本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理員指南
此管理員指南為技術對象提供有關如何進一步自訂並與 AWS 產品上的 Research and Engineering Studio 整合的其他說明。
**Topics**
+ [秘密管理](secrets-management.md)
+ [成本監控和控制](cost-management.md)
+ [成本分析儀表板](cost-analysis-dashboard.md)
+ [工作階段管理](evdi.md)
+ [環境管理](environment-management.md)
# 秘密管理
Research and Engineering Studio 會使用 維護下列秘密 AWS Secrets Manager。RES 會在環境建立期間自動建立秘密。管理員在環境建立期間輸入的秘密會輸入為參數。
| 秘密名稱 | Description | 產生的 RES | 管理員已輸入 |
| --- | --- | --- | --- |
| -sso-client-secret | 環境的單一登入 OAuth2 用戶端秘密 | ✓ | |
| -vdc-client-secret | VDC ClientSecret | ✓ | |
| -vdc-client-id | VDC ClientId | ✓ | |
| -vdc-gateway-certificate-private-key | 網域的自我簽署憑證私有金鑰 | ✓ | |
| -vdc-gateway-certificate-certificate | 網域的自我簽署憑證 | ✓ | |
| -cluster-manager-client-secret | cluster-manager ClientSecret | ✓ | |
| -cluster-manager-client-id | cluster-manager ClientId | ✓ | |
| -external-private-key | 網域的自我簽署憑證私有金鑰 | ✓ | |
| -external-certificate | 網域的自我簽署憑證 | ✓ | |
| -internal-private-key | 網域的自我簽署憑證私有金鑰 | ✓ | |
| -internal-certificate | 網域的自我簽署憑證 | ✓ | |
| -directoryservice-ServiceAccountUserDN | ServiceAccount 使用者的辨別名稱 (DN) 屬性。 | ✓ | |
下列秘密 ARN 值包含在 DynamoDB 的 `-cluster-settings`資料表中:
| 金錀 | 來源 |
| --- | --- |
| identity-provider.cognito.sso\$1client\$1secret | |
| vdc.dcv\$1connection\$1gateway.certificate.certificate\$1secret\$1arn | 堆疊 |
| vdc.dcv\$1connection\$1gateway.certificate.private\$1key\$1secret\$1arn | 堆疊 |
| cluster.load\$1balancers.internal\$1alb.certificates.private\$1key\$1secret\$1arn | 堆疊 |
| directoryservice.root\$1username\$1secret\$1arn | |
| vdc.client\$1secret | 堆疊 |
| cluster.load\$1balancers.external\$1alb.certificates.certificate\$1secret\$1arn | 堆疊 |
| cluster.load\$1balancers.internal\$1alb.certificates.certificate\$1secret\$1arn | 堆疊 |
| directoryservice.root\$1password\$1secret\$1arn | |
| cluster.secretsmanager.kms\$1key\$1id | |
| cluster.load\$1balancers.external\$1alb.certificates.private\$1key\$1secret\$1arn | 堆疊 |
| cluster-manager.client\$1secret | |
# 成本監控和控制
**注意**
AWS Budgets 不支援將 Research and Engineering Studio 專案與 建立關聯 AWS GovCloud (US)。
透過 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 建立[預算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)以協助管理成本。價格可能變動。如需完整詳細資訊,請參閱每個 的定價網頁[AWS 此產品中的 服務](architecture-overview.md#aws-services-in-this-product)。
若要協助追蹤成本,您可以將 RES 專案與其中建立的預算建立關聯 AWS Budgets。您必須先啟用帳單成本分配標籤內的環境標籤。
1. 登入 AWS 管理主控台並開啟 [AWS Billing and Cost Management 主控台](https://console.aws.amazon.com/costmanagement/home)。
1. 選擇**成本分配標籤**。
1. 搜尋並選取 `res:Project`和 `res:EnvironmentName`標籤。
1. 選擇 **Activate (啟用)**。
![\[啟用成本分配標籤\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-costtags.png)
**注意**
部署後,RES 標籤最多可能需要一天才會出現。
若要建立 RES 資源的預算:
1. 從帳單主控台中,選擇**預算**。
1. 選擇**建立預算**。
1. 在**預算設定**下,選擇**自訂 (進階)**。
1. 在**預算類型**下,選擇**成本預算 - 建議**。
1. 選擇**下一步**。
![\[選擇預算類型\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-createbudget1-5.png)
1. 在**詳細資訊**下,為您的預算輸入有意義的**預算名稱**,以將其與您帳戶中的其他預算區分開來。例如 `--`。
1. 在**設定預算金額**下,輸入專案的預算金額。
1. 在**預算範圍內**,選擇**篩選特定 AWS 成本維度**。
1. 選擇**新增篩選條件**。
1. 在**維度**下,選擇**標籤**。
1. 在**標籤**下,選取 **res:Project**。
**注意**
標籤和值可能需要兩天的時間才能使用。您可以在專案名稱變成可用時建立預算。
1. 在**值**下,選取專案名稱。
1. 選擇**套用篩選條件**,將專案篩選條件連接至預算。
1. 選擇**下一步**。
![\[設定預算範圍\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-budgets-04.png)
1. (選用。) 新增提醒閾值。
1. 選擇**下一步**。
1. (選用。) 如果已設定提醒,請使用**連接動作**來設定具有提醒的所需動作。
1. 選擇**下一步**。
1. 檢閱預算組態,並確認已**在其他預算參數**下設定正確的標籤。
1. 選擇**建立預算**。
現在預算已建立,您可以啟用專案的預算。若要開啟專案的預算,請參閱 [編輯專案](edit-project.md)。如果超過預算,虛擬桌面將無法啟動。如果在啟動桌面時超過預算,桌面將繼續運作。
![\[超過預算\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-budgets-exceeded.png)
如果您需要變更預算,請返回主控台編輯預算金額。變更在 RES 中最多可能需要 15 分鐘才會生效。或者,您可以編輯專案以停用預算。
# 成本分析儀表板
成本分析儀表板可讓 RES 管理員從 RES 入口網站監控專案預算和一段時間內的專案成本。您可以在專案層級篩選成本。
**Topics**
+ [先決條件](#cost-analysis-dashboard-prerequisites)
+ [具有預算指派圖表的專案](#cost-analysis-dashboard-projects-chart)
+ [時間圖表的成本分析](#cost-analysis-dashboard-over-time)
+ [下載 CSV](#cost-analysis-dashboard-download-csv)
## 先決條件
若要使用 Research and Engineering Studio 的成本儀表板,您必須先:
+ [建立專案](create-project.md).
