Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Déployez le produit **Note** Ce produit utilise des [AWS CloudFormation modèles et des piles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) pour automatiser son déploiement. Les CloudFormation modèles décrivent les AWS ressources incluses dans ce produit et leurs propriétés. La CloudFormation pile fournit les ressources décrites dans les modèles. Avant de lancer le produit, examinez le [coût](plan-your-deployment.md#plan-your-deployment-cost), [l'architecture](architecture-overview.md), la [sécurité du réseau](plan-your-deployment.md#plan-your-deployment-security) et les autres considérations abordées précédemment dans ce guide. **Topics** + [Conditions préalables](prerequisites.md) + [Création de ressources externes](create-external-resources.md) + [Étape 1 : Lancez le produit](launch-the-product.md) + [Étape 2 : Connectez-vous pour la première fois](first-sign-in.md) # Conditions préalables **Topics** + [Créez un Compte AWS avec un utilisateur administratif](#aws-account) + [Création d'une paire de clés SSH Amazon EC2](#create-ssh-key-pair) + [Augmenter les quotas de service](#increase-service-quotas) + [Création d'un groupe d'utilisateurs Cognito (facultatif)](#create-cognito-user-pool) + [Créez un domaine personnalisé (facultatif)](#create-public-domain) + [Créer un domaine (GovCloud uniquement)](#create-domain-govcloud) + [Fournir des ressources externes](#external-resources) + [Configurer LDAPS dans votre environnement (facultatif)](#configure-ldaps) + [Configuration d'un compte de service pour Microsoft Active Directory](#service-account-ms-ad) + [Configuration d'un VPC privé (facultatif)](#private-vpc) ## Créez un Compte AWS avec un utilisateur administratif Vous devez avoir Compte AWS un utilisateur administratif : 1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup) 1. Suivez les instructions en ligne. Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone. Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Création d'une paire de clés SSH Amazon EC2 Si vous ne possédez pas de paire de clés SSH Amazon EC2, vous devez en créer une. Pour plus d'informations, consultez la section [Création d'une paire de clés à l'aide d'Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) dans le guide de l'*utilisateur Amazon EC2*. ## Augmenter les quotas de service La meilleure pratique consiste à [augmenter les quotas de service](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) pour : + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Augmentez le quota d'adresses IP Elastic par passerelle NAT de cinq à huit. + Augmentez le nombre de passerelles NAT par zone de disponibilité de cinq à dix. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Augmentez l'EC2-VPC Elastic IPs de cinq à dix. Votre AWS compte dispose de quotas par défaut pour chaque AWS service. Sauf indication contraire, chaque quota est spécifique à une région. Vous pouvez demander des augmentations pour certains quotas, et d'autres quotas ne peuvent pas être augmentés. Pour de plus amples informations, veuillez consulter [Quotas pour AWS les services inclus dans ce produit](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Création d'un groupe d'utilisateurs Cognito (facultatif) Vous avez la possibilité d'importer un groupe d'utilisateurs Cognito existant pour l'authentification des utilisateurs et des clients lorsque vous installez RES. Sinon, RES créera automatiquement un nouveau groupe d'utilisateurs Cognito. Le groupe d'utilisateurs préexistant doit avoir les attributs personnalisés d'inscription suivants : | Nom | Type | Valeur minimale/longueur | Valeur/longueur maximale | Mutable | | --- | --- | --- | --- | --- | | personnalisé:aws\$1region | String | | | TRUE | | personnalisé:cluster\$1name | String | | | TRUE | | personnalisé : password\$1last\$1set | Number | | | TRUE | | personnalisé : password\$1max\$1age | Number | | | TRUE | | personnalisé : uid | Number | 2000200001 | 4294967294 | TRUE | ## Créez un domaine personnalisé (facultatif) Il est recommandé d'utiliser un domaine personnalisé pour le produit afin d'obtenir une URL conviviale. Vous pouvez fournir un domaine personnalisé et *éventuellement* lui fournir un certificat. Il existe un processus dans la pile des ressources externes pour créer un certificat pour un domaine personnalisé que vous fournissez. Vous pouvez ignorer les étapes ci-dessous si vous possédez un domaine et souhaitez utiliser les fonctionnalités de génération de certificats de la pile de ressources externes. Vous pouvez également suivre ces étapes pour enregistrer un domaine à l'aide d'Amazon Route 53 et importer un certificat pour le domaine à l'aide d'Amazon Route 53 AWS Certificate Manager. 