本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 環境管理
從 Research and Engineering Studio 的環境管理區段中,管理使用者可以為其研究和工程專案建立和管理隔離的環境。這些環境可包含運算資源、儲存和其他必要的元件,全都在安全的環境中進行。使用者可以設定和自訂這些環境,以滿足其專案的特定需求,讓您更輕鬆地實驗、測試和迭代其解決方案,而不會影響其他專案或環境。
**Topics**
+ [環境狀態](environment-status.md)
+ [環境設定](environment-settings.md)
+ [使用者](users.md)
+ [Groups (群組)](groups.md)
+ [專案](projects.md)
+ [許可政策](permission-profiles.md)
+ [檔案系統](file-system.md)
+ [快照管理](snapshots.md)
+ [Amazon S3 儲存貯體](S3-buckets.md)
# 環境狀態
**環境狀態**頁面會顯示產品中已部署的軟體和主機。它包含軟體版本、模組名稱和其他系統資訊等資訊。
![\[環境狀態頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-environmentstatus.jpg)
# 環境設定
**環境設定**頁面會顯示產品組態詳細資訊,例如:
+ 一般
您可以編輯 Web 入口網站標題和字幕,並將自訂連結新增至 Web 入口網站登入頁面。若要設定自訂連結:
1. 導覽至**環境管理** > **環境設定**。
1. 在**一般**索引標籤下,選擇**編輯**。
1. 在**自訂連結**區段中,選擇**新增連結**。
1. 輸入您要在登入頁面上顯示的每個連結**的標題**和 **URL**。
1. 選擇**提交**來儲存您的變更。
自訂連結會顯示在 Web 入口網站登入頁面上,可讓管理員將使用者導向至 資源,例如內部文件、支援頁面或可接受的使用政策。
![\[環境設定中的自訂連結組態\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/web-links-edit-form.png)
+ 身分提供者
顯示資訊,例如單一登入狀態。
+ 網路
顯示 VPC ID、用於存取的字首清單 IDs。
+ Directory Service
顯示使用者名稱和密碼的作用中目錄設定和服務帳戶秘密管理員 ARN。
# 使用者
從作用中目錄同步的所有使用者都會顯示在使用者頁面上。叢集管理員使用者會在產品組態期間同步使用者。如需初始使用者組態的詳細資訊,請參閱 [組態指南](configuration-guide.md)。
**注意**
管理員只能為作用中使用者建立工作階段。根據預設,所有使用者都會處於非作用中狀態,直到他們登入產品環境為止。如果使用者處於非作用中狀態,請他們先登入,再為其建立工作階段。
![\[使用者\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-users.jpg)
在**使用者**頁面中,您可以:
1. 搜尋使用者。
1. 選取使用者名稱時,請使用**動作**功能表來:
1. 設定為管理員使用者
1. 停用使用者
# Groups (群組)
從作用中目錄同步的所有群組都會出現在群組頁面上。如需群組組態和管理的詳細資訊,請參閱 [組態指南](configuration-guide.md)。
![\[Groups (群組)\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-groups.jpg)
在**群組**頁面中,您可以:
1. 搜尋使用者群組。
1. 選取使用者群組時,請使用**動作**功能表來停用或啟用群組。
1. 選取使用者群組時,您可以展開畫面底部的**使用者**窗格,以檢視群組中的使用者。
# 專案
專案形成虛擬桌面、團隊和預算的界限。建立專案時,您可以定義其設定,例如名稱、描述和環境組態。專案通常包含一或多個環境,可自訂以符合專案的特定需求,例如運算資源的類型和大小、軟體堆疊和聯網組態。
**Topics**
+ [檢視專案](view-projects.md)
+ [建立專案](create-project.md)
+ [編輯專案](edit-project.md)
+ [停用專案](disable-project.md)
+ [刪除專案](delete-project.md)
+ [從專案新增或移除標籤](tag-project.md)
+ [檢視與專案相關聯的檔案系統](view-project-file-systems.md)
+ [新增啟動範本](project-launch-template.md)
# 檢視專案
![\[專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projects.jpg)
專案儀表板提供您可用的專案清單。從專案儀表板,您可以:
1. 您可以使用搜尋欄位來尋找專案。
1. 選取專案時,您可以使用**動作**功能表來:
1. 編輯專案
1. 停用或啟用專案
1. 更新專案標籤
1. 刪除專案
1. 您可以選擇**建立專案**來建立新的專案。
# 建立專案
1. 選擇**建立專案**。
1. 輸入專案詳細資訊。
專案 ID 是可用來追蹤 中成本分配的資源標籤 AWS Cost Explorer Service。如需詳細資訊,請參閱[啟用使用者定義的成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)。
**重要**
專案 ID 無法在建立後變更。
如需**進階選項**的詳細資訊,請參閱 [新增啟動範本](project-launch-template.md)。
1. (選用) 開啟專案的預算。如需預算的詳細資訊,請參閱 [成本監控和控制](cost-management.md)。
1. 主目錄檔案系統可以使用共用主檔案系統 (預設)、EFS、FSx for Lustre、FSx NetApp ONTAP 或 EBS 磁碟區儲存。
共用的主檔案系統、EFS、FSx for Lustre 和 FSx NetApp ONTAP 可以跨多個專案和 VDIs 共用。不過,EBS 磁碟區儲存選項會要求該專案中的每個 VDI 擁有自己的主目錄,這些目錄不會在其他 VDIs 或專案之間共用。您也可以從單一 FSx NetApp ONTAP 檔案系統加入多個磁碟區。