+ 在 [AWS Billing and Cost Management 主控台](https://console.aws.amazon.com/costmanagement/home)中建立[預算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)。
+ 將預算連接至專案 (請參閱 [編輯專案](edit-project.md))。
+ 為具有新 RES 部署的帳戶啟用成本分析圖表。若要這麼做,請依照下列步驟進行:
1. 為您建立的專案部署 [VDI](virtual-desktops.md)。這會在 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 中佈建`res:Project`標籤,最多可能需要 24 小時。
1. 建立標籤後,**啟用標籤**按鈕會啟動。選擇按鈕以在 Cost Explorer 中啟用標籤。此程序可能需要額外 24 小時。
![\[成本分析上線;要採取的步驟\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-onboarding.png)
## 具有預算指派圖表的專案
**已指派預算的專案**圖表會顯示 RES 環境中已指派預算的專案預算狀態。根據預設,圖表會依預算金額顯示前 5 個專案。您可以在**篩選顯示的資料**下拉式清單中選取特定專案,載入預算指派專案的完整清單。
![\[圖表顯示狀態為指派預算的專案,包括花費、超過和剩餘金額\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projects-budget-assigned.png)
圖表會以 USD 貨幣顯示每個預算的花費、剩餘和超出金額。將滑鼠游標移至長條上,以顯示每個類別的確切 USD 金額。您也可以分別選擇右上角的**檢閱專案**和建立專案按鈕,以開啟專案和**建立專案**頁面。
![\[圖表顯示一個專案的狀態為指派預算和彈出詳細資訊的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projects-budget-dropdown.png)
## 時間圖表的成本分析
**隨時間推移的成本分析**圖表會顯示指定期間內專案的成本明細。根據預設,圖表會顯示過去 6 個月內的每個資料。它會依所選**時間範圍**內的總成本顯示前 5 個專案,以及您選取的**精細程度**。除了前 5 個項目外,所有其他選取的專案都會彙總到**其他**類別下。
![\[圖表顯示所選時間範圍內的成本分析\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-over-time.png)
### 篩選條件
您可以依專案、時間範圍和精細程度進行篩選,以自訂時間圖表檢視**的成本分析**。如果選取任何無效的篩選條件組合,則會彈出一個模態視窗,讓您選擇還原到先前的組態,或接受更新篩選條件組合的建議。
**專案**
當您選擇**篩選顯示的資料**下拉式清單時,您會在目前的 RES 環境中看到專案的完整清單。您會看到專案名稱,並在下面顯示專案代碼。
![\[篩選設定的詳細資訊,顯示為顯示選取的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-filter-modal.png)
**指定時間範圍**
當您指定日期範圍時,可以選擇使用**絕對範圍**或**相對**範圍。當您選取相對範圍時,會使用完整的時間單位來計算日期。例如,如果您在 2025 年 2 月選取**過去 6 個月**選項,這將導致時間範圍為 8/1/24 - 1/31/25。
![\[允許選取相對時間範圍的彈出視窗詳細資訊\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-time-range1.png)
![\[允許選取絕對時間範圍的彈出視窗詳細資訊\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-time-range2.png)
**精細程度**
您可以選擇檢視**每月**、**每日**或**每小時**精細程度的資料。**每小時**精細程度僅支援最多 14 天的日期範圍。**每日**精細程度僅支援最長 14 個月的日期範圍。
![\[允許選取時間範圍精細程度之彈出視窗的詳細資訊\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-granularity.png)
## 下載 CSV
若要匯出目前的成本分析檢視,請選擇時間圖表成本**分析**右上角的**下載 CSV**。下載的 CSV 包含指定期間內每個所選專案的成本資訊,以及依專案和依時段的成本總計。
![\[在試算表應用程式中開啟的下載 CSV 檔案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-cost-analysis-download-csv.png)
# 工作階段管理
工作階段管理為開發和測試工作階段提供靈活且互動式的環境。身為管理使用者,您可以允許使用者在其專案環境中建立和管理互動式工作階段。
**Topics**
+ [儀表板](dashboard.md)
+ [工作階段](sessions.md)
+ [軟體堆疊 (AMIs)](software-stacks.md)
+ [除錯](debug.md)
+ [桌面設定](desktop-settings.md)
# 儀表板
![\[工作階段管理儀表板\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/virtualdesktopdashboard.jpg)
工作階段管理儀表板可讓管理員快速檢視:
1. 執行個體類型
1. 工作階段狀態
1. 基礎作業系統
1. 專案
1. 可用區域
1. 軟體堆疊
此外,管理員可以:
1. 重新整理儀表板以更新資訊。
1. 選擇**檢視工作階段**以導覽至工作階段。
# 工作階段
工作階段會顯示所有在 Research and Engineering Studio 中建立的虛擬桌面。從工作階段頁面,您可以篩選和檢視工作階段資訊或建立新的工作階段。
![\[管理員主控台的工作階段頁面,其中包含顯示功能的編號註釋\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-sessions.jpg)
1. 使用選單,依在指定時間範圍內建立或更新的工作階段篩選結果。
1. 選取工作階段並使用動作功能表來:
1. 繼續工作階段 (s)
1. 停止/休眠工作階段 (s)
1. 強制停止/休眠工作階段 (s)
1. 重新啟動工作階段 (S) – 重新啟動選取的工作階段。此動作也適用於處於 ERROR 狀態的工作階段,允許管理員復原錯誤的 VDIs。
1. 終止工作階段 (s)
1. 強制終止工作階段 (s)
1. Session(s) 運作狀態
1. 建立軟體堆疊
1. 選擇**建立工作階段**以建立新的工作階段。
1. 依名稱搜尋工作階段,並依狀態和作業系統篩選。
1. 選取**工作階段名稱**以檢視更多詳細資訊。
## 建立工作階段
1. 選擇**建立工作階段**。啟動新的虛擬桌面模態隨即開啟。
1. 輸入新工作階段的詳細資訊。
1. (選用。) 開啟**顯示進階選項**,以提供其他詳細資訊,例如子網路 ID 和 DCV 工作階段類型。
1. 選擇**提交**。
![\[管理員主控台頁面的詳細資訊,其中包含要填寫的欄位,以啟動新的虛擬桌面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-createsession.jpg)
## 工作階段詳細資訊
從**工作階段**清單中,選取**工作階段名稱**以檢視工作階段詳細資訊。
![\[具有工作階段詳細資訊檢視的管理員主控台頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-viewsessiondetails.jpg)
# 軟體堆疊 (AMIs)
從軟體堆疊頁面,您可以設定 Amazon Machine Image (AMIs) 或管理現有的映像。
![\[具有編號註釋的軟體堆疊管理主控台頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-softwarestackspage-2026.03.png)
1. 若要搜尋現有的軟體堆疊,請使用作業系統下拉式清單依作業系統篩選。
1. 選取軟體堆疊的名稱,以檢視堆疊的詳細資訊。
1. 選擇軟體堆疊旁的選項按鈕,然後使用**動作**功能表來編輯堆疊,並將堆疊指派給專案。
1. 選擇**註冊軟體堆疊**按鈕來建立新的堆疊。
## 註冊新的軟體堆疊
**註冊軟體堆疊**按鈕可讓您建立新的堆疊:
**注意**
您可以使用未加密的 Systems Manager 參數做為軟體堆疊 ID 的別名。
Systems Manager 參數需要下列標籤,RES 才能存取它們:
金鑰:`res:EnvironmentName`、值:``
金鑰:`res:ModuleName`、值:`virtual-desktop-controller`
1. 選擇**註冊軟體堆疊**。
1. 輸入新軟體堆疊的詳細資訊,包括名稱、描述、AMI ID 和作業系統。
1. (選用) 使用**允許執行個體類型**欄位來指定此軟體堆疊允許的執行個體系列或類型。您可以輸入執行個體系列 (例如 `t3`) 或特定執行個體大小 (例如 `t3.xlarge`)。
1. 選擇**提交**。
![\[管理員主控台彈出式頁面,可讓您註冊新的軟體堆疊\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-register-new-software-stack.png)
## 將軟體堆疊指派給專案
當您建立新的軟體堆疊時,您可以將堆疊指派給專案。但是,如果您需要在初始建立之後將堆疊新增至專案,請執行下列動作:
**注意**
您只能將軟體堆疊指派給您為成員的專案。
1. 在**軟體堆疊**頁面上,選取您要新增至專案之軟體堆疊的選項按鈕。
