翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アクセス許可ポリシー
<a name="permission-profiles"></a>

Research and Engineering Studio (RES) を使用すると、管理ユーザーは、選択したユーザーに、自分が属するプロジェクトを管理するための追加のアクセス許可を付与するカスタムアクセス許可プロファイルを作成できます。各プロジェクトには、デプロイ後にカスタマイズできる「プロジェクトメンバー」と「プロジェクト所有者」の 2 つの[デフォルトのアクセス許可プロファイル](permission-matrix.md)があります。

現在、管理者はアクセス許可プロファイルを使用して 2 つのアクセス許可のコレクションを付与できます。

1. 指定されたユーザーがプロジェクトに他のユーザーやグループを追加または削除できるようにする「プロジェクトメンバーシップの更新」と、指定されたユーザーがプロジェクトを有効または無効にできるようにする「プロジェクトステータスの更新」で構成されるプロジェクト管理アクセス許可。

1. 指定されたユーザーがプロジェクト内に VDI セッションを作成できるようにする「セッションの作成」と、指定されたユーザーがプロジェクト内の他のユーザーのセッションを作成または終了できるようにする「別のユーザーのセッションの作成/終了」で構成される VDI セッション管理アクセス許可。

これにより、管理者は 環境内の管理者以外のユーザーにプロジェクトベースのアクセス許可を委任できます。

**Topics**
+ [プロジェクト管理のアクセス許可](permission-profiles-permission-project-management.md)
+ [VDI セッション管理のアクセス許可](permission-profiles-permission-vdi-sessions.md)
+ [アクセス許可プロファイルの管理](permission-profiles-permission-management.md)
+ [デフォルトのアクセス許可プロファイル](permission-matrix.md)
+ [環境の境界](permission-profiles-environment-boundaries.md)
+ [デスクトップ共有プロファイル](permission-profiles-desktop-sharing-profiles.md)

# プロジェクト管理のアクセス許可
<a name="permission-profiles-permission-project-management"></a>

**プロジェクトメンバーシップを更新する **  
このアクセス許可により、付与された管理者以外のユーザーは、プロジェクトからユーザーまたはグループを追加および削除できます。また、アクセス許可プロファイルを設定し、そのプロジェクトの他のすべてのユーザーとグループのアクセスレベルを決定することもできます。  

![\[チーム設定のポップアップウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-update-project-membership.png)


**プロジェクトのステータスを更新する **  
このアクセス許可により、付与された管理者以外のユーザーは、プロジェクトページの**アクション**ボタンを使用して**プロジェクト**を有効または無効にできます。  

![\[環境管理の管理者コンソールプロジェクトウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-update-project-status.png)


# VDI セッション管理のアクセス許可
<a name="permission-profiles-permission-vdi-sessions"></a>

**セッションを作成する**  
ユーザーが **My Virtual Desktops** ページから独自の VDI セッションを起動できるかどうかを制御します。これを無効にして、管理者以外のユーザーが独自の VDI セッションを起動できないようにします。ユーザーはいつでも独自の VDI セッションを停止および終了できます。  
管理者以外のユーザーにセッションを作成するアクセス許可がない場合、次のように**、新しい仮想デスクトップの起動**ボタンが無効になります。  

![\[アクセス許可のない管理者以外のユーザーの場合、新しい仮想デスクトップの起動ボタンは無効になっています。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-vdi-disabled.png)


**他のユーザーのセッションを作成または終了する**  
管理者以外のユーザーが左側のナビゲーションペインから**セッション**ページにアクセスできるようにします。これらのユーザーは、このアクセス許可が付与されているプロジェクトで他のユーザーの VDI セッションを起動できます。  
管理者以外のユーザーが他のユーザーのセッションを起動するアクセス許可を持っている場合、左側のナビゲーションペインには、次に示すように**セッション****管理の下のセッション**リンクが表示されます。  

![\[セッション管理用の管理者以外のポップアップウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-link-displayed.png)

管理者以外のユーザーに他のユーザーのセッションを作成するアクセス許可がない場合、左側のナビゲーションペインには、次に示すように**セッション管理**は表示されません。  

![\[セッション管理リンクは、他のユーザーのセッションを作成するアクセス許可のない管理者以外のユーザーには非表示になります。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-hidden-link.png)


# アクセス許可プロファイルの管理
<a name="permission-profiles-permission-management"></a>

RES 管理者は、次のアクションを実行してアクセス許可プロファイルを管理できます。

**アクセス許可プロファイルを一覧表示する**
+ Research and Engineering Studio コンソールページで、左側のナビゲーションペインでアクセス**許可ポリシー**を選択します。このページから、アクセス許可プロファイルを作成、更新、一覧表示、表示、削除できます。  
![\[管理者はアクセス許可プロファイルを一覧表示できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/project-roles.png)