1. Suivez les instructions pour [enregistrer un domaine](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) auprès de la Route 53. Vous devriez recevoir un e-mail de confirmation. 1. Récupérez la zone hébergée pour votre domaine. Route 53 le crée automatiquement. 1. Ouvrez la console Route 53. 1. Choisissez **Zones hébergées dans** le menu de navigation de gauche. 1. Ouvrez la zone hébergée créée pour votre nom de domaine et copiez l'**ID de zone hébergée**. 1. Ouvrez AWS Certificate Manager et suivez ces étapes pour [demander un certificat de domaine](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Assurez-vous que vous vous trouvez dans la région où vous prévoyez de déployer la solution. 1. Choisissez **Lister les certificats** dans le menu de navigation, puis recherchez votre demande de certificat. La demande devrait être en attente. 1. Choisissez votre **numéro de certificat** pour ouvrir la demande. 1. Dans la section **Domaines**, choisissez **Créer des enregistrements dans Route 53**. Le traitement de la demande prendra environ dix minutes. 1. Une fois le certificat émis, copiez l'**ARN** depuis la section **État du certificat**. ## Créer un domaine (GovCloud uniquement) Si vous effectuez un déploiement dans une AWS GovCloud région et que vous utilisez un domaine personnalisé pour Research and Engineering Studio, vous devez suivre ces étapes préalables. 1. Déployez la [CloudFormation pile de certificats](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) dans le AWS compte de partition commerciale où le domaine public hébergé a été créé. 1. Dans les ** CloudFormation sorties du certificat**, recherchez et notez le `CertificateARN` et`PrivateKeySecretARN`. 1. Dans le compte de GovCloud partition, créez un secret avec la valeur de la `CertificateARN` sortie. Notez le nouvel ARN secret et ajoutez deux balises au secret pour `vdc-gateway` pouvoir accéder à la valeur du secret : 1. rouge : ModuleName = virtual-desktop-controller 1. res : EnvironmentName = [nom de l'environnement] (Cela pourrait être res-demo.) 1. Dans le compte de GovCloud partition, créez un secret avec la valeur de la `PrivateKeySecretARN` sortie. Notez le nouvel ARN secret et ajoutez deux balises au secret pour `vdc-gateway` pouvoir accéder à la valeur du secret : 1. rouge : ModuleName = virtual-desktop-controller 1. res : EnvironmentName = [nom de l'environnement] (Cela pourrait être res-demo.) ## Fournir des ressources externes Research and Engineering Studio s' AWS attend à ce que les ressources externes suivantes existent lors de son déploiement. + **Mise en réseau (VPC, sous-réseaux publics et sous-réseaux privés)** C'est ici que vous exécuterez les instances EC2 utilisées pour héberger l'environnement RES, Active Directory (AD) et le stockage partagé. + **Stockage (Amazon EFS)** Les volumes de stockage contiennent les fichiers et les données nécessaires à l'infrastructure de bureau virtuel (VDI). + **Service d'annuaire (AWS Directory Service for Microsoft Active Directory)** Le service d'annuaire authentifie les utilisateurs dans l'environnement RES. + **Secret contenant le nom d'utilisateur et le mot de passe du compte de service Active Directory formatés sous forme de paire clé-valeur (nom d'utilisateur, mot de passe)** Research and Engineering Studio accède aux [secrets](secrets-management.md) que vous fournissez, y compris le mot de passe du compte de service, en utilisant [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). **Avertissement** Vous devez fournir une adresse e-mail valide pour tous les utilisateurs Active Directory (AD) que vous souhaitez synchroniser. **Astuce** Si vous déployez un environnement de démonstration et que ces ressources externes ne sont pas disponibles, vous pouvez utiliser des recettes de calcul AWS haute performance pour générer les ressources externes. Consultez la section suivante pour déployer des ressources dans votre compte. [Création de ressources externes](create-external-resources.md) Pour les déploiements de démonstration dans une AWS GovCloud région, vous devez suivre les étapes préalables décrites dans[Créer un domaine (GovCloud uniquement)](#create-domain-govcloud). ## Configurer LDAPS dans votre environnement (facultatif) Si vous envisagez d'utiliser la communication LDAPS dans votre environnement, vous devez suivre ces étapes pour créer et joindre des certificats au contrôleur de domaine AWS Managed Microsoft AD (AD) afin d'assurer la communication entre AD et RES. 1. Suivez les étapes indiquées dans [Comment activer le protocole LDAPS côté serveur](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) pour votre. AWS Managed Microsoft AD Vous pouvez ignorer cette étape si vous avez déjà activé LDAPS. 