1. 選擇**動作**。
1. 選擇**編輯**。
1. 使用**專案**下拉式清單選取專案。
![\[管理員主控台顯示欄位以更新專案的軟體堆疊\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-software-stack.png)
1. 選擇**提交**。
您也可以從堆疊詳細資訊頁面編輯軟體堆疊。
## 修改軟體堆疊的 VDI 執行個體清單
對於每個已註冊的軟體堆疊,您可以選擇允許的執行個體系列和類型。每個軟體堆疊的選項清單會依**桌面設定**中定義的選項進行篩選。您可以在該處找到和修改全域**允許的執行個體系列和類型**。
![\[管理員主控台頁面顯示工作階段管理下的桌面設定\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-vdi-instance-list1.png)
**若要編輯軟體堆疊**的允許執行個體系列和類型**屬性:**
1. 在**軟體堆疊**頁面上,選擇軟體堆疊的選項按鈕。
1. 選擇**動作**,然後選取**編輯堆疊**。
1. 從允許執行個體系列和類型下的**下拉式清單中選擇所需的執行個體系列和類型**。
![\[更新軟體堆疊快顯視窗,可讓您編輯允許的執行個體系列和類型\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-vdi-instance-list2.png)
1. 選取**提交**。
**注意**
如果**允許的執行個體系列和類型**全域集包含執行個體系列和該系列內的執行個體類型 (例如 `t3`和 `t3.large`),軟體堆疊**的允許執行個體系列和類型**屬性的可用選項只會包含執行個體系列。
**重要**
從環境層級的允許清單中刪除執行個體類型/系列時,應該會自動從所有軟體堆疊中移除。
在環境層級新增的執行個體類型/系列不會自動新增至軟體堆疊。
## 檢視軟體堆疊詳細資訊
從**軟體堆疊**頁面,選取軟體堆疊名稱以檢視其詳細資訊。您也可以選取軟體堆疊的選項按鈕,選擇**動作**,然後選取**編輯**來編輯軟體堆疊。
## VDI 租用支援
當您註冊新的軟體堆疊或編輯現有的軟體堆疊時,您可以為從此軟體堆疊啟動VDIs 選取租用。支援以下三個租用:
+ 共用 (預設) - 使用共用硬體執行個體執行 VDIs
+ 專用執行個體 - 使用專用執行個體執行 VDIs
+ 專用主機 - 使用專用主機執行 VDIs
![\[管理員主控台彈出式頁面,可讓您選取已啟動 VDIs 的租用類型\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-vdi-tenancy-support1.png)
當您選取專用主機租用類型時,您還必須選取租用親和性和目標主機類型。支援下列目標主機類型:
+ 主機資源群組 - 在 AWS License Manager 中建立的主機資源群組
+ 主機 ID - 特定主機 ID
![\[管理員主控台彈出式頁面,可讓您選取已啟動 VDIs 的租用親和性\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-vdi-tenancy-support2.png)
![\[管理員主控台彈出式頁面,可讓您選取已啟動 VDIs 的目標主機類型\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-vdi-tenancy-support3.png)
若要在啟動 VDIs 時指定 VDI 所需的任何自我管理授權與專用主機租用,請依照《 License *AWS Manager 使用者指南*》中的[建立自我管理授權和 AMIs 的關聯](https://docs.aws.amazon.com/license-manager/latest/userguide/license-rules.html#ami-associations),將授權與 AMI 建立關聯。
## 新增 Rocky Linux 9 軟體堆疊
RES 沒有適用於 Rocky Linux 9 的預設軟體堆疊,因此本節提供使用哪些 Rocky AMI 以及如何使用的建議。
1. 登入 AWS 管理主控台,然後前往 EC2 主控台內的 [AMI 目錄頁面](https://console.aws.amazon.com/ec2/home#AMICatalog)。
1. 在 **AWS Marketplace** 索引標籤下搜尋名稱為 **Rocky Linux 9 **AMIs。
1. 從 **Rocky Linux 選取名為 Rocky Linux 9 的 AMI (官方) - x86\$164**。 ****
![\[AMI 目錄中顯示 Rocky Linux 9 AMI 搜尋結果的螢幕擷取畫面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-rocky-linux9.png)
1. 選取後,選擇**立即訂閱**。
1. 向上捲動,然後複製**所選 AMI 的 AMI** ID。
![\[顯示具有所選 AMI ID 的 AMI 目錄的螢幕擷取畫面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-ami-catalog.png)
1. 前往 RES 入口網站,並使用此 AMI 在軟體堆疊頁面下註冊新的**軟體堆疊**。
# 除錯
除錯面板會顯示與虛擬桌面相關聯的訊息流量。您可以使用此面板來觀察主機之間的活動。虛擬桌面主機索引標籤會顯示執行個體特定活動,而虛擬桌面工作階段索引標籤會顯示進行中工作階段活動。
![\[除錯面板\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-evdi-debug-01.png)
# 桌面設定
您可以使用桌面設定頁面來設定與虛擬桌面相關聯的資源。
![\[桌面設定\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-virtual-desktop-settings.png)
**一般**
**一般**索引標籤可讓您存取設定,例如:
**QUIC**
啟用 QUIC 以偏好 TCP 做為所有虛擬桌面的預設串流通訊協定。
**預設 DCV 工作階段類型**
用於所有虛擬桌面的預設 DCV 工作階段類型。此設定不適用於先前建立的桌面。這僅適用於執行個體類型和作業系統支援虛擬或主控台工作階段類型的情況。
**每個專案每個使用者的預設允許工作階段數**
每個專案每位使用者允許的 VDI 工作階段數量的預設值。
**DCV 工作階段字符過期**
DCV 工作階段字符保持有效的持續時間。當字符過期時,使用者必須從 Web 入口網站重新下載 DCV 連線檔案,才能繼續存取其虛擬桌面工作階段。可用選項為:
+ 1,440 分鐘 (1 天)
+ 10,080 分鐘 (7 天)
+ 43,200 分鐘 (30 天)
![\[桌面設定中的 DCV 工作階段字符過期設定\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/dcv-settings-form.png)
**伺服器**
**伺服器**索引標籤可讓您存取設定,例如:
**DCV 工作階段閒置逾時**
之後 DCV 工作階段會自動中斷連線的時間。這不會變更桌面工作階段的狀態,只會從 DCV 用戶端或 Web 瀏覽器關閉工作階段。
**閒置逾時警告**
閒置警告之後會提供給用戶端的時間。
**CPU 使用率閾值**
要視為閒置的 CPU 使用率。
**根磁碟區大小上限**
虛擬桌面工作階段上根磁碟區的預設大小。
**允許的執行個體類型**
可為此 RES 環境啟動的執行個體系列和大小清單。同時接受執行個體系列和執行個體大小組合。例如,如果您指定 'm7a',則 m7a 系列的所有大小都可以作為 VDI 工作階段啟動。如果您指定 'm7a.24xlarge',則只有 m7a.24xlarge 可供做為 VDI 工作階段啟動。此清單會影響環境中的所有專案。
![\[桌面設定\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-virtual-desktop-settings2.png)
# 環境管理
從 Research and Engineering Studio 的環境管理區段中,管理使用者可以為其研究和工程專案建立和管理隔離的環境。這些環境可包含運算資源、儲存和其他必要的元件,全都在安全的環境中進行。使用者可以設定和自訂這些環境,以滿足其專案的特定需求,讓您更輕鬆地實驗、測試和迭代其解決方案,而不會影響其他專案或環境。
**Topics**
+ [環境狀態](environment-status.md)
+ [環境設定](environment-settings.md)
+ [使用者](users.md)
+ [Groups (群組)](groups.md)
+ [專案](projects.md)
+ [許可政策](permission-profiles.md)
+ [檔案系統](file-system.md)
+ [快照管理](snapshots.md)
+ [Amazon S3 儲存貯體](S3-buckets.md)
# 環境狀態
**環境狀態**頁面會顯示產品中已部署的軟體和主機。它包含軟體版本、模組名稱和其他系統資訊等資訊。
![\[環境狀態頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-environmentstatus.jpg)
# 環境設定
**環境設定**頁面會顯示產品組態詳細資訊,例如:
+ 一般
您可以編輯 Web 入口網站標題和字幕,並將自訂連結新增至 Web 入口網站登入頁面。若要設定自訂連結:
1. 導覽至**環境管理** > **環境設定**。
1. 在**一般**索引標籤下,選擇**編輯**。
1. 在**自訂連結**區段中,選擇**新增連結**。
1. 輸入您要在登入頁面上顯示的每個連結**的標題**和 **URL**。
1. 選擇**提交**來儲存您的變更。
自訂連結會顯示在 Web 入口網站登入頁面上,可讓管理員將使用者導向至 資源,例如內部文件、支援頁面或可接受的使用政策。
