Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion de l'environnement
Dans la section Gestion de l'environnement de Research and Engineering Studio, les utilisateurs administratifs peuvent créer et gérer des environnements isolés pour leurs projets de recherche et d'ingénierie. Ces environnements peuvent inclure des ressources informatiques, du stockage et d'autres composants nécessaires, le tout dans un environnement sécurisé. Les utilisateurs peuvent configurer et personnaliser ces environnements pour répondre aux exigences spécifiques de leurs projets, ce qui facilite l'expérimentation, le test et l'itération de leurs solutions sans impact sur les autres projets ou environnements.
**Topics**
+ [État de l'environnement](environment-status.md)
+ [Réglages d'environnement](environment-settings.md)
+ [Utilisateurs](users.md)
+ [Groupes](groups.md)
+ [Projets](projects.md)
+ [Stratégie d'autorisation](permission-profiles.md)
+ [Systèmes de fichiers](file-system.md)
+ [Gestion des instantanés](snapshots.md)
+ [Compartiments Amazon S3](S3-buckets.md)
# État de l'environnement
La page **État de l'environnement** affiche le logiciel déployé et les hôtes du produit. Il inclut des informations telles que la version du logiciel, les noms des modules et d'autres informations système.
![\[Page d'état de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-environmentstatus.jpg)
# Réglages d'environnement
La page des **paramètres d'environnement** affiche les détails de configuration du produit, tels que :
+ Général
Vous pouvez modifier le titre et le sous-titre du portail Web et ajouter des liens personnalisés vers la page de connexion du portail Web. Pour configurer des liens personnalisés :
1. Accédez à **Gestion de l'environnement** > **Paramètres d'environnement**.
1. Dans l'onglet **Général**, choisissez **Modifier**.
1. Dans la section **Liens personnalisés**, choisissez **Ajouter un lien**.
1. Entrez un **titre** et une **URL** pour chaque lien que vous souhaitez afficher sur la page de connexion.
1. Choisissez **Soumettre** pour enregistrer vos modifications.
Des liens personnalisés apparaissent sur la page de connexion au portail Web, permettant aux administrateurs de diriger les utilisateurs vers des ressources telles que la documentation interne, les pages d'assistance ou les politiques d'utilisation acceptables.
![\[Configuration des liens personnalisés dans les paramètres d'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/web-links-edit-form.png)
+ Fournisseur d'identité
Affiche des informations telles que l'état de l'authentification unique.
+ Réseau
Affiche l'ID VPC et la liste IDs des préfixes pour l'accès.
+ Directory Service
Affiche les paramètres Active Directory et l'ARN du gestionnaire de secrets des comptes de service pour le nom d'utilisateur et le mot de passe.
# Utilisateurs
Tous les utilisateurs synchronisés depuis votre Active Directory apparaîtront sur la page Utilisateurs. Les utilisateurs sont synchronisés par l'utilisateur cluster-admin lors de la configuration du produit. Pour plus d'informations sur la configuration utilisateur initiale, consultez le[Guide de configuration](configuration-guide.md).
**Note**
Les administrateurs ne peuvent créer des sessions que pour les utilisateurs actifs. Par défaut, tous les utilisateurs seront inactifs jusqu'à ce qu'ils se connectent à l'environnement du produit. Si un utilisateur est inactif, demandez-lui de se connecter avant de créer une session pour lui.
![\[Utilisateurs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-users.jpg)
Depuis la page **Utilisateurs**, vous pouvez :
1. Recherche des utilisateurs.
1. Lorsqu'un nom d'utilisateur est sélectionné, utilisez le menu **Actions** pour :
1. Définir en tant qu'utilisateur administrateur
1. Désactiver l'utilisateur
# Groupes
Tous les groupes synchronisés depuis Active Directory apparaissent sur la page Groupes. Pour plus d'informations sur la configuration et la gestion des groupes, consultez le[Guide de configuration](configuration-guide.md).
![\[Groupes\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-groups.jpg)
Sur la page **Groupes**, vous pouvez :
1. Recherchez des groupes d'utilisateurs.
1. Lorsqu'un groupe d'utilisateurs est sélectionné, utilisez le menu **Actions** pour activer ou désactiver un groupe.
1. Lorsqu'un groupe d'utilisateurs est sélectionné, vous pouvez développer le volet **Utilisateurs** en bas de l'écran pour afficher les utilisateurs du groupe.
# Projets
Les projets constituent une limite pour les bureaux virtuels, les équipes et les budgets. Lorsque vous créez un projet, vous définissez ses paramètres, tels que le nom, la description et la configuration de l'environnement. Les projets incluent généralement un ou plusieurs environnements, qui peuvent être personnalisés pour répondre aux exigences spécifiques de votre projet, telles que le type et la taille des ressources informatiques, la pile logicielle et la configuration réseau.
**Topics**
+ [Afficher les projets](view-projects.md)
+ [Création d’un projet](create-project.md)
+ [Modifier un projet](edit-project.md)
+ [Désactiver un projet](disable-project.md)
+ [Supprime un projet.](delete-project.md)
+ [Ajouter ou supprimer des balises dans un projet](tag-project.md)
+ [Afficher les systèmes de fichiers associés à un projet](view-project-file-systems.md)
+ [Ajouter un modèle de lancement](project-launch-template.md)
# Afficher les projets
![\[Projets\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projects.jpg)
Le tableau de bord des projets fournit une liste des projets mis à votre disposition. Depuis le tableau de bord des projets, vous pouvez :
1. Vous pouvez utiliser le champ de recherche pour trouver des projets.
1. Lorsqu'un projet est sélectionné, vous pouvez utiliser le menu **Actions** pour :
1. Modifier un projet
1. Activer ou désactiver un projet
1. Mettre à jour les balises du projet
1. Supprime un projet.
1. Vous pouvez choisir **Create Project** pour créer un nouveau projet.
# Création d’un projet
1. Choisissez **Create Project** (Créer un projet).
1. Entrez les détails du projet.
L'ID de projet est une balise de ressource qui peut être utilisée pour suivre la répartition des coûts dans AWS Cost Explorer Service. Pour plus d'informations, consultez la section [Activation des balises de répartition des coûts définies par](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html) l'utilisateur.
**Important**
L'ID du projet ne peut pas être modifié après sa création.
Pour plus d'informations sur **les options avancées**, consultez[Ajouter un modèle de lancement](project-launch-template.md).
1. (Facultatif) Activez les budgets pour le projet. Pour plus d'informations sur les budgets, voir[Surveillance et contrôle des coûts](cost-management.md).
