Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prerequisiti **Topics** + [ ## Crea un account Account AWS con un utente amministrativo ](#aws-account) + [ ## Crea una coppia di chiavi SSH Amazon EC2 ](#create-ssh-key-pair) + [ ## Aumentare le quote di servizio ](#increase-service-quotas) + [ ## Creare un pool di utenti Cognito (opzionale) ](#create-cognito-user-pool) + [ ## Crea un dominio personalizzato (opzionale) ](#create-public-domain) + [ ## Crea un dominio (GovCloud solo) ](#create-domain-govcloud) + [ ## Fornisci risorse esterne ](#external-resources) + [ ## Configura LDAPS nel tuo ambiente (opzionale) ](#configure-ldaps) + [ ## Configurare un account di servizio per Microsoft Active Directory ](#service-account-ms-ad) + [ ## Configurazione di un VPC privato (opzionale) ](#private-vpc) ## Crea un account Account AWS con un utente amministrativo È necessario disporre di un account Account AWS con un utente amministrativo: 1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup) 1. Segui le istruzioni online. Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono. Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Crea una coppia di chiavi SSH Amazon EC2 Se non disponi di una coppia di chiavi SSH Amazon EC2, devi crearne una. Per ulteriori informazioni, consulta [Create a key pair using Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) *User Guide*. ## Aumentare le quote di servizio Come best practice, è consigliabile [aumentare le quote di servizio](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) per: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Aumenta la quota di indirizzi IP elastici per gateway NAT da cinque a otto. + Aumentate il numero di gateway NAT per zona di disponibilità da cinque a dieci. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Aumenta l'elastico EC2-VPC IPs da cinque a dieci. Il tuo AWS account ha quote predefinite per ogni servizio. AWS Salvo diversa indicazione, ogni quota si applica a una Regione specifica. Se per alcune quote è possibile richiedere aumenti, altre quote non possono essere modificate. Per ulteriori informazioni, consulta [Quote per AWS i servizi di questo prodotto](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Creare un pool di utenti Cognito (opzionale) Hai la possibilità di importare un pool di utenti Cognito esistente per l'autenticazione di utenti e client quando installi RES. Altrimenti, RES creerà automaticamente un nuovo pool di utenti di Cognito. Il pool di utenti preesistente deve avere i seguenti attributi personalizzati di registrazione: | Nome | Tipo | Valore/lunghezza minimi | Valore/lunghezza massimi | Mutable | | --- | --- | --- | --- | --- | | personalizzato: aws\$1region | Stringa | | | TRUE | | custom:cluster\$1name | Stringa | | | TRUE | | personalizzato:password\$1last\$1set | Numero | | | TRUE | | personalizzato: password\$1max\$1age | Numero | | | TRUE | | personalizzato:uid | Numero | 2000200001 | 4294967294 | TRUE | ## Crea un dominio personalizzato (opzionale) Come procedura consigliata, utilizza un dominio personalizzato per il prodotto per un URL intuitivo. Puoi fornire un dominio personalizzato e, *facoltativamente*, fornire un relativo certificato. Esiste un processo nello stack di risorse esterne per creare un certificato per un dominio personalizzato fornito dall'utente. Puoi saltare questi passaggi se hai un dominio e desideri utilizzare le funzionalità di generazione di certificati dello stack di risorse esterne. In alternativa, segui questi passaggi per registrare un dominio utilizzando Amazon Route 53 e importare un certificato per il dominio che utilizza AWS Certificate Manager. 1. Segui le indicazioni per [registrare un dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) con Route 53. Dovresti ricevere un'email di conferma. 1. Recupera la zona ospitata per il tuo dominio. Route 53 lo crea automaticamente. 1. Apri la console Route 53. 1. Scegli **Zone ospitate** dalla barra di navigazione a sinistra. 1. Apri la zona ospitata creata per il tuo nome di dominio e copia l'**ID della zona ospitata**. 