本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 权限策略
<a name="permission-profiles"></a>

Research and Engineering Studio (RES) 允许管理用户创建自定义权限配置文件，向选定的用户授予管理他们所参与的项目的额外权限。每个项目都有两个[默认权限配置文件](permission-matrix.md) —— “项目成员” 和 “项目所有者”，可以在部署后对其进行自定义。

目前，管理员可以使用权限配置文件授予两个权限集合：

1. 项目管理权限，包括 “更新项目成员资格”（允许指定用户将其他用户和组添加到项目或从项目中移除）和 “更新项目状态”（允许指定用户启用或禁用项目）。

1. VDI 会话管理权限，包括 “创建会话”（允许指定用户在其项目中创建 VDI 会话）和 “创建/终止其他用户的会话”（允许指定用户在项目中创建或终止其他用户的会话）。

通过这种方式，管理员可以将基于项目的权限委派给其环境中的非管理员。

**Topics**
+ [项目管理权限](permission-profiles-permission-project-management.md)
+ [VDI 会话管理权限](permission-profiles-permission-vdi-sessions.md)
+ [管理权限配置文件](permission-profiles-permission-management.md)
+ [默认权限配置文件](permission-matrix.md)
+ [环境边界](permission-profiles-environment-boundaries.md)
+ [桌面共享配置文件](permission-profiles-desktop-sharing-profiles.md)

# 项目管理权限
<a name="permission-profiles-permission-project-management"></a>

**更新项目成员资格 **  
此权限允许获得该权限的非管理员用户在项目中添加和删除用户或组。它还允许他们设置权限配置文件并决定该项目的所有其他用户和群组的访问级别。  

![\[团队配置弹出窗口\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-update-project-membership.png)


**更新项目状态 **  
此权限允许获得该权限的非管理员用户使用 “项目” 页面上的 “**操作**” 按钮启用或禁用**项目**。  

![\[环境管理下的管理控制台项目窗口\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-update-project-status.png)


# VDI 会话管理权限
<a name="permission-profiles-permission-vdi-sessions"></a>

**创建会话**  
控制是否允许用户从 “**我的虚拟桌面**” 页面启动自己的 VDI 会话。禁用此选项可拒绝非管理员用户启动自己的 VDI 会话。用户可以随时停止和终止自己的 VDI 会话。  
如果非管理员用户无权创建会话，则他们的 “**启动新虚拟桌面**” 按钮将被禁用，如下所示：  

![\[没有权限的非管理员用户已禁用 “启动新虚拟桌面” 按钮\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-nonadmin-vdi-disabled.png)


**创建或终止其他人的会话**  
允许非管理员用户从左侧导航窗格访问 “**会话**” 页面。这些用户将能够在获得此权限的项目中为其他用户启动 VDI 会话。  
如果非管理员用户有权为其他用户启动会话，则他们的左侧导航窗格将在会话**管理**下方显示**会话**链接，如下所示：  

![\[用于会话管理的非管理员弹出窗口\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-nonadmin-link-displayed.png)

如果非管理员用户无权为其他人创建会话，则他们的左侧导航窗格将不会显示会**话管理**，如下所示：  

![\[会话管理链接对无权为其他人创建会话的非管理员用户隐藏\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-nonadmin-hidden-link.png)


# 管理权限配置文件
<a name="permission-profiles-permission-management"></a>

作为 RES 管理员，您可以执行以下操作来管理权限配置文件。

**列出权限配置文件**
+ 在 Research and Engineering Studio 控制台页面中，选择左侧导航窗格中的**权限策略**。在此页面上，您可以创建、更新、列出、查看和删除权限配置文件。  
![\[管理员可以列出权限配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/project-roles.png)

**查看权限配置文件**

1. 在 “**权限配置文件**” 主页面上，选择要查看的权限配置文件的名称。在此页面上，您可以编辑或删除选定的权限配置文件。  
![\[管理员可以编辑或删除权限配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-permission-profiles-view-1.png)

1. 选择 “受**影响的项目**” 选项卡，查看当前使用权限配置文件的项目。  
![\[管理员可以查看受权限配置文件影响的项目\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-permission-profiles-view-2.png)

**创建权限配置文件**

1. 在 “**权限配置文件**” 主页面上，选择 “**创建配置文件**” 以创建权限配置文件。

1. 输入权限配置文件名称和描述，然后选择要向分配给该配置文件的用户或组授予的权限。  
![\[管理员可以创建权限配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-permission-profiles-create.png)

**编辑权限配置文件**
+ 在**权限配置文件**主页面上，单击配置文件旁边的圆圈选择该配置文件，选择**操作**，然后选择**编辑配置文件**以更新该权限配置文件。  
![\[管理员可以编辑权限配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-permission-profiles-edit.png)

**删除权限配置文件**
+ 在 “**权限配置文件**” 主页面上，单击配置文件旁边的圆圈将其选中，选择 “**操作**”，然后选择 “**删除配置文件**”。您不能删除任何现有项目使用的权限配置文件。  
![\[管理员可以删除权限配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-permission-profiles-delete.png)