1. Le système de fichiers du répertoire de base peut utiliser le système de fichiers de base partagé (par défaut), EFS, FSx pour le stockage de volumes Lustre, FSx NetApp ONTAP ou EBS.
Le système de fichiers d'accueil partagé, EFS, FSx pour Lustre et FSx NetApp ONTAP peut être partagé entre plusieurs projets et. VDIs Cependant, l'option de stockage en volume EBS exigera que chaque VDI de ce projet possède son propre répertoire de base qui n'est pas partagé entre VDIs d'autres projets. Vous pouvez également intégrer plusieurs volumes à partir d'un seul système de fichiers FSx NetApp ONTAP.
![\[Création d'un nouveau projet avec des configurations de ressources\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-create-new-project.png)
1. Attribuez aux utilisateurs, aux groupes ou aux deux le rôle approprié (« Membre du projet » ou « Propriétaire du projet »). Découvrez [Profils d'autorisations par défaut](permission-matrix.md) les actions que chaque rôle peut entreprendre.
1. Sélectionnez **Soumettre**.
# Modifier un projet
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Modifier le projet**.
1. Entrez vos mises à jour.
Si vous avez l'intention d'activer les budgets, consultez [Surveillance et contrôle des coûts](cost-management.md) pour plus d'informations. Lorsque vous choisissez un budget pour le projet, le chargement des options de la liste déroulante du budget peut prendre quelques secondes. Si vous ne voyez pas le budget que vous venez de créer, cliquez sur le bouton d'actualisation à côté de la liste déroulante.
Pour plus d'informations sur **les options avancées**, consultez[Ajouter un modèle de lancement](project-launch-template.md).
1. Sélectionnez **Soumettre**.
![\[Modifier un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-editproject.png)
# Désactiver un projet
Pour désactiver un projet :
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Désactiver le projet**.
![\[Page de projets affichant les options du menu déroulant des actions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-disable-project1.png)
1. Si un projet est désactivé, toutes les sessions VDI associées à ce projet sont arrêtées. Ces sessions ne peuvent pas être redémarrées tant que le projet est désactivé.
![\[Page des projets indiquant la désactivation réussie de la bannière de projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-disable-project2.png)
# Supprime un projet.
Pour supprimer un projet :
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Supprimer le projet**.
![\[Page de projets affichant les options de liste déroulante des actions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project1.png)
1. Une fenêtre contextuelle de confirmation apparaît. Entrez le nom du projet, puis choisissez **Oui** pour le supprimer.
![\[Fenêtre contextuelle de confirmation des projets\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project-confirm.png)
1. Si un projet est supprimé, toutes les sessions VDI associées à ce projet sont interrompues.
![\[Page des projets sous gestion de l'environnement avec bannière indiquant la suppression réussie du projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project3.png)
# Ajouter ou supprimer des balises dans un projet
Les balises de projet attribueront des balises à toutes les instances créées dans le cadre de ce projet.
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Mettre à jour les balises**.
1. Choisissez **Ajouter des balises** et entrez une valeur pour **Key**.
1. Pour supprimer des balises, choisissez **Supprimer** à côté de la balise que vous souhaitez supprimer.
# Afficher les systèmes de fichiers associés à un projet
Lorsqu'un projet est sélectionné, vous pouvez développer le volet **Systèmes de fichiers** en bas de l'écran pour afficher les systèmes de fichiers associés au projet.
![\[Afficher les systèmes de fichiers associés à un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projectfilesystems.jpg)
# Ajouter un modèle de lancement
Lorsque vous créez ou modifiez un projet, vous pouvez ajouter des modèles de lancement à l'aide des **options avancées** de la configuration du projet. Les modèles de lancement fournissent des configurations supplémentaires, telles que des groupes de sécurité, des politiques IAM et des scripts de lancement pour toutes les instances VDI du projet.
## Ajouter des politiques
Vous pouvez ajouter une politique IAM pour contrôler l'accès VDI pour toutes les instances déployées dans le cadre de votre projet. Pour intégrer une politique, balisez-la avec la paire clé-valeur suivante :
```
res:Resource/vdi-host-policy
```
Pour plus d'informations sur les rôles IAM, consultez la section [Politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
### Ajout de groupes de sécurité
Vous pouvez ajouter un groupe de sécurité pour contrôler les données de sortie et d'entrée pour toutes les instances VDI de votre projet. Pour intégrer un groupe de sécurité, balisez-le avec la paire clé-valeur suivante :
```
res:Resource/vdi-security-group
```
Pour plus d'informations sur les groupes de sécurité, consultez la section [Contrôler le trafic vers vos AWS ressources à l'aide de groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) dans le *guide de l'utilisateur Amazon VPC*.
### Ajouter des scripts de lancement
Vous pouvez ajouter des scripts de lancement qui seront lancés sur toutes les sessions VDI de votre projet. RES prend en charge l'initiation de scripts pour Linux et Windows. Pour lancer le script, vous pouvez choisir l'une des options suivantes :
**Exécuter le script au démarrage du VDI**
Cette option lance le script au début d'une instance VDI avant l'exécution de toute configuration ou installation RES.
**Exécuter le script lorsque le VDI est configuré**
Cette option lance le script une fois les configurations RES terminées.
Les scripts prennent en charge les options suivantes :
| Configuration du script | Exemple |
| --- | --- |
| S3 URI | s3://bucketname/script.sh |
| URL HTTPS | https://sample.samplecontent.com/échantillon |
| Fichier local | fichier :///.sh user/scripts/example |
Tous les scripts personnalisés hébergés sur un compartiment S3 doivent être provisionnés avec la balise suivante :
```
res:EnvironmentName/
```
Pour **Arguments**, fournissez tous les arguments séparés par une virgule.
![\[Exemple de configuration de projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projectconfigexample.png)
Exemples de modèles pour les scripts de lancement.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# Stratégie d'autorisation
Research and Engineering Studio (RES) permet à un utilisateur administratif de créer des profils d'autorisation personnalisés qui accordent aux utilisateurs sélectionnés des autorisations supplémentaires pour gérer le projet auquel ils participent. Chaque projet est fourni avec deux [profils d'autorisation par défaut](permission-matrix.md), « Membre du projet » et « Propriétaire du projet », qui peuvent être personnalisés après le déploiement.
Actuellement, les administrateurs peuvent accorder deux ensembles d'autorisations à l'aide d'un profil d'autorisation :
1. Les autorisations de gestion de projet consistent à « mettre à jour l'adhésion au projet », qui permet à un utilisateur désigné d'ajouter d'autres utilisateurs et groupes à un projet ou de les en retirer, et à « mettre à jour le statut du projet », qui permet à un utilisateur désigné d'activer ou de désactiver un projet.