1. Après avoir confirmé que LDAPS est configuré sur l'AD, exportez le certificat AD : 1. Accédez à votre serveur Active Directory. 1. Ouvrez PowerShell en tant qu'administrateur. 1. Exécutez `certmgr.msc` pour ouvrir la liste des certificats. 1. Ouvrez la liste des certificats en ouvrant d'abord les Autorités de certification racine fiables, puis les certificats. 1. Sélectionnez et maintenez (ou cliquez avec le bouton droit) le certificat portant le même nom que votre serveur AD et choisissez **Toutes les tâches**, puis **Exporter**. 1. **Sélectionnez **X.509 codé en Base-64 (.CER)** et choisissez Next.** 1. Sélectionnez un répertoire, puis cliquez sur **Suivant**. 1. Créez un secret dans AWS Secrets Manager : Lorsque vous créez votre secret dans Secrets Manager, choisissez **Autre type de secrets** sous **Type de secret** et collez votre certificat codé PEM dans le champ **Texte en clair**. 1. Notez l'ARN créé et saisissez-le en tant que `DomainTLSCertificateSecretARN` paramètre dans[Étape 1 : Lancez le produit](launch-the-product.md). ## Configuration d'un compte de service pour Microsoft Active Directory Si vous choisissez Microsoft Active Directory (AD) comme source d'identité pour RES, vous disposez d'un compte de service dans votre AD qui permet un accès par programmation. Vous devez transmettre un secret contenant les informations d'identification du compte de service dans le cadre de votre installation RES. Le secret doit avoir le format indiqué ici. ![\[Exemple de format de nom d'utilisateur et mot de passe\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-secret-value-example.png) Notez également que le `username` champ ne prend pas en charge les noms de connexion de style NT au format NT. `DOMAIN\username` Le compte de service est responsable des fonctions suivantes : + Synchroniser les utilisateurs depuis l'AD : RES doit synchroniser les utilisateurs depuis l'AD pour leur permettre de se connecter au portail Web. Le processus de synchronisation utilise le compte de service pour interroger l'AD à l'aide de LDAP afin de déterminer quels utilisateurs et groupes sont disponibles. + Joindre le domaine AD : il s'agit d'une opération facultative pour les bureaux virtuels Linux et les hôtes d'infrastructure où l'instance rejoint le domaine AD. Dans RES, cela est contrôlé par le `DisableADJoin` paramètre. Ce paramètre est défini sur False par défaut, ce qui signifie que les bureaux virtuels Linux tenteront de rejoindre le domaine AD dans la configuration par défaut. + Se connecter à AD : les bureaux virtuels et les hôtes d'infrastructure Linux se connecteront au domaine AD s'ils ne le rejoignent pas (`DisableADJoin`= True). Pour que cette fonctionnalité fonctionne, le compte de service doit également disposer d'un accès en lecture pour les utilisateurs et les groupes du `UsersOU` and`GroupsOU`. Le compte de service nécessite les autorisations suivantes : + Pour synchroniser les utilisateurs et se connecter à AD → Accès en lecture pour les utilisateurs et les groupes dans le `UsersOU` et`GroupsOU`. + Pour rejoindre le domaine AD → créer `Computer` des objets dans le`ComputersOU`. Le script situé à l'[ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) fournit un exemple de la manière d'accorder les autorisations appropriées à un compte de service. Vous pouvez le modifier en fonction de votre propre AD. ## Configuration d'un VPC privé (facultatif) Le déploiement d'un studio de recherche et d'ingénierie dans un VPC isolé offre une sécurité renforcée pour répondre aux exigences de conformité et de gouvernance de votre entreprise. Cependant, le déploiement standard de RES repose sur l'accès à Internet pour installer les dépendances. Pour installer RES dans un VPC privé, vous devez satisfaire aux conditions préalables suivantes : **Topics** + [Préparer les images Amazon Machine (AMIs)](#prep-ami) + [Configuration des points de terminaison VPC](#private-vpc-endpoints) + [Connectez-vous aux services sans points de terminaison VPC](#connect-services-without-endpoints) + [Définir les paramètres de déploiement d'un VPC privé](#vpc-deployment-parameters) ### Préparer les images Amazon Machine (AMIs) 1. Téléchargez les dépendances à l'adresse [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ res-installation-scripts](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz) .tar.gz. Pour être déployée dans un VPC isolé, l'infrastructure RES nécessite la disponibilité de dépendances sans accès public à Internet. **Important** Remplacez **latest** l'URI de téléchargement par le numéro de version exact (par exemple,**2025.06**) si la version de votre environnement RES n'est pas la plus récente. 