Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Administratorhandbuch
Dieses Administratorhandbuch enthält zusätzliche Anweisungen für technische Anwender zur weiteren Anpassung und Integration mit dem Research and Engineering Studio auf dem AWS Produkt.
**Topics**
+ [Verwaltung von Secrets](secrets-management.md)
+ [Kostenüberwachung und -kontrolle](cost-management.md)
+ [Dashboard zur Kostenanalyse](cost-analysis-dashboard.md)
+ [Verwaltung von Sitzungen](evdi.md)
+ [Verwaltung der Umgebung](environment-management.md)
# Verwaltung von Secrets
Research and Engineering Studio wahrt die folgenden Geheimnisse mithilfe von AWS Secrets Manager. RES erstellt Geheimnisse automatisch bei der Erstellung der Umgebung. Geheimnisse, die der Administrator bei der Erstellung der Umgebung eingegeben hat, werden als Parameter eingegeben.
| Secret-Name | Description | RES generiert | Admin hat eingegeben |
| --- | --- | --- | --- |
| -sso-client-secret | Geheimer Single OAuth2 Sign-On-Client für die Umgebung | ✓ | |
| -vdc-client-secret | VDC ClientSecret | ✓ | |
| -vdc-client-id | VDC ClientId | ✓ | |
| -vdc-gateway-certificate-private-key | Privater Schlüssel für das selbstsignierte Zertifikat für die Domäne | ✓ | |
| -vdc-gateway-certificate-certificate | Selbstsigniertes Zertifikat für die Domäne | ✓ | |
| -cluster-manager-client-secret | Cluster-Manager ClientSecret | ✓ | |
| -cluster-manager-client-id | Clustermanager ClientId | ✓ | |
| -external-private-key | Privater Schlüssel für das selbstsignierte Zertifikat für die Domäne | ✓ | |
| -external-certificate | Selbstsigniertes Zertifikat für die Domäne | ✓ | |
| -internal-private-key | Privater Schlüssel für das selbstsignierte Zertifikat für die Domäne | ✓ | |
| -internal-certificate | Selbstsigniertes Zertifikat für die Domäne | ✓ | |
| -directoryservice-ServiceAccountUserDN | Das DN-Attribut (Distinguished Name) des ServiceAccount Benutzers. | ✓ | |
Die folgenden geheimen ARN-Werte sind in der `-cluster-settings` Tabelle in DynamoDB enthalten:
| Key (Schlüssel) | Quelle |
| --- | --- |
| identity-provider.cognito.sso\$1client\$1secret | |
| vdc.dcv\$1connection\$1gateway.certificate.certificate\$1secret\$1arn | Stack |
| vdc.dcv\$1connection\$1gateway.certificate.private\$1key\$1secret\$1arn | Stack |
| cluster.load\$1balancers.internal\$1alb.certificates.private\$1key\$1secret\$1arn | Stack |
| directoryservice.root\$1username\$1secret\$1arn | |
| vdc.client\$1secret | Stack |
| cluster.load\$1balancers.external\$1alb.certificates.certificate\$1secret\$1arn | Stack |
| cluster.load\$1balancers.internal\$1alb.certificates.certificate\$1secret\$1arn | Stack |
| directoryservice.root\$1password\$1secret\$1arn | |
| cluster.secretsmanager.kms\$1key\$1id | |
| cluster.load\$1balancers.external\$1alb.certificates.private\$1key\$1secret\$1arn | Stack |
| cluster-manager.client\$1secret | |
# Kostenüberwachung und -kontrolle
**Anmerkung**
Das Zuordnen von Research and Engineering Studio-Projekten zu AWS Budgets wird in AWS GovCloud (US) nicht unterstützt.
Erstellen Sie mit dem [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) ein [Budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html), um die Kosten zu verwalten. Die Preise sind freibleibend. Vollständige Informationen finden Sie auf der Preisseite der einzelnen[AWS Dienste in diesem Produkt](architecture-overview.md#aws-services-in-this-product).
