Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen lingkungan
Dari bagian manajemen Lingkungan Studio Penelitian dan Teknik, pengguna administratif dapat membuat dan mengelola lingkungan yang terisolasi untuk proyek penelitian dan rekayasa mereka. Lingkungan ini dapat mencakup sumber daya komputasi, penyimpanan, dan komponen lain yang diperlukan, semuanya dalam lingkungan yang aman. Pengguna dapat mengonfigurasi dan menyesuaikan lingkungan ini untuk memenuhi persyaratan spesifik proyek mereka, sehingga lebih mudah untuk bereksperimen, menguji, dan mengulangi solusi mereka tanpa memengaruhi proyek atau lingkungan lain.
**Topics**
+ [Status lingkungan](environment-status.md)
+ [Pengaturan lingkungan](environment-settings.md)
+ [Pengguna](users.md)
+ [Grup](groups.md)
+ [Proyek](projects.md)
+ [Kebijakan izin](permission-profiles.md)
+ [Sistem File](file-system.md)
+ [Manajemen snapshot](snapshots.md)
+ [Bucket Amazon S3](S3-buckets.md)
# Status lingkungan
Halaman **Status Lingkungan** menampilkan perangkat lunak dan host yang digunakan dalam produk. Ini mencakup informasi seperti versi perangkat lunak, nama modul, dan informasi sistem lainnya.
![\[Halaman status lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-environmentstatus.jpg)
# Pengaturan lingkungan
Halaman **pengaturan Lingkungan** menampilkan detail konfigurasi produk, seperti:
+ Umum
Anda dapat mengedit judul dan subtitle portal web, dan menambahkan tautan khusus ke halaman login portal web. Untuk mengonfigurasi tautan khusus:
1. Arahkan ke **Manajemen Lingkungan** > **Pengaturan Lingkungan**.
1. Di bawah tab **Umum**, pilih **Edit**.
1. Di bagian **Custom Links**, pilih **Add Link**.
1. Masukkan **Judul** dan **URL** untuk setiap tautan yang ingin Anda tampilkan di halaman login.
1. Pilih **Kirim** untuk menyimpan perubahan Anda.
Tautan khusus muncul di halaman login portal web, memungkinkan administrator mengarahkan pengguna ke sumber daya seperti dokumentasi internal, halaman dukungan, atau kebijakan penggunaan yang dapat diterima.
![\[Konfigurasi tautan khusus di Pengaturan Lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/web-links-edit-form.png)
+ Penyedia Identitas
Menampilkan informasi seperti status Single Sign-On.
+ Jaringan
Menampilkan ID VPC, daftar IDs Awalan untuk akses.
+ Directory Service
Menampilkan pengaturan direktori aktif dan manajer rahasia akun layanan ARN untuk nama pengguna dan kata sandi.
# Pengguna
Semua pengguna yang disinkronkan dari direktori aktif Anda akan muncul di halaman Pengguna. Pengguna disinkronkan oleh pengguna cluster-admin selama konfigurasi produk. Untuk informasi selengkapnya tentang konfigurasi pengguna awal, lihat[Panduan konfigurasi](configuration-guide.md).
**catatan**
Administrator hanya dapat membuat sesi untuk pengguna aktif. Secara default, semua pengguna akan berada dalam keadaan tidak aktif hingga mereka masuk ke lingkungan produk. Jika pengguna tidak aktif, minta mereka untuk masuk sebelum membuat sesi untuk mereka.
![\[Pengguna\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-users.jpg)
Dari halaman **Pengguna**, Anda dapat:
1. Cari pengguna.
1. Saat nama pengguna dipilih, gunakan menu **Tindakan** untuk:
1. Tetapkan sebagai pengguna Admin
1. Nonaktifkan pengguna
# Grup
Semua Grup yang disinkronkan dari direktori aktif muncul di halaman Grup. Untuk informasi selengkapnya tentang konfigurasi dan manajemen grup, lihat[Panduan konfigurasi](configuration-guide.md).
![\[Grup\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-groups.jpg)
Dari halaman **Grup**, Anda dapat:
1. Cari grup pengguna.
1. Saat grup pengguna dipilih, gunakan menu **Tindakan** untuk menonaktifkan atau mengaktifkan grup.
1. Saat grup pengguna dipilih, Anda dapat memperluas panel **Pengguna** di bagian bawah layar untuk melihat pengguna dalam grup.
# Proyek
Proyek membentuk batas untuk desktop virtual, tim, dan anggaran. Saat Anda membuat proyek, Anda menentukan pengaturannya, seperti nama, deskripsi, dan konfigurasi lingkungan. Proyek biasanya mencakup satu atau lebih lingkungan, yang dapat disesuaikan untuk memenuhi persyaratan spesifik proyek Anda, seperti jenis dan ukuran sumber daya komputasi, tumpukan perangkat lunak, dan konfigurasi jaringan.
**Topics**
+ [Lihat proyek](view-projects.md)
+ [Membuat proyek](create-project.md)
+ [Mengedit proyek](edit-project.md)
+ [Nonaktifkan proyek](disable-project.md)
+ [Hapus proyek](delete-project.md)
+ [Menambahkan atau menghapus tag dari proyek](tag-project.md)
+ [Lihat sistem file yang terkait dengan proyek](view-project-file-systems.md)
+ [Tambahkan template peluncuran](project-launch-template.md)
# Lihat proyek
![\[Proyek\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-projects.jpg)
Dasbor Proyek menyediakan daftar proyek yang tersedia untuk Anda. Dari dasbor Proyek, Anda dapat:
1. Anda dapat menggunakan bidang pencarian untuk menemukan proyek.
1. Saat proyek dipilih, Anda dapat menggunakan menu **Tindakan** untuk:
1. Mengedit proyek
1. Nonaktifkan atau aktifkan proyek
1. Perbarui tag proyek
1. Hapus proyek
1. Anda dapat memilih **Create Project** untuk membuat proyek baru.
# Membuat proyek
1. Pilih **Buat Proyek**.
1. Masukkan detail proyek.
Project ID adalah tag sumber daya yang dapat digunakan untuk melacak alokasi biaya. AWS Cost Explorer Service Untuk informasi selengkapnya, lihat [Mengaktifkan tag alokasi biaya yang ditentukan pengguna](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html).
**penting**
ID proyek tidak dapat diubah setelah pembuatan.
Untuk informasi tentang **Opsi Lanjutan**, lihat[Tambahkan template peluncuran](project-launch-template.md).
1. (Opsional) Aktifkan anggaran untuk proyek. Untuk informasi lebih lanjut tentang anggaran, lihat[Pemantauan dan pengendalian biaya](cost-management.md).