1. Créez un rôle IAM avec un accès en lecture seule à Amazon S3 et une identité fiable en tant qu'Amazon EC2. 1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Dans **Rôles**, sélectionnez **Créer un rôle**. 1. Sur la page **Sélectionner une entité de confiance** : + Sous **Type d'entité de confiance**, sélectionnez Service AWS. + Pour **Cas d'utilisation** sous **Service ou cas d'utilisation**, choisissez **EC2**, puis **Next**. 1. Dans **Ajouter des autorisations**, sélectionnez les politiques d'autorisation suivantes, puis cliquez sur **Suivant** : + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Ajoutez un **nom et une **description du** rôle**, puis choisissez **Créer un rôle**. 1. Créez le composant du générateur d'images EC2 : 1. Ouvrez la console [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) EC2 Image Builder à l'adresse. 1. Sous **Ressources enregistrées**, sélectionnez **Composants**, puis **Créer un composant**. 1. Sur la page **Créer un composant**, entrez les informations suivantes : + Pour **Type de composant**, choisissez **Construire**. + Pour les **détails du composant**, choisissez : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/prerequisites.html) 1. Sur la page **Créer un composant**, choisissez **Définir le contenu du document**. 1. Avant de saisir le contenu du document de définition, vous aurez besoin d'un URI pour le fichier tar.gz. Chargez le fichier tar.gz fourni par RES dans un compartiment Amazon S3 et copiez l'URI du fichier depuis les propriétés du compartiment. 1. Saisissez : **Note** `AddEnvironmentVariables`est facultatif, et vous pouvez le supprimer si vous n'avez pas besoin de variables d'environnement personnalisées dans vos hôtes d'infrastructure. Si vous configurez `http_proxy` des variables d'`https_proxy`environnement, les `no_proxy` paramètres sont nécessaires pour empêcher l'instance d'utiliser un proxy pour interroger localhost, les adresses IP des métadonnées de l'instance et les services prenant en charge les points de terminaison VPC. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. Choisissez **Créer un composant**. 1. Créez une recette d'image Image Builder. 1. Sur la page **Créer une recette**, entrez les informations suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/prerequisites.html) 1. Choisissez **Créer une recette**. 1. Créez la configuration de l'infrastructure Image Builder. 1. Sous **Ressources enregistrées**, sélectionnez **Configurations d'infrastructure**. 1. Choisissez **Créer une configuration d'infrastructure**. 1. Sur la page **Créer une configuration d'infrastructure**, entrez ce qui suit : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/prerequisites.html) 1. Choisissez **Créer une configuration d'infrastructure**. 1. Créez un nouveau pipeline EC2 Image Builder : 1. Accédez à **Pipelines d'images**, puis choisissez **Créer un pipeline d'images**. 1. Sur la page **Spécifier les détails du pipeline**, entrez ce qui suit et choisissez **Next** : + Nom du pipeline et description facultative + Pour le **calendrier de création**, définissez un calendrier ou choisissez **Manuel** si vous souhaitez démarrer le processus de cuisson des AMI manuellement. 1. Sur la page **Choisir une recette**, choisissez **Utiliser une recette existante** et entrez le **nom de la recette** créée précédemment. Choisissez **Suivant**. 1. Sur la page **Définir le traitement d'image**, sélectionnez les flux de travail par défaut, puis cliquez sur **Suivant**. 1. Sur la page **Définir la configuration de l'infrastructure**, choisissez **Utiliser la configuration d'infrastructure existante** et entrez le nom de la configuration d'infrastructure créée précédemment. Choisissez **Suivant**. 1. Sur la page **Définir les paramètres de distribution**, tenez compte des points suivants pour vos sélections : + L'image de sortie doit résider dans la même région que l'environnement RES déployé, afin que RES puisse lancer correctement les instances hôtes de l'infrastructure à partir de celui-ci. À l'aide des valeurs par défaut du service, l'image de sortie sera créée dans la région où le service EC2 Image Builder est utilisé. + Si vous souhaitez déployer RES dans plusieurs régions, vous pouvez choisir **Créer de nouveaux paramètres de distribution** et y ajouter d'autres régions. 