![\[使用資源組態建立新的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-create-new-project.png)
1. 指派使用者、群組或兩個適當的角色 (「專案成員」或「專案擁有者」)。如需每個角色可採取的動作[預設許可設定檔](permission-matrix.md),請參閱 。
1. 選擇**提交**。
# 編輯專案
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**編輯專案**。
1. 輸入您的更新。
如果您想要啟用預算,請參閱 [成本監控和控制](cost-management.md) 以取得詳細資訊。當您選擇專案的預算時,預算下拉式清單選項可能會有幾秒鐘的載入延遲,如果您看不到剛建立的預算,請選擇下拉式清單旁的重新整理按鈕。
如需**進階選項**的詳細資訊,請參閱 [新增啟動範本](project-launch-template.md)。
1. 選擇**提交**。
![\[編輯專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-editproject.png)
# 停用專案
若要停用專案:
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**停用專案**。
![\[顯示動作功能表下拉式清單選項的專案頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-disable-project1.png)
1. 如果停用專案,與該專案相關聯的所有 VDI 工作階段都會停止。這些工作階段無法在專案停用時重新啟動。
![\[專案頁面顯示成功停用專案橫幅\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-disable-project2.png)
# 刪除專案
若要刪除專案:
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**刪除專案**。
![\[顯示動作下拉式清單選項的專案頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project1.png)
1. 確認快顯視窗隨即出現。輸入專案的名稱,然後選擇**是**來刪除專案。
![\[刪除專案確認快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project-confirm.png)
1. 如果刪除專案,與該專案相關聯的所有 VDI 工作階段都會終止。
![\[環境管理下的專案頁面,橫幅顯示成功刪除專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-delete-project3.png)
# 從專案新增或移除標籤
專案標籤會將標籤指派給在該專案下建立的所有執行個體。
1. 在專案清單中選擇專案。
1. 從**動作**功能表中,選擇**更新標籤**。
1. 選擇**新增標籤**,然後輸入**金鑰**的值。
1. 若要移除標籤,請選擇您要**移除**之標籤旁的移除。
# 檢視與專案相關聯的檔案系統
選取專案時,您可以展開畫面底部的**檔案系統**窗格,以檢視與專案相關聯的檔案系統。
![\[檢視與專案相關聯的檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projectfilesystems.jpg)
# 新增啟動範本
建立或編輯專案時,您可以使用專案組態中的**進階選項**來新增啟動範本。啟動範本為專案中的所有 VDI 執行個體提供額外的組態,例如安全群組、IAM 政策和啟動指令碼。
## 新增政策
您可以新增 IAM 政策來控制專案下部署之所有執行個體的 VDI 存取。若要加入政策,請使用下列鍵值對標記政策:
```
res:Resource/vdi-host-policy
```
如需 IAM 角色的詳細資訊,請參閱 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
### 新增安全群組
您可以新增安全群組來控制專案下所有 VDI 執行個體的輸出和輸入資料。若要加入安全群組,請使用下列鍵值對標記安全群組:
```
res:Resource/vdi-security-group
```
如需安全群組的詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組控制資源 AWS 的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。
### 新增啟動指令碼
您可以新增啟動指令碼,這些指令碼將在專案中的所有 VDI 工作階段上啟動。RES 支援 Linux 和 Windows 的指令碼啟動。對於指令碼啟動,您可以選擇:
**VDI 啟動時執行指令碼**
此選項會在執行任何 RES 組態或安裝之前,在 VDI 執行個體的開頭啟動指令碼。
**設定 VDI 時執行指令碼**
此選項會在 RES 組態完成後啟動指令碼。
指令碼支援下列選項:
| 指令碼組態 | 範例 |
| --- | --- |
| S3 URI | s3://bucketname/script.sh |
| HTTPS URL (HTTPS URL) | https://sample.samplecontent.com/sample |
| 本機檔案 | file:///user/scripts/example.sh |
在 S3 儲存貯體上託管的所有自訂指令碼都需要使用下列標籤佈建:
```
res:EnvironmentName/
```
對於**引數**,請提供以逗號分隔的任何引數。
![\[專案組態的範例\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-projectconfigexample.png)
啟動指令碼的範例範本。
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# 許可政策
Research and Engineering Studio (RES) 允許管理使用者建立自訂許可設定檔,以授予所選使用者管理其所屬專案的額外許可。每個專案都有兩個[預設許可設定檔](permission-matrix.md):「專案成員」和「專案擁有者」,可在部署後自訂。
目前,管理員可以使用許可設定檔授予兩個許可集合:
1. 專案管理許可包含「更新專案成員資格」,可讓指定的使用者將其他使用者和群組新增至專案,或從中移除,以及「更新專案狀態」,以允許指定的使用者啟用或停用專案。