1. Sistem file direktori home dapat menggunakan Shared Home Filesystem (default), EFS, FSx untuk penyimpanan volume Lustre, ONTAP, atau EBS. FSx NetApp
Sistem file rumah bersama, EFS, FSx untuk Lustre, dan FSx NetApp ONTAP dapat dibagikan di beberapa proyek dan. VDIs Namun, opsi penyimpanan volume EBS akan mengharuskan setiap VDI dalam proyek itu untuk memiliki direktori home mereka sendiri yang tidak dibagi antara proyek lain VDIs atau proyek. Anda juga dapat melakukan onboard beberapa volume dari satu sistem file FSx NetApp ONTAP.
![\[Buat proyek baru dengan konfigurasi sumber daya\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-create-new-project.png)
1. Tetapkan pengguna, grup, atau kedua peran yang sesuai (“Anggota Proyek” atau “Pemilik Proyek”). Lihat [Profil izin default](permission-matrix.md) tindakan yang dapat diambil setiap peran.
1. Pilih **Kirim**.
# Mengedit proyek
1. Pilih proyek dalam daftar proyek.
1. Dari menu **Tindakan**, pilih **Edit Proyek**.
1. Masukkan pembaruan Anda.
Jika Anda ingin mengaktifkan anggaran, lihat [Pemantauan dan pengendalian biaya](cost-management.md) untuk informasi selengkapnya. Ketika Anda memilih anggaran untuk proyek, mungkin ada penundaan beberapa detik untuk opsi dropdown anggaran untuk dimuat— jika Anda tidak melihat anggaran yang baru saja Anda buat, pilih tombol refresh di sebelah dropdown.
Untuk informasi tentang **Opsi Lanjutan**, lihat[Tambahkan template peluncuran](project-launch-template.md).
1. Pilih **Kirim**.
![\[Mengedit proyek\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-editproject.png)
# Nonaktifkan proyek
Untuk menonaktifkan proyek:
1. Pilih proyek dalam daftar proyek.
1. Dari menu **Tindakan**, pilih **Nonaktifkan Proyek**.
![\[Halaman proyek yang menampilkan opsi dropdown menu tindakan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-disable-project1.png)
1. Jika proyek dinonaktifkan, semua sesi VDI yang terkait dengan proyek tersebut dihentikan. Sesi tersebut tidak dapat dimulai ulang saat proyek dinonaktifkan.
![\[Halaman proyek yang menunjukkan spanduk proyek nonaktifkan yang berhasil\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-disable-project2.png)
# Hapus proyek
Untuk menghapus proyek:
1. Pilih proyek dalam daftar proyek.
1. Dari menu **Tindakan**, pilih **Hapus Proyek**.
![\[Halaman proyek yang menampilkan tindakan opsi dropdown\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-delete-project1.png)
1. Muncul pop-up konfirmasi. Masukkan nama proyek, lalu pilih **Ya** untuk menghapusnya.
![\[Hapus pop-up konfirmasi proyek\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-delete-project-confirm.png)
1. Jika proyek dihapus, semua sesi VDI yang terkait dengan proyek tersebut akan dihentikan.
![\[Halaman proyek di bawah manajemen lingkungan dengan spanduk yang menunjukkan penghapusan proyek yang berhasil\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-delete-project3.png)
# Menambahkan atau menghapus tag dari proyek
Tag proyek akan menetapkan tag ke semua instance yang dibuat di bawah proyek itu.
1. Pilih proyek dalam daftar proyek.
1. Dari menu **Tindakan**, pilih **Perbarui Tag**.
1. Pilih **Tambahkan Tag** dan masukkan nilai untuk **Kunci**.
1. Untuk menghapus tag, pilih **Hapus** di samping tag yang ingin Anda hapus.
# Lihat sistem file yang terkait dengan proyek
Ketika proyek dipilih, Anda dapat memperluas panel **Sistem File** di bagian bawah layar untuk melihat sistem file yang terkait dengan proyek.
![\[Lihat sistem file yang terkait dengan proyek\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-projectfilesystems.jpg)
# Tambahkan template peluncuran
Saat membuat atau mengedit proyek, Anda dapat menambahkan templat peluncuran menggunakan **Opsi Lanjutan** dalam konfigurasi proyek. Template peluncuran menyediakan konfigurasi tambahan, seperti grup keamanan, kebijakan IAM, dan skrip peluncuran ke semua instance VDI dalam proyek.
## Tambahkan kebijakan
Anda dapat menambahkan kebijakan IAM untuk mengontrol akses VDI untuk semua instance yang diterapkan di proyek Anda. Untuk melakukan onboard kebijakan, beri tag kebijakan dengan pasangan nilai kunci berikut:
```
res:Resource/vdi-host-policy
```
Untuk informasi selengkapnya tentang peran IAM, lihat [Kebijakan dan izin di](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) IAM.
### Tambahkan grup keamanan
Anda dapat menambahkan grup keamanan untuk mengontrol data keluar dan masuk untuk semua instans VDI di bawah proyek Anda. Untuk onboard grup keamanan, beri tag grup keamanan dengan pasangan kunci-nilai berikut:
```
res:Resource/vdi-security-group
```
Untuk informasi selengkapnya tentang grup keamanan, lihat [Mengontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) di *Panduan Pengguna Amazon VPC*.
### Tambahkan skrip peluncuran
Anda dapat menambahkan skrip peluncuran yang akan dimulai pada semua sesi VDI dalam proyek Anda. RES mendukung inisiasi skrip untuk Linux dan Windows. Untuk inisiasi skrip, Anda dapat memilih:
**Jalankan Script Saat VDI Dimulai**
Opsi ini memulai skrip di awal instance VDI sebelum konfigurasi atau instalasi RES dijalankan.
**Jalankan Script saat VDI Dikonfigurasi**
Opsi ini memulai skrip setelah konfigurasi RES selesai.
Skrip mendukung opsi berikut:
| Konfigurasi skrip | Contoh |
| --- | --- |
| URI S3 | s3://bucketname/script.sh |
| URL HTTPS | https://sample.samplecontent.com/sampel |
| File lokal | berkas:///.sh user/scripts/example |
Semua skrip kustom yang di-host pada bucket S3 perlu disediakan dengan tag berikut:
```
res:EnvironmentName/
```
Untuk **Argumen**, berikan argumen apa pun yang dipisahkan dengan koma.
![\[Contoh konfigurasi proyek\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-projectconfigexample.png)
Contoh template untuk skrip peluncuran.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# Kebijakan izin
Research and Engineering Studio (RES) memungkinkan pengguna administratif untuk membuat profil izin khusus yang memberikan izin tambahan kepada pengguna terpilih untuk mengelola proyek yang menjadi bagiannya. Setiap proyek dilengkapi dengan dua [profil izin default](permission-matrix.md) - “Anggota Proyek” dan “Pemilik Proyek” yang dapat disesuaikan setelah penerapan.
Saat ini, administrator dapat memberikan dua koleksi izin menggunakan profil izin:
1. Izin manajemen proyek yang terdiri dari “Perbarui keanggotaan proyek” yang memungkinkan pengguna yang ditunjuk untuk menambahkan pengguna dan grup lain ke, atau menghapusnya dari, proyek, dan “Perbarui status proyek” yang memungkinkan pengguna yang ditunjuk untuk mengaktifkan atau menonaktifkan proyek.