1. Les autorisations de gestion de session VDI consistent en « Créer une session » qui permet à un utilisateur désigné de créer une session VDI dans son projet, et « Créer/mettre fin à la session d'un autre utilisateur » qui permet à un utilisateur désigné de créer ou de terminer les sessions d'autres utilisateurs au sein d'un projet.
De cette façon, les administrateurs peuvent déléguer des autorisations basées sur des projets à des non-administrateurs de leur environnement.
**Topics**
+ [Autorisations de gestion de projet](permission-profiles-permission-project-management.md)
+ [Autorisations de gestion des sessions VDI](permission-profiles-permission-vdi-sessions.md)
+ [Gestion des profils d'autorisation](permission-profiles-permission-management.md)
+ [Profils d'autorisations par défaut](permission-matrix.md)
+ [Limites de l'environnement](permission-profiles-environment-boundaries.md)
+ [Profils de partage de bureau](permission-profiles-desktop-sharing-profiles.md)
# Autorisations de gestion de projet
**Mettre à jour l'adhésion au projet **
Cette autorisation permet aux utilisateurs non administrateurs qui l'ont accordée d'ajouter et de supprimer des utilisateurs ou des groupes d'un projet. Cela leur permet également de définir le profil d'autorisation et de décider du niveau d'accès pour tous les autres utilisateurs et groupes associés à ce projet.
![\[Fenêtre contextuelle relative aux configurations d'équipe\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-update-project-membership.png)
**Mettre à jour le statut du projet **
Cette autorisation permet aux utilisateurs non administrateurs qui l'ont accordée d'activer ou de désactiver un projet à l'aide du bouton **Actions** de la page **Projets**.
![\[Fenêtre des projets de la console d'administration sous gestion de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-update-project-status.png)
# Autorisations de gestion des sessions VDI
**Créer une session**
Contrôle si un utilisateur est autorisé ou non à lancer sa propre session VDI depuis la page **Mes bureaux virtuels**. Désactivez cette option pour empêcher les utilisateurs non administrateurs de lancer leurs propres sessions VDI. Les utilisateurs peuvent toujours arrêter et terminer leurs propres sessions VDI.
Si un utilisateur non administrateur n'est pas autorisé à créer une session, le bouton **Lancer un nouveau bureau virtuel** sera désactivé pour lui, comme indiqué ici :
![\[le bouton de lancement d'un nouveau bureau virtuel est désactivé pour les utilisateurs non administrateurs non autorisés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**Créer ou mettre fin aux sessions des autres**
Permet aux utilisateurs non administrateurs d'accéder à la page **Sessions** depuis le volet de navigation de gauche. Ces utilisateurs pourront lancer des sessions VDI pour d'autres utilisateurs des projets pour lesquels cette autorisation leur a été accordée.
Si un utilisateur non administrateur est autorisé à lancer des sessions pour d'autres utilisateurs, son volet de navigation de gauche affiche le lien **Sessions sous **Gestion des sessions****, comme indiqué ici :
![\[Fenêtre contextuelle non réservée aux administrateurs pour la gestion des sessions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-link-displayed.png)
Si un utilisateur non administrateur n'est pas autorisé à créer des sessions pour d'autres utilisateurs, son volet de navigation de gauche n'affichera pas la **gestion des sessions**, comme indiqué ici :
![\[le lien de gestion des sessions est masqué aux utilisateurs non administrateurs qui ne sont pas autorisés à créer des sessions pour d'autres\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-hidden-link.png)
# Gestion des profils d'autorisation
En tant qu'administrateur RES, vous pouvez effectuer les actions suivantes pour gérer les profils d'autorisation.
**Lister les profils d'autorisation**
+ Sur la page de console de Research and Engineering Studio, choisissez **Permission policy** dans le volet de navigation de gauche. À partir de cette page, vous pouvez créer, mettre à jour, répertorier, afficher et supprimer des profils d'autorisation.
![\[les administrateurs peuvent répertorier les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/project-roles.png)
**Afficher les profils d'autorisation**
1. Sur la page principale **des profils d'autorisation**, sélectionnez le nom du profil d'autorisation que vous souhaitez consulter. Sur cette page, vous pouvez modifier ou supprimer le profil d'autorisation sélectionné.
![\[les administrateurs peuvent modifier ou supprimer les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-view-1.png)
1. Sélectionnez l'onglet **Projets concernés** pour afficher les projets qui utilisent actuellement le profil d'autorisation.
![\[les administrateurs peuvent consulter les projets concernés par les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-view-2.png)
**Création de profils d'autorisation**
1. Sur la page principale **des profils d'autorisation**, choisissez **Créer un profil** pour créer un profil d'autorisation.
1. Entrez le nom et la description du profil d'autorisation, puis sélectionnez les autorisations à accorder aux utilisateurs ou aux groupes que vous attribuez à ce profil.
![\[les administrateurs peuvent créer des profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-create.png)
**Modifier les profils d'autorisation**
+ Sur la page principale **des profils d'autorisation**, sélectionnez un profil en cliquant sur le cercle à côté de celui-ci, choisissez **Actions**, puis choisissez **Modifier le profil** pour mettre à jour ce profil d'autorisation.
![\[les administrateurs peuvent modifier les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-edit.png)
**Supprimer les profils d'autorisation**
+ Sur la page principale **des profils d'autorisation**, sélectionnez un profil en cliquant sur le cercle situé à côté, choisissez **Actions**, puis sélectionnez **Supprimer le profil**. Vous ne pouvez pas supprimer un profil d'autorisation utilisé par un projet existant.
![\[les administrateurs peuvent supprimer des profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-delete.png)
# Profils d'autorisations par défaut
Chaque projet RES est fourni avec deux profils d'autorisation par défaut que les administrateurs globaux peuvent configurer. (En outre, les administrateurs globaux peuvent créer et modifier de nouveaux profils d'autorisation pour un projet.) Le tableau suivant indique les autorisations autorisées pour les profils d'autorisation par défaut, « Membre du projet » et « Propriétaire du projet ». Les profils d'autorisation, et les autorisations qu'ils accordent pour sélectionner les utilisateurs d'un projet, ne s'appliquent qu'au projet auquel ils appartiennent ; les administrateurs globaux sont des super utilisateurs qui disposent de toutes les autorisations ci-dessous pour tous les projets.