1. VDI 工作階段管理許可包含「建立工作階段」,允許指定的使用者在其專案中建立 VDI 工作階段,以及「建立/終止另一個使用者的工作階段」,允許指定的使用者建立或終止專案中其他使用者的工作階段。
透過這種方式,管理員可以將專案型許可委派給其環境中的非管理員。
**Topics**
+ [專案管理許可](permission-profiles-permission-project-management.md)
+ [VDI 工作階段管理許可](permission-profiles-permission-vdi-sessions.md)
+ [管理許可設定檔](permission-profiles-permission-management.md)
+ [預設許可設定檔](permission-matrix.md)
+ [環境界限](permission-profiles-environment-boundaries.md)
+ [桌面共用設定檔](permission-profiles-desktop-sharing-profiles.md)
# 專案管理許可
**更新專案成員資格 **
此許可允許獲得授予的非管理員使用者從專案新增和移除使用者或群組。它還允許他們設定許可設定檔,並決定該專案所有其他使用者和群組的存取層級。
![\[團隊組態快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-membership.png)
**更新專案狀態 **
此許可允許獲得授權的非管理員使用者使用專案頁面上**的動作**按鈕啟用或停用**專案**。
![\[環境管理下的管理員主控台專案視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-status.png)
# VDI 工作階段管理許可
**建立工作階段**
控制是否允許使用者從**我的虛擬桌面**頁面啟動自己的 VDI 工作階段。停用此選項可拒絕非管理員使用者啟動自己的 VDI 工作階段。使用者一律可以停止和終止自己的 VDI 工作階段。
如果非管理員使用者沒有建立工作階段的許可,則會為他們停用**啟動新的虛擬桌面**按鈕,如下所示:
![\[沒有許可的非管理員使用者已停用啟動新的虛擬桌面按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**建立或終止其他人的工作階段**
允許非管理員使用者從左側導覽窗格存取**工作階段**頁面。這些使用者將能夠在獲得此許可的專案中為其他使用者啟動 VDI 工作階段。
如果非管理員使用者具有為其他使用者啟動工作階段的許可,其左側導覽窗格將顯示**工作階段****管理下的工作階段**連結,如下所示:
![\[工作階段管理的非管理員快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-link-displayed.png)
如果非管理員使用者沒有為其他人建立工作階段的許可,其左側導覽窗格將不會顯示**工作階段管理**,如下所示:
![\[工作階段管理連結會由非管理員使用者隱藏,無需為其他人建立工作階段的許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-hidden-link.png)
# 管理許可設定檔
身為 RES 管理員,您可以執行下列動作來管理許可設定檔。
**列出許可設定檔**
+ 從研究和工程 Studio 主控台頁面,選擇左側導覽窗格中的**許可政策**。在此頁面上,您可以建立、更新、列出、檢視和刪除許可設定檔。
![\[管理員可以列出許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/project-roles.png)
**檢視許可設定檔**
1. 在主要**許可設定檔**頁面上,選取要檢視的許可設定檔名稱。在此頁面上,您可以編輯或刪除選取的許可設定檔。
![\[管理員可以編輯或刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-1.png)
1. 選取**受影響的專案**索引標籤,以檢視目前使用許可設定檔的專案。
![\[管理員可以檢視受許可設定檔影響的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-2.png)
**建立許可設定檔**
1. 在主要**許可設定檔**頁面上,選擇**建立設定檔**以建立許可設定檔。
1. 輸入許可設定檔名稱和描述,然後選取要授予您指派給此設定檔之使用者或群組的許可。
![\[管理員可以建立許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-create.png)
**編輯許可設定檔**
+ 在主要**許可設定檔**頁面上,按一下其旁邊的圓圈來選取設定檔,選擇**動作**,然後選擇**編輯設定檔**以更新該許可設定檔。
![\[管理員可以編輯許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-edit.png)
**刪除許可設定檔**
+ 在主要**許可設定檔**頁面上,按一下其旁邊的圓圈來選取設定檔,選擇**動作**,然後選擇**刪除設定檔**。您無法刪除任何現有專案所使用的許可設定檔。
![\[管理員可以刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-delete.png)
# 預設許可設定檔
每個 RES 專案都隨附兩個預設許可設定檔,可供全球管理員設定。(此外,全球管理員可以建立和修改專案的新許可設定檔。) 下表顯示預設許可設定檔的允許許可:「專案成員」和「專案擁有者」。許可設定檔及其授予選取專案使用者的許可,僅適用於其所屬的專案;全球管理員是跨所有專案擁有以下所有許可的超級使用者。
| 許可 | Description | 專案成員 | 專案擁有者 |
| --- | --- | --- | --- |
| 建立工作階段 | 建立您自己的工作階段。使用者一律可以使用或不使用此許可來停止和終止自己的工作階段。 | X | X |
| 建立/終止其他人的工作階段 | 在專案中建立或終止其他使用者的工作階段。 | | X |
| 更新專案成員資格 | 更新與專案相關聯的使用者和群組。 | | X |
| 更新專案狀態 | 啟用或停用專案。 | | X |