1. Izin manajemen sesi VDI yang terdiri dari “Buat Sesi” yang memungkinkan pengguna yang ditunjuk untuk membuat sesi VDI dalam proyek mereka, dan “Buat/Hentikan sesi pengguna lain” yang memungkinkan pengguna yang ditunjuk untuk membuat atau mengakhiri sesi pengguna lain dalam sebuah proyek.
Dengan cara ini, administrator dapat mendelegasikan izin berbasis proyek ke non-administrator di lingkungan mereka.
**Topics**
+ [Izin manajemen proyek](permission-profiles-permission-project-management.md)
+ [Izin manajemen sesi VDI](permission-profiles-permission-vdi-sessions.md)
+ [Mengelola profil izin](permission-profiles-permission-management.md)
+ [Profil izin default](permission-matrix.md)
+ [Batas lingkungan](permission-profiles-environment-boundaries.md)
+ [Profil berbagi desktop](permission-profiles-desktop-sharing-profiles.md)
# Izin manajemen proyek
**Perbarui keanggotaan proyek **
Izin ini memungkinkan pengguna non-admin yang telah diberikan untuk menambah dan menghapus pengguna atau grup dari proyek. Ini juga memungkinkan mereka untuk mengatur profil izin dan memutuskan tingkat akses untuk semua pengguna dan grup lain untuk proyek itu.
![\[Jendela pop-out konfigurasi tim\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-update-project-membership.png)
**Perbarui status proyek **
Izin ini memungkinkan pengguna non-admin yang telah diberikan untuk mengaktifkan atau menonaktifkan proyek menggunakan tombol **Tindakan** pada halaman **Proyek**.
![\[Jendela proyek konsol admin di bawah manajemen lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-update-project-status.png)
# Izin manajemen sesi VDI
**Buat sesi**
Mengontrol apakah pengguna diizinkan untuk meluncurkan sesi VDI mereka sendiri dari halaman **Desktop Virtual Saya** atau tidak. Nonaktifkan ini untuk menolak pengguna non-admin kemampuan untuk meluncurkan sesi VDI mereka sendiri. Pengguna selalu dapat menghentikan dan mengakhiri sesi VDI mereka sendiri.
Jika pengguna non-admin tidak memiliki izin untuk membuat sesi, tombol **Luncurkan Desktop Virtual Baru** akan dinonaktifkan untuk mereka seperti yang ditunjukkan di sini:
![\[pengguna non-admin tanpa izin memiliki tombol desktop virtual baru yang diluncurkan dinonaktifkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**Membuat atau Mengakhiri sesi orang lain**
Memungkinkan pengguna non-admin mengakses halaman **Sesi** dari panel navigasi sebelah kiri. Pengguna ini akan dapat meluncurkan sesi VDI untuk pengguna lain dalam proyek di mana mereka telah diberikan izin ini.
Jika pengguna non-admin memiliki izin untuk meluncurkan sesi untuk pengguna lain, panel navigasi sebelah kiri mereka akan menampilkan tautan **Sesi di bawah Manajemen Sesi** **seperti yang ditunjukkan di sini**:
![\[Jendela pop-out non-admin untuk manajemen sesi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-nonadmin-link-displayed.png)
Jika pengguna non-admin tidak memiliki izin untuk membuat sesi untuk orang lain, panel navigasi sebelah kiri mereka tidak akan menampilkan **Manajemen Sesi** seperti yang ditunjukkan di sini:
![\[tautan manajemen sesi disembunyikan dari pengguna non-admin tanpa izin untuk membuat sesi untuk orang lain\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-nonadmin-hidden-link.png)
# Mengelola profil izin
Sebagai administrator RES, Anda dapat melakukan tindakan berikut untuk mengelola profil izin.
**Daftar profil izin**
+ Dari halaman konsol Studio Penelitian dan Rekayasa, pilih **Kebijakan izin** di panel navigasi sebelah kiri. Dari halaman ini Anda dapat membuat, memperbarui, membuat daftar, melihat, dan menghapus profil izin.
![\[administrator dapat mencantumkan profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/project-roles.png)
**Lihat profil izin**
1. Pada halaman **Profil Izin** utama, pilih nama profil izin yang ingin Anda lihat. Dari halaman ini Anda dapat mengedit atau menghapus profil izin yang dipilih.
![\[administrator dapat mengedit atau menghapus profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-permission-profiles-view-1.png)
1. Pilih tab **Proyek yang terpengaruh** untuk melihat proyek yang saat ini menggunakan profil izin.
![\[administrator dapat melihat proyek yang terpengaruh oleh profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-permission-profiles-view-2.png)
**Buat profil izin**
1. Pada halaman **Profil Izin** utama, pilih **Buat profil** untuk membuat profil izin.
1. Masukkan nama dan deskripsi profil izin, lalu pilih izin yang akan diberikan kepada pengguna atau grup yang Anda tetapkan ke profil ini.
![\[administrator dapat membuat profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-permission-profiles-create.png)
**Edit profil izin**
+ Pada halaman **Profil Izin** utama, pilih profil dengan mengklik lingkaran di sebelahnya, pilih **Tindakan**, lalu pilih **Edit profil** untuk memperbarui profil izin tersebut.
![\[administrator dapat mengedit profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-permission-profiles-edit.png)
**Hapus profil izin**
+ Pada halaman **Profil Izin** utama, pilih profil dengan mengklik lingkaran di sebelahnya, pilih **Tindakan**, lalu pilih **Hapus profil**. Anda tidak dapat menghapus profil izin yang digunakan oleh proyek yang ada.
![\[administrator dapat menghapus profil izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-permission-profiles-delete.png)
# Profil izin default
Setiap proyek RES dilengkapi dengan dua profil izin default yang dapat dikonfigurasi oleh Administrator Global. (Selain itu, Administrator Global dapat membuat dan memodifikasi profil izin baru untuk sebuah proyek.) Tabel berikut menunjukkan izin yang diizinkan untuk profil izin default- “Anggota Proyek” dan “Pemilik Proyek”. Profil izin, dan izin yang mereka berikan untuk memilih pengguna proyek, hanya berlaku untuk proyek milik mereka; Administrator Global adalah pengguna super yang memiliki semua izin di bawah ini di semua proyek.