![\[環境設定中的自訂連結組態\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/web-links-edit-form.png)
+ 身分提供者
顯示資訊,例如單一登入狀態。
+ 網路
顯示 VPC ID、用於存取的字首清單 IDs。
+ Directory Service
顯示使用者名稱和密碼的作用中目錄設定和服務帳戶秘密管理員 ARN。
# 使用者
從作用中目錄同步的所有使用者都會顯示在使用者頁面上。叢集管理員使用者會在產品組態期間同步使用者。如需初始使用者組態的詳細資訊,請參閱 [組態指南](configuration-guide.md)。
**注意**
管理員只能為作用中使用者建立工作階段。根據預設,所有使用者都會處於非作用中狀態,直到他們登入產品環境為止。如果使用者處於非作用中狀態,請他們先登入,再為其建立工作階段。
![\[使用者\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-users.jpg)
在**使用者**頁面中,您可以:
1. 搜尋使用者。
1. 選取使用者名稱時,請使用**動作**功能表來:
1. 設定為管理員使用者
1. 停用使用者
# Groups (群組)
從作用中目錄同步的所有群組都會出現在群組頁面上。如需群組組態和管理的詳細資訊,請參閱 [組態指南](configuration-guide.md)。
![\[Groups (群組)\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-groups.jpg)
在**群組**頁面中,您可以:
1. 搜尋使用者群組。
1. 選取使用者群組時,請使用**動作**功能表來停用或啟用群組。
1. 選取使用者群組時,您可以展開畫面底部的**使用者**窗格,以檢視群組中的使用者。
# 專案
專案形成虛擬桌面、團隊和預算的界限。建立專案時,您可以定義其設定,例如名稱、描述和環境組態。專案通常包含一或多個環境,可自訂以符合專案的特定需求,例如運算資源的類型和大小、軟體堆疊和聯網組態。
**Topics**
+ [檢視專案](view-projects.md)
+ [建立專案](create-project.md)
+ [編輯專案](edit-project.md)
+ [停用專案](disable-project.md)
+ [刪除專案](delete-project.md)
+ [從專案新增或移除標籤](tag-project.md)
+ [檢視與專案相關聯的檔案系統](view-project-file-systems.md)
+ [新增啟動範本](project-launch-template.md)
# 檢視專案
![\[專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projects.jpg)
專案儀表板提供您可用的專案清單。從專案儀表板,您可以:
1. 您可以使用搜尋欄位來尋找專案。
1. 選取專案時,您可以使用**動作**功能表來:
1. 編輯專案
1. 停用或啟用專案
1. 更新專案標籤
1. 刪除專案
1. 您可以選擇**建立專案**來建立新的專案。
# 建立專案
1. 選擇**建立專案**。
1. 輸入專案詳細資訊。
專案 ID 是可用來追蹤 中成本分配的資源標籤 AWS Cost Explorer Service。如需詳細資訊,請參閱[啟用使用者定義的成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)。
**重要**
專案 ID 無法在建立後變更。
如需**進階選項**的詳細資訊,請參閱 [新增啟動範本](project-launch-template.md)。
1. (選用) 開啟專案的預算。如需預算的詳細資訊,請參閱 [成本監控和控制](cost-management.md)。
1. 主目錄檔案系統可以使用共用主檔案系統 (預設)、EFS、FSx for Lustre、FSx NetApp ONTAP 或 EBS 磁碟區儲存。
共用的主檔案系統、EFS、FSx for Lustre 和 FSx NetApp ONTAP 可以跨多個專案和 VDIs 共用。不過,EBS 磁碟區儲存選項會要求該專案中的每個 VDI 擁有自己的主目錄,這些目錄不會在其他 VDIs 或專案之間共用。您也可以從單一 FSx NetApp ONTAP 檔案系統加入多個磁碟區。
![\[使用資源組態建立新的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-create-new-project.png)
1. 指派使用者、群組或兩個適當的角色 (「專案成員」或「專案擁有者」)。如需每個角色可採取的動作[預設許可設定檔](permission-matrix.md),請參閱 。
1. 選擇**提交**。
# 編輯專案
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**編輯專案**。
1. 輸入您的更新。
如果您想要啟用預算,請參閱 [成本監控和控制](cost-management.md) 以取得詳細資訊。當您選擇專案的預算時,預算下拉式清單選項可能會有幾秒鐘的載入延遲,如果您看不到剛建立的預算,請選擇下拉式清單旁的重新整理按鈕。
如需**進階選項**的詳細資訊,請參閱 [新增啟動範本](project-launch-template.md)。
1. 選擇**提交**。
![\[編輯專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-editproject.png)
# 停用專案
若要停用專案:
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**停用專案**。
![\[顯示動作功能表下拉式清單選項的專案頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-disable-project1.png)
1. 如果停用專案,與該專案相關聯的所有 VDI 工作階段都會停止。這些工作階段無法在專案停用時重新啟動。
![\[專案頁面顯示成功停用專案橫幅\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-disable-project2.png)
# 刪除專案
若要刪除專案:
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**刪除專案**。
![\[顯示動作下拉式清單選項的專案頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project1.png)
1. 確認快顯視窗隨即出現。輸入專案的名稱,然後選擇**是**來刪除專案。
![\[刪除專案確認快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project-confirm.png)
1. 如果刪除專案,與該專案相關聯的所有 VDI 工作階段都會終止。
![\[環境管理下的專案頁面,橫幅顯示成功刪除專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project3.png)
# 從專案新增或移除標籤
專案標籤會將標籤指派給在該專案下建立的所有執行個體。
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**更新標籤**。
1. 選擇**新增標籤**,然後輸入**金鑰**的值。
1. 若要移除標籤,請選擇您要**移除**之標籤旁的移除。
# 檢視與專案相關聯的檔案系統
選取專案時,您可以展開畫面底部的**檔案系統**窗格,以檢視與專案相關聯的檔案系統。
![\[檢視與專案相關聯的檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projectfilesystems.jpg)
# 新增啟動範本
建立或編輯專案時,您可以使用專案組態中的**進階選項**來新增啟動範本。啟動範本為專案中的所有 VDI 執行個體提供額外的組態,例如安全群組、IAM 政策和啟動指令碼。
## 新增政策
您可以新增 IAM 政策來控制專案下部署之所有執行個體的 VDI 存取。若要加入政策,請使用下列鍵值對標記政策:
```
res:Resource/vdi-host-policy
```
如需 IAM 角色的詳細資訊,請參閱 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
### 新增安全群組
您可以新增安全群組來控制專案下所有 VDI 執行個體的輸出和輸入資料。若要加入安全群組,請使用下列鍵值對標記安全群組:
```
res:Resource/vdi-security-group
```
如需安全群組的詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組控制資源 AWS 的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。
### 新增啟動指令碼
您可以新增啟動指令碼,這些指令碼將在專案中的所有 VDI 工作階段上啟動。RES 支援 Linux 和 Windows 的指令碼啟動。對於指令碼啟動,您可以選擇:
**VDI 啟動時執行指令碼**
此選項會在執行任何 RES 組態或安裝之前,在 VDI 執行個體的開頭啟動指令碼。
**設定 VDI 時執行指令碼**
此選項會在 RES 組態完成後啟動指令碼。
指令碼支援下列選項:
| 指令碼組態 | 範例 |
| --- | --- |
| S3 URI | s3://bucketname/script.sh |
| HTTPS URL (HTTPS URL) | https://sample.samplecontent.com/sample |
| 本機檔案 | file:///user/scripts/example.sh |