1. Passez en revue vos sélections et choisissez **Créer un pipeline**. 1. Exécutez le pipeline EC2 Image Builder : 1. Dans **Pipelines d'images**, recherchez et sélectionnez le pipeline que vous avez créé. 1. Choisissez **Actions**, puis sélectionnez **Exécuter le pipeline**. Le pipeline peut prendre entre 45 minutes et une heure pour créer une image AMI. 1. Notez l'ID d'AMI de l'AMI générée et utilisez-le comme entrée pour le paramètre InfrastructureHost AMI dans[Étape 1 : Lancez le produit](launch-the-product.md). ### Configuration des points de terminaison VPC Pour déployer RES et lancer des bureaux virtuels, vous devez Services AWS accéder à votre sous-réseau privé. Vous devez configurer les points de terminaison VPC pour fournir l'accès requis, et vous devrez répéter ces étapes pour chaque point de terminaison. 1. Si aucun point de terminaison n'a été configuré auparavant, suivez les instructions fournies dans [Accès et Service AWS utilisation d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Sélectionnez un sous-réseau privé dans chacune des deux zones de disponibilité. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/prerequisites.html) ### Connectez-vous aux services sans points de terminaison VPC Pour intégrer des services qui ne prennent pas en charge les points de terminaison VPC, vous pouvez configurer un serveur proxy dans un sous-réseau public de votre VPC. Suivez ces étapes pour créer un serveur proxy avec l'accès minimum nécessaire pour un déploiement de Research and Engineering Studio en utilisant AWS Identity Center comme fournisseur d'identité. 1. Lancez une instance Linux dans le sous-réseau public du VPC que vous utiliserez pour votre déploiement RES. + Famille Linux — Amazon Linux 2 ou Amazon Linux 3 + Architecture — x86 + Type d'instance : t2.micro ou supérieur + Groupe de sécurité — TCP sur le port 3128 à partir de 0.0.0.0/0 1. Connectez-vous à l'instance pour configurer un serveur proxy. 1. Ouvrez la connexion HTTP. 1. Autorisez la connexion aux domaines suivants à partir de tous les sous-réseaux concernés : + .amazonaws.com (pour les services génériques) AWS + .amazoncognito.com (pour Amazon Cognito) + .awsapps.com (pour Identity Center) + .signin.aws (pour Identity Center) + . amazonaws-us-gov.com (pour Gov Cloud) 1. Refusez toutes les autres connexions. 1. Activez et démarrez le serveur proxy. 1. Notez le PORT sur lequel le serveur proxy écoute. 1. Configurez votre table de routage pour autoriser l'accès au serveur proxy. 1. Accédez à votre console VPC et identifiez les tables de routage pour les sous-réseaux que vous utiliserez pour les hôtes d'infrastructure et les hôtes VDI. 1. Modifiez la table de routage pour permettre à toutes les connexions entrantes d'accéder à l'instance de serveur proxy créée lors des étapes précédentes. 1. Procédez ainsi pour les tables de routage de tous les sous-réseaux (sans accès Internet) que vous allez utiliser pour VDIs Infrastructure/. 1. Modifiez le groupe de sécurité de l'instance EC2 du serveur proxy et assurez-vous qu'il autorise les connexions TCP entrantes sur le PORT sur lequel le serveur proxy écoute. ### Définir les paramètres de déploiement d'un VPC privé Dans[Étape 1 : Lancez le produit](launch-the-product.md), vous êtes censé saisir certains paramètres dans le CloudFormation modèle. Assurez-vous de définir les paramètres suivants comme indiqué pour réussir le déploiement dans le VPC privé que vous venez de configurer. | Paramètre | Input | | --- |--- | | InfrastructureHostAMI | Utilisez l'ID d'AMI d'infrastructure créé dans[Préparer les images Amazon Machine (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Réglé sur false. | | LoadBalancerSubnets | Choisissez des sous-réseaux privés sans accès à Internet. | | InfrastructureHostSubnets | Choisissez des sous-réseaux privés sans accès à Internet. | | VdiSubnets | Choisissez des sous-réseaux privés sans accès à Internet. | | ClientIP | Vous pouvez choisir votre adresse CIDR VPC pour autoriser l'accès à toutes les adresses IP VPC. | | HttpProxy | Exemple : http://10.1.2.3:123 | | HttpsProxy | Exemple : http://10.1.2.3:123 | | NoProxy | Exemple : 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Création de ressources externes Cette CloudFormation pile crée des certificats de réseau, de stockage, d'Active Directory et de domaine (si un PortalDomainName est fourni). Vous devez disposer de ces ressources externes pour déployer le produit. Vous pouvez [télécharger le modèle de recettes](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) avant le déploiement. **Temps de déploiement :** environ 40 à 90 minutes 1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/) **Note** Vérifiez que vous êtes connecté à votre compte administrateur. 