| Izin | Deskripsi | Anggota Proyek | Pemilik Proyek |
| --- | --- | --- | --- |
| Buat Sesi | Buat sesi Anda sendiri. Pengguna selalu dapat menghentikan dan mengakhiri sesi mereka sendiri dengan atau tanpa izin ini. | X | X |
| Buat/akhiri sesi orang lain | Membuat atau mengakhiri sesi pengguna lain dalam sebuah proyek. | | X |
| Perbarui keanggotaan Proyek | Perbarui pengguna dan grup yang terkait dengan proyek. | | X |
| Perbarui Status Proyek | Aktifkan atau nonaktifkan proyek. | | X |
# Batas lingkungan
Batas lingkungan memungkinkan administrator Research and Engineering Studio (RES) untuk mengonfigurasi izin yang akan berlaku secara global untuk semua pengguna. **Ini termasuk izin seperti **Peramban File dan izin SSH**, Izin **Desktop, dan pengaturan** lanjutan Desktop.**
![\[batas-batas lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Mengkonfigurasi akses browser File
Administrator RES dapat mengaktifkan atau menonaktifkan **data Access** di bawah izin browser **File**. Jika **data Access** dimatikan, pengguna tidak akan melihat navigasi **File Browser** di portal web mereka dan tidak dapat mengunggah atau mengunduh data yang dilampirkan ke sistem file global mereka. Ketika **data Access** diaktifkan, pengguna memiliki akses ke navigasi **File Browser** di portal web mereka yang memungkinkan mereka untuk mengunggah atau mengunduh data yang dilampirkan ke sistem file global mereka.
![\[batas-batas lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-disabled.png)
Ketika fitur **Access data** diaktifkan dan kemudian dimatikan, pengguna yang sudah masuk ke portal web tidak akan dapat mengunggah atau mengunduh file, bahkan jika mereka berada di halaman yang sesuai. Selain itu, menu navigasi akan hilang ketika mereka menyegarkan halaman.
# Mengkonfigurasi akses SSH
Administrator dapat mengaktifkan atau menonaktifkan SSH untuk lingkungan RES dari bagian **batas Lingkungan**. Akses SSH ke VDIs difasilitasi melalui host benteng. Saat Anda mengaktifkan sakelar ini, RES menyebarkan host bastion dan membuat halaman Instruksi Akses SSH terlihat bagi pengguna. Saat Anda menonaktifkan sakelar, RES menonaktifkan akses SSH, menghentikan host bastion dan menghapus halaman instruksi akses SSH untuk pengguna. Toggle ini dinonaktifkan secara default.
**catatan**
Saat RES menyebarkan host bastion, ia menambahkan instans Amazon `t3.medium` EC2 di akun Anda. AWS Anda bertanggung jawab atas semua biaya yang terkait dengan contoh ini. Lihat [halaman harga Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/) untuk informasi lebih lanjut.
**Untuk mengaktifkan akses SSH**
1. Di konsol RES, di panel navigasi kiri, pilih **Manajemen Lingkungan**, lalu **Kebijakan Izin**. Di bawah **batas Lingkungan** pilih **sakelar akses SSH**.
![\[Halaman kebijakan izin di bawah manajemen lingkungan di konsol admin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. Tunggu akses SSH diaktifkan.
![\[Spanduk penasihat muncul di halaman kebijakan izin di bawah manajemen lingkungan di konsol admin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-enable-ssh.png)
1. Setelah host Bastion ditambahkan, akses SSH diaktifkan.
![\[Halaman kebijakan izin di bawah manajemen lingkungan di konsol admin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-enabled.png)
Halaman **Petunjuk Akses SSH** dapat dilihat oleh pengguna dari panel navigasi kiri mereka.
![\[Halaman petunjuk akses SSH yang menunjukkan langkah-langkah untuk Linux dan Windows\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**Untuk menonaktifkan akses SSH**
1. Di konsol RES, di panel navigasi kiri, pilih **Manajemen Lingkungan**, lalu **Kebijakan Izin**. Di bawah **batas Lingkungan** pilih **sakelar akses SSH**.
![\[Halaman kebijakan izin di bawah manajemen lingkungan di konsol admin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. Tunggu akses SSH dinonaktifkan.
![\[Spanduk menunjukkan akses SSH sedang dinonaktifkan di halaman Kebijakan Izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-disable-ssh.png)
1. Setelah proses selesai, akses SSH dinonaktifkan.
![\[Halaman kebijakan izin yang menampilkan akses SSH dinonaktifkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-ssh-disabled.png)
# Mengkonfigurasi Izin Desktop
Administrator dapat mengaktifkan atau menonaktifkan **izin Desktop** untuk mengelola fungsionalitas VDI semua pemilik sesi secara global. Semua izin ini, atau subset, dapat digunakan untuk membuat **profil berbagi Desktop** yang menentukan tindakan yang dapat dilakukan oleh pengguna dengan siapa desktop dibagikan. Jika ada izin desktop yang dinonaktifkan, ini akan secara otomatis menonaktifkan izin yang sesuai di **profil berbagi Desktop**. Izin ini akan diberi label sebagai “Dinonaktifkan Secara Global”. Bahkan jika administrator mengaktifkan izin desktop ini lagi, izin di profil berbagi desktop akan tetap dinonaktifkan sampai administrator mengaktifkannya secara manual.
![\[batas-batas lingkungan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Profil berbagi desktop
Administrator dapat membuat profil baru dan menyesuaikannya. Profil ini dapat diakses oleh semua pengguna dan digunakan saat berbagi sesi dengan orang lain. Izin maksimum yang diberikan dalam profil ini tidak dapat melebihi izin desktop yang diizinkan secara global.
**Buat Profil**
Administrator dapat memilih **Buat profil** untuk membuat profil baru. Kemudian mereka dapat memasukkan **nama Profil**, **Deskripsi Profil**, mengatur izin yang diinginkan, dan **Simpan** perubahan mereka.
![\[profil berbagi desktop\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/desktop-sharing-profiles.png)
![\[definisi profil dan izin\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-profile-definition.png)
**Edit Profil**
**Untuk mengedit profil:**
1. Pilih profil yang diinginkan.
1. Pilih **Tindakan**, lalu pilih **Edit** untuk mengubah profil.
1. Sesuaikan izin sesuai kebutuhan.
1. Pilih **Simpan perubahan**.
Setiap perubahan yang dilakukan pada profil akan segera diterapkan ke sesi terbuka saat ini.
![\[profil berbagi desktop dengan testprofile_1 dipilih\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[definisi profil dan izin untuk TestProfile_1\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-profile-definition2.png)
# Sistem File
![\[Sistem File\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/home-file-systems.png)
Dari halaman File Systems, Anda dapat:
1. Cari sistem file.
1. Saat sistem file dipilih, gunakan menu **Tindakan** untuk:
1. Tambahkan sistem file ke proyek.
1. Hapus sistem file dari proyek
1. Onboard sistem file baru.
1. Saat sistem file dipilih, Anda dapat memperluas panel di bagian bawah layar untuk melihat detail sistem file.
**Topics**
+ [Onboard sistem file](onboard-file-system.md)
# Onboard sistem file
**catatan**
Agar berhasil onboard sistem file, ia harus berbagi VPC yang sama dan setidaknya satu dari subnet RES Anda. Anda juga harus memastikan bahwa Anda memiliki grup keamanan yang dikonfigurasi dengan benar sehingga Anda VDIs memiliki akses ke konten sistem file.