在 S3 儲存貯體上託管的所有自訂指令碼都需要使用下列標籤佈建:
```
res:EnvironmentName/
```
對於**引數**,請提供以逗號分隔的任何引數。
![\[專案組態的範例\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projectconfigexample.png)
啟動指令碼的範例範本。
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# 許可政策
Research and Engineering Studio (RES) 允許管理使用者建立自訂許可設定檔,以授予所選使用者管理其所屬專案的額外許可。每個專案都有兩個[預設許可設定檔](permission-matrix.md):「專案成員」和「專案擁有者」,可在部署後自訂。
目前,管理員可以使用許可設定檔授予兩個許可集合:
1. 專案管理許可包含「更新專案成員資格」,可讓指定的使用者將其他使用者和群組新增至專案,或從中移除,以及「更新專案狀態」,以允許指定的使用者啟用或停用專案。
1. VDI 工作階段管理許可包含「建立工作階段」,允許指定的使用者在其專案中建立 VDI 工作階段,以及「建立/終止另一個使用者的工作階段」,允許指定的使用者建立或終止專案中其他使用者的工作階段。
透過這種方式,管理員可以將專案型許可委派給其環境中的非管理員。
**Topics**
+ [專案管理許可](permission-profiles-permission-project-management.md)
+ [VDI 工作階段管理許可](permission-profiles-permission-vdi-sessions.md)
+ [管理許可設定檔](permission-profiles-permission-management.md)
+ [預設許可設定檔](permission-matrix.md)
+ [環境界限](permission-profiles-environment-boundaries.md)
+ [桌面共用設定檔](permission-profiles-desktop-sharing-profiles.md)
# 專案管理許可
**更新專案成員資格 **
此許可允許獲得授予的非管理員使用者從專案新增和移除使用者或群組。它還允許他們設定許可設定檔,並決定該專案所有其他使用者和群組的存取層級。
![\[團隊組態快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-membership.png)
**更新專案狀態 **
此許可允許獲得授權的非管理員使用者使用專案頁面上**的動作**按鈕啟用或停用**專案**。
![\[環境管理下的管理員主控台專案視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-status.png)
# VDI 工作階段管理許可
**建立工作階段**
控制是否允許使用者從**我的虛擬桌面**頁面啟動自己的 VDI 工作階段。停用此選項可拒絕非管理員使用者啟動自己的 VDI 工作階段。使用者一律可以停止和終止自己的 VDI 工作階段。
如果非管理員使用者沒有建立工作階段的許可,則會為他們停用**啟動新的虛擬桌面**按鈕,如下所示:
![\[沒有許可的非管理員使用者已停用啟動新的虛擬桌面按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**建立或終止其他人的工作階段**
允許非管理員使用者從左側導覽窗格存取**工作階段**頁面。這些使用者將能夠在獲得此許可的專案中為其他使用者啟動 VDI 工作階段。
如果非管理員使用者具有為其他使用者啟動工作階段的許可,其左側導覽窗格將顯示**工作階段****管理下的工作階段**連結,如下所示:
![\[工作階段管理的非管理員快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-link-displayed.png)
如果非管理員使用者沒有為其他人建立工作階段的許可,其左側導覽窗格將不會顯示**工作階段管理**,如下所示:
![\[工作階段管理連結會由非管理員使用者隱藏,無需為其他人建立工作階段的許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-hidden-link.png)
# 管理許可設定檔
身為 RES 管理員,您可以執行下列動作來管理許可設定檔。
**列出許可設定檔**
+ 從研究和工程 Studio 主控台頁面,選擇左側導覽窗格中的**許可政策**。在此頁面上,您可以建立、更新、列出、檢視和刪除許可設定檔。
![\[管理員可以列出許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/project-roles.png)
**檢視許可設定檔**
1. 在主要**許可設定檔**頁面上,選取要檢視的許可設定檔名稱。在此頁面上,您可以編輯或刪除選取的許可設定檔。
![\[管理員可以編輯或刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-1.png)
1. 選取**受影響的專案**索引標籤,以檢視目前使用許可設定檔的專案。
![\[管理員可以檢視受許可設定檔影響的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-2.png)
**建立許可設定檔**
1. 在主要**許可設定檔**頁面上,選擇**建立設定檔**以建立許可設定檔。
1. 輸入許可設定檔名稱和描述,然後選取要授予您指派給此設定檔之使用者或群組的許可。
![\[管理員可以建立許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-create.png)
**編輯許可設定檔**
+ 在主要**許可設定檔**頁面上,按一下其旁邊的圓圈來選取設定檔,選擇**動作**,然後選擇**編輯設定檔**以更新該許可設定檔。
![\[管理員可以編輯許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-edit.png)
**刪除許可設定檔**
+ 在主要**許可設定檔**頁面上,按一下其旁邊的圓圈來選取設定檔,選擇**動作**,然後選擇**刪除設定檔**。您無法刪除任何現有專案所使用的許可設定檔。
![\[管理員可以刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-delete.png)
# 預設許可設定檔
每個 RES 專案都隨附兩個預設許可設定檔,可供全球管理員設定。(此外,全球管理員可以建立和修改專案的新許可設定檔。) 下表顯示預設許可設定檔的允許許可:「專案成員」和「專案擁有者」。許可設定檔及其授予選取專案使用者的許可,僅適用於其所屬的專案;全球管理員是跨所有專案擁有以下所有許可的超級使用者。
| 許可 | Description | 專案成員 | 專案擁有者 |
| --- | --- | --- | --- |
| 建立工作階段 | 建立您自己的工作階段。使用者一律可以使用或不使用此許可來停止和終止自己的工作階段。 | X | X |
| 建立/終止其他人的工作階段 | 在專案中建立或終止其他使用者的工作階段。 | | X |
| 更新專案成員資格 | 更新與專案相關聯的使用者和群組。 | | X |
| 更新專案狀態 | 啟用或停用專案。 | | X |
# 環境界限
環境界限可讓 Research and Engineering Studio (RES) 管理員設定全域對所有使用者生效的許可。這包括**檔案瀏覽器和 SSH 許可**、**桌面許可**和**桌面進階設定**等許可。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)
# 設定檔案瀏覽器存取
RES 管理員可以在**檔案瀏覽器許可**下開啟或關閉**存取資料**。如果關閉**存取資料**,使用者將無法在其 Web 入口網站中看到**檔案瀏覽器**導覽,也無法上傳或下載連接至其全域檔案系統的資料。啟用**存取資料**時,使用者可以在其 Web 入口網站中存取**檔案瀏覽器**導覽,以允許他們上傳或下載連接到其全域檔案系統的資料。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
當**存取資料**功能開啟,然後關閉時,已登入 Web 入口網站的使用者將無法上傳或下載檔案,即使他們位於對應的頁面上。此外,導覽功能表會在重新整理頁面時消失。
# 設定 SSH 存取
管理員可以從**環境邊界**區段啟用或停用 RES 環境的 SSH。SSH 存取 VDIs 是透過堡壘主機來促進。當您啟用此切換時,RES 會部署堡壘主機,並讓使用者可以看到 SSH 存取指示頁面。當您停用切換時,RES 會停用 SSH 存取、終止堡壘主機,並移除使用者的 SSH 存取指示頁面。此切換預設為停用。
**注意**
當 RES 部署堡壘主機時,會在您的帳戶中新增 `t3.medium` Amazon EC2 執行個體 AWS 。您需負責支付與此執行個體相關的所有費用。如需詳細資訊,請參閱 [ Amazon EC2 定價頁面](https://aws.amazon.com/ec2/pricing/on-demand/)。
**啟用 SSH 存取**
1. 在 RES 主控台的左側導覽窗格中,選擇**環境管理**,然後選擇**許可政策**。在**環境邊界**下,選取 **SSH 存取**切換。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. 等待啟用 SSH 存取。
![\[建議橫幅會顯示在管理主控台環境管理下的許可政策頁面上\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-enable-ssh.png)
1. 新增堡壘主機後,即會啟用 SSH 存取。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)
使用者可從左側導覽窗格看到 **SSH 存取指示**頁面。
![\[SSH 存取指示頁面顯示 Linux 和 Windows 的步驟\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**停用 SSH 存取**
1. 在 RES 主控台的左側導覽窗格中,選擇**環境管理**,然後選擇**許可政策**。在**環境邊界**下,選取 **SSH 存取**切換。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. 等待停用 SSH 存取。
![\[橫幅顯示正在許可政策頁面上停用 SSH 存取\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-disable-ssh.png)
1. 程序完成後,會停用 SSH 存取。
![\[許可政策頁面顯示 SSH 存取已停用\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
# 設定桌面許可
管理員可以開啟或關閉**桌面許可**,以全域管理所有工作階段擁有者的 VDI 功能。所有這些許可或子集都可用來建立**桌面共用設定檔**,以決定共用桌面的使用者可執行的動作。如果停用任何桌面許可,這會自動停用**桌面共用設定檔**中的對應許可。這些許可會標記為「全域停用」。即使管理員再次啟用此桌面許可,桌面共用設定檔中的許可仍會保持停用狀態,直到管理員手動啟用為止。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)
# 桌面共用設定檔
管理員可以建立新的設定檔並自訂它們。所有使用者都可以存取這些設定檔,並在與他人共用工作階段時使用。這些設定檔中授予的最大許可不能超過全域允許的桌面許可。
**建立設定檔**
管理員可以選擇**建立設定檔**來建立新的設定檔。然後,他們可以輸入**設定檔名稱**、**設定檔描述**、設定所需的許可,以及**儲存**其變更。
![\[桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/desktop-sharing-profiles.png)
![\[設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition.png)
**編輯設定檔**
**若要編輯設定檔:**
1. 選取所需的設定檔。
1. 選擇**動作**,然後選取**編輯**以修改設定檔。
1. 視需要調整許可。
1. 選擇**儲存變更**。
對設定檔所做的任何變更都會立即套用至目前開啟的工作階段。
![\[已選取 testprofile_1 的桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[testProfile_1 的設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition2.png)
# 檔案系統
![\[檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/home-file-systems.png)
從檔案系統頁面,您可以:
1. 搜尋檔案系統。
1. 選取檔案系統時,請使用**動作**功能表來:
1. 將檔案系統新增至專案。
1. 從專案中移除檔案系統
1. 加入新的檔案系統。
1. 選取檔案系統時,您可以展開畫面底部的窗格,以檢視檔案系統詳細資訊。
**Topics**
+ [加入檔案系統](onboard-file-system.md)
# 加入檔案系統
**注意**
若要成功加入檔案系統,它必須共用相同的 VPC 和至少一個 RES 子網路。您還必須確保已正確設定安全群組,以便您的 VDIs 可以存取檔案系統的內容。
1. 選擇**加入檔案系統**。
1. 從下拉式清單中選取檔案系統。模態將以其他詳細資訊項目展開。
![\[選取檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-selectfilesystem.jpg)
1. 輸入檔案系統詳細資訊。
**注意**
根據預設,管理員和專案擁有者可以在建立新專案時選擇主檔案系統,之後就無法編輯。
旨在用作專案上主目錄的檔案系統必須透過將其**掛載目錄**路徑設定為 來加入`/home`。這將在主目錄檔案系統下拉式清單選項上填入加入的檔案系統。此功能有助於隔離跨專案的資料,因為只有與專案相關聯的使用者才能透過其 VDIs 存取檔案系統。VDIs會將檔案系統掛載在檔案系統加入期間選取的掛載點。
1. 選擇**提交**。
![\[選取檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-filesystemdetails.jpg)
## 來自單一 ONTAP 檔案系統的多個磁碟區
RES 支援從單一的 NetApp ONTAP 檔案系統加入多個磁碟區。這可讓管理員在同一個 ONTAP 檔案系統中跨不同磁碟區組織資料,同時讓每個磁碟區獨立供專案使用。
若要從已加入的 ONTAP 檔案系統加入其他磁碟區:
1. 選擇**加入檔案系統**。
1. 從下拉式清單中選取相同的 ONTAP 檔案系統。
1. 在**磁碟**區欄位中,選取與檔案系統不同的磁碟區。
1. 為此磁碟區指定唯一的**掛載目錄**。
1. 選擇**提交**。
**注意**
來自相同 ONTAP 檔案系統的每個磁碟區都必須使用唯一的掛載目錄加入。磁碟區可以獨立指派給不同的專案。
# 快照管理
快照管理可簡化在環境之間儲存和遷移資料的程序,確保一致性和準確性。使用快照,您可以儲存環境狀態,並將資料遷移至具有相同狀態的新環境。
![\[快照管理頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-snapshotmanagement.png)
從**快照管理**頁面,您可以:
1. 檢視所有建立的快照及其狀態。
1. 建立快照。您必須先建立具有適當許可的儲存貯體,才能建立快照。
1. 檢視所有套用的快照及其狀態。
1. 套用快照。
**Topics**
+ [建立快照](create-snapshot.md)
+ [套用快照](apply-snapshot.md)
# 建立快照
您必須先提供具備必要許可的 Amazon S3 儲存貯體,才能建立快照。如需與建立儲存貯體相關的資訊,請參閱[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。啟用儲存貯體版本控制和伺服器存取記錄。您可以在佈建後從儲存貯體的**屬性**索引標籤啟用這些設定。
**注意**
此 Amazon S3 儲存貯體的生命週期將不會在產品中管理。您將需要從 主控台管理儲存貯體生命週期。
**若要將許可新增至儲存貯體:**
1. 從儲存貯體清單中選取您建立**的儲存貯體**。
1. 選取**許可**索引標籤。
1. 在 **Bucket policy (儲存貯體政策)** 下方,選擇 **Edit (編輯)**。
1. 將下列陳述式新增至儲存貯體政策。以您自己的值取代這些值:
+ *111122223333* -> AWS 您的帳戶 ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> 您的 RES 環境名稱
+ *amzn-s3-demo-bucket* -> 您的 S3 儲存貯體名稱
**重要**
支援的版本字串有限 AWS。如需詳細資訊,請參閱[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**若要建立快照:**
1. 選擇 **Create Snapshot (建立快照)**。
1. 輸入您建立的 Amazon S3 儲存貯體名稱。
1. 輸入您希望快照存放在儲存貯體中的路徑。例如 **october2023/23**。
1. 選擇**提交**。
![\[建立新的快照\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-createsnapshot.png)
1. 5 到 10 分鐘後,在快照頁面上選擇**重新整理**以檢查狀態。在狀態從 IN\$1PROGRESS 變更為 COMPLETED 之前,快照將無效。
# 套用快照
建立環境快照後,您可以將該快照套用至新環境以遷移資料。您將需要將新的政策新增至儲存貯體,以允許環境讀取快照。
套用快照會複製資料,例如使用者許可、專案、軟體堆疊、許可設定檔和檔案系統與其與新環境的關聯。使用者工作階段將不會複寫。套用快照時,它會檢查每個資源記錄的基本資訊,以判斷它是否已存在。對於重複的記錄,快照會略過在新環境中建立資源。對於類似 的記錄,例如共用名稱或金鑰,但其他基本資源資訊會有所不同,它會使用以下慣例建立具有修改名稱和金鑰的新記錄:`RecordName_SnapshotRESVersion_ApplySnapshotID`。`ApplySnapshotID` 看起來像時間戳記,可識別每次嘗試套用快照。
在快照應用程式期間,快照會檢查資源的可用性。新環境無法使用的資源將不會建立。對於具有相依資源的資源,快照會檢查相依資源的可用性。如果相依資源無法使用,則會在沒有相依資源的情況下建立主要資源。
如果新環境不如預期或失敗,您可以檢查日誌群組中找到的 CloudWatch 日誌`/res-/cluster-manager`以取得詳細資訊。每個日誌都會有 【套用快照】 標籤。套用快照後,您可以從 [快照管理](snapshots.md)頁面檢查其狀態。
**若要將許可新增至儲存貯體:**
1. 從儲存貯體清單中選取您建立**的儲存貯體**。
1. 選取**許可**索引標籤。
1. 在 **Bucket policy (儲存貯體政策)** 下方,選擇 **Edit (編輯)**。
1. 將下列陳述式新增至儲存貯體政策。以您自己的值取代這些值:
+ *111122223333* -> AWS 您的帳戶 ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> 您的 RES 環境名稱
+ *amzn-s3-demo-bucket* -> 您的 S3 儲存貯體名稱