| Permissions | Description | Membre du projet | Propriétaire du projet |
| --- | --- | --- | --- |
| Créer une session | Créez votre propre session. Les utilisateurs peuvent toujours arrêter et terminer leurs propres sessions avec ou sans cette autorisation. | X | X |
| Créer/mettre fin aux sessions des autres | Créez ou mettez fin à la session d'un autre utilisateur au sein d'un projet. | | X |
| Mettre à jour l'adhésion au projet | Mettez à jour les utilisateurs et les groupes associés à un projet. | | X |
| Mettre à jour le statut du projet | Activez ou désactivez un projet. | | X |
# Limites de l'environnement
Les limites de l'environnement permettent aux administrateurs de Research and Engineering Studio (RES) de configurer des autorisations qui s'appliqueront globalement à tous les utilisateurs. Cela inclut les autorisations telles que **le navigateur de fichiers et les autorisations SSH, les** **autorisations de bureau** et les **paramètres avancés du bureau**.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Configuration de l'accès au navigateur de fichiers
Les administrateurs RES peuvent activer ou désactiver **les données d'accès** sous les **autorisations du navigateur de fichiers**. Si **les données d'accès** sont désactivées, les utilisateurs ne verront pas la navigation dans **le navigateur de fichiers** sur leur portail Web et ne pourront pas charger ou télécharger les données jointes à leur système de fichiers global. Lorsque **l'accès aux données** est activé, les utilisateurs ont accès à la navigation **du navigateur de fichiers** sur leur portail Web, ce qui leur permet de télécharger ou de télécharger les données jointes à leur système de fichiers global.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
Lorsque la fonctionnalité **Accès aux données** est activée puis désactivée ultérieurement, les utilisateurs déjà connectés au portail Web ne pourront pas charger ou télécharger des fichiers, même s'ils se trouvent sur la page correspondante. De plus, le menu de navigation disparaît lorsqu'ils actualisent la page.
# Configuration de l'accès SSH
Les administrateurs peuvent activer ou désactiver SSH pour l'environnement RES dans la section **Limites de l'environnement**. L'accès SSH VDIs est facilité par un hôte bastion. Lorsque vous activez cette option, RES déploie un hôte bastion et rend la page des instructions d'accès SSH visible pour les utilisateurs. Lorsque vous désactivez le bouton, RES désactive l'accès SSH, met fin à l'hôte Bastion et supprime la page d'instructions d'accès SSH pour les utilisateurs. Ce bouton est désactivé par défaut.
**Note**
Lorsque RES déploie un hôte bastion, il ajoute une instance Amazon `t3.medium` EC2 à votre compte. AWS Vous êtes responsable de tous les frais associés à cette instance. Consultez la [page de tarification d'Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/) pour plus d'informations.
**Pour activer l'accès SSH**
1. Dans la console RES, dans le volet de navigation de gauche, choisissez **Environment Management**, puis **Permission Policy**. Sous **Limites de l'environnement**, sélectionnez le **bouton d'accès SSH**.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. Attendez que l'accès SSH soit activé.
![\[La bannière consultative apparaît sur la page de politique d'autorisation sous Gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-enable-ssh.png)
1. Une fois l'hôte Bastion ajouté, l'accès SSH est activé.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled.png)
La page des **instructions d'accès SSH** est visible par les utilisateurs depuis le volet de navigation de gauche.
![\[Page d'instructions d'accès SSH présentant les étapes pour Linux et Windows\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**Pour désactiver l'accès SSH**
1. Dans la console RES, dans le volet de navigation de gauche, choisissez **Environment Management**, puis **Permission Policy**. Sous **Limites de l'environnement**, sélectionnez le **bouton d'accès SSH**.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. Attendez que l'accès SSH soit désactivé.
![\[Une bannière indique que l'accès SSH est désactivé sur la page de politique d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-disable-ssh.png)
1. Une fois le processus terminé, l'accès SSH est désactivé.
![\[Page de politique d'autorisation indiquant que l'accès SSH est désactivé\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
# Configuration des autorisations de bureau
Les administrateurs peuvent activer ou désactiver **les autorisations de bureau** pour gérer globalement les fonctionnalités VDI de tous les propriétaires de sessions. Toutes ces autorisations, ou un sous-ensemble, peuvent être utilisées pour créer des **profils de partage de bureau** qui déterminent les actions que les utilisateurs avec lesquels un bureau est partagé peuvent effectuer. Si une autorisation de bureau est désactivée, les autorisations correspondantes seront automatiquement désactivées dans les **profils de partage de bureau**. Ces autorisations seront étiquetées comme « Désactivées globalement ». Même si l'administrateur réactive cette autorisation de bureau, l'autorisation dans le profil de partage de bureau restera désactivée jusqu'à ce que l'administrateur l'active manuellement.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Profils de partage de bureau
Les administrateurs peuvent créer de nouveaux profils et les personnaliser. Ces profils sont accessibles à tous les utilisateurs et sont utilisés lors du partage d'une session avec d'autres utilisateurs. Les autorisations maximales accordées au sein de ces profils ne peuvent pas dépasser les autorisations de bureau autorisées dans le monde entier.
**Créer un profil**
Les administrateurs peuvent choisir **Créer un profil** pour créer un nouveau profil. Ils peuvent ensuite saisir un **nom de profil**, une **description du profil**, définir les autorisations souhaitées et **enregistrer** leurs modifications.
![\[profils de partage de bureau\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/desktop-sharing-profiles.png)
![\[définition du profil et autorisations\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-profile-definition.png)
**Modifier le profil**
**Pour modifier un profil, procédez comme suit :**
1. Sélectionnez le profil souhaité.
1. Choisissez **Actions**, puis sélectionnez **Modifier** pour modifier le profil.
1. Ajustez les autorisations selon vos besoins.
1. Sélectionnez **Enregistrer les modifications**.
Toute modification apportée au profil sera immédiatement appliquée aux sessions ouvertes en cours.
![\[profils de partage de bureau avec testprofile_1 sélectionné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[définition du profil et autorisations pour TestProfile_1\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-profile-definition2.png)
# Systèmes de fichiers
![\[Systèmes de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/home-file-systems.png)
Sur la page Systèmes de fichiers, vous pouvez :
1. Recherchez des systèmes de fichiers.
1. Lorsqu'un système de fichiers est sélectionné, utilisez le menu **Actions** pour :
1. Ajoutez le système de fichiers à un projet.
1. Supprimer le système de fichiers d'un projet
1. Intégrez un nouveau système de fichiers.
1. Lorsqu'un système de fichiers est sélectionné, vous pouvez agrandir le volet en bas de l'écran pour afficher les détails du système de fichiers.
**Topics**
+ [Intégrer un système de fichiers](onboard-file-system.md)
# Intégrer un système de fichiers
**Note**
Pour intégrer correctement un système de fichiers, celui-ci doit partager le même VPC et au moins un de vos sous-réseaux RES. Vous devez également vous assurer que le groupe de sécurité est correctement configuré afin d' VDIs avoir accès au contenu du système de fichiers.