1. Pilih **Sistem File Onboard**.
1. Pilih sistem file dari drop down. Modal akan berkembang dengan entri detail tambahan.
![\[Pilih sistem file\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-selectfilesystem.jpg)
1. Masukkan detail sistem file.
**catatan**
Secara default, administrator dan pemilik proyek memiliki kemampuan untuk memilih sistem file rumah saat membuat proyek baru, yang tidak dapat diedit setelahnya.
Sistem file yang dimaksudkan untuk digunakan sebagai direktori home pada proyek harus di-onboard dengan menyetel jalur **Mount Directory** ke. `/home` Ini akan mengisi sistem file onboard pada opsi dropdown sistem file direktori home. Fitur ini membantu menjaga data terisolasi di seluruh proyek karena hanya pengguna yang terkait dengan proyek yang akan memiliki akses ke sistem file melalui mereka. VDIs VDIs akan memasang sistem file pada titik pemasangan yang dipilih selama orientasi sistem file.
1. Pilih **Kirim**.
![\[Pilih sistem file\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-filesystemdetails.jpg)
## Beberapa volume dari satu sistem file ONTAP
RES mendukung orientasi beberapa volume dari satu untuk sistem file NetApp ONTAP. Ini memungkinkan administrator untuk mengatur data di seluruh volume terpisah dalam sistem file ONTAP yang sama sambil membuat setiap volume tersedia secara independen untuk proyek.
Untuk onboard volume tambahan dari sistem file ONTAP yang sudah di-onboard:
1. Pilih **Sistem File Onboard**.
1. Pilih sistem file ONTAP yang sama dari drop-down.
1. Di bidang **Volume**, pilih volume yang berbeda dari sistem file.
1. Tentukan **Direktori Mount** unik untuk volume ini.
1. Pilih **Kirim**.
**catatan**
Setiap volume dari sistem file ONTAP yang sama harus di-onboard dengan direktori mount yang unik. Volume dapat ditugaskan secara independen ke berbagai proyek.
# Manajemen snapshot
Manajemen snapshot menyederhanakan proses penyimpanan dan migrasi data antar lingkungan, memastikan konsistensi dan akurasi. Dengan snapshot, Anda dapat menyimpan status lingkungan dan memigrasikan data ke lingkungan baru dengan status yang sama.
![\[Halaman manajemen snapshot\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-snapshotmanagement.png)
Dari halaman **manajemen Snapshot**, Anda dapat:
1. Lihat semua snapshot yang dibuat dan statusnya.
1. Buat snapshot. Sebelum Anda dapat membuat snapshot, Anda harus membuat ember dengan izin yang sesuai.
1. Lihat semua snapshot yang diterapkan dan statusnya.
1. Terapkan snapshot.
**Topics**
+ [Buat snapshot](create-snapshot.md)
+ [Terapkan snapshot](apply-snapshot.md)
# Buat snapshot
Sebelum dapat membuat snapshot, Anda harus memberikan bucket Amazon S3 dengan izin yang diperlukan. Untuk informasi tentang membuat bucket, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Aktifkan pembuatan versi bucket dan pencatatan akses server. Pengaturan ini dapat diaktifkan dari tab **Properties** bucket setelah penyediaan.
**catatan**
Siklus hidup bucket Amazon S3 ini tidak akan dikelola dalam produk. Anda perlu mengelola siklus hidup bucket dari konsol.
**Untuk menambahkan izin ke bucket:**
1. Pilih bucket yang Anda buat dari daftar **Bucket**.
1. Pilih tab **Izin**.
1. Di Bawah **Kebijakan bucket**, pilih **Edit**.
1. Tambahkan pernyataan berikut ke kebijakan bucket. Ganti nilai-nilai ini dengan nilai Anda sendiri:
+ *111122223333*-> ID AWS Akun Anda
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> nama lingkungan RES Anda
+ *amzn-s3-demo-bucket*-> nama ember S3 Anda
**penting**
Ada string versi terbatas yang didukung oleh AWS. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Untuk membuat snapshot:**
1. Pilih **Buat Snapshot**.
1. Masukkan nama bucket Amazon S3 yang Anda buat.
1. Masukkan jalur tempat Anda ingin snapshot disimpan di dalam ember. Misalnya, **october2023/23**.
1. Pilih **Kirim**.
![\[Buat snapshot baru\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-createsnapshot.png)
1. Setelah lima hingga sepuluh menit, pilih **Refresh** di halaman Snapshots untuk memeriksa status. Snapshot tidak akan valid sampai status berubah dari IN\$1PROGRESS menjadi COMPLETED.
# Terapkan snapshot
Setelah membuat snapshot lingkungan, Anda dapat menerapkan snapshot tersebut ke lingkungan baru untuk memigrasikan data. Anda perlu menambahkan kebijakan baru ke bucket yang memungkinkan lingkungan membaca snapshot.
Menerapkan snapshot menyalin data seperti izin pengguna, proyek, tumpukan perangkat lunak, profil izin, dan sistem file dengan asosiasi mereka ke lingkungan baru. Sesi pengguna tidak akan direplikasi. Ketika snapshot diterapkan, ia memeriksa informasi dasar dari setiap catatan sumber daya untuk menentukan apakah sudah ada. Untuk rekaman duplikat, snapshot melewatkan pembuatan sumber daya di lingkungan baru. Untuk catatan yang serupa, seperti berbagi nama atau kunci, tetapi informasi sumber daya dasar lainnya bervariasi, itu akan membuat catatan baru dengan nama dan kunci yang dimodifikasi menggunakan konvensi berikut:`RecordName_SnapshotRESVersion_ApplySnapshotID`. `ApplySnapshotID`Tampak seperti stempel waktu dan mengidentifikasi setiap upaya untuk menerapkan snapshot.
Selama aplikasi snapshot, snapshot memeriksa ketersediaan sumber daya. Sumber daya yang tidak tersedia untuk lingkungan baru tidak akan dibuat. Untuk sumber daya dengan sumber daya dependen, snapshot memeriksa ketersediaan sumber daya dependen. Jika sumber daya dependen tidak tersedia, itu akan menciptakan sumber daya utama tanpa sumber daya dependen.
Jika lingkungan baru tidak seperti yang diharapkan atau gagal, Anda dapat memeriksa CloudWatch log yang ditemukan di grup log `/res-/cluster-manager` untuk detailnya. Setiap log akan memiliki tag [apply snapshot]. Setelah Anda menerapkan snapshot, Anda dapat memeriksa statusnya dari [Manajemen snapshot](snapshots.md) halaman.