1. Lancez [le modèle](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) dans la console. Si vous déployez dans une AWS GovCloud région, lancez le modèle dans votre compte de GovCloud partition (par exemple, [ici](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) pour la région AWS GovCloud (ouest des États-Unis)). 1. Entrez les paramètres du modèle : **Important** Utilisez des valeurs différentes pour `AdminPassword` et `ServiceAccountPassword` pour maintenir des limites de sécurité appropriées entre ces comptes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/create-external-resources.html) 1. Reconnaissez toutes les cases à cocher dans **Capabilities**, puis choisissez **Create stack**. # Étape 1 : Lancez le produit Suivez les step-by-step instructions de cette section pour configurer et déployer le produit dans votre compte. **Temps de déploiement :** environ 60 minutes Vous pouvez [télécharger le CloudFormation modèle](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) de ce produit avant de le déployer. Si vous déployez dans AWS GovCloud (ouest des États-Unis), utilisez ce [modèle](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). **res-stack** - Utilisez ce modèle pour lancer le produit et tous les composants associés. La configuration par défaut déploie la pile principale RES et les ressources d'authentification, de frontend et de backend. **Note** AWS CloudFormation les ressources sont créées à partir de constructions AWS Cloud Development Kit (AWS CDK) (AWS CDK). Le AWS CloudFormation modèle déploie Research and Engineering Studio AWS dans le AWS Cloud. Vous devez remplir les [prérequis](prerequisites.md) avant de lancer la pile. 1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/) 1. Lancez le [modèle](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json). Pour effectuer un déploiement dans AWS GovCloud (ouest des États-Unis), lancez ce [modèle](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). 1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer le produit sous une autre forme Région AWS, utilisez le sélecteur de région dans la barre de navigation de la console. **Note** Ce produit utilise le service Amazon Cognito, qui n'est actuellement pas disponible dans tous les cas. Régions AWS Vous devez lancer ce produit Région AWS là où Amazon Cognito est disponible. Pour connaître la disponibilité la plus récente par région, consultez la [Région AWS liste complète des services](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. Sous **Paramètres**, passez en revue les paramètres de ce modèle de produit et modifiez-les si nécessaire. Si vous avez déployé les ressources externes automatisées, vous pouvez trouver ces paramètres dans l'onglet **Sorties** de la pile de ressources externes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/launch-the-product.html) 1. Sous **Configurer les options de pile → Balises - *facultatif***, ajoutez les balises (paires clé-valeur) que vous souhaitez appliquer aux ressources déployées par RES. La clé `Name` de balise `res:*` est préservée par RES et ne peut pas être utilisée comme clé de balise. 1. Sélectionnez **Create stack (Créer une pile)** pour déployer la pile. Vous pouvez consulter l'état de la pile dans la AWS CloudFormation console dans la colonne **État**. Vous recevez un statut CREATE\$1COMPLETE en 60 minutes environ. **Important** Vous êtes responsable de l'application des correctifs à vos infrastructure/VDI hôtes après le déploiement. # Étape 2 : Connectez-vous pour la première fois Une fois la pile de produits déployée sur votre compte, vous recevez un e-mail contenant vos informations d'identification. Utilisez l'URL pour vous connecter à votre compte et configurer l'espace de travail pour les autres utilisateurs. ![\[Première inscription par e-mail d'invitation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-firstsignin.png) Après vous être connecté pour la première fois, vous pouvez configurer les paramètres du portail Web pour vous connecter au fournisseur SSO. Pour obtenir des informations de configuration après le déploiement, consultez le[Guide de configuration](configuration-guide.md). Notez qu'il `clusteradmin` s'agit d'un compte révolutionnaire : vous pouvez l'utiliser pour créer des projets et attribuer des membres d'utilisateurs ou de groupes à ces projets ; il ne peut pas attribuer de piles logicielles ni déployer un bureau pour lui-même.