1. Choisissez le **système de fichiers intégré**.
1. Sélectionnez un système de fichiers dans le menu déroulant. Le modal s'étendra avec des entrées détaillées supplémentaires.
![\[Sélectionnez le système de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-selectfilesystem.jpg)
1. Entrez les détails du système de fichiers.
**Note**
Par défaut, les administrateurs et les propriétaires de projets ont la possibilité de choisir un système de fichiers personnel lors de la création d'un nouveau projet, qui ne peut pas être modifié par la suite.
Les systèmes de fichiers destinés à être utilisés comme répertoires de base dans les projets doivent être intégrés en définissant leur chemin de **répertoire de montage sur**. `/home` Cela remplira le système de fichiers intégré dans les options déroulantes du système de fichiers du répertoire de base. Cette fonctionnalité permet de garder les données isolées entre les projets puisque seuls les utilisateurs associés au projet auront accès au système de fichiers via leur VDIs. VDIs montera le système de fichiers au point de montage sélectionné lors de l'intégration d'un système de fichiers.
1. Sélectionnez **Soumettre**.
![\[Sélectionnez le système de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-filesystemdetails.jpg)
## Plusieurs volumes à partir d'un seul système de fichiers ONTAP
RES prend en charge l'intégration de plusieurs volumes à partir d'un seul système de fichiers pour NetApp ONTAP. Cela permet aux administrateurs d'organiser les données sur des volumes distincts au sein du même système de fichiers ONTAP tout en mettant chaque volume indépendamment à la disposition des projets.
Pour intégrer des volumes supplémentaires à partir d'un système de fichiers ONTAP déjà intégré, procédez comme suit :
1. Choisissez le **système de fichiers intégré**.
1. Sélectionnez le même système de fichiers ONTAP dans le menu déroulant.
1. Dans le champ **Volume**, sélectionnez un volume différent du système de fichiers.
1. Spécifiez un **répertoire de montage** unique pour ce volume.
1. Sélectionnez **Soumettre**.
**Note**
Chaque volume du même système de fichiers ONTAP doit être intégré avec un répertoire de montage unique. Les volumes peuvent être assignés indépendamment à différents projets.
# Gestion des instantanés
La gestion des snapshots simplifie le processus de sauvegarde et de migration des données entre les environnements, garantissant ainsi cohérence et précision. Avec les instantanés, vous pouvez enregistrer l'état de votre environnement et migrer les données vers un nouvel environnement ayant le même état.
![\[Page de gestion des snapshots\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-snapshotmanagement.png)
Depuis la page de **gestion des snapshots**, vous pouvez :
1. Affichez tous les instantanés créés et leur statut.
1. Créez un instantané. Avant de créer un instantané, vous devez créer un bucket doté des autorisations appropriées.
1. Affichez tous les instantanés appliqués et leur état.
1. Appliquez un instantané.
**Topics**
+ [Créer un instantané](create-snapshot.md)
+ [Appliquer un instantané](apply-snapshot.md)
# Créer un instantané
Avant de créer un instantané, vous devez fournir à un compartiment Amazon S3 les autorisations nécessaires. Pour en savoir plus sur la création d'un compartiment, consultez [Créer un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Activez la gestion des versions des compartiments et la journalisation des accès au serveur. Ces paramètres peuvent être activés depuis l'onglet **Propriétés** du bucket après le provisionnement.
**Note**
Le cycle de vie de ce compartiment Amazon S3 ne sera pas géré au sein du produit. Vous devrez gérer le cycle de vie du bucket depuis la console.
**Pour ajouter des autorisations au bucket, procédez comme suit :**
1. Sélectionnez le compartiment que vous avez créé dans la liste des **compartiments**.
1. Sélectionnez l'onglet **Autorisations**.
1. Sous **Politique de compartiment**, choisissez **Modifier**.
1. Ajoutez la déclaration suivante à la politique du compartiment. Remplacez les valeurs suivantes par les vôtres :
+ *111122223333*-> votre identifiant AWS de compte
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> le nom de votre environnement RES
+ *amzn-s3-demo-bucket*-> le nom de votre compartiment S3
**Important**
Certaines chaînes de version limitées sont prises en charge par AWS. Pour de plus amples informations, veuillez consulter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Pour créer l'instantané :**
1. Choisissez **Create Snapshot (Créer un instantané)**.
1. Entrez le nom du compartiment Amazon S3 que vous avez créé.
1. Entrez le chemin où vous souhaitez que le cliché soit stocké dans le compartiment. Par exemple, **october2023/23**.
1. Sélectionnez **Soumettre**.
![\[Création d'un nouvel instantané\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-createsnapshot.png)
1. Après cinq à dix minutes, choisissez **Actualiser** sur la page Instantanés pour vérifier l'état. Un instantané ne sera valide que lorsque le statut passera de IN\$1PROGRESS à COMPLETED.
# Appliquer un instantané
Une fois que vous avez créé un instantané d'un environnement, vous pouvez l'appliquer à un nouvel environnement pour faire migrer les données. Vous devrez ajouter une nouvelle politique au compartiment pour permettre à l'environnement de lire l'instantané.
L'application d'un instantané copie des données telles que les autorisations des utilisateurs, les projets, les piles de logiciels, les profils d'autorisation et les systèmes de fichiers avec leurs associations dans un nouvel environnement. Les sessions utilisateur ne seront pas répliquées. Lorsque le cliché est appliqué, il vérifie les informations de base de chaque enregistrement de ressource pour déterminer s'il existe déjà. Pour les enregistrements dupliqués, le snapshot ignore la création de ressources dans le nouvel environnement. Pour les enregistrements similaires, tels que partager un nom ou une clé, mais les autres informations de base sur les ressources varient, il créera un nouvel enregistrement avec un nom et une clé modifiés en utilisant la convention suivante : `RecordName_SnapshotRESVersion_ApplySnapshotID` `ApplySnapshotID`Il ressemble à un horodatage et identifie chaque tentative d'application d'un instantané.
Au cours de l'application de capture instantanée, la capture instantanée vérifie la disponibilité des ressources. La ressource non disponible pour le nouvel environnement ne sera pas créée. Pour les ressources dotées d'une ressource dépendante, le cliché vérifie la disponibilité de la ressource dépendante. Si la ressource dépendante n'est pas disponible, elle créera la ressource principale sans la ressource dépendante.
Si le nouvel environnement ne fonctionne pas comme prévu ou échoue, vous pouvez consulter les CloudWatch journaux trouvés dans le groupe de journaux `/res-/cluster-manager` pour plus de détails. Chaque journal comportera la balise [apply snapshot]. Une fois que vous avez appliqué un instantané, vous pouvez vérifier son statut [Gestion des instantanés](snapshots.md) sur la page.