**アクセス許可プロファイルを表示する**

1. メインのアクセス**許可プロファイル**ページで、表示するアクセス許可プロファイルの名前を選択します。このページから、選択したアクセス許可プロファイルを編集または削除できます。  
![\[管理者はアクセス許可プロファイルを編集または削除できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-view-1.png)

1. アクセス許可プロファイルを現在使用しているプロジェクトを表示するには、**影響を受けるプロジェクト**タブを選択します。  
![\[管理者は、アクセス許可プロファイルの影響を受けるプロジェクトを表示できます。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-view-2.png)

**アクセス許可プロファイルを作成する**

1. メインのアクセス**許可プロファイル**ページで、**プロファイルの作成**を選択してアクセス許可プロファイルを作成します。

1. アクセス許可プロファイルの名前と説明を入力し、このプロファイルに割り当てるユーザーまたはグループに付与するアクセス許可を選択します。  
![\[管理者はアクセス許可プロファイルを作成できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-create.png)

**アクセス許可プロファイルを編集する**
+ メインのアクセス**許可プロファイル**ページで、プロファイルの横にある円をクリックしてプロファイルを選択し、**アクション**を選択し、**プロファイルの編集**を選択してそのアクセス許可プロファイルを更新します。  
![\[管理者はアクセス許可プロファイルを編集できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-edit.png)

**アクセス許可プロファイルを削除する**
+ メインのアクセス**許可プロファイル**ページで、プロファイルの横にある円をクリックしてプロファイルを選択し、**アクション**を選択し、**プロファイルの削除**を選択します。既存のプロジェクトで使用されているアクセス許可プロファイルは削除できません。  
![\[管理者はアクセス許可プロファイルを削除できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-delete.png)

# デフォルトのアクセス許可プロファイル
<a name="permission-matrix"></a>

すべての RES プロジェクトには、グローバル管理者が設定できる 2 つのデフォルトのアクセス許可プロファイルが付属しています。(さらに、グローバル管理者はプロジェクトの新しいアクセス許可プロファイルを作成および変更できます）。次の表は、「プロジェクトメンバー」と「プロジェクト所有者」というデフォルトのアクセス許可プロファイルで許可されるアクセス許可を示しています。アクセス許可プロファイル、およびプロジェクトの特定のユーザーに付与するアクセス許可は、自分が属するプロジェクトにのみ適用されます。グローバル管理者は、すべてのプロジェクトで以下のすべてのアクセス許可を持つスーパーユーザーです。


| アクセス許可 | 説明 | プロジェクトメンバー | プロジェクト所有者 | 
| --- | --- | --- | --- | 
| セッションの作成 | 独自のセッションを作成します。ユーザーは、このアクセス許可の有無にかかわらず、いつでも独自のセッションを停止および終了できます。 | X | X | 
| 他のユーザーのセッションを作成/終了する | プロジェクト内で別のユーザーのセッションを作成または終了します。 |  | X | 
| プロジェクトメンバーシップの更新 | プロジェクトに関連付けられたユーザーとグループを更新します。 |  | X | 
| プロジェクトステータスの更新 | プロジェクトを有効または無効にします。 |  | X | 

# 環境の境界
<a name="permission-profiles-environment-boundaries"></a>

環境の境界により、Research and Engineering Studio (RES) 管理者は、すべてのユーザーに対してグローバルに有効になるアクセス許可を設定できます。これには、**ファイルブラウザと SSH アクセス許可、デスクトップアクセス許可、デスクトップの詳細設定などのアクセス許可**が含まれます。 **** ****

![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-environment-boundaries.png)


# ファイルブラウザアクセスの設定
<a name="configuring-file-browser-access"></a>

RES 管理者は、**ファイルブラウザ****のアクセス許可でアクセスデータの**オンとオフを切り替えることができます。**アクセスデータが**オフになっている場合、ユーザーはウェブポータルに**ファイルブラウザ**ナビゲーションを表示せず、グローバルファイルシステムにアタッチされたデータをアップロードまたはダウンロードできません。**アクセスデータ**を有効にすると、ユーザーはウェブポータルの**ファイルブラウザ**ナビゲーションにアクセスして、グローバルファイルシステムにアタッチされたデータをアップロードまたはダウンロードできます。

![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)