# 環境界限
環境界限可讓 Research and Engineering Studio (RES) 管理員設定全域對所有使用者生效的許可。這包括**檔案瀏覽器和 SSH 許可**、**桌面許可**和**桌面進階設定**等許可。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)
# 設定檔案瀏覽器存取
RES 管理員可以在**檔案瀏覽器許可**下開啟或關閉**存取資料**。如果關閉**存取資料**,使用者將無法在其 Web 入口網站中看到**檔案瀏覽器**導覽,也無法上傳或下載連接至其全域檔案系統的資料。啟用**存取資料**時,使用者可以在其 Web 入口網站中存取**檔案瀏覽器**導覽,以允許他們上傳或下載連接到其全域檔案系統的資料。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
當**存取資料**功能開啟,然後關閉時,已登入 Web 入口網站的使用者將無法上傳或下載檔案,即使他們位於對應的頁面上。此外,導覽功能表會在重新整理頁面時消失。
# 設定 SSH 存取
管理員可以從**環境邊界**區段啟用或停用 RES 環境的 SSH。SSH 存取 VDIs 是透過堡壘主機來促進。當您啟用此切換時,RES 會部署堡壘主機,並讓使用者可以看到 SSH 存取指示頁面。當您停用切換時,RES 會停用 SSH 存取、終止堡壘主機,並移除使用者的 SSH 存取指示頁面。此切換預設為停用。
**注意**
當 RES 部署堡壘主機時,會在您的帳戶中新增 `t3.medium` Amazon EC2 執行個體 AWS 。您需負責支付與此執行個體相關的所有費用。如需詳細資訊,請參閱 [ Amazon EC2 定價頁面](https://aws.amazon.com/ec2/pricing/on-demand/)。
**啟用 SSH 存取**
1. 在 RES 主控台的左側導覽窗格中,選擇**環境管理**,然後選擇**許可政策**。在**環境邊界**下,選取 **SSH 存取**切換。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. 等待啟用 SSH 存取。
![\[建議橫幅會顯示在管理主控台環境管理下的許可政策頁面上\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-enable-ssh.png)
1. 新增堡壘主機後,即會啟用 SSH 存取。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)
使用者可從左側導覽窗格看到 **SSH 存取指示**頁面。
![\[SSH 存取指示頁面顯示 Linux 和 Windows 的步驟\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**停用 SSH 存取**
1. 在 RES 主控台的左側導覽窗格中,選擇**環境管理**,然後選擇**許可政策**。在**環境邊界**下,選取 **SSH 存取**切換。
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. 等待停用 SSH 存取。
![\[橫幅顯示正在許可政策頁面上停用 SSH 存取\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-disable-ssh.png)
1. 程序完成後,會停用 SSH 存取。
![\[許可政策頁面顯示 SSH 存取已停用\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)
# 設定桌面許可
管理員可以開啟或關閉**桌面許可**,以全域管理所有工作階段擁有者的 VDI 功能。所有這些許可或子集都可用來建立**桌面共用設定檔**,以決定共用桌面的使用者可執行的動作。如果停用任何桌面許可,這會自動停用**桌面共用設定檔**中的對應許可。這些許可會標記為「全域停用」。即使管理員再次啟用此桌面許可,桌面共用設定檔中的許可仍會保持停用狀態,直到管理員手動啟用為止。
![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)
# 桌面共用設定檔
管理員可以建立新的設定檔並自訂它們。所有使用者都可以存取這些設定檔,並在與他人共用工作階段時使用。這些設定檔中授予的最大許可不能超過全域允許的桌面許可。
**建立設定檔**
管理員可以選擇**建立設定檔**來建立新的設定檔。然後,他們可以輸入**設定檔名稱**、**設定檔描述**、設定所需的許可,以及**儲存**其變更。
![\[桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/desktop-sharing-profiles.png)
![\[設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition.png)
**編輯設定檔**
**若要編輯設定檔:**
1. 選取所需的設定檔。
1. 選擇**動作**,然後選取**編輯**以修改設定檔。
1. 視需要調整許可。
1. 選擇**儲存變更**。
對設定檔所做的任何變更都會立即套用至目前開啟的工作階段。
![\[已選取 testprofile_1 的桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[testProfile_1 的設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition2.png)
# 檔案系統
![\[檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/home-file-systems.png)
從檔案系統頁面,您可以:
1. 搜尋檔案系統。
1. 選取檔案系統時,請使用**動作**功能表來:
1. 將檔案系統新增至專案。
1. 從專案中移除檔案系統
1. 加入新的檔案系統。
1. 選取檔案系統時,您可以展開畫面底部的窗格,以檢視檔案系統詳細資訊。
**Topics**
+ [加入檔案系統](onboard-file-system.md)
# 加入檔案系統
**注意**
若要成功加入檔案系統,它必須共用相同的 VPC 和至少一個 RES 子網路。您還必須確保已正確設定安全群組,以便您的 VDIs 可以存取檔案系統的內容。
1. 選擇**加入檔案系統**。
1. 從下拉式清單中選取檔案系統。模態將以其他詳細資訊項目展開。
![\[選取檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-selectfilesystem.jpg)