Um die Kostenverfolgung zu erleichtern, können Sie RES-Projekte den innerhalb von ihnen erstellten Budgets zuordnen AWS Budgets. Sie müssen zunächst die Umgebungs-Tags innerhalb der Tags für die Zuordnung von Abrechnungskosten aktivieren.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS Billing and Cost Management-Konsole](https://console.aws.amazon.com/costmanagement/home).
1. Wählen Sie **Tags für die Kostenzuweisung** aus.
1. Suchen Sie nach den `res:EnvironmentName` Tags `res:Project` und wählen Sie sie aus.
1. Wählen Sie **Aktivieren**.
![\[Aktivieren Sie die Tags für die Kostenzuweisung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-costtags.png)
**Anmerkung**
Es kann bis zu einem Tag dauern, bis die RES-Tags nach der Bereitstellung angezeigt werden.
So erstellen Sie ein Budget für RES-Ressourcen:
1. Wählen Sie in der Abrechnungskonsole **Budgets** aus.
1. Wählen Sie **Budget erstellen** aus.
1. Wählen Sie unter **Budgeteinstellungen** die Option **Anpassen (erweitert)** aus.
1. Wählen Sie unter **Budgettypen** die Option **Kostenbudget — Empfohlen** aus.
1. Wählen Sie **Weiter** aus.
![\[Wählen Sie den Budgettyp\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-createbudget1-5.png)
1. Geben Sie unter **Details** eine aussagekräftige **Budgetbezeichnung** für Ihr Budget ein, um es von anderen Budgets in Ihrem Konto zu unterscheiden. Beispiel, `--`.
1. Geben **Sie unter Budgetbetrag festlegen** den für Ihr Projekt budgetierten Betrag ein.
1. Wählen Sie unter **Budgetumfang** die Option **Spezifische AWS Kostendimensionen filtern** aus.
1. Wählen Sie **Add filter**.
1. Wählen Sie unter **Dimension** die Option **Tag** aus.
1. Wählen Sie unter **Tag** die Option **Res:Project** aus.
**Anmerkung**
Es kann bis zu zwei Tage dauern, bis Tags und Werte verfügbar sind. Sie können ein Budget erstellen, sobald der Projektname verfügbar ist.
1. Wählen Sie unter **Werte** den Projektnamen aus.
1. Wählen Sie **Filter anwenden** aus, um den Projektfilter dem Budget zuzuordnen.
1. Wählen Sie **Weiter** aus.
![\[Legen Sie den Budgetumfang fest\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-budgets-04.png)
1. (Optional.) Fügen Sie einen Warnschwellenwert hinzu.
1. Wählen Sie **Weiter** aus.
1. (Optional.) Wenn eine Warnung konfiguriert wurde, verwenden Sie **Attach actions**, um die gewünschten Aktionen mit der Warnung zu konfigurieren.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Budgetkonfiguration und vergewissern Sie sich, dass unter **Zusätzliche Budgetparameter** das richtige Tag festgelegt wurde.
1. Wählen Sie **Budget erstellen** aus.
Nachdem das Budget erstellt wurde, können Sie das Budget für Projekte aktivieren. Informationen zum Aktivieren von Budgets für ein Projekt finden Sie unter[Bearbeiten Sie ein Projekt](edit-project.md). Virtuelle Desktops werden am Start gehindert, wenn das Budget überschritten wird. Wenn das Budget überschritten wird, während ein Desktop gestartet wird, funktioniert der Desktop weiter.
![\[Das Budget wurde überschritten\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-budgets-exceeded.png)
Wenn Sie Ihr Budget ändern müssen, kehren Sie zur Konsole zurück, um den Budgetbetrag zu bearbeiten. Es kann bis zu fünfzehn Minuten dauern, bis die Änderung in RES wirksam wird. Alternativ können Sie ein Projekt bearbeiten, um ein Budget zu deaktivieren.
# Dashboard zur Kostenanalyse
Das Kostenanalyse-Dashboard ermöglicht es RES-Administratoren, Projektbudgets und Projