本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 规划您的部署
<a name="plan-your-deployment"></a>

本节包含有关成本、安全性、支持的区域和配额的信息，可帮助您规划研究与工程工作室的部署 AWS。

## 费用
<a name="plan-your-deployment-cost"></a>

上 AWS 的 Research and Engineering Studio 不收取额外费用，您只需为运行应用程序所需的 AWS 资源付费。有关更多信息，请参阅 [AWS 本产品中的服务](architecture-overview.md#aws-services-in-this-product)。

**注意**  
运行本产品时使用的 AWS 服务费用由您承担。  
最佳做法是，通过制定[预算[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)来帮助管理成本。价格可能会发生变化。有关完整详情，请参阅本产品中使用的每项 AWS 服务的定价网页。

## 安全性
<a name="plan-your-deployment-security"></a>

云安全 AWS 是重中之重。作为 AWS 客户，您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方共同承担 AWS 的责任。[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)*将其描述为云端的安全和云端*的*安全：*
+  **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分，第三方审计师定期测试和验证我们安全的有效性。 要了解适用于 Research and Engineering Studio 的合规性计划 AWS，请参阅[AWS 按合规计划](https://aws.amazon.com/compliance/services-in-scope/)划分的范围内。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

要了解如何将分担责任模型应用于研究与工程工作室使用的 AWS 服务，请参阅[本产品中服务的安全注意事项](#plan-your-deployment-security-links)。有关 AWS 安全的更多信息，请访问[AWS 云 安全](https://aws.amazon.com/security/)。

### IAM 角色
<a name="plan-your-deployment-iam-roles"></a>

AWS Identity and Access Management (IAM) 角色允许客户向上的服务和用户分配精细的访问策略和权限。 AWS 云该产品创建 IAM 角色来授予产品的 AWS Lambda 功能和 Amazon EC2 实例创建区域资源的访问权限。

RES 支持 IAM 中基于身份的策略。部署后，RES 会创建策略来定义管理员的权限和访问权限。实施产品的管理员在与 RES 集成的现有客户 Active Directory 中创建和管理最终用户和项目负责人。有关更多信息，请参阅 Identity and A *ccess Managem AWS ent 用户指南*中的[创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

贵组织的管理员可以使用活动目录管理用户访问权限。当最终用户访问 RES 用户界面时，RES 将使用 [Amazon](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) Cognito 进行身份验证。

### 安全组
<a name="plan-your-deployment-security-groups"></a>

在本产品中创建的安全组旨在控制和隔离 Lambda 函数、Amazon EC2 实例、文件系统和远程 VPN 终端节点之间的网络流量。产品部署后，请查看安全组并根据需要进一步限制访问权限。

### 数据加密
<a name="plan-your-deployment-data-encryption"></a>

默认情况下，Research and Engineering Studio AWS （RES）使用RES拥有的密钥对静态和传输中的客户数据进行加密。部署 RES 时，可以指定 AWS KMS key。RES 使用您的证书授予密钥访问权限。如果您提供的是客户所有和管理的 AWS KMS key，则将使用该密钥对客户静态数据进行加密。

RES 使用 SSL/TLS 对传输中的客户数据进行加密。需要使用 TLS 1.2，但建议使用 TLS 1.3。

### 本产品中服务的安全注意事项
<a name="plan-your-deployment-security-links"></a>

有关研究与工程工作室使用的服务的安全注意事项的更多详细信息，请访问下表中的链接：


| AWS 服务安全信息 | 服务类型 | 在 RES 中如何使用该服务 | 
| --- | --- | --- | 
| [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) | 核心 | 提供底层计算服务，用他们选择的操作系统和软件堆栈创建虚拟桌面。 | 
| [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security.html) | 核心 | 堡垒、集群管理器和 VDI 主机是在负载均衡器后面的 Auto Scaling 组中创建的。Elastic Load Balancing 在 RES 主机上平衡来自门户网站的流量。 | 
| [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html) | 核心 | 所有核心产品组件都是在您的 VPC 中创建的。 | 
| [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/security.html) | 核心 | 管理用户身份和身份验证。Active Directory 用户会映射到 Amazon Cognito 用户和群组，以验证访问级别。 | 
| [Amazon Elastic File System](https://docs.aws.amazon.com/efs/latest/ug/security-considerations.html) | 核心 | 为/home文件浏览器和 VDI 主机以及共享的外部文件系统提供文件系统。 | 
| [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html) | 核心 | 存储配置数据，例如用户、群组、项目、文件系统和组件设置。 | 
| [AWS Systems Manager (系统管理员)](https://docs.aws.amazon.com/systems-manager/latest/userguide/security.html) | 核心 | 存储用于执行 VDI 会话管理命令的文档。 | 
| [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html) | 核心 | 支持产品功能，例如更新 DynamoDB 表中的设置、启动 Active Directory 同步工作流程和更新前缀列表。 | 
| [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security.html) | 支持 | 为所有 Amazon EC2 主机和 Lambda 函数提供指标和活动日志。 | 
| [Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security.html) | 支持 | 存储用于主机引导和配置的应用程序二进制文件。 | 
| [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) | 支持 | 用于对亚马逊 SQS 队列、DynamoDB 表和亚马逊 SNS 主题进行静态加密。 | 
| [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security.html) | 支持 | 将服务帐户凭据存储在 Active Directory 中，并为 VDIs存储自签名证书 | 
| [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) | 支持 | 为产品提供部署机制。 | 
| [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/security.html) | 支持 | 限制主机的访问级别。 | 
| [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/security.html) | 支持 | 创建私有托管区域以解析内部负载均衡器和堡垒主机域名。 | 
| [Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-security.html) | 支持 | 创建任务队列以支持异步执行。 | 
| [Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-security.html) | 支持 | 支持 VDI 组件（例如控制器和主机）之间的发布-订阅模式。 | 
| [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-fargate.html) | 支持 | 使用 Fargate 任务安装、更新和删除环境。 | 
| [Amazon FSx 文件网关](https://docs.aws.amazon.com/filegateway/latest/filefsxw/security.html) | 可选 | 提供外部共享文件系统。 | 
| [ FSx 适用于 NetApp ONTAP 的亚马逊](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/security.html) | 可选 | 提供外部共享文件系统。 | 
| [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/security.html) | 可选 | 为您的自定义域生成可信证书。 | 
| [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | 可选 | 为 Amazon EC2 主机、文件系统和 DynamoDB 提供备份功能。 | 

## 配额
<a name="plan-your-deployment-quotas"></a>

服务限额（也称为限制）是 AWS 账户使用的服务资源或操作的最大数量。

### 本产品中的 AWS 服务配额
<a name="quotas-for-aws-services-in-this-product"></a>

请确保您有足够的配额来使用[本产品中实施的每项服务](architecture-overview.md#aws-services-in-this-product)。有关更多信息，请参阅 [AWS 服务配额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。

最佳做法是提高以下服务的配额：
+ Amazon Virtual Private Cloud
+ Amazon EC2

要请求提高配额，请参阅《Service Quotas 用户指南》中的[请求提高配额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)**。如果限额在服务限额中尚不可用，请使用[提高限制表格](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。

### AWS CloudFormation 配额
<a name="aws-cloudformation-quotas"></a>

您 AWS 账户 有 AWS CloudFormation 配额，在该产品中[启动堆栈时应注意这些](launch-the-product.md)配额。通过了解这些配额，您可以避免限制错误，从而使您无法成功部署此产品。有关更多信息，请参阅《AWS CloudFormation 用户指南》**中的 [AWS CloudFormation 配额](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。

### 规划恢复能力
<a name="planning-for-resilience"></a>

该产品部署了默认基础设施，其数量和大小均为最小数量和大小的 Amazon EC2 实例来运行系统。为了提高大规模生产环境中的弹性，最佳做法是增加基础架构的 Auto Scaling 组 (ASG) 中的默认最低容量设置。将值从一个实例增加到两个实例可以获得多个可用区 (AZ) 的好处，并缩短在数据意外丢失时恢复系统功能的时间。

ASG 设置可以在 Amazon EC2 控制台中自定义，网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。 ASGs 默认情况下，产品会创建四个，每个名称都以`-asg`。您可以将最小值和所需值更改为适合您的生产环境的数量。选择要修改的群组，然后选择**操作**并选择**编辑**。有关更多信息 ASGs，请参阅 *Amazon EC2 Auto Scaling 用户指南中的扩展 Auto Scaling* [组的大小](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scale-your-group.html)。

## 支持 AWS 区域
<a name="plan-your-deployment-supported-aws-regions"></a>

本产品使用的服务目前并非全部可用 AWS 区域。您必须在所有服务都可用 AWS 区域 的地方启动此产品。有关按地区划分的最新 AWS 服务可用性，请参阅[AWS 区域所有服务列表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

以下内容支持上 AWS 的 “研究与工程工作室” AWS 区域：


| 区域名称 | Region | 先前版本 | 最新版本 (2025.12) | 
| --- | --- | --- | --- | 
| 美国东部（弗吉尼亚州北部）  | us-east-1 | 是 | 是 | 
| 美国东部（俄亥俄州）  | us-east-2 | 是 | 是 | 
| 美国西部（北加利福尼亚）  | us-west-1 | 是 | 是 | 
| 美国西部（俄勒冈州）  | us-west-2 | 是 | 是 | 
| 亚太地区（东京） | ap-northeast-1 | 是 | 是 | 
| 亚太地区（首尔） | ap-northeast-2 | 是 | 是 | 
| 亚太地区（大阪） | ap-northeast-3 | 是 | 是 | 
| 亚太地区（孟买） | ap-south-1 | 是 | 是 | 
| 亚太地区（新加坡）  | ap-southeast-1 | 是 | 是 | 
| 亚太地区（悉尼）  | ap-southeast-2 | 是 | 是 | 
| 亚太地区（雅加达）  | ap-southeast-3 | 是 | 是 | 
| 加拿大（中部） | ca-central-1 | 是 | 是 | 
| 欧洲地区（法兰克福） | eu-central-1 | 是 | 是 | 
| 欧洲地区（米兰） | eu-south-1 | 是 | 是 | 
| 欧洲地区（爱尔兰） | eu-west-1 | 是 | 是 | 
| 欧洲地区（伦敦）  | eu-west-2 | 是 | 是 | 
| 欧洲地区（巴黎）  | eu-west-3 | 是 | 是 | 
| 欧洲地区（斯德哥尔摩）  | eu-north-1 | 是 | 是 | 
| 以色列（特拉维夫） | il-central-1 | 是 | 是 | 
| 中东（阿联酋）： | me-central-1 | 是 | 是 | 
| 南美洲（圣保罗） | sa-east-1 | 是 | 是 | 
| AWS GovCloud （美国东部） | us-gov-east-1 | 是 | 是 | 
| AWS GovCloud （美国西部） | us-gov-west-1 | 是 | 是 |