1. 輸入檔案系統詳細資訊。
**注意**
根據預設,管理員和專案擁有者可以在建立新專案時選擇主檔案系統,之後就無法編輯。
旨在用作專案上主目錄的檔案系統必須透過將其**掛載目錄**路徑設定為 來加入`/home`。這將在主目錄檔案系統下拉式清單選項上填入加入的檔案系統。此功能有助於隔離跨專案的資料,因為只有與專案相關聯的使用者才能透過其 VDIs 存取檔案系統。VDIs會將檔案系統掛載在檔案系統加入期間選取的掛載點。
1. 選擇**提交**。
![\[選取檔案系統\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-filesystemdetails.jpg)
## 來自單一 ONTAP 檔案系統的多個磁碟區
RES 支援從單一的 NetApp ONTAP 檔案系統加入多個磁碟區。這可讓管理員在同一個 ONTAP 檔案系統中跨不同磁碟區組織資料,同時讓每個磁碟區獨立供專案使用。
若要從已加入的 ONTAP 檔案系統加入其他磁碟區:
1. 選擇**加入檔案系統**。
1. 從下拉式清單中選取相同的 ONTAP 檔案系統。
1. 在**磁碟**區欄位中,選取與檔案系統不同的磁碟區。
1. 為此磁碟區指定唯一的**掛載目錄**。
1. 選擇**提交**。
**注意**
來自相同 ONTAP 檔案系統的每個磁碟區都必須使用唯一的掛載目錄加入。磁碟區可以獨立指派給不同的專案。
# 快照管理
快照管理可簡化在環境之間儲存和遷移資料的程序,確保一致性和準確性。使用快照,您可以儲存環境狀態,並將資料遷移至具有相同狀態的新環境。
![\[快照管理頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-snapshotmanagement.png)
從**快照管理**頁面,您可以:
1. 檢視所有建立的快照及其狀態。
1. 建立快照。您必須先建立具有適當許可的儲存貯體,才能建立快照。
1. 檢視所有套用的快照及其狀態。
1. 套用快照。
**Topics**
+ [建立快照](create-snapshot.md)
+ [套用快照](apply-snapshot.md)
# 建立快照
您必須先提供具備必要許可的 Amazon S3 儲存貯體,才能建立快照。如需與建立儲存貯體相關的資訊,請參閱[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。啟用儲存貯體版本控制和伺服器存取記錄。您可以在佈建後從儲存貯體的**屬性**索引標籤啟用這些設定。
**注意**
此 Amazon S3 儲存貯體的生命週期將不會在產品中管理。您將需要從 主控台管理儲存貯體生命週期。
**若要將許可新增至儲存貯體:**
1. 從儲存貯體清單中選取您建立**的儲存貯體**。
1. 選取**許可**索引標籤。
1. 在 **Bucket policy (儲存貯體政策)** 下方,選擇 **Edit (編輯)**。
1. 將下列陳述式新增至儲存貯體政策。以您自己的值取代這些值:
+ *111122223333* -> AWS 您的帳戶 ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> 您的 RES 環境名稱
+ *amzn-s3-demo-bucket* -> 您的 S3 儲存貯體名稱
**重要**
支援的版本字串有限 AWS。如需詳細資訊,請參閱[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**若要建立快照:**
1. 選擇 **Create Snapshot (建立快照)**。
1. 輸入您建立的 Amazon S3 儲存貯體名稱。
1. 輸入您希望快照存放在儲存貯體中的路徑。例如 **october2023/23**。
1. 選擇**提交**。
![\[建立新的快照\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-createsnapshot.png)
1. 5 到 10 分鐘後,在快照頁面上選擇**重新整理**以檢查狀態。在狀態從 IN\$1PROGRESS 變更為 COMPLETED 之前,快照將無效。
# 套用快照
建立環境快照後,您可以將該快照套用至新環境以遷移資料。您將需要將新的政策新增至儲存貯體,以允許環境讀取快照。
套用快照會複製資料,例如使用者許可、專案、軟體堆疊、許可設定檔和檔案系統與其與新環境的關聯。使用者工作階段將不會複寫。套用快照時,它會檢查每個資源記錄的基本資訊,以判斷它是否已存在。對於重複的記錄,快照會略過在新環境中建立資源。對於類似 的記錄,例如共用名稱或金鑰,但其他基本資源資訊會有所不同,它會使用以下慣例建立具有修改名稱和金鑰的新記錄:`RecordName_SnapshotRESVersion_ApplySnapshotID`。`ApplySnapshotID` 看起來像時間戳記,可識別每次嘗試套用快照。
在快照應用程式期間,快照會檢查資源的可用性。新環境無法使用的資源將不會建立。對於具有相依資源的資源,快照會檢查相依資源的可用性。如果相依資源無法使用,則會在沒有相依資源的情況下建立主要資源。
如果新環境不如預期或失敗,您可以檢查日誌群組中找到的 CloudWatch 日誌`/res-/cluster-manager`以取得詳細資訊。每個日誌都會有 【套用快照】 標籤。套用快照後,您可以從 [快照管理](snapshots.md)頁面檢查其狀態。
**若要將許可新增至儲存貯體:**
1. 從儲存貯體清單中選取您建立**的儲存貯體**。
1. 選取**許可**索引標籤。
1. 在 **Bucket policy (儲存貯體政策)** 下方,選擇 **Edit (編輯)**。
1. 將下列陳述式新增至儲存貯體政策。以您自己的值取代這些值:
+ *111122223333* -> AWS 您的帳戶 ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> 您的 RES 環境名稱
+ *amzn-s3-demo-bucket* -> 您的 S3 儲存貯體名稱
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**若要套用快照:**
1. 選擇**套用快照**。
1. 輸入包含快照的 Amazon S3 儲存貯體名稱。
1. 輸入儲存貯體中快照的檔案路徑。
1. 選擇**提交**。
![\[套用快照\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-applysnapshot.png)