**Pour ajouter des autorisations au bucket, procédez comme suit :**
1. Sélectionnez le compartiment que vous avez créé dans la liste des **compartiments**.
1. Sélectionnez l'onglet **Autorisations**.
1. Sous **Politique de compartiment**, choisissez **Modifier**.
1. Ajoutez la déclaration suivante à la politique du compartiment. Remplacez les valeurs suivantes par les vôtres :
+ *111122223333*-> votre identifiant AWS de compte
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> le nom de votre environnement RES
+ *amzn-s3-demo-bucket*-> le nom de votre compartiment S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Pour appliquer un instantané, procédez comme suit :**
1. Choisissez **Appliquer un instantané**.
1. Entrez le nom du compartiment Amazon S3 contenant le snapshot.
1. Entrez le chemin du fichier vers le snapshot dans le compartiment.
1. Sélectionnez **Soumettre**.
![\[Appliquer un instantané\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-applysnapshot.png)
1. Après cinq à dix minutes, choisissez **Actualiser** sur la page de gestion des snapshots pour vérifier l'état.
# Compartiments Amazon S3
Research and Engineering Studio (RES) prend en charge le montage de [buckets Amazon S3 sur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) des instances VDI (Virtual Desktop Infrastructure) Linux. **Les administrateurs RES peuvent intégrer des compartiments S3 à RES, les associer à des projets, modifier leur configuration et supprimer des compartiments dans l'onglet Compartiments S3 sous Gestion de l'environnement.**
Le tableau de bord des compartiments S3 fournit une liste des compartiments S3 intégrés mis à votre disposition. Depuis le tableau de bord des compartiments S3, vous pouvez :
1. Utilisez **Ajouter un compartiment** pour intégrer un compartiment S3 à RES.
1. Sélectionnez un compartiment S3 et utilisez le menu **Actions** pour :
+ Modifier un bucket
+ Supprimer un seau
1. Utilisez le champ de recherche pour effectuer une recherche par nom de compartiment et trouver des compartiments S3 intégrés.
![\[La liste des compartiments S3 vous permet d'effectuer une recherche par nom de compartiment et de trouver des compartiments intégrés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-list-bucket.png)
Les sections suivantes décrivent comment gérer les compartiments Amazon S3 dans vos projets RES.
**Topics**
+ [Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés](S3-buckets-prereqs.md)
+ [Ajouter un compartiment Amazon S3](S3-buckets-add.md)
+ [Modifier un compartiment Amazon S3](S3-buckets-edit.md)
+ [Supprimer un compartiment Amazon S3](S3-buckets-remove.md)
+ [Isolation des données](S3-buckets-data-isolation.md)
+ [Accès au bucket entre comptes](S3-buckets-cross-account-access.md)
+ [Empêcher l'exfiltration de données dans un VPC privé](S3-buckets-preventing-exfiltration.md)
+ [Résolution des problèmes](S3-buckets-troubleshooting.md)
+ [Activant CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés
Si vous déployez Research and Engineering Studio dans un VPC isolé, suivez ces étapes pour mettre à jour les paramètres de configuration Lambda après avoir déployé RES dans votre compte. AWS
1. Connectez-vous à la console Lambda du AWS compte sur lequel Research and Engineering Studio est déployé.
1. Recherchez et naviguez jusqu'à la fonction Lambda nommée. `-vdc-custom-credential-broker-lambda`
1. Sélectionnez l'onglet **Configuration** de la fonction.
![\[variable d'environnement VPC isolée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Dans le volet de navigation, choisissez **Variables d'environnement** pour afficher cette section.
1. Choisissez **Modifier** et ajoutez la nouvelle variable d'environnement suivante à la fonction :
+ Clé : `AWS_STS_REGIONAL_ENDPOINTS`
+ Valeur : `regional`
1. Choisissez **Enregistrer**.
# Ajouter un compartiment Amazon S3
**Pour ajouter un compartiment S3 à votre environnement RES :**
1. Choisissez **Add bucket (Ajouter un compartiment)**.
1. Entrez les détails du bucket tels que le nom du bucket, l'ARN et le point de montage.
**Important**
L'ARN du bucket, le point de montage et le mode fournis ne peuvent pas être modifiés après la création.
L'ARN du bucket peut contenir un préfixe qui isolera le bucket S3 intégré par rapport à ce préfixe.
1. Sélectionnez le mode dans lequel vous souhaitez embarquer votre bucket.
**Important**
Voir [Isolation des données](S3-buckets-data-isolation.md) pour plus d'informations sur l'isolation des données avec des modes spécifiques.
1. Sous **Options avancées**, vous pouvez fournir un ARN de rôle IAM pour monter les buckets pour l'accès entre comptes. Suivez les étapes décrites [Accès au bucket entre comptes](S3-buckets-cross-account-access.md) pour créer le rôle IAM requis pour l'accès entre comptes.
1. (Facultatif) Associez le bucket à des projets, qui peuvent être modifiés ultérieurement. Toutefois, un compartiment S3 ne peut pas être monté sur les sessions VDI existantes d'un projet. Seules les sessions lancées une fois que le projet a été associé au bucket monteront le bucket.
1. Sélectionnez **Soumettre**.
![\[Ajouter une page de bucket indiquant les champs de configuration de bucket disponibles et le bouton d'envoi\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-add-bucket.png)
# Modifier un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Modifier**.
1. Entrez vos mises à jour.
**Important**
L'association d'un projet à un compartiment S3 **ne montera pas** le compartiment sur les instances d'infrastructure de bureau virtuel (VDI) existantes de ce projet. Le bucket ne sera monté sur les sessions VDI lancées dans un projet qu'une fois le bucket associé à ce projet.
La dissociation d'un projet d'un compartiment S3 n'aura aucun impact sur les données contenues dans le compartiment S3, mais les utilisateurs d'ordinateurs de bureau perdront l'accès à ces données.
1. Choisissez **Enregistrer la configuration du bucket**.
![\[La page Modifier le compartiment S3 avec les champs de nom d'affichage et d'association de projet saisis et le bouton Enregistrer la configuration du compartiment surligné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-edit-bucket.png)
# Supprimer un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Supprimer**.
**Important**
Vous devez d'abord supprimer toutes les associations de projets du compartiment.
L'opération de suppression n'a aucun impact sur les données du compartiment S3. Il supprime uniquement l'association du compartiment S3 avec RES.
La suppression d'un compartiment entraîne la perte de l'accès des sessions VDI existantes au contenu de ce compartiment à l'expiration des informations d'identification de cette session (environ 1 heure).