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**若要套用快照:**
1. 選擇**套用快照**。
1. 輸入包含快照的 Amazon S3 儲存貯體名稱。
1. 輸入儲存貯體中快照的檔案路徑。
1. 選擇**提交**。
![\[套用快照\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-applysnapshot.png)
1. 5 到 10 分鐘後,在快照管理頁面上選擇**重新整理**以檢查狀態。
# Amazon S3 儲存貯體
Research and Engineering Studio (RES) 支援將 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)掛載到 Linux Virtual Desktop Infrastructure (VDI) 執行個體。RES 管理員可以將 S3 儲存貯體加入 RES、將其連接至專案、編輯其組態,以及移除**環境管理**下 S3 儲存貯體索引標籤中的儲存貯體。
S3 儲存貯體儀表板提供您可使用的已加入 S3 儲存貯體清單。從 S3 儲存貯體儀表板,您可以:
1. 使用**新增儲存貯**體將 S3 儲存貯體加入 RES。
1. 選取 S3 儲存貯體並使用**動作**功能表來:
+ 編輯儲存貯體
+ 移除儲存貯體
1. 使用搜尋欄位依儲存貯體名稱搜尋,並尋找已加入的 S3 儲存貯體。
![\[S3 儲存貯體清單可讓您依儲存貯體名稱搜尋並尋找加入的儲存貯體\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-list-bucket.png)
下列各節說明如何在 RES 專案中管理 Amazon S3 儲存貯體。
**Topics**
+ [隔離 VPC 部署的 Amazon S3 儲存貯體先決條件](S3-buckets-prereqs.md)
+ [新增 Amazon S3 儲存貯體](S3-buckets-add.md)
+ [編輯 Amazon S3 儲存貯體](S3-buckets-edit.md)
+ [移除 Amazon S3 儲存貯體](S3-buckets-remove.md)
+ [資料隔離](S3-buckets-data-isolation.md)
+ [跨帳戶儲存貯體存取](S3-buckets-cross-account-access.md)
+ [防止私有 VPC 中的資料洩漏](S3-buckets-preventing-exfiltration.md)
+ [疑難排解](S3-buckets-troubleshooting.md)
+ [啟用 CloudTrail](S3-buckets-enabling-cloudtrail.md)
# 隔離 VPC 部署的 Amazon S3 儲存貯體先決條件
如果您要在隔離的 VPC 中部署 Research and Engineering Studio,請在 AWS 帳戶中部署 RES 之後,依照下列步驟更新 lambda 組態參數。
1. 登入部署 Research and Engineering Studio 之 AWS 帳戶的 Lambda 主控台。
1. 尋找並導覽至名為 的 Lambda 函數`-vdc-custom-credential-broker-lambda`。
1. 選取 函數的**組態**索引標籤。
![\[隔離 VPC 環境變數\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. 在導覽窗格中,選擇**環境變數**以檢視該區段。
1. 選擇**編輯**,並將下列新環境變數新增至函數:
+ 索引鍵:`AWS_STS_REGIONAL_ENDPOINTS`
+ 值:`regional`
1. 選擇**儲存**。
# 新增 Amazon S3 儲存貯體
**若要將 S3 儲存貯體新增至您的 RES 環境:**
1. 選擇**新增儲存貯體**。
1. 輸入儲存貯體詳細資訊,例如儲存貯體名稱、ARN 和掛載點。
**重要**
提供的儲存貯體 ARN、掛載點和模式無法在建立後變更。
儲存貯體 ARN 可以包含字首,將加入的 S3 儲存貯體與該字首隔離。
1. 選取要加入儲存貯體的模式。
**重要**
[資料隔離](S3-buckets-data-isolation.md) 如需使用特定模式隔離資料的詳細資訊,請參閱 。
1. 在**進階選項**下,您可以提供 IAM 角色 ARN 來掛載儲存貯體以進行跨帳戶存取。請依照 中的步驟[跨帳戶儲存貯體存取](S3-buckets-cross-account-access.md)建立跨帳戶存取所需的 IAM 角色。
1. (選用) 將儲存貯體與專案建立關聯,稍後可以變更。不過,S3 儲存貯體無法掛載到專案的現有 VDI 工作階段。只有專案與儲存貯體建立關聯之後啟動的工作階段,才會掛載儲存貯體。
1. 選擇**提交**。
![\[新增儲存貯體頁面,顯示可用的儲存貯體設定欄位並提交按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-add-bucket.png)
# 編輯 Amazon S3 儲存貯體
1. 在 S3 儲存貯體清單中選取 S3 儲存貯體。
1. 從**動作**功能表中,選取**編輯**。
1. 輸入您的更新。
**重要**
將專案與 S3 儲存貯體建立關聯**不會**將儲存貯體掛載到該專案的現有虛擬桌面基礎設施 (VDI) 執行個體。只有在儲存貯體與該專案相關聯之後,儲存貯體才會掛載到專案中啟動的 VDI 工作階段。
取消專案與 S3 儲存貯體的關聯不會影響 S3 儲存貯體中的資料,但會導致桌面使用者無法存取該資料。
1. 選擇**儲存儲存貯體設定**。
![\[編輯 S3 儲存貯體頁面,其中已輸入顯示名稱和專案關聯欄位,並反白顯示儲存貯體設定按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-edit-bucket.png)
# 移除 Amazon S3 儲存貯體
1. 在 S3 儲存貯體清單中選取 S3 儲存貯體。
1. 從**動作**功能表中,選取**移除**。
**重要**
您必須先從儲存貯體中移除所有專案關聯。
移除操作不會影響 S3 儲存貯體中的資料。它只會移除 S3 儲存貯體與 RES 的關聯。
移除儲存貯體會導致現有的 VDI 工作階段在該工作階段的登入資料過期時 (\$11 小時) 無法存取該儲存貯體的內容。
# 資料隔離
當您將 S3 儲存貯體新增至 RES 時,您可以選擇將儲存貯體中的資料隔離給特定專案和使用者。在**新增儲存貯**體頁面上,您可以選擇唯讀 (R) 或讀寫 (R/W) 模式。
**唯讀**
`Read Only (R)` 如果選取 ,則會根據儲存貯體 ARN (Amazon Resource Name) 的字首強制執行資料隔離。例如,如果管理員使用 ARN 將儲存貯體新增至 RES,`arn:aws:s3:::bucket-name/example-data/`並將此儲存貯體與專案 A 和專案 B 建立關聯,則從專案 A 和專案 B 內啟動 VDIs 的使用者只能讀取路徑 `bucket-name`下位於 中的資料`/example-data`。他們將無法存取該路徑以外的資料。如果沒有字首附加到儲存貯體 ARN,則整個儲存貯體將提供給與其相關聯的任何專案。
**讀取和寫入**
如果選取 `Read and Write (R/W)` ,仍會根據儲存貯體 ARN 的字首強制執行資料隔離,如上所述。此模式有其他選項,可讓管理員為 S3 儲存貯體提供以變數為基礎的字首。`Read and Write (R/W)` 選取 時,自訂字首區段會變成可用,提供具有下列選項的下拉式功能表:
+ 沒有自訂字首
+ /%p
+ /%p/%u
![\[新增儲存貯體頁面,顯示自訂字首下拉式清單\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/add-bucket-custom-prefix.png)
**無自訂資料隔離 **
為**自訂字首**選取 `No custom prefix` 時,會新增儲存貯體,而沒有任何自訂資料隔離。這可讓與儲存貯體相關聯的任何專案具有讀取和寫入存取權。例如,如果管理員使用`arn:aws:s3:::bucket-name``No custom prefix`選取的 ARN 將儲存貯體新增至 RES,並將此儲存貯體與專案 A 和專案 B 建立關聯,則從專案 A 和專案 B 內啟動 VDIs 的使用者將擁有儲存貯體不受限制的讀取和寫入存取權。
**每個專案層級的資料隔離 **
為**自訂字首**選取 `/%p` 時,儲存貯體中的資料會隔離至與其相關聯的每個特定專案。`%p` 變數代表專案程式碼。例如,如果管理員使用`arn:aws:s3:::bucket-name`具有`/%p`所選 和 */ 儲存貯體***掛載點**的 ARN 將儲存貯體新增至 RES,並將此儲存貯體與專案 A 和專案 B 建立關聯,則專案 A 中的使用者 A 可以將檔案寫入 */ 儲存貯體*。專案 A 中的使用者 B 也可以查看使用者 A 在 */ 儲存貯*體中撰寫的檔案。不過,如果使用者 B 在專案 B 中啟動 VDI 並在 */ 儲存貯*體中尋找,他們將不會看到使用者 A 所撰寫的檔案,因為資料是由專案隔離。檔案 使用者 A 寫入在 S3 儲存貯體的字首下找到,`/ProjectA`而使用者 B 只能在從專案 B 使用其 VDIs`/ProjectB`時存取 。
**每個專案、每個使用者層級的資料隔離 **
選取**自訂字首**`/%p/%u`時,儲存貯體中的資料會與該專案相關聯的每個特定專案和使用者隔離。`%p` 變數代表專案程式碼,而 `%u`代表使用者名稱。例如,管理員使用 `arn:aws:s3:::bucket-name` ARN 搭配`/%p/%u`選取的 和掛載點 */ 儲存貯體*,將儲存貯體新增至 RES。此儲存貯體與專案 A 和專案 B 相關聯。專案 A 中的使用者 A 可以將檔案寫入 */ 儲存貯體*。與先前僅隔離的情況不同`%p`,在此情況下,使用者 B 不會看到使用者 A 在 */ 儲存貯*體的專案 A 中寫入的檔案,因為資料是由專案和使用者所隔離。檔案 使用者 A 寫入位於 S3 儲存貯體的字首下,`/ProjectA/UserA`而使用者 B 只能在專案 A 中使用其 VDIs`/ProjectA/UserB`時存取。