**Untuk menambahkan izin ke bucket:**
1. Pilih bucket yang Anda buat dari daftar **Bucket**.
1. Pilih tab **Izin**.
1. Di Bawah **Kebijakan bucket**, pilih **Edit**.
1. Tambahkan pernyataan berikut ke kebijakan bucket. Ganti nilai-nilai ini dengan nilai Anda sendiri:
+ *111122223333*-> ID AWS Akun Anda
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> nama lingkungan RES Anda
+ *amzn-s3-demo-bucket*-> nama ember S3 Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Untuk menerapkan snapshot:**
1. Pilih **Terapkan snapshot**.
1. Masukkan nama bucket Amazon S3 yang berisi snapshot.
1. Masukkan path file ke snapshot di dalam bucket.
1. Pilih **Kirim**.
![\[Terapkan snapshot\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-applysnapshot.png)
1. Setelah lima hingga sepuluh menit, pilih **Refresh** di halaman manajemen Snapshot untuk memeriksa status.
# Bucket Amazon S3
Research and Engineering Studio (RES) mendukung pemasangan [bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ke instance Linux Virtual Desktop Infrastructure (VDI). **Administrator RES dapat memasukkan bucket S3 ke RES, melampirkannya ke proyek, mengedit konfigurasinya, dan menghapus bucket di tab bucket S3 di bawah Manajemen Lingkungan.**
Dasbor bucket S3 menyediakan daftar bucket S3 onboard yang tersedia untuk Anda. Dari dasbor bucket S3, Anda dapat:
1. Gunakan **Add bucket** untuk memasukkan bucket S3 ke RES.
1. Pilih bucket S3 dan gunakan menu **Actions** untuk:
+ Edit ember
+ Hapus ember
1. Gunakan kolom pencarian untuk mencari berdasarkan nama Bucket dan temukan bucket S3 onboard.
![\[Daftar bucket S3 memungkinkan Anda mencari berdasarkan nama bucket dan menemukan bucket onboard\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-list-bucket.png)
Bagian berikut menjelaskan cara mengelola bucket Amazon S3 di proyek RES Anda.
**Topics**
+ [Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi](S3-buckets-prereqs.md)
+ [Tambahkan bucket Amazon S3](S3-buckets-add.md)
+ [Edit ember Amazon S3](S3-buckets-edit.md)
+ [Hapus ember Amazon S3](S3-buckets-remove.md)
+ [Isolasi Data](S3-buckets-data-isolation.md)
+ [Akses bucket lintas akun](S3-buckets-cross-account-access.md)
+ [Mencegah eksfiltrasi data dalam VPC pribadi](S3-buckets-preventing-exfiltration.md)
+ [Pemecahan masalah](S3-buckets-troubleshooting.md)
+ [Mengaktifkan CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Prasyarat bucket Amazon S3 untuk penerapan VPC yang terisolasi
Jika Anda menerapkan Research and Engineering Studio di VPC terisolasi, ikuti langkah-langkah berikut untuk memperbarui parameter konfigurasi lambda setelah Anda menerapkan RES di akun Anda. AWS
1. Masuk ke konsol Lambda AWS akun tempat Studio Penelitian dan Teknik digunakan.
1. Temukan dan arahkan ke fungsi Lambda bernama. `-vdc-custom-credential-broker-lambda`
1. Pilih tab **Konfigurasi** fungsi.
![\[variabel lingkungan VPC terisolasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Di panel navigasi, pilih **Variabel lingkungan** untuk melihat bagian itu.
1. Pilih **Edit** dan tambahkan variabel lingkungan baru berikut ke fungsi:
+ Kunci: `AWS_STS_REGIONAL_ENDPOINTS`
+ Nilai: `regional`
1. Pilih **Simpan**.
# Tambahkan bucket Amazon S3
**Untuk menambahkan bucket S3 ke lingkungan RES Anda:**
1. Pilih **Tambahkan ember**.
1. Masukkan detail bucket seperti nama bucket, ARN, dan mount point.
**penting**
Bucket ARN, mount point, dan mode yang disediakan tidak dapat diubah setelah pembuatan.
Bucket ARN dapat berisi awalan yang akan mengisolasi bucket S3 onboard ke awalan itu.
1. Pilih mode untuk onboard bucket Anda.
**penting**
Lihat [Isolasi Data](S3-buckets-data-isolation.md) untuk informasi selengkapnya terkait isolasi data dengan mode tertentu.
1. Di bawah **Opsi Lanjutan**, Anda dapat memberikan ARN peran IAM untuk memasang bucket untuk akses lintas akun. Ikuti langkah-langkah [Akses bucket lintas akun](S3-buckets-cross-account-access.md) untuk membuat peran IAM yang diperlukan untuk akses lintas akun.
1. (Opsional) Kaitkan bucket dengan proyek, yang dapat diubah nanti. Namun, bucket S3 tidak dapat dipasang ke sesi VDI proyek yang ada. Hanya sesi yang diluncurkan setelah proyek dikaitkan dengan bucket yang akan memasang bucket.
1. Pilih **Kirim**.
![\[Tambahkan halaman bucket yang menampilkan kolom pengaturan bucket yang tersedia dan tombol kirim\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-add-bucket.png)
# Edit ember Amazon S3
1. Pilih bucket S3 di daftar bucket S3.
1. Dari menu **Tindakan**, pilih **Edit**.
1. Masukkan pembaruan Anda.
**penting**
Mengaitkan proyek dengan bucket S3 **tidak** akan memasang bucket ke instance infrastruktur desktop virtual (VDI) proyek yang ada. Bucket hanya akan dipasang ke sesi VDI yang diluncurkan dalam proyek setelah bucket dikaitkan dengan proyek itu.
Memutuskan hubungan proyek dari bucket S3 tidak akan memengaruhi data di bucket S3, tetapi akan mengakibatkan pengguna desktop kehilangan akses ke data tersebut.
1. Pilih **Simpan pengaturan bucket**.
![\[Halaman Edit S3 Bucket dengan nama tampilan dan bidang asosiasi proyek dimasukkan dan tombol Save bucket setup disorot\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/docs-edit-bucket.png)
# Hapus ember Amazon S3
1. Pilih bucket S3 di daftar bucket S3.
1. Dari menu **Tindakan**, pilih **Hapus**.
**penting**
Anda harus terlebih dahulu menghapus semua asosiasi proyek dari ember.
Operasi penghapusan tidak memengaruhi data di bucket S3. Ini hanya menghapus asosiasi bucket S3 dengan RES.
Menghapus bucket akan menyebabkan sesi VDI yang ada kehilangan akses ke konten bucket tersebut setelah berakhirnya kredenal sesi tersebut (\$11 jam).
# Isolasi Data
Saat menambahkan bucket S3 ke RES, Anda memiliki opsi untuk mengisolasi data dalam bucket ke proyek dan pengguna tertentu. Pada halaman **Add Bucket**, Anda dapat memilih mode Read Only (R) atau Read and Write (R/W).