1. 5 到 10 分鐘後,在快照管理頁面上選擇**重新整理**以檢查狀態。
# Amazon S3 儲存貯體
Research and Engineering Studio (RES) 支援將 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)掛載到 Linux Virtual Desktop Infrastructure (VDI) 執行個體。RES 管理員可以將 S3 儲存貯體加入 RES、將其連接至專案、編輯其組態,以及移除**環境管理**下 S3 儲存貯體索引標籤中的儲存貯體。
S3 儲存貯體儀表板提供您可使用的已加入 S3 儲存貯體清單。從 S3 儲存貯體儀表板,您可以:
1. 使用**新增儲存貯**體將 S3 儲存貯體加入 RES。
1. 選取 S3 儲存貯體並使用**動作**功能表來:
+ 編輯儲存貯體
+ 移除儲存貯體
1. 使用搜尋欄位依儲存貯體名稱搜尋,並尋找已加入的 S3 儲存貯體。
![\[S3 儲存貯體清單可讓您依儲存貯體名稱搜尋並尋找加入的儲存貯體\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-list-bucket.png)
下列各節說明如何在 RES 專案中管理 Amazon S3 儲存貯體。
**Topics**
+ [隔離 VPC 部署的 Amazon S3 儲存貯體先決條件](S3-buckets-prereqs.md)
+ [新增 Amazon S3 儲存貯體](S3-buckets-add.md)
+ [編輯 Amazon S3 儲存貯體](S3-buckets-edit.md)
+ [移除 Amazon S3 儲存貯體](S3-buckets-remove.md)
+ [資料隔離](S3-buckets-data-isolation.md)
+ [跨帳戶儲存貯體存取](S3-buckets-cross-account-access.md)
+ [防止私有 VPC 中的資料洩漏](S3-buckets-preventing-exfiltration.md)
+ [疑難排解](S3-buckets-troubleshooting.md)
+ [啟用 CloudTrail](S3-buckets-enabling-cloudtrail.md)
# 隔離 VPC 部署的 Amazon S3 儲存貯體先決條件
如果您要在隔離的 VPC 中部署 Research and Engineering Studio,請在 AWS 帳戶中部署 RES 之後,依照下列步驟更新 lambda 組態參數。
1. 登入部署 Research and Engineering Studio 之 AWS 帳戶的 Lambda 主控台。
1. 尋找並導覽至名為 的 Lambda 函數`-vdc-custom-credential-broker-lambda`。
1. 選取 函數的**組態**索引標籤。
![\[隔離 VPC 環境變數\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. 在導覽窗格中,選擇**環境變數**以檢視該區段。
1. 選擇**編輯**,並將下列新環境變數新增至函數:
+ 索引鍵:`AWS_STS_REGIONAL_ENDPOINTS`
+ 值:`regional`
1. 選擇**儲存**。
# 新增 Amazon S3 儲存貯體
**若要將 S3 儲存貯體新增至您的 RES 環境:**
1. 選擇**新增儲存貯體**。
1. 輸入儲存貯體詳細資訊,例如儲存貯體名稱、ARN 和掛載點。
**重要**
提供的儲存貯體 ARN、掛載點和模式無法在建立後變更。
儲存貯體 ARN 可以包含字首,將加入的 S3 儲存貯體與該字首隔離。
1. 選取要加入儲存貯體的模式。
**重要**
[資料隔離](S3-buckets-data-isolation.md) 如需使用特定模式隔離資料的詳細資訊,請參閱 。
1. 在**進階選項**下,您可以提供 IAM 角色 ARN 來掛載儲存貯體以進行跨帳戶存取。請依照 中的步驟[跨帳戶儲存貯體存取](S3-buckets-cross-account-access.md)建立跨帳戶存取所需的 IAM 角色。
1. (選用) 將儲存貯體與專案建立關聯,稍後可以變更。不過,S3 儲存貯體無法掛載到專案的現有 VDI 工作階段。只有專案與儲存貯體建立關聯之後啟動的工作階段,才會掛載儲存貯體。
1. 選擇**提交**。
![\[新增儲存貯體頁面,顯示可用的儲存貯體設定欄位並提交按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-add-bucket.png)
# 編輯 Amazon S3 儲存貯體
1. 在 S3 儲存貯體清單中選取 S3 儲存貯體。
1. 從**動作**功能表中,選取**編輯**。
1. 輸入您的更新。
**重要**
將專案與 S3 儲存貯體建立關聯**不會**將儲存貯體掛載到該專案的現有虛擬桌面基礎設施 (VDI) 執行個體。只有在儲存貯體與該專案相關聯之後,儲存貯體才會掛載到專案中啟動的 VDI 工作階段。
取消專案與 S3 儲存貯體的關聯不會影響 S3 儲存貯體中的資料,但會導致桌面使用者無法存取該資料。
1. 選擇**儲存儲存貯體設定**。
![\[編輯 S3 儲存貯體頁面,其中已輸入顯示名稱和專案關聯欄位,並反白顯示儲存貯體設定按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/docs-edit-bucket.png)
# 移除 Amazon S3 儲存貯體
1. 在 S3 儲存貯體清單中選取 S3 儲存貯體。
1. 從**動作**功能表中,選取**移除**。
**重要**
您必須先從儲存貯體中移除所有專案關聯。
移除操作不會影響 S3 儲存貯體中的資料。它只會移除 S3 儲存貯體與 RES 的關聯。
移除儲存貯體會導致現有的 VDI 工作階段在該工作階段的登入資料過期時 (\$11 小時) 無法存取該儲存貯體的內容。
# 資料隔離
當您將 S3 儲存貯體新增至 RES 時,您可以選擇將儲存貯體中的資料隔離給特定專案和使用者。在**新增儲存貯**體頁面上,您可以選擇唯讀 (R) 或讀寫 (R/W) 模式。
**唯讀**
`Read Only (R)` 如果選取 ,則會根據儲存貯體 ARN (Amazon Resource Name) 的字首強制執行資料隔離。例如,如果管理員使用 ARN 將儲存貯體新增至 RES,`arn:aws:s3:::bucket-name/example-data/`並將此儲存貯體與專案 A 和專案 B 建立關聯,則從專案 A 和專案 B 內啟動 VDIs 的使用者只能讀取路徑 `bucket-name`下位於 中的資料`/example-data`。他們將無法存取該路徑以外的資料。如果沒有字首附加到儲存貯體 ARN,則整個儲存貯體將提供給與其相關聯的任何專案。