# 跨帳戶儲存貯體存取
RES 能夠從其他 AWS 帳戶掛載儲存貯體,前提是這些儲存貯體具有適當的許可。在下列案例中,帳戶 A 中的 RES 環境想要在帳戶 B 中掛載 S3 儲存貯體。
**步驟 1:在 RES 部署所在的帳戶中建立 IAM 角色 *(這將稱為帳戶 A)*:**
1. 登入需要存取 S3 儲存貯體 (帳戶 A) 之 RES 帳戶的 AWS 管理主控台。
1. 開啟 IAM 主控台:
1. 導覽至 IAM 儀表板。
1. 在導覽窗格中,選擇**政策**。
1. 建立政策:
1. 選擇**建立政策**。
1. 選取 **JSON** 標籤。
1. 貼上下列 JSON 政策 (`amzn-s3-demo-bucket`以位於帳戶 B 的 S3 儲存貯體名稱取代):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. 選擇**下一步**。
1. 檢閱並建立政策:
1. 提供政策的名稱 (例如,「S3AccessPolicy」)。
1. 新增選用的描述來解釋政策的目的。
1. 檢閱政策,然後選擇**建立政策**。
1. 開啟 IAM 主控台:
1. 導覽至 IAM 儀表板。
1. 在導覽窗格中,選擇**角色**。
1. 建立角色:
1. 選擇建**立角色**。
1. 選擇**自訂信任政策**作為信任實體的類型。
1. 貼上下列 JSON 政策 (`111122223333`以帳戶 A 的實際帳戶 ID 取代,`{RES_ENVIRONMENT_NAME}`並以 RES 部署的環境名稱取代:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇**下一步**。
1. 連接許可政策:
1. 搜尋並選取您先前建立的政策。
1. 選擇**下一步**。
1. 標記、檢閱和建立角色:
1. 輸入角色名稱 (例如 "S3AccessRole")。
1. 在步驟 3 下,選擇**新增標籤**,然後輸入下列索引鍵和值:
+ 索引鍵:`res:Resource`
+ 值:`s3-bucket-iam-role`
1. 檢閱角色,然後選擇**建立角色**。
1. 在 RES 中使用 IAM 角色:
1. 複製您建立的 IAM 角色 ARN。
1. 登入 RES 主控台。
1. 在左側導覽窗格中,選擇 **S3 儲存貯**體。
1. 選擇**新增儲存貯**體,並使用跨帳戶 S3 儲存貯體 ARN 填寫表單。
1. 選擇**進階設定 - 選用**下拉式清單。
1. 在 IAM 角色 ARN 欄位中輸入角色 ARN。
1. 選擇**新增儲存貯體**。
**步驟 2:修改帳戶 B 中的儲存貯體政策**
1. 登入帳戶 B 的 AWS 管理主控台。
1. 開啟 S3 主控台:
1. 導覽至 S3 儀表板。
1. 選取您要授予存取權的儲存貯體。
1. 編輯儲存貯體政策:
1. 選取**許可**索引標籤,然後選擇**儲存貯體政策**。
1. 新增下列政策,以授予帳戶 A 對儲存貯體的 IAM 角色存取權 (將 *111122223333* 取代為帳戶 A 的實際帳戶 ID,並將 *amzn-s3-demo-bucket* 取代為 S3 儲存貯體的名稱):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. 選擇**儲存**。
# 防止私有 VPC 中的資料洩漏
若要防止使用者將資料從安全的 S3 儲存貯體滲透到其帳戶中自己的 S3 儲存貯體,您可以連接 VPC 端點來保護您的私有 VPC。下列步驟說明如何為 S3 服務建立 VPC 端點,以支援存取您帳戶中的 S3 儲存貯體,以及具有跨帳戶儲存貯體的任何其他帳戶。
1. 開啟 Amazon VPC 主控台:
1. 登入 AWS 管理主控台。
1. 開啟位於 https://[https://console.aws.amazon.com/vpcconsole/ 的 Amazon VPC ](https://console.aws.amazon.com/vpcconsole)主控台。
1. 建立 S3 的 VPC 端點:
1. 在左側導覽窗格中選擇 **Endpoints** (端點)。
1. 選擇**建立端點**。
1. 請確定在 **Service category** (服務類別) 欄位,您已選擇 **AWS services** (AWS 服務)。
1. 在**服務名稱**欄位中,輸入 `com.amazonaws..s3`(``取代您的 AWS 區域) 或搜尋 "S3"。
1. 從清單中選擇 S3 服務。
1. 設定端點設定:
1. 針對 **VPC**,選取您要建立端點的 VPC。
1. 針對**子網路**,選取部署期間用於 VDI 子網路的兩個私有子網路。
1. 針對**啟用 DNS 名稱**,請確定已勾選 選項。這可讓私有 DNS 主機名稱解析為端點網路介面。
1. 設定政策以限制存取:
1. 在**政策**下,選擇**自訂**。
1. 在政策編輯器中,輸入限制存取您帳戶或特定帳戶內資源的政策。以下是範例政策 (將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體名稱,並將 *111122223333* 和 *444455556666* 取代為您想要存取的適當 AWS 帳戶 IDs):
**注意**
此範例政策使用 `s3:*` 且不限制 S3 控制平面操作,例如事件通知組態、複寫或庫存。這些操作可以允許將物件中繼資料 (例如儲存貯體名稱和物件金鑰) 傳送至跨帳戶目的地。如果這是問題,請在 VPC 端點政策中新增相關 S3 控制平面動作的明確拒絕陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. 建立端點:
1. 檢閱您的設定。
1. 選擇**建立端點**。
1. 驗證端點:
1. 建立端點後,導覽至 VPC 主控台中的**端點**區段。
1. 選取新建立的端點。
1. 驗證**狀態**是否**可用**。
透過遵循這些步驟,您可以建立 VPC 端點,允許 S3 存取僅限於您帳戶或指定帳戶 ID 內的資源。
# 疑難排解
**如何檢查儲存貯體是否無法在 VDI 上掛載**
如果儲存貯體無法在 VDI 上掛載,您可以在幾個位置檢查錯誤。請依照下列步驟進行。
1. 檢查 VDI 日誌:
1. 登入 AWS 管理主控台。
1. 開啟 EC2 主控台並導覽至**執行個體**。
1. 選取您啟動的 VDI 執行個體。
1. 透過 Session Manager 連線至 VDI。
1. 執行下列命令:
```
sudo su
cd ~/bootstrap/logs
```
在這裡,您會找到引導日誌。任何失敗的詳細資訊都會位於 `configure.log.{time}` 檔案中。
此外,請檢查`/etc/message`日誌以取得更多詳細資訊。
1. 檢查自訂登入資料中介裝置 Lambda CloudWatch Logs:
1. 登入 AWS 管理主控台。
1. 開啟 CloudWatch 主控台並導覽至**日誌群組**。
1. 搜尋日誌群組 `/aws/lambda/-vdc-custom-credential-broker-lambda`。
1. 檢查第一個可用的日誌群組,並在日誌中找到任何錯誤。這些日誌將包含有關提供臨時自訂登入資料以掛載 S3 儲存貯體的潛在問題的詳細資訊。
1. 檢查自訂登入資料中介裝置 API Gateway CloudWatch Logs:
1. 登入 AWS 管理主控台。
1. 開啟 CloudWatch 主控台並導覽至**日誌群組**。
1. 搜尋日誌群組 `-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`。
1. 檢查第一個可用的日誌群組,並在日誌中找到任何錯誤。這些日誌將包含任何請求和 API Gateway 回應的詳細資訊,以取得掛載 S3 儲存貯體所需的自訂登入資料。
**如何在加入後編輯儲存貯體的 IAM 角色組態**
1. 登入 [AWS DynamoDB 主控台](https://console.aws.amazon.com/dynamodbv2/home)。
1. 選取資料表:
1. 在左側導覽窗格中,選擇 **Tables (資料表)**。
1. 尋找並選取 `.cluster-settings`。
1. 掃描資料表:
1. 選擇**探索資料表項目**。
1. 確定已選取**掃描**。
1. 新增篩選條件:
1. 選擇**篩選條件**以開啟篩選條件項目區段。
1. 設定篩選條件以符合您的金鑰 -
+ **屬性**:輸入 金鑰。
+ **條件**:選取**開頭**。
+ **值**:輸入 將 ** `shared-storage..s3_bucket.iam_role_arn`取代為需要修改的檔案系統值。
1. 執行掃描:
選擇**執行**以使用篩選條件執行掃描。
1. 檢查 值:
如果項目存在,請確保使用正確的 IAM 角色 ARN 正確設定值。
如果項目不存在:
1. 選擇 **Create item** (建立項目)。
1. 輸入項目詳細資訊:
+ 針對金鑰屬性,輸入 `shared-storage..s3_bucket.iam_role_arn`。
+ 新增正確的 IAM 角色 ARN。
1. 選擇**儲存**以新增項目。
1. 重新啟動 VDI 執行個體:
重新啟動執行個體,以確保再次掛載受不正確 IAM 角色 ARN 影響VDIs。
# 啟用 CloudTrail
若要使用 CloudTrail 主控台在您的帳戶中啟用 CloudTrail,請遵循 *AWS CloudTrail 使用者指南*中的[使用 CloudTrail 主控台建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)中提供的指示。CloudTrail 將透過記錄存取 S3 儲存貯體的 IAM 角色來記錄對 S3 儲存貯體的存取。這可以連結回連結至專案或使用者的執行個體 ID。