**Baca Saja**
Jika `Read Only (R)` dipilih, isolasi data diberlakukan berdasarkan awalan bucket ARN (Nama Sumber Daya Amazon). Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name/example-data/` dan mengaitkan bucket ini dengan Project A dan Project B, maka pengguna yang meluncurkan VDIs dari dalam Project A dan Project B hanya dapat membaca data yang terletak di `bucket-name` bawah jalur. `/example-data` Mereka tidak akan memiliki akses ke data di luar jalur itu. Jika tidak ada awalan yang ditambahkan ke bucket ARN, seluruh bucket akan tersedia untuk proyek apa pun yang terkait dengannya.
**Baca dan Tulis**
Jika `Read and Write (R/W)` dipilih, isolasi data masih diberlakukan berdasarkan awalan bucket ARN, seperti dijelaskan di atas. Mode ini memiliki opsi tambahan untuk memungkinkan administrator memberikan awalan berbasis variabel untuk bucket S3. Saat `Read and Write (R/W)` dipilih, bagian Awalan Kustom tersedia yang menawarkan menu tarik-turun dengan opsi berikut:
+ Tidak ada awalan khusus
+ /%p
+ /%p/%u
![\[Tambahkan halaman bucket dengan awalan khusus dropdown ditampilkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/add-bucket-custom-prefix.png)
**Tidak ada isolasi data khusus **
Bila `No custom prefix` dipilih untuk **Awalan Kustom**, bucket ditambahkan tanpa isolasi data kustom. Ini memungkinkan proyek apa pun yang terkait dengan bucket memiliki akses baca dan tulis. Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan yang `No custom prefix` dipilih dan mengaitkan bucket ini dengan Project A dan Project B, pengguna yang meluncurkan VDIs dari dalam Project A dan Project B akan memiliki akses baca dan tulis yang tidak terbatas ke bucket.
**Isolasi data pada tingkat per proyek **
Bila `/%p` dipilih untuk **Awalan Kustom**, data dalam bucket diisolasi ke setiap proyek tertentu yang terkait dengannya. `%p`Variabel mewakili kode proyek. Misalnya, jika admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan yang `/%p` dipilih dan **Mount Point** of*/bucket*, dan mengaitkan bucket ini dengan Project A dan Project B, maka Pengguna A di Project A dapat menulis file ke. */bucket* Pengguna B di Proyek A juga dapat melihat file yang ditulis Pengguna A*/bucket*. Namun, jika Pengguna B meluncurkan VDI di Proyek B dan melihat ke dalam*/bucket*, mereka tidak akan melihat file yang ditulis Pengguna A, karena data diisolasi oleh proyek. File yang ditulis Pengguna A ditemukan di bucket S3 di bawah awalan `/ProjectA` sementara Pengguna B hanya dapat mengakses `/ProjectB` saat menggunakan file VDIs dari Project B.
**Isolasi data pada tingkat per proyek, per pengguna **
Bila `/%p/%u` dipilih untuk **Awalan Kustom**, data dalam bucket diisolasi ke setiap proyek tertentu dan pengguna yang terkait dengan proyek tersebut. `%p`Variabel mewakili kode proyek, dan `%u` mewakili nama pengguna. Misalnya, admin menambahkan bucket ke RES menggunakan ARN `arn:aws:s3:::bucket-name` dengan `/%p/%u` dipilih dan Mount Point of. */bucket* Bucket ini dikaitkan dengan Project A dan Project B. Pengguna A di Project A dapat menulis file ke*/bucket*. Berbeda dengan skenario sebelumnya dengan hanya `%p` isolasi, Pengguna B dalam hal ini tidak akan melihat file yang ditulis Pengguna A di Proyek A*/bucket*, karena data diisolasi oleh proyek dan pengguna. File yang ditulis Pengguna A ditemukan di bucket S3 di bawah awalan `/ProjectA/UserA` sementara Pengguna B hanya dapat mengakses `/ProjectA/UserB` saat menggunakannya VDIs di Project A.
# Akses bucket lintas akun
RES memiliki kemampuan untuk memasang bucket dari AWS akun lain, asalkan bucket ini memiliki izin yang tepat. Dalam skenario berikut, lingkungan RES di Akun A ingin memasang bucket S3 di Akun B.
**Langkah 1: Buat Peran IAM di akun tempat RES digunakan *(ini akan disebut sebagai Akun A*):**
1. Masuk ke Konsol AWS Manajemen untuk akun RES yang memerlukan akses ke bucket S3 (Akun A).
1. Buka Konsol IAM:
1. Arahkan ke dasbor IAM.
1. Di panel navigasi, pilih **Kebijakan**.
1. Buat Kebijakan:
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tempel kebijakan JSON berikut (ganti `amzn-s3-demo-bucket` dengan nama bucket S3 yang terletak di Akun B):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Tinjau dan buat kebijakan:
1. Berikan nama untuk kebijakan (misalnya, “S3 AccessPolicy “).
1. Tambahkan deskripsi opsional untuk menjelaskan tujuan kebijakan.
1. Tinjau kebijakan dan pilih **Buat kebijakan**.
1. Buka Konsol IAM:
1. Arahkan ke dasbor IAM.
1. Di panel navigasi, pilih **Peran**.
1. Buat Peran:
1. Pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus** sebagai jenis entitas tepercaya.
1. Rekatkan kebijakan JSON berikut (ganti `111122223333` dengan ID akun A yang sebenarnya, dan `{RES_ENVIRONMENT_NAME}` dengan nama lingkungan penerapan RES:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Lampirkan Kebijakan Izin:
1. Cari dan pilih kebijakan yang Anda buat sebelumnya.
1. Pilih **Berikutnya**.
1. Tandai, Tinjau, dan Buat Peran:
1. Masukkan nama peran (misalnya, “S3 AccessRole “).
1. Di bawah Langkah 3, pilih **Tambahkan Tag**, lalu masukkan kunci dan nilai berikut:
+ Kunci: `res:Resource`
+ Nilai: `s3-bucket-iam-role`
1. Tinjau peran dan pilih **Buat peran**.
1. Gunakan Peran IAM di RES:
1. Salin peran IAM ARN yang Anda buat.
1. Masuk ke konsol RES.
1. Di panel navigasi kiri, pilih **S3** Bucket.
1. Pilih **Add Bucket** dan isi formulir dengan bucket S3 lintas akun ARN.
1. Pilih **Pengaturan lanjutan - dropdown opsional**.
1. Masukkan peran ARN di bidang ARN peran IAM.
1. Pilih **Tambahkan Ember**.
**Langkah 2: Ubah kebijakan bucket di Akun B**
1. Masuk ke Konsol AWS Manajemen untuk Akun B.
1. Buka Konsol S3:
1. Arahkan ke dasbor S3.
1. Pilih bucket yang ingin Anda berikan aksesnya.
1. Edit Kebijakan Bucket:
1. Pilih tab **Izin** dan pilih **Kebijakan Bucket**.
1. Tambahkan kebijakan berikut untuk memberikan peran IAM dari Akun A akses ke bucket (ganti *111122223333* dengan ID akun aktual Akun A dan *amzn-s3-demo-bucket* dengan nama bucket S3):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Pilih **Simpan**.