**讀取和寫入**
如果選取 `Read and Write (R/W)` ,仍會根據儲存貯體 ARN 的字首強制執行資料隔離,如上所述。此模式有其他選項,可讓管理員為 S3 儲存貯體提供以變數為基礎的字首。`Read and Write (R/W)` 選取 時,自訂字首區段會變成可用,提供具有下列選項的下拉式功能表:
+ 沒有自訂字首
+ /%p
+ /%p/%u
![\[新增儲存貯體頁面,顯示自訂字首下拉式清單\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/add-bucket-custom-prefix.png)
**無自訂資料隔離 **
為**自訂字首**選取 `No custom prefix` 時,會新增儲存貯體,而沒有任何自訂資料隔離。這可讓與儲存貯體相關聯的任何專案具有讀取和寫入存取權。例如,如果管理員使用`arn:aws:s3:::bucket-name``No custom prefix`選取的 ARN 將儲存貯體新增至 RES,並將此儲存貯體與專案 A 和專案 B 建立關聯,則從專案 A 和專案 B 內啟動 VDIs 的使用者將擁有儲存貯體不受限制的讀取和寫入存取權。
**每個專案層級的資料隔離 **
為**自訂字首**選取 `/%p` 時,儲存貯體中的資料會隔離至與其相關聯的每個特定專案。`%p` 變數代表專案程式碼。例如,如果管理員使用`arn:aws:s3:::bucket-name`具有`/%p`所選 和 */ 儲存貯體***掛載點**的 ARN 將儲存貯體新增至 RES,並將此儲存貯體與專案 A 和專案 B 建立關聯,則專案 A 中的使用者 A 可以將檔案寫入 */ 儲存貯體*。專案 A 中的使用者 B 也可以查看使用者 A 在 */ 儲存貯*體中撰寫的檔案。不過,如果使用者 B 在專案 B 中啟動 VDI 並在 */ 儲存貯*體中尋找,他們將不會看到使用者 A 所撰寫的檔案,因為資料是由專案隔離。檔案 使用者 A 寫入在 S3 儲存貯體的字首下找到,`/ProjectA`而使用者 B 只能在從專案 B 使用其 VDIs`/ProjectB`時存取 。
**每個專案、每個使用者層級的資料隔離 **
選取**自訂字首**`/%p/%u`時,儲存貯體中的資料會與該專案相關聯的每個特定專案和使用者隔離。`%p` 變數代表專案程式碼,而 `%u`代表使用者名稱。例如,管理員使用 `arn:aws:s3:::bucket-name` ARN 搭配`/%p/%u`選取的 和掛載點 */ 儲存貯體*,將儲存貯體新增至 RES。此儲存貯體與專案 A 和專案 B 相關聯。專案 A 中的使用者 A 可以將檔案寫入 */ 儲存貯體*。與先前僅隔離的情況不同`%p`,在此情況下,使用者 B 不會看到使用者 A 在 */ 儲存貯*體的專案 A 中寫入的檔案,因為資料是由專案和使用者所隔離。檔案 使用者 A 寫入位於 S3 儲存貯體的字首下,`/ProjectA/UserA`而使用者 B 只能在專案 A 中使用其 VDIs`/ProjectA/UserB`時存取。
# 跨帳戶儲存貯體存取
RES 能夠從其他 AWS 帳戶掛載儲存貯體,前提是這些儲存貯體具有適當的許可。在下列案例中,帳戶 A 中的 RES 環境想要在帳戶 B 中掛載 S3 儲存貯體。
**步驟 1:在 RES 部署所在的帳戶中建立 IAM 角色 *(這將稱為帳戶 A)*:**
1. 登入需要存取 S3 儲存貯體 (帳戶 A) 之 RES 帳戶的 AWS 管理主控台。
1. 開啟 IAM 主控台:
1. 導覽至 IAM 儀表板。
1. 在導覽窗格中,選擇**政策**。
1. 建立政策:
1. 選擇**建立政策**。
1. 選取 **JSON** 標籤。
1. 貼上下列 JSON 政策 (`amzn-s3-demo-bucket`以位於帳戶 B 的 S3 儲存貯體名稱取代):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. 選擇**下一步**。
1. 檢閱並建立政策:
1. 提供政策的名稱 (例如,「S3AccessPolicy」)。
1. 新增選用的描述來解釋政策的目的。
1. 檢閱政策,然後選擇**建立政策**。
1. 開啟 IAM 主控台:
1. 導覽至 IAM 儀表板。
1. 在導覽窗格中,選擇**角色**。
1. 建立角色:
1. 選擇建**立角色**。
1. 選擇**自訂信任政策**作為信任實體的類型。
1. 貼上下列 JSON 政策 (`111122223333`以帳戶 A 的實際帳戶 ID 取代,`{RES_ENVIRONMENT_NAME}`並以 RES 部署的環境名稱取代:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇**下一步**。
1. 連接許可政策:
1. 搜尋並選取您先前建立的政策。
1. 選擇**下一步**。
1. 標記、檢閱和建立角色:
1. 輸入角色名稱 (例如 "S3AccessRole")。
1. 在步驟 3 下,選擇**新增標籤**,然後輸入下列索引鍵和值:
+ 索引鍵:`res:Resource`
+ 值:`s3-bucket-iam-role`
1. 檢閱角色,然後選擇**建立角色**。
1. 在 RES 中使用 IAM 角色:
1. 複製您建立的 IAM 角色 ARN。
1. 登入 RES 主控台。
1. 在左側導覽窗格中,選擇 **S3 儲存貯**體。
1. 選擇**新增儲存貯**體,並使用跨帳戶 S3 儲存貯體 ARN 填寫表單。
1. 選擇**進階設定 - 選用**下拉式清單。
1. 在 IAM 角色 ARN 欄位中輸入角色 ARN。
1. 選擇**新增儲存貯體**。
**步驟 2:修改帳戶 B 中的儲存貯體政策**
1. 登入帳戶 B 的 AWS 管理主控台。
1. 開啟 S3 主控台:
1. 導覽至 S3 儀表板。
1. 選取您要授予存取權的儲存貯體。
1. 編輯儲存貯體政策:
1. 選取**許可**索引標籤,然後選擇**儲存貯體政策**。
1. 新增下列政策,以授予帳戶 A 對儲存貯體的 IAM 角色存取權 (將 *111122223333* 取代為帳戶 A 的實際帳戶 ID,並將 *amzn-s3-demo-bucket* 取代為 S3 儲存貯體的名稱):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. 選擇**儲存**。