1. Apri AWS Certificate Manager e segui questi passaggi per [richiedere un certificato di dominio](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Assicurati di trovarti nella regione in cui intendi implementare la soluzione. 1. **Scegli Elenca certificati** dalla navigazione e trova la tua richiesta di certificato. La richiesta dovrebbe essere in sospeso. 1. Scegli l'**ID del certificato** per aprire la richiesta. 1. Dalla sezione **Domini**, scegli **Crea record in Route 53**. L'elaborazione della richiesta richiederà circa dieci minuti. 1. Una volta emesso il certificato, copia l'**ARN dalla sezione** **Stato del certificato**. ## Crea un dominio (GovCloud solo) Se si esegue la distribuzione in una AWS GovCloud regione e si utilizza un dominio personalizzato per Research and Engineering Studio, è necessario completare questi passaggi preliminari. 1. Distribuisci lo [CloudFormation stack di certificati](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) nell' AWS account della partizione commerciale in cui è stato creato il dominio ospitato pubblico. 1. Dai **Certificate CloudFormation Outputs**, trova e annota il simbolo e. `CertificateARN` `PrivateKeySecretARN` 1. Nell'account della GovCloud partizione, crea un segreto con il valore dell'`CertificateARN`output. Nota il nuovo ARN segreto e aggiungi due tag al segreto in modo da `vdc-gateway` poter accedere al valore segreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.) 1. Nell'account della GovCloud partizione, crea un segreto con il valore dell'output. `PrivateKeySecretARN` Nota il nuovo ARN segreto e aggiungi due tag al segreto in modo da `vdc-gateway` poter accedere al valore segreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.) ## Fornisci risorse esterne Research and Engineering Studio on AWS prevede che al momento dell'implementazione siano disponibili le seguenti risorse esterne. + **Rete (VPC, sottoreti pubbliche e sottoreti private)** Qui verranno eseguite le istanze EC2 utilizzate per ospitare l'ambiente RES, Active Directory (AD) e lo storage condiviso. + **Archiviazione (Amazon EFS)** I volumi di storage contengono i file e i dati necessari per l'infrastruttura desktop virtuale (VDI). + **Servizio di directory ()AWS Directory Service for Microsoft Active Directory** Il servizio di directory autentica gli utenti nell'ambiente RES. + **Un segreto che contiene il nome utente e la password dell'account del servizio Active Directory formattati come coppia chiave-valore (nome utente, password)** Research and Engineering Studio accede ai [segreti](secrets-management.md) forniti dall'utente, inclusa la password dell'account del servizio, utilizzando. [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) **avvertimento** È necessario fornire un indirizzo e-mail valido per tutti gli utenti di Active Directory (AD) che si desidera sincronizzare. **Suggerimento** Se stai distribuendo un ambiente demo e non disponi di queste risorse esterne, puoi utilizzare le ricette AWS High Performance Compute per generare le risorse esterne. Consulta la sezione seguente per distribuire [Crea risorse esterne](create-external-resources.md) le risorse nel tuo account. Per le distribuzioni demo in una AWS GovCloud regione, è necessario completare i passaggi prerequisiti in. [Crea un dominio (GovCloud solo)](#create-domain-govcloud) ## Configura LDAPS nel tuo ambiente (opzionale) Se si prevede di utilizzare la comunicazione LDAPS nel proprio ambiente, è necessario completare questi passaggi per creare e allegare certificati al controller di dominio AWS Managed Microsoft AD (AD) per fornire la comunicazione tra AD e RES. 1. Segui i passaggi forniti in [Come abilitare LDAPS lato server](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) per il tuo. AWS Managed Microsoft AD Puoi saltare questo passaggio se hai già abilitato LDAPS. 1. Dopo aver verificato che LDAPS è configurato su AD, esporta il certificato AD: 1. Vai al tuo server Active Directory. 1. Apri PowerShell come amministratore. 1. Esegui `certmgr.msc` per aprire l'elenco dei certificati. 