本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 許可政策
<a name="permission-profiles"></a>

Research and Engineering Studio (RES) 允許管理使用者建立自訂許可設定檔，以授予所選使用者管理其所屬專案的額外許可。每個專案都有兩個[預設許可設定檔](permission-matrix.md)：「專案成員」和「專案擁有者」，可在部署後自訂。

目前，管理員可以使用許可設定檔授予兩個許可集合：

1. 專案管理許可包含「更新專案成員資格」，可讓指定的使用者將其他使用者和群組新增至專案，或從中移除，以及「更新專案狀態」，以允許指定的使用者啟用或停用專案。

1. VDI 工作階段管理許可包含「建立工作階段」，允許指定的使用者在其專案中建立 VDI 工作階段，以及「建立/終止另一個使用者的工作階段」，允許指定的使用者建立或終止專案中其他使用者的工作階段。

透過這種方式，管理員可以將專案型許可委派給其環境中的非管理員。

**Topics**
+ [專案管理許可](permission-profiles-permission-project-management.md)
+ [VDI 工作階段管理許可](permission-profiles-permission-vdi-sessions.md)
+ [管理許可設定檔](permission-profiles-permission-management.md)
+ [預設許可設定檔](permission-matrix.md)
+ [環境界限](permission-profiles-environment-boundaries.md)
+ [桌面共用設定檔](permission-profiles-desktop-sharing-profiles.md)

# 專案管理許可
<a name="permission-profiles-permission-project-management"></a>

**更新專案成員資格 **  
此許可允許獲得授予的非管理員使用者從專案新增和移除使用者或群組。它還允許他們設定許可設定檔，並決定該專案所有其他使用者和群組的存取層級。  

![\[團隊組態快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-membership.png)


**更新專案狀態 **  
此許可允許獲得授權的非管理員使用者使用專案頁面上**的動作**按鈕啟用或停用**專案**。  

![\[環境管理下的管理員主控台專案視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-update-project-status.png)


# VDI 工作階段管理許可
<a name="permission-profiles-permission-vdi-sessions"></a>

**建立工作階段**  
控制是否允許使用者從**我的虛擬桌面**頁面啟動自己的 VDI 工作階段。停用此選項可拒絕非管理員使用者啟動自己的 VDI 工作階段。使用者一律可以停止和終止自己的 VDI 工作階段。  
如果非管理員使用者沒有建立工作階段的許可，則會為他們停用**啟動新的虛擬桌面**按鈕，如下所示：  

![\[沒有許可的非管理員使用者已停用啟動新的虛擬桌面按鈕\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-vdi-disabled.png)


**建立或終止其他人的工作階段**  
允許非管理員使用者從左側導覽窗格存取**工作階段**頁面。這些使用者將能夠在獲得此許可的專案中為其他使用者啟動 VDI 工作階段。  
如果非管理員使用者具有為其他使用者啟動工作階段的許可，其左側導覽窗格將顯示**工作階段****管理下的工作階段**連結，如下所示：  

![\[工作階段管理的非管理員快顯視窗\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-link-displayed.png)

如果非管理員使用者沒有為其他人建立工作階段的許可，其左側導覽窗格將不會顯示**工作階段管理**，如下所示：  

![\[工作階段管理連結會由非管理員使用者隱藏，無需為其他人建立工作階段的許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-nonadmin-hidden-link.png)


# 管理許可設定檔
<a name="permission-profiles-permission-management"></a>

身為 RES 管理員，您可以執行下列動作來管理許可設定檔。

**列出許可設定檔**
+ 從研究和工程 Studio 主控台頁面，選擇左側導覽窗格中的**許可政策**。在此頁面上，您可以建立、更新、列出、檢視和刪除許可設定檔。  
![\[管理員可以列出許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/project-roles.png)

**檢視許可設定檔**

1. 在主要**許可設定檔**頁面上，選取要檢視的許可設定檔名稱。在此頁面上，您可以編輯或刪除選取的許可設定檔。  
![\[管理員可以編輯或刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-1.png)

1. 選取**受影響的專案**索引標籤，以檢視目前使用許可設定檔的專案。  
![\[管理員可以檢視受許可設定檔影響的專案\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-view-2.png)

**建立許可設定檔**

1. 在主要**許可設定檔**頁面上，選擇**建立設定檔**以建立許可設定檔。

1. 輸入許可設定檔名稱和描述，然後選取要授予您指派給此設定檔之使用者或群組的許可。  
![\[管理員可以建立許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-create.png)

**編輯許可設定檔**
+ 在主要**許可設定檔**頁面上，按一下其旁邊的圓圈來選取設定檔，選擇**動作**，然後選擇**編輯設定檔**以更新該許可設定檔。  
![\[管理員可以編輯許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-edit.png)

**刪除許可設定檔**
+ 在主要**許可設定檔**頁面上，按一下其旁邊的圓圈來選取設定檔，選擇**動作**，然後選擇**刪除設定檔**。您無法刪除任何現有專案所使用的許可設定檔。  
![\[管理員可以刪除許可設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-permission-profiles-delete.png)