# 防止私有 VPC 中的資料洩漏
若要防止使用者將資料從安全的 S3 儲存貯體滲透到其帳戶中自己的 S3 儲存貯體,您可以連接 VPC 端點來保護您的私有 VPC。下列步驟說明如何為 S3 服務建立 VPC 端點,以支援存取您帳戶中的 S3 儲存貯體,以及具有跨帳戶儲存貯體的任何其他帳戶。
1. 開啟 Amazon VPC 主控台:
1. 登入 AWS 管理主控台。
1. 開啟位於 https://[https://console.aws.amazon.com/vpcconsole/ 的 Amazon VPC ](https://console.aws.amazon.com/vpcconsole)主控台。
1. 建立 S3 的 VPC 端點:
1. 在左側導覽窗格中選擇 **Endpoints** (端點)。
1. 選擇**建立端點**。
1. 請確定在 **Service category** (服務類別) 欄位,您已選擇 **AWS services** (AWS 服務)。
1. 在**服務名稱**欄位中,輸入 `com.amazonaws..s3`(``取代您的 AWS 區域) 或搜尋 "S3"。
1. 從清單中選擇 S3 服務。
1. 設定端點設定:
1. 針對 **VPC**,選取您要建立端點的 VPC。
1. 針對**子網路**,選取部署期間用於 VDI 子網路的兩個私有子網路。
1. 針對**啟用 DNS 名稱**,請確定已勾選 選項。這可讓私有 DNS 主機名稱解析為端點網路介面。
1. 設定政策以限制存取:
1. 在**政策**下,選擇**自訂**。
1. 在政策編輯器中,輸入限制存取您帳戶或特定帳戶內資源的政策。以下是範例政策 (將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體名稱,並將 *111122223333* 和 *444455556666* 取代為您想要存取的適當 AWS 帳戶 IDs):
**注意**
此範例政策使用 `s3:*` 且不限制 S3 控制平面操作,例如事件通知組態、複寫或庫存。這些操作可以允許將物件中繼資料 (例如儲存貯體名稱和物件金鑰) 傳送至跨帳戶目的地。如果這是問題,請在 VPC 端點政策中新增相關 S3 控制平面動作的明確拒絕陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. 建立端點:
1. 檢閱您的設定。
1. 選擇**建立端點**。
1. 驗證端點:
1. 建立端點後,導覽至 VPC 主控台中的**端點**區段。
1. 選取新建立的端點。
1. 驗證**狀態**是否**可用**。
透過遵循這些步驟,您可以建立 VPC 端點,允許 S3 存取僅限於您帳戶或指定帳戶 ID 內的資源。
# 疑難排解
**如何檢查儲存貯體是否無法在 VDI 上掛載**
如果儲存貯體無法在 VDI 上掛載,您可以在幾個位置檢查錯誤。請依照下列步驟進行。
1. 檢查 VDI 日誌:
1. 登入 AWS 管理主控台。
1. 開啟 EC2 主控台並導覽至**執行個體**。
1. 選取您啟動的 VDI 執行個體。
1. 透過 Session Manager 連線至 VDI。
1. 執行下列命令:
```
sudo su
cd ~/bootstrap/logs
```
在這裡,您會找到引導日誌。任何失敗的詳細資訊都會位於 `configure.log.{time}` 檔案中。
此外,請檢查`/etc/message`日誌以取得更多詳細資訊。
1. 檢查自訂登入資料中介裝置 Lambda CloudWatch Logs:
1. 登入 AWS 管理主控台。
1. 開啟 CloudWatch 主控台並導覽至**日誌群組**。
1. 搜尋日誌群組 `/aws/lambda/-vdc-custom-credential-broker-lambda`。
1. 檢查第一個可用的日誌群組,並在日誌中找到任何錯誤。這些日誌將包含有關提供臨時自訂登入資料以掛載 S3 儲存貯體的潛在問題的詳細資訊。
1. 檢查自訂登入資料中介裝置 API Gateway CloudWatch Logs:
1. 登入 AWS 管理主控台。
1. 開啟 CloudWatch 主控台並導覽至**日誌群組**。
1. 搜尋日誌群組 `-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`。
1. 檢查第一個可用的日誌群組,並在日誌中找到任何錯誤。這些日誌將包含任何請求和 API Gateway 回應的詳細資訊,以取得掛載 S3 儲存貯體所需的自訂登入資料。
**如何在加入後編輯儲存貯體的 IAM 角色組態**
1. 登入 [AWS DynamoDB 主控台](https://console.aws.amazon.com/dynamodbv2/home)。
1. 選取資料表:
1. 在左側導覽窗格中,選擇 **Tables (資料表)**。
1. 尋找並選取 `.cluster-settings`。
1. 掃描資料表:
1. 選擇**探索資料表項目**。
1. 確定已選取**掃描**。
1. 新增篩選條件:
1. 選擇**篩選條件**以開啟篩選條件項目區段。
1. 設定篩選條件以符合您的金鑰 -
+ **屬性**:輸入 金鑰。
+ **條件**:選取**開頭**。
+ **值**:輸入 將 ** `shared-storage..s3_bucket.iam_role_arn`取代為需要修改的檔案系統值。
1. 執行掃描:
選擇**執行**以使用篩選條件執行掃描。
1. 檢查 值:
如果項目存在,請確保使用正確的 IAM 角色 ARN 正確設定值。
如果項目不存在:
1. 選擇 **Create item** (建立項目)。
1. 輸入項目詳細資訊:
+ 針對金鑰屬性,輸入 `shared-storage..s3_bucket.iam_role_arn`。
+ 新增正確的 IAM 角色 ARN。
1. 選擇**儲存**以新增項目。
1. 重新啟動 VDI 執行個體:
重新啟動執行個體,以確保再次掛載受不正確 IAM 角色 ARN 影響VDIs。
# 啟用 CloudTrail
若要使用 CloudTrail 主控台在您的帳戶中啟用 CloudTrail,請遵循 *AWS CloudTrail 使用者指南*中的[使用 CloudTrail 主控台建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)中提供的指示。CloudTrail 將透過記錄存取 S3 儲存貯體的 IAM 角色來記錄對 S3 儲存貯體的存取。這可以連結回連結至專案或使用者的執行個體 ID。