1. Apri l'elenco dei certificati aprendo prima Trusted Root Certification Authorities e poi Certificati. 1. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) sul certificato con lo stesso nome del server AD e scegli **Tutte le attività**, quindi **Esporta**. 1. **Seleziona **X.509 con codifica Base-64 (.CER**) e scegli Avanti.** 1. **Seleziona una directory, quindi scegli Avanti.** 1. Crea un segreto in Gestione dei segreti AWS: Quando crei il tuo segreto nel Secrets Manager, seleziona **Other type of secrets** (Altro tipo di segreti) in **secret type** (Tipo di segreto) e incolla il certificato codificato PEM nel campo **Plaintext** (Testo normale). 1. Annotate l'ARN creato e inseritelo come `DomainTLSCertificateSecretARN` parametro in. [Fase 1: Avviare il prodotto](launch-the-product.md) ## Configurare un account di servizio per Microsoft Active Directory Se scegli Microsoft Active Directory (AD) come origine dell'identità per RES, hai un account di servizio nell'AD che consente l'accesso programmatico. È necessario trasmettere un codice segreto con le credenziali dell'account di servizio come parte dell'installazione di RES. Il segreto deve avere il formato mostrato qui. ![\[Esempio di formato di nome utente e password\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-secret-value-example.png) Si noti inoltre che il `username` campo non supporta i nomi di accesso in stile NT del formato. `DOMAIN\username` L'account di servizio è responsabile delle seguenti funzioni: + Sincronizzazione degli utenti dall'AD: RES deve sincronizzare gli utenti dall'AD per consentire loro di accedere al portale web. Il processo di sincronizzazione utilizza l'account del servizio per interrogare l'AD utilizzando LDAP per determinare quali utenti e gruppi sono disponibili. + Unisciti al dominio AD: si tratta di un'operazione opzionale per i desktop virtuali Linux e gli host dell'infrastruttura in cui l'istanza si unisce al dominio AD. In RES, questa operazione viene controllata con il `DisableADJoin` parametro. Questo parametro è impostato su False per impostazione predefinita, il che significa che i desktop virtuali Linux tenteranno di aggiungere il dominio AD nella configurazione predefinita. + Connessione all'AD: i desktop virtuali e gli host dell'infrastruttura Linux si connetteranno al dominio AD se non vi aderiscono (`DisableADJoin`= True). Affinché questa funzionalità funzioni, il Service Account necessita anche dell'accesso in lettura per utenti `UsersOU` e `GroupsOU` gruppi. L'account di servizio richiede le seguenti autorizzazioni: + Per sincronizzare gli utenti e connettersi ad AD → Accesso in lettura per utenti e gruppi in modalità `UsersOU` e`GroupsOU`. + Per entrare nel dominio AD → crea `Computer` oggetti in`ComputersOU`. Lo script in [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) fornisce un esempio di come concedere le autorizzazioni appropriate all'account di servizio. Puoi modificarlo in base al tuo AD. ## Configurazione di un VPC privato (opzionale) L'implementazione di Research and Engineering Studio in un VPC isolato offre una maggiore sicurezza per soddisfare i requisiti di conformità e governance dell'organizzazione. Tuttavia, l'implementazione standard di RES si basa sull'accesso a Internet per l'installazione delle dipendenze. Per installare RES in un VPC privato, è necessario soddisfare i seguenti prerequisiti: **Topics** + [ ### Preparare le immagini delle macchine Amazon (AMIs) ](#prep-ami) + [ ### Configurazione degli endpoint VPC ](#private-vpc-endpoints) + [ ### Connect ai servizi senza endpoint VPC ](#connect-services-without-endpoints) + [ ### Imposta i parametri di distribuzione di un VPC privato ](#vpc-deployment-parameters) ### Preparare le immagini delle macchine Amazon (AMIs) 1. Scarica le dipendenze al [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/res-installation-scriptslatest/.tar.gz](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz). Per l'implementazione in un VPC isolato, l'infrastruttura RES richiede la disponibilità di dipendenze senza l'accesso pubblico a Internet. **Importante** Sostituiscilo **latest** nell'URI di download con il numero esatto della versione (ad esempio,**2025.06**) se la versione dell'ambiente RES non è la più recente. 1. Crea un ruolo IAM con accesso in sola lettura e identità affidabile di Amazon S3 come Amazon EC2. 1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. **Da **Ruoli, scegli Crea ruolo**.** 1. Nella pagina **Seleziona un’entità attendibile**: + In **Tipo di entità attendibile**, scegli Servizio AWS. + Per **Caso d'uso** in **Servizio o caso d'uso**, scegli **EC2** e scegli **Avanti**. 1. **In **Aggiungi autorizzazioni**, seleziona le seguenti politiche di autorizzazione, quindi scegli Avanti:** + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Aggiungi un **nome e una **descrizione del** ruolo**, quindi scegli **Crea ruolo**. 1. Crea il componente EC2 image builder: 1. Apri la console EC2 Image Builder [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) all'indirizzo. 1. In **Risorse salvate**, scegli **Componenti** e scegli **Crea** componente. 1. Nella pagina **Crea componente**, inserisci i seguenti dettagli: + Per **Tipo di componente**, scegli **Costruisci**. + Per i **dettagli del componente**, scegli: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. Nella pagina **Crea componente**, scegli **Definisci il contenuto del documento**. 1. Prima di inserire il contenuto del documento di definizione, è necessario un URI del file per il file tar.gz. Carica il file tar.gz fornito da RES in un bucket Amazon S3 e copia l'URI del file dalle proprietà del bucket. 1. Immetti i seguenti dati: **Nota** `AddEnvironmentVariables`è facoltativo e puoi rimuoverlo se non hai bisogno di variabili di ambiente personalizzate negli host dell'infrastruttura. Se si stanno `http_proxy` configurando variabili di `https_proxy` ambiente, i `no_proxy` parametri sono necessari per impedire all'istanza di utilizzare il proxy per interrogare localhost, gli indirizzi IP dei metadati dell'istanza e i servizi che supportano gli endpoint VPC. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. **Scegli Crea componente.** 1. Crea una ricetta di immagini Image Builder. 1. Nella pagina **Crea ricetta**, inserisci quanto segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. Scegli **Crea ricetta**. 1. Crea la configurazione dell'infrastruttura Image Builder. 1. In **Risorse salvate**, scegli **Configurazioni dell'infrastruttura**. 1. Scegli **Crea configurazione dell'infrastruttura**. 1. Nella pagina **Crea configurazione dell'infrastruttura**, inserisci quanto segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. **Scegli Crea configurazione dell'infrastruttura.** 1. Crea una nuova pipeline EC2 Image Builder: 1. **Vai a **Image pipelines** e scegli Crea pipeline di immagini.** 1. **Nella pagina **Specificare i dettagli della pipeline**, immettete quanto segue e scegliete Avanti:** + Nome della tubazione e descrizione opzionale + Per **Programma di costruzione**, imposta un programma o scegli **Manuale** se desideri avviare manualmente il processo di cottura AMI. 1. Nella pagina **Scegli la ricetta**, scegli **Usa ricetta esistente** e inserisci il **nome della ricetta** creato in precedenza. Scegli **Next (Successivo)**. 1. Nella pagina **Definisci il processo dell'immagine**, seleziona i flussi di lavoro predefiniti e scegli **Avanti**. 1. Nella pagina **Definisci la configurazione dell'infrastruttura**, scegli **Usa la configurazione dell'infrastruttura esistente** e inserisci il nome della configurazione dell'infrastruttura creata in precedenza. Scegli **Next (Successivo)**. 1. Nella pagina **Definisci le impostazioni di distribuzione**, considera quanto segue per le tue selezioni: + L'immagine di output deve risiedere nella stessa regione dell'ambiente RES distribuito, in modo che RES possa avviare correttamente le istanze host dell'infrastruttura da essa. Utilizzando le impostazioni predefinite del servizio, l'immagine di output verrà creata nella regione in cui viene utilizzato il servizio EC2 Image Builder. + Se desideri implementare RES in più regioni, puoi scegliere **Crea nuove impostazioni di distribuzione e aggiungervi** altre regioni. 