# Isolation des données
Lorsque vous ajoutez un compartiment S3 à RES, vous avez la possibilité d'isoler les données qu'il contient pour des projets et des utilisateurs spécifiques. Sur la page **Ajouter un compartiment**, vous pouvez sélectionner un mode Read Only (R) ou Read and Write (R/W).
**Lecture seule**
Si `Read Only (R)` cette option est sélectionnée, l'isolation des données est appliquée en fonction du préfixe de l'ARN du bucket (Amazon Resource Name). Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name/example-data/` et associe ce bucket au projet A et au projet B, les utilisateurs qui lancent VDIs depuis le projet A et le projet B ne peuvent lire que les données situées `bucket-name` sous le chemin`/example-data`. Ils n'auront pas accès aux données en dehors de ce chemin. Si aucun préfixe n'est ajouté à l'ARN du bucket, l'intégralité du bucket sera mise à la disposition de tous les projets qui lui sont associés.
**Lisez et écrivez**
Si `Read and Write (R/W)` cette option est sélectionnée, l'isolation des données est toujours appliquée en fonction du préfixe de l'ARN du bucket, comme décrit ci-dessus. Ce mode comporte des options supplémentaires permettant aux administrateurs de fournir un préfixe basé sur des variables pour le compartiment S3. Lorsque cette option `Read and Write (R/W)` est sélectionnée, une section Préfixe personnalisé devient disponible et propose un menu déroulant avec les options suivantes :
+ Aucun préfixe personnalisé
+ /%p
+ /%p/%u
![\[Ajouter une page de bucket avec la liste déroulante des préfixes personnalisés affichée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/add-bucket-custom-prefix.png)
**Aucune isolation personnalisée des données **
Lorsque `No custom prefix` le **préfixe personnalisé** est sélectionné, le bucket est ajouté sans aucune isolation de données personnalisée. Cela permet à tous les projets associés au bucket d'avoir un accès en lecture et en écriture. Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name` avec `No custom prefix` selected et associe ce bucket aux projets A et B, les utilisateurs qui le lancent VDIs depuis le projet A et le projet B auront un accès illimité en lecture et en écriture au bucket.
**Isolation des données au niveau du projet **
Lorsque `/%p` le **préfixe personnalisé est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique qui lui est associé. La `%p` variable représente le code du projet. Par exemple, si un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` avec `/%p` selected et un **point de montage** de*/bucket*, et qu'il associe ce bucket aux projets A et B, l'utilisateur A du projet A peut y écrire un fichier*/bucket*. L'utilisateur B du projet A peut également voir le fichier dans lequel l'utilisateur A a écrit*/bucket*. Toutefois, si l'utilisateur B lance un VDI dans le projet B et y jette un */bucket* œil, il ne verra pas le fichier écrit par l'utilisateur A, car les données sont isolées par projet. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA` tandis que l'utilisateur B ne peut y accéder que `/ProjectB` s'il utilise le fichier VDIs depuis le projet B.
**Isolation des données au niveau du projet et de l'utilisateur **
Lorsque le **préfixe personnalisé `/%p/%u` est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique et pour chaque utilisateur associé à ce projet. La `%p` variable représente le code du projet et `%u` le nom d'utilisateur. Par exemple, un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` dont le point de montage est `/%p/%u` sélectionné et le point de montage est égal à*/bucket*. Ce compartiment est associé au projet A et au projet B. L'utilisateur A du projet A peut y écrire un fichier*/bucket*. Contrairement au scénario précédent avec uniquement `%p` l'isolation, l'utilisateur B ne verra pas dans ce cas le fichier écrit par l'utilisateur A dans le projet A*/bucket*, car les données sont isolées à la fois par le projet et par l'utilisateur. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA/UserA` tandis que l'utilisateur B ne peut y accéder que `/ProjectA/UserB` s'il l'utilise VDIs dans le projet A.
# Accès au bucket entre comptes
RES est capable de monter des buckets à partir d'autres AWS comptes, à condition que ces buckets disposent des autorisations appropriées. Dans le scénario suivant, un environnement RES du compte A souhaite monter un compartiment S3 dans le compte B.
**Étape 1 : Créez un rôle IAM dans le compte dans lequel RES est déployé *(ce rôle sera appelé compte A)* :**
1. Connectez-vous à la console AWS de gestion du compte RES qui doit accéder au compartiment S3 (compte A).
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Créez une politique :
1. Choisissez **Create Policy** (Créer une politique).
1. Sélectionnez l’onglet **JSON**.
1. Collez la politique JSON suivante (`amzn-s3-demo-bucket`remplacez-la par le nom du compartiment S3 situé dans le compte B) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Suivant**.
1. Passez en revue et créez la politique :
1. Donnez un nom à la politique (par exemple, AccessPolicy « S3 »).
1. Ajoutez une description facultative pour expliquer l'objectif de la politique.
1. Passez en revue la politique et choisissez **Créer une politique**.
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Créez un rôle :
1. Choisissez **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée** comme type d'entité de confiance.
1. Collez la politique JSON suivante (`111122223333`remplacez-la par l'ID de compte réel du compte A et `{RES_ENVIRONMENT_NAME}` par le nom d'environnement du déploiement RES) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Joindre des politiques d'autorisation :
1. Recherchez et sélectionnez la politique que vous avez créée précédemment.
1. Choisissez **Suivant**.
1. Marquez, révisez et créez le rôle :
1. Entrez un nom de rôle (par exemple, AccessRole « S3 »).
1. À l'étape 3, choisissez **Ajouter une étiquette**, puis entrez la clé et la valeur suivantes :
+ Clé : `res:Resource`
+ Valeur : `s3-bucket-iam-role`
1. Passez en revue le rôle et choisissez **Créer un rôle**.
1. Utilisez le rôle IAM dans RES :
1. Copiez l'ARN du rôle IAM que vous avez créé.
1. Connectez-vous à la console RES.
1. Dans le volet de navigation de gauche, choisissez **S3 Bucket**.
1. Choisissez **Ajouter un compartiment** et remplissez le formulaire avec l'ARN du compartiment S3 multi-comptes.
1. Choisissez le menu déroulant **Paramètres avancés - facultatif**.
1. Entrez l'ARN du rôle dans le champ ARN du rôle IAM.
1. Choisissez **Ajouter un compartiment**.
**Étape 2 : Modifier la politique de compartiment dans le compte B**
1. Connectez-vous à la console AWS de gestion du compte B.
1. Ouvrez la console S3 :
1. Accédez au tableau de bord S3.
1. Sélectionnez le bucket auquel vous souhaitez accorder l'accès.
1. Modifiez la politique relative aux compartiments :
1. Sélectionnez l'onglet **Permissions**, puis choisissez **Bucket policy**.
1. Ajoutez la politique suivante pour accorder au rôle IAM depuis le compte A l'accès au compartiment (remplacez-le *111122223333* par l'ID de compte réel du compte A et *amzn-s3-demo-bucket* par le nom du compartiment S3) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Enregistrer**.
