esta CloudFormation pila crea certificados de red, almacenamiento, Active Directory y dominio (si PortalDomainName se proporciona uno). Debe tener estos recursos externos disponibles para implementar el producto. Puede [descargar la plantilla de recetas](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) antes de la implementación. **Tiempo de despliegue:** aproximadamente entre 40 y 90 minutos 1. Inicie sesión en Consola de administración de AWS [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) y abra la CloudFormation consola. **nota** Asegúrese de estar en su cuenta de administrador. 1. Inicie [la plantilla](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) en la consola. Si va a realizar la implementación en una AWS GovCloud región, inicie la plantilla en su cuenta de GovCloud partición (por ejemplo, [aquí](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) para la región AWS GovCloud (EE. UU. Oeste)). 1. Introduzca los parámetros de la plantilla: **importante** Utilice valores diferentes para estas cuentas `AdminPassword` y `ServiceAccountPassword` para mantenerlas dentro de los límites de seguridad adecuados. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/create-external-resources.html) 1. Marque todas las casillas de verificación en **Capacidades** y elija **Crear pila**. # Paso 1: lanzar el producto Siga las step-by-step instrucciones de esta sección para configurar e implementar el producto en su cuenta. **Tiempo de implementación:** aproximadamente 60 minutos Puede [descargar la CloudFormation plantilla de](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) este producto antes de implementarlo. Si va a realizar el despliegue en AWS GovCloud (EE. UU. al oeste), utilice esta [plantilla](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). **res-stack**: utilice esta plantilla para lanzar el producto y todos los componentes asociados. La configuración predeterminada implementa la pila principal de RES y los recursos de autenticación, interfaz y backend. **nota** AWS CloudFormation los recursos se crean a partir de construcciones AWS Cloud Development Kit (AWS CDK) ()AWS CDK. La AWS CloudFormation plantilla implementa Research and Engineering Studio AWS en el. Nube de AWS Debe cumplir los [requisitos previos antes de](prerequisites.md) lanzar la pila. 1. Inicia sesión en Consola de administración de AWS [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) y abre la CloudFormation consola. 1. [Abre la plantilla.](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json) Para implementarla en AWS GovCloud (EE. UU. al oeste), lance esta [plantilla](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). 1. La plantilla se lanza en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Para lanzar el producto en otro sitio Región de AWS, utilice el selector de regiones de la barra de navegación de la consola. **nota** Este producto utiliza el servicio Amazon Cognito, que actualmente no está disponible en todos. Regiones de AWS Debe lanzar este producto en un Región de AWS lugar en el que Amazon Cognito esté disponible. Para obtener la disponibilidad más reciente por región, consulte la [lista de Región de AWS todos los servicios](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. En **Parámetros**, revisa los parámetros de esta plantilla de producto y modifícalos según sea necesario. Si ha implementado los recursos externos automatizados, puede encontrar estos parámetros en la pestaña **Resultados** de la pila de recursos externos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/res/latest/ug/launch-the-product.html) 1. En **Configurar opciones de pila → Etiquetas: *opcional***, añada las etiquetas (pares clave-valor) que desee aplicar a los recursos desplegados en RES. RES conserva la clave `Name` de etiqueta y no se pueden usar como claves de etiqueta. `res:*` 1. Elija **Create stack** (Crear pila) para implementar la pila. Puede ver el estado de la pila en la AWS CloudFormation consola, en la columna **Estado**. Recibirás el estado CREATE\$1COMPLETE en aproximadamente 60 minutos. **importante** Usted es responsable de aplicar los parches a sus infrastructure/VDI hosts después de la implementación. # Paso 2: inicie sesión por primera vez Una vez que la gama de productos se despliegue en su cuenta, recibirá un correo electrónico con sus credenciales. Usa la URL para iniciar sesión en tu cuenta y configurar el espacio de trabajo para otros usuarios. ![\[Primero inicia sesión: invitación por correo electrónico\]](http://docs.aws.amazon.com/es_es/res/latest/ug/images/res-firstsignin.png) Tras iniciar sesión por primera vez, puede configurar los ajustes del portal web para conectarse al proveedor de SSO. Para obtener información sobre la configuración posterior a la implementación, consulte la. [Guía de configuración](configuration-guide.md) Tenga en cuenta que `clusteradmin` se trata de una cuenta única: puede utilizarla para crear proyectos y asignar miembros de usuarios o grupos a esos proyectos; no puede asignar paquetes de software ni implementar un escritorio por sí misma.