# 默认权限配置文件
<a name="permission-matrix"></a>

每个 RES 项目都有两个默认权限配置文件，全局管理员可以对其进行配置。（此外，全局管理员可以为项目创建和修改新的权限配置文件。） 下表显示了默认权限配置文件（“项目成员” 和 “项目所有者”）允许的权限。权限配置文件及其授予项目选定用户的权限仅适用于他们所属的项目；全局管理员是超级用户，他们在所有项目中拥有以下所有权限。


| Permissions | 说明 | 项目成员 | 项目所有者 | 
| --- | --- | --- | --- | 
| 创建会话 | 创建自己的会话。无论是否拥有此权限，用户都可以随时停止和终止自己的会话。 | X | X | 
| 创建/终止其他人的会话 | 在项目中创建或终止其他用户的会话。 |  | X | 
| 更新项目成员资格 | 更新与项目关联的用户和群组。 |  | X | 
| 更新项目状态 | 启用或禁用项目。 |  | X | 

# 环境边界
<a name="permission-profiles-environment-boundaries"></a>

环境边界允许研究与工程工作室 (RES) 管理员配置将在全球范围内对所有用户生效的权限。这包括**文件浏览器和 SSH 权限**、**桌面权限**和**桌面高级设置**等权限。

![\[环境边界\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-environment-boundaries.png)


# 配置文件浏览器访问权限
<a name="configuring-file-browser-access"></a>

RES 管理员可以在**文件浏览器权限**下开启或关闭**访问数据**。如果 **Access 数据**被关闭，用户将无法在其 Web 门户中看到**文件浏览器**导航，也无法上传或下载附加到其全局文件系统的数据。启用**访问数据**后，用户可以访问其门户网站中的**文件浏览器**导航，这允许他们上传或下载附加到其全局文件系统的数据。

![\[环境边界\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-disabled.png)


当**访问数据**功能开启后又关闭时，已登录门户网站的用户将无法上传或下载文件，即使他们在相应的页面上也是如此。此外，当他们刷新页面时，导航菜单将消失。

# 配置 SSH 访问权限
<a name="configuring-ssh-access"></a>

管理员可以从 “环境**边界**” 部分为 RES 环境启用或禁用 SSH。通过堡垒主机实现 SSH 访问。 VDIs 激活此开关后，RES 会部署堡垒主机，并向用户显示 SSH 访问说明页面。停用开关后，RES 将禁用 SSH 访问，终止堡垒主机，并移除用户的 SSH 访问说明页面。默认情况下，此开关处于停用状态。

**注意**  
当 RES 部署堡垒主机时，它会在您的 AWS 账户中添加一个 `t3.medium` Amazon EC2 实例。您应对与此实例相关的所有费用负责。有关更多信息，请参阅 [Amazon EC2 定价页面](https://aws.amazon.com/ec2/pricing/on-demand/)。

**启用 SSH 访问权限**

1. 在 RES 控制台的左侧导航窗格中，选择**环境管理**，然后选择**权限策略**。在 “**环境边界**” 下，选择 **SSH 访问**开关。  
![\[管理员控制台环境管理下的权限策略页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-disabled.png)

1. 等待启用 SSH 访问权限。  
![\[建议横幅显示在管理员控制台环境管理下的权限策略页面上\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-enable-ssh.png)

1. 添加堡垒主机后，将启用 SSH 访问。  
![\[管理员控制台环境管理下的权限策略页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-enabled.png)

   用户可以从左侧导航窗格中看到 **SSH 访问说明**页面。  
![\[显示 Linux 和 Windows 操作步骤的 SSH 访问说明页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-enabled2.png)

**禁用 SSH 访问权限**

1. 在 RES 控制台的左侧导航窗格中，选择**环境管理**，然后选择**权限策略**。在 “**环境边界**” 下，选择 **SSH 访问**开关。  
![\[管理员控制台环境管理下的权限策略页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-enabled.png)

1. 等待 SSH 访问被禁用。  
![\[权限策略页面上会显示一条横幅显示 SSH 访问已被禁用\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-disable-ssh.png)

1. 该过程完成后，SSH 访问将被禁用。  
![\[权限策略页面显示已禁用 SSH 访问\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-ssh-disabled.png)

# 配置桌面权限
<a name="configuring-desktop-permissions"></a>

管理员可以开启或关闭 “**桌面” 权限**，以全局管理所有者的 VDI 功能。所有这些权限或一部分权限都可用于创建**桌面共享配置文件**，以确定与之共享桌面的用户可以执行哪些操作。如果禁用了任何桌面权限，则会自动禁用**桌面共享配置文件**中的相应权限。这些权限将被标记为 “全局禁用”。即使管理员再次启用此桌面权限，桌面共享配置文件中的权限也将保持禁用状态，直到管理员手动启用该权限。

![\[环境边界\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/permission-policy-environment-boundaries.png)


# 桌面共享配置文件
<a name="permission-profiles-desktop-sharing-profiles"></a>

管理员可以创建新的配置文件并对其进行自定义。所有用户都可以访问这些配置文件，并在与其他人共享会话时使用。在这些配置文件中授予的最大权限不能超过全局允许的桌面权限。

**创建配置文件**

管理员可以选择 “**创建配置文件**” 来创建新的配置文件。然后，他们可以输入**个人资料名称**、**配置文件描述**、设置所需的权限并**保存**所做的更改。

![\[桌面共享配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/desktop-sharing-profiles.png)


![\[个人资料定义和权限\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-profile-definition.png)


**编辑个人资料**

**要编辑个人资料，请执行以下操作：**

1. 选择所需的配置文件。

1. 选择 “**操作**”，然后选择 “**编辑”** 以修改配置文件。

1. 根据需要调整权限。

1. 选择**保存更改**。

对配置文件所做的任何更改都将立即应用于当前打开的会话。

![\[已选择 testprofile_1 的桌面共享配置文件\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-desktop-sharing-profiles2.png)


![\[testProfile_1 的配置文件定义和权限\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-profile-definition2.png)