# Empêcher l'exfiltration de données dans un VPC privé
Pour empêcher les utilisateurs d'exfiltrer les données des compartiments S3 sécurisés vers leurs propres compartiments S3 de leur compte, vous pouvez associer un point de terminaison VPC pour sécuriser votre VPC privé. Les étapes suivantes montrent comment créer un point de terminaison VPC pour le service S3 qui prend en charge l'accès aux compartiments S3 au sein de votre compte, ainsi qu'à tout compte supplémentaire doté de compartiments multicomptes.
1. Ouvrez la console Amazon VPC :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console Amazon VPC à l'adresse. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Créez un point de terminaison VPC pour S3 :
1. Dans le panneau de navigation de gauche, sélectionnez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. Pour **Catégorie de service**, assurez-vous que l’option **services AWS ** est sélectionnée.
1. Dans le champ **Nom du service**, entrez `com.amazonaws..s3` (remplacez `` par votre AWS région) ou recherchez « S3 ».
1. Sélectionnez le service S3 dans la liste.
1. Configurer les paramètres du point de terminaison :
1. Pour le **VPC**, sélectionnez le VPC dans lequel vous souhaitez créer le point de terminaison.
1. Pour les **sous-réseaux**, sélectionnez les deux sous-réseaux privés utilisés pour les sous-réseaux VDI lors du déploiement.
1. Pour **Activer le nom DNS**, assurez-vous que l'option est cochée. Cela permet de résoudre le nom d'hôte DNS privé sur les interfaces réseau des terminaux.
1. Configurez la politique pour restreindre l'accès :
1. Sous **Politique**, sélectionnez **Personnaliser**.
1. Dans l'éditeur de règles, entrez une politique qui restreint l'accès aux ressources de votre compte ou d'un compte spécifique. Voici un exemple de politique (remplacez-le *amzn-s3-demo-bucket* par le nom de votre compartiment S3 *111122223333* et *444455556666* par le AWS compte approprié IDs auquel vous souhaitez avoir accès) :
**Note**
Cet exemple de politique utilise `s3:*` et ne limite pas les opérations du plan de contrôle S3 telles que la configuration des notifications d'événements, la réplication ou l'inventaire. Ces opérations peuvent permettre l'envoi de métadonnées d'objets (telles que les noms de compartiment et les clés d'objet) vers des destinations multicomptes. Si cela vous pose problème, ajoutez des instructions Deny explicites pour les actions pertinentes du plan de contrôle S3 dans la politique de point de terminaison du VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Créez le point de terminaison :
1. Vérifiez vos paramètres.
1. Choisissez **Créer un point de terminaison**.
1. Vérifiez le point de terminaison :
1. Une fois le point de terminaison créé, accédez à la section **Points de terminaison** de la console VPC.
1. Sélectionnez le point de terminaison nouvellement créé.
1. Vérifiez que l'**état** est **disponible**.
En suivant ces étapes, vous créez un point de terminaison VPC qui autorise un accès S3 limité aux ressources de votre compte ou à un ID de compte spécifié.
# Résolution des problèmes
**Comment vérifier si un bucket ne parvient pas à être monté sur un VDI**
Si un bucket ne parvient pas à être monté sur un VDI, vous pouvez vérifier les erreurs à certains endroits. Suivez les étapes ci-dessous.
1. Vérifiez les journaux VDI :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console EC2 et accédez à **Instances**.
1. Sélectionnez l'instance VDI que vous avez lancée.
1. Connectez-vous au VDI via le gestionnaire de session.
1. Exécutez les commandes suivantes :
```
sudo su
cd ~/bootstrap/logs
```
Vous trouverez ici les journaux de bootstrap. Les détails de toute défaillance figureront dans le `configure.log.{time}` fichier.
Consultez également le `/etc/message` journal pour plus de détails.
1. Vérifiez les journaux CloudWatch Lambda de Custom Credential Broker :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant les problèmes potentiels liés à la fourniture d'informations d'identification personnalisées temporaires pour le montage de compartiments S3.
1. Vérifiez les CloudWatch journaux personnalisés de Credential Broker API Gateway :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant toutes les demandes et réponses adressées à l'API Gateway concernant les informations d'identification personnalisées nécessaires au montage des compartiments S3.
**Comment modifier la configuration du rôle IAM d'un bucket après l'intégration**
1. Connectez-vous à la console [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Sélectionnez le tableau :
1. Dans le volet de navigation de gauche, choisissez **Tables**.
1. Recherchez et sélectionnez`.cluster-settings`.
1. Scannez le tableau :
1. Sélectionnez **Explorer les éléments de table**.
1. Assurez-vous que **Scan** est sélectionné.
1. Ajoutez un filtre :
1. Choisissez **Filtres** pour ouvrir la section de saisie des filtres.
1. Réglez le filtre pour qu'il corresponde à votre clé-
+ **Attribut** : Entrez la clé.
+ **État** : Sélectionnez **Commence par**.
+ **Valeur** : entrez « `shared-storage..s3_bucket.iam_role_arn` remplacement ** » par la valeur du système de fichiers à modifier.
1. Exécutez le scan :
Choisissez **Exécuter** pour exécuter le scan avec le filtre.
1. Vérifiez la valeur :
Si l'entrée existe, assurez-vous que la valeur est correctement définie avec le bon ARN du rôle IAM.
Si l'entrée n'existe pas :
1. Choisissez **Créer un élément**.
1. Entrez les détails de l'article :
+ Pour l'attribut clé, entrez`shared-storage..s3_bucket.iam_role_arn`.
+ Ajoutez le bon ARN du rôle IAM.
1. Choisissez **Enregistrer** pour ajouter l'article.
1. Redémarrez les instances VDI :
Redémarrez l'instance pour vous assurer VDIs que les ARN affectés par le rôle IAM incorrect sont à nouveau montés.
# Activant CloudTrail
Pour l'activer CloudTrail dans votre compte à l'aide de la CloudTrail console, suivez les instructions fournies dans la [section Création d'un historique avec la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*. CloudTrail enregistrera l'accès aux compartiments S3 en enregistrant le rôle IAM qui y a accédé. Cela peut être lié à un ID d'instance, qui est lié à un projet ou à un utilisateur.