# 預設許可設定檔
<a name="permission-matrix"></a>

每個 RES 專案都隨附兩個預設許可設定檔，可供全球管理員設定。（此外，全球管理員可以建立和修改專案的新許可設定檔。) 下表顯示預設許可設定檔的允許許可：「專案成員」和「專案擁有者」。許可設定檔及其授予選取專案使用者的許可，僅適用於其所屬的專案；全球管理員是跨所有專案擁有以下所有許可的超級使用者。


| 許可 | Description | 專案成員 | 專案擁有者 | 
| --- | --- | --- | --- | 
| 建立工作階段 | 建立您自己的工作階段。使用者一律可以使用或不使用此許可來停止和終止自己的工作階段。 | X | X | 
| 建立/終止其他人的工作階段 | 在專案中建立或終止其他使用者的工作階段。 |  | X | 
| 更新專案成員資格 | 更新與專案相關聯的使用者和群組。 |  | X | 
| 更新專案狀態 | 啟用或停用專案。 |  | X | 

# 環境界限
<a name="permission-profiles-environment-boundaries"></a>

環境界限可讓 Research and Engineering Studio (RES) 管理員設定全域對所有使用者生效的許可。這包括**檔案瀏覽器和 SSH 許可**、**桌面許可**和**桌面進階設定**等許可。

![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)


# 設定檔案瀏覽器存取
<a name="configuring-file-browser-access"></a>

RES 管理員可以在**檔案瀏覽器許可**下開啟或關閉**存取資料**。如果關閉**存取資料**，使用者將無法在其 Web 入口網站中看到**檔案瀏覽器**導覽，也無法上傳或下載連接至其全域檔案系統的資料。啟用**存取資料**時，使用者可以在其 Web 入口網站中存取**檔案瀏覽器**導覽，以允許他們上傳或下載連接到其全域檔案系統的資料。

![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)


當**存取資料**功能開啟，然後關閉時，已登入 Web 入口網站的使用者將無法上傳或下載檔案，即使他們位於對應的頁面上。此外，導覽功能表會在重新整理頁面時消失。

# 設定 SSH 存取
<a name="configuring-ssh-access"></a>

管理員可以從**環境邊界**區段啟用或停用 RES 環境的 SSH。SSH 存取 VDIs 是透過堡壘主機來促進。當您啟用此切換時，RES 會部署堡壘主機，並讓使用者可以看到 SSH 存取指示頁面。當您停用切換時，RES 會停用 SSH 存取、終止堡壘主機，並移除使用者的 SSH 存取指示頁面。此切換預設為停用。

**注意**  
當 RES 部署堡壘主機時，會在您的帳戶中新增 `t3.medium` Amazon EC2 執行個體 AWS 。您需負責支付與此執行個體相關的所有費用。如需詳細資訊，請參閱 [ Amazon EC2 定價頁面](https://aws.amazon.com/ec2/pricing/on-demand/)。

**啟用 SSH 存取**

1. 在 RES 主控台的左側導覽窗格中，選擇**環境管理**，然後選擇**許可政策**。在**環境邊界**下，選取 **SSH 存取**切換。  
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)

1. 等待啟用 SSH 存取。  
![\[建議橫幅會顯示在管理主控台環境管理下的許可政策頁面上\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-enable-ssh.png)

1. 新增堡壘主機後，即會啟用 SSH 存取。  
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)

   使用者可從左側導覽窗格看到 **SSH 存取指示**頁面。  
![\[SSH 存取指示頁面顯示 Linux 和 Windows 的步驟\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled2.png)

**停用 SSH 存取**

1. 在 RES 主控台的左側導覽窗格中，選擇**環境管理**，然後選擇**許可政策**。在**環境邊界**下，選取 **SSH 存取**切換。  
![\[管理員主控台中環境管理下的許可政策頁面\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-enabled.png)

1. 等待停用 SSH 存取。  
![\[橫幅顯示正在許可政策頁面上停用 SSH 存取\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-disable-ssh.png)

1. 程序完成後，會停用 SSH 存取。  
![\[許可政策頁面顯示 SSH 存取已停用\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-ssh-disabled.png)

# 設定桌面許可
<a name="configuring-desktop-permissions"></a>

管理員可以開啟或關閉**桌面許可**，以全域管理所有工作階段擁有者的 VDI 功能。所有這些許可或子集都可用來建立**桌面共用設定檔**，以決定共用桌面的使用者可執行的動作。如果停用任何桌面許可，這會自動停用**桌面共用設定檔**中的對應許可。這些許可會標記為「全域停用」。即使管理員再次啟用此桌面許可，桌面共用設定檔中的許可仍會保持停用狀態，直到管理員手動啟用為止。

![\[環境邊界\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/permission-policy-environment-boundaries.png)


# 桌面共用設定檔
<a name="permission-profiles-desktop-sharing-profiles"></a>

管理員可以建立新的設定檔並自訂它們。所有使用者都可以存取這些設定檔，並在與他人共用工作階段時使用。這些設定檔中授予的最大許可不能超過全域允許的桌面許可。

**建立設定檔**

管理員可以選擇**建立設定檔**來建立新的設定檔。然後，他們可以輸入**設定檔名稱**、**設定檔描述**、設定所需的許可，以及**儲存**其變更。

![\[桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/desktop-sharing-profiles.png)


![\[設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition.png)


**編輯設定檔**

**若要編輯設定檔：**

1. 選取所需的設定檔。

1. 選擇**動作**，然後選取**編輯**以修改設定檔。

1. 視需要調整許可。

1. 選擇**儲存變更**。

對設定檔所做的任何變更都會立即套用至目前開啟的工作階段。

![\[已選取 testprofile_1 的桌面共用設定檔\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-desktop-sharing-profiles2.png)


![\[testProfile_1 的設定檔定義和許可\]](http://docs.aws.amazon.com/zh_tw/res/latest/ug/images/res-profile-definition2.png)