# Mencegah eksfiltrasi data dalam VPC pribadi
Untuk mencegah pengguna mengeksfiltrasi data dari bucket S3 aman ke bucket S3 mereka sendiri di akun mereka, Anda dapat melampirkan titik akhir VPC untuk mengamankan VPC pribadi Anda. Langkah-langkah berikut menunjukkan cara membuat titik akhir VPC untuk layanan S3 yang mendukung akses ke bucket S3 di dalam akun Anda, serta akun tambahan apa pun yang memiliki bucket lintas akun.
1. Buka Konsol VPC Amazon:
1. Masuk ke Konsol AWS Manajemen.
1. Buka konsol VPC Amazon di. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Buat Endpoint VPC untuk S3:
1. Pada panel navigasi kiri, pilih **Titik Akhir**.
1. Pilih **Buat Titik Akhir**.
1. Untuk **kategori Layanan**, pastikan bahwa **AWS layanan** dipilih.
1. Di bidang **Nama Layanan**, masukkan `com.amazonaws..s3` (ganti `` dengan AWS wilayah Anda) atau cari “S3".
1. Pilih layanan S3 dari daftar.
1. Konfigurasikan Pengaturan Titik Akhir:
1. Untuk **VPC**, pilih VPC tempat Anda ingin membuat titik akhir.
1. Untuk **Subnet**, pilih kedua subnet pribadi yang digunakan untuk Subnet VDI selama penerapan.
1. Untuk **Aktifkan nama DNS**, pastikan opsi dicentang. Ini memungkinkan nama host DNS pribadi diselesaikan ke antarmuka jaringan titik akhir.
1. Konfigurasikan Kebijakan untuk Membatasi Akses:
1. Di bawah **Kebijakan**, pilih **Kustom**.
1. Di editor kebijakan, masukkan kebijakan yang membatasi akses ke sumber daya dalam akun Anda atau akun tertentu. Berikut adalah contoh kebijakan (ganti *amzn-s3-demo-bucket* dengan nama bucket S3 Anda dan *111122223333* dan *444455556666* dengan AWS akun yang sesuai IDs yang ingin Anda akses):
**catatan**
Kebijakan contoh ini menggunakan `s3:*` dan tidak membatasi operasi bidang kontrol S3 seperti konfigurasi pemberitahuan peristiwa, replikasi, atau inventaris. Operasi ini dapat memungkinkan metadata objek (seperti nama bucket dan kunci objek) dikirim ke tujuan lintas akun. Jika ini menjadi perhatian, tambahkan pernyataan Deny eksplisit untuk tindakan bidang kontrol S3 yang relevan dalam kebijakan titik akhir VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Buat Endpoint:
1. Meninjau pengaturan Anda.
1. Pilih **Buat titik akhir**.
1. Verifikasi Endpoint:
1. Setelah titik akhir dibuat, navigasikan ke bagian **Endpoints** di konsol VPC.
1. Pilih endpoint yang baru dibuat.
1. Verifikasi bahwa **Negara** **Tersedia**.
Dengan mengikuti langkah-langkah ini, Anda membuat titik akhir VPC yang memungkinkan akses S3 yang dibatasi untuk sumber daya dalam akun Anda atau ID akun tertentu.
# Pemecahan masalah
**Cara memeriksa apakah ember gagal dipasang pada VDI**
Jika bucket gagal dipasang pada VDI, ada beberapa lokasi di mana Anda dapat memeriksa kesalahan. Ikuti langkah-langkah di bawah ini.
1. Periksa Log VDI:
1. Masuk ke Konsol AWS Manajemen.
1. Buka Konsol EC2 dan arahkan ke **Instans**.
1. Pilih instance VDI yang Anda luncurkan.
1. Connect ke VDI melalui Session Manager.
1. Jalankan perintah berikut:
```
sudo su
cd ~/bootstrap/logs
```
Di sini, Anda akan menemukan log bootstrap. Rincian kegagalan apa pun akan ditemukan di `configure.log.{time}` file.
Selain itu, periksa `/etc/message` log untuk lebih jelasnya.
1. Periksa Log CloudWatch Lambda Broker Kredensi Kustom:
1. Masuk ke Konsol AWS Manajemen.
1. Buka CloudWatch Konsol dan arahkan ke **Grup log**.
1. Cari grup log`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Periksa grup log pertama yang tersedia dan temukan kesalahan apa pun di dalam log. Log ini akan berisi detail mengenai potensi masalah yang menyediakan kredensil khusus sementara untuk memasang bucket S3.
1. Periksa CloudWatch Log API Gateway API Credential Kustom:
1. Masuk ke Konsol AWS Manajemen.
1. Buka CloudWatch Konsol dan arahkan ke **Grup log**.
1. Cari grup log`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Periksa grup log pertama yang tersedia dan temukan kesalahan apa pun di dalam log. Log ini akan berisi detail mengenai permintaan dan tanggapan apa pun terhadap API Gateway untuk kredensil khusus yang diperlukan untuk memasang bucket S3.
**Cara mengedit konfigurasi peran IAM bucket setelah onboarding**
1. Masuk ke Konsol [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Pilih Tabel:
1. Di panel navigasi kiri, pilih **Tabel**.
1. Temukan dan pilih`.cluster-settings`.
1. Pindai Tabel:
1. Pilih **Jelajahi item tabel**.
1. Pastikan **Pemindaian** dipilih.
1. Tambahkan Filter:
1. Pilih **Filter** untuk membuka bagian entri filter.
1. Atur filter agar sesuai dengan kunci Anda-
+ **Atribut**: Masukkan kunci.
+ **Kondisi**: Pilih **Dimulai dengan**.
+ **Nilai**: Masukkan `shared-storage..s3_bucket.iam_role_arn` penggantian ** dengan nilai sistem file yang perlu dimodifikasi.
1. Jalankan Pemindaian:
Pilih **Jalankan** untuk menjalankan pemindaian dengan filter.
1. Periksa nilainya:
Jika entri ada, pastikan nilainya diatur dengan benar dengan ARN peran IAM yang tepat.
Jika entri tidak ada:
1. Pilih **Buat item**.
1. Masukkan detail item:
+ Untuk atribut kunci, masukkan`shared-storage..s3_bucket.iam_role_arn`.
+ Tambahkan ARN peran IAM yang benar.
1. Pilih **Simpan** untuk menambahkan item.
1. Mulai ulang instance VDI:
Reboot instance untuk memastikan VDIs yang terpengaruh oleh peran IAM yang salah ARN dipasang lagi.
# Mengaktifkan CloudTrail
Untuk mengaktifkan CloudTrail di akun Anda menggunakan CloudTrail konsol, ikuti petunjuk yang disediakan di [Membuat jejak dengan CloudTrail konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*. CloudTrail akan mencatat akses ke bucket S3 dengan merekam peran IAM yang mengaksesnya. Ini dapat ditautkan kembali ke ID instance, yang ditautkan ke proyek atau pengguna.