1. Controlla le tue selezioni e scegli **Crea** pipeline. 1. Esegui la pipeline EC2 Image Builder: 1. Da **Image pipelines**, trova e seleziona la pipeline che hai creato. 1. Scegliete **Azioni** e selezionate **Esegui** pipeline. La pipeline può impiegare da 45 minuti a un'ora per creare un'immagine AMI. 1. Annota l'ID AMI per l'AMI generato e usalo come input per il parametro InfrastructureHost AMI in[Fase 1: Avviare il prodotto](launch-the-product.md). ### Configurazione degli endpoint VPC Per implementare RES e avviare desktop virtuali, Servizi AWS richiedi l'accesso alla tua sottorete privata. È necessario configurare gli endpoint VPC per fornire l'accesso richiesto e sarà necessario ripetere questi passaggi per ogni endpoint. 1. Se gli endpoint non sono stati configurati in precedenza, segui le istruzioni fornite in [Accesso e Servizio AWS utilizzo di un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Seleziona una sottorete privata in ciascuna delle due zone di disponibilità. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) ### Connect ai servizi senza endpoint VPC Per l'integrazione con servizi che non supportano gli endpoint VPC, puoi configurare un server proxy in una sottorete pubblica del tuo VPC. Segui questi passaggi per creare un server proxy con l'accesso minimo necessario per una distribuzione di Research and Engineering Studio utilizzando AWS Identity Center come provider di identità. 1. Avvia un'istanza Linux nella sottorete pubblica del VPC che utilizzerai per la distribuzione RES. + Famiglia Linux: Amazon Linux 2 o Amazon Linux 3 + Architettura: x86 + Tipo di istanza: t2.micro o versione successiva + Gruppo di sicurezza: TCP sulla porta 3128 da 0.0.0.0/0 1. Connect all'istanza per configurare un server proxy. 1. Apri la connessione http. 1. Consenti la connessione ai seguenti domini da tutte le sottoreti pertinenti: + .amazonaws.com (per servizi generici) AWS + .amazoncognito.com (per Amazon Cognito) + .awsapps.com (per Identity Center) + .signin.aws (per Identity Center) + . amazonaws-us-gov.com (per Gov Cloud) 1. Nega tutte le altre connessioni. 1. Attiva e avvia il server proxy. 1. Annota la PORTA su cui il server proxy ascolta. 1. Configura la tabella delle rotte per consentire l'accesso al server proxy. 1. Vai alla tua console VPC e identifica le tabelle di routing per le sottoreti che utilizzerai per gli host dell'infrastruttura e gli host VDI. 1. Modifica la tabella di routing per consentire a tutte le connessioni in entrata di accedere all'istanza del server proxy creata nei passaggi precedenti. 1. Fatelo per le tabelle di routing per tutte le sottoreti (senza accesso a Internet) che userete per Infrastructure/. VDIs 1. Modifica il gruppo di sicurezza dell'istanza EC2 del server proxy e assicurati che consenta le connessioni TCP in entrata sulla PORTA su cui il server proxy è in ascolto. ### Imposta i parametri di distribuzione di un VPC privato In[Fase 1: Avviare il prodotto](launch-the-product.md), è necessario inserire determinati parametri nel CloudFormation modello. Assicurati di impostare i seguenti parametri come indicato per una corretta implementazione nel VPC privato che hai appena configurato. | Parametro | Input | | --- |--- | | InfrastructureHostAMI | Utilizza l'ID AMI dell'infrastruttura creato in[Preparare le immagini delle macchine Amazon (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Impostato su false. | | LoadBalancerSubnets | Scegli sottoreti private senza accesso a Internet. | | InfrastructureHostSubnets | Scegli sottoreti private senza accesso a Internet. | | VdiSubnets | Scegli sottoreti private senza accesso a Internet. | | ClientIP | Puoi scegliere il tuo VPC CIDR per consentire l'accesso a tutti gli indirizzi IP VPC. | | HttpProxy | Esempio: http://10.1.2.3:123 | | HttpsProxy | Ad esempio: http://10.1.2.3:123 | | NoProxy | Esempio: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
|