**アクセスデータ**機能がオンになってから後でオフにすると、ウェブポータルに既にログインしているユーザーは、対応するページにある場合でも、ファイルをアップロードまたはダウンロードできなくなります。さらに、ページを更新するとナビゲーションメニューは表示されなくなります。

# SSH アクセスの設定
<a name="configuring-ssh-access"></a>

管理者は、**環境境界**セクションから RES 環境の SSH を有効または無効にできます。VDIs への SSH アクセスは、踏み台ホストを介して容易になります。このトグルを有効にすると、RES は踏み台ホストをデプロイし、SSH アクセス手順ページがユーザーに表示されます。トグルを無効にすると、RES は SSH アクセスを無効にし、踏み台ホストを終了して、ユーザーの SSH アクセス手順ページを削除します。このトグルはデフォルトで無効になっています。

**注記**  
RES が踏み台ホストをデプロイすると、 AWS アカウントに `t3.medium` Amazon EC2 インスタンスが追加されます。このインスタンスに関連するすべての料金はお客様の負担となります。詳細については、[Amazon EC2 の料金ページ](https://aws.amazon.com/ec2/pricing/on-demand/)を参照してください。

**SSH アクセスを有効にするには**

1. RES コンソールの左側のナビゲーションペインで、**環境管理**、アクセス**許可ポリシー**を選択します。**環境の境界**で、**SSH アクセス**トグルを選択します。  
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)

1. SSH アクセスが有効になるまで待ちます。  
![\[管理者コンソールの環境管理のアクセス許可ポリシーページにアドバイザリバナーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-enable-ssh.png)

1. 踏み台ホストが追加されると、SSH アクセスが有効になります。  
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled.png)

   **SSH アクセス手順**ページは、左側のナビゲーションペインからユーザーに表示されます。  
![\[Linux と Windows のステップを示す SSH アクセス手順ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled2.png)

**SSH アクセスを無効にするには**

1. RES コンソールの左側のナビゲーションペインで、**環境管理**を選択し、アクセス**許可ポリシー**を選択します。**環境の境界**で、**SSH アクセス**トグルを選択します。  
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled.png)

1. SSH アクセスが無効になるまで待ちます。  
![\[アクセス許可ポリシーページで SSH アクセスが無効になっていることを示すバナー\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-disable-ssh.png)

1. プロセスが完了すると、SSH アクセスは無効になります。  
![\[SSH アクセスが無効になっていることを示すアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)

# デスクトップアクセス許可の設定
<a name="configuring-desktop-permissions"></a>

管理者は**デスクトップのアクセス許可**をオンまたはオフに切り替えて、すべてのセッション所有者の VDI 機能をグローバルに管理できます。これらのアクセス許可のすべて、またはサブセットを使用して、**デスクトップを共有しているユーザーが実行できるアクションを決定するデスクトップ共有プロファイル**を作成できます。デスクトップアクセス許可が無効になっている場合、**デスクトップ共有プロファイル**の対応するアクセス許可は自動的に無効になります。これらのアクセス許可には「グローバルに無効」というラベルが付けられます。管理者がこのデスクトップアクセス許可を再度有効にしても、管理者が手動で有効にするまで、デスクトップ共有プロファイルのアクセス許可は無効のままになります。

![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-environment-boundaries.png)


# デスクトップ共有プロファイル
<a name="permission-profiles-desktop-sharing-profiles"></a>

管理者は新しいプロファイルを作成してカスタマイズできます。これらのプロファイルにはすべてのユーザーがアクセスでき、セッションを他のユーザーと共有するときに使用されます。これらのプロファイル内で付与されるアクセス許可の最大数は、グローバルに許可されるデスクトップアクセス許可を超えることはできません。

**プロファイルの作成**

管理者は、**プロファイルの作成**を選択して新しいプロファイルを作成できます。次に、**プロファイル名**、**プロファイルの説明**を入力し、必要なアクセス許可を設定し、変更**を保存**できます。

![\[デスクトップ共有プロファイル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/desktop-sharing-profiles.png)


![\[プロファイル定義とアクセス許可\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-profile-definition.png)


**プロファイルの編集**

**プロファイルを編集するには:**

1. 目的のプロファイルを選択します。

1. **アクション**を選択し、**編集**を選択してプロファイルを変更します。

1. 必要に応じてアクセス許可を調整します。

1. **[Save changes]** (変更の保存) をクリックします。

プロファイルに加えられた変更は、現在のオープンセッションにすぐに適用されます。

![\[testprofile_1 が選択されたデスクトップ共有プロファイル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-desktop-sharing-profiles2.png)


![\[testProfile_1 のプロファイル定義とアクセス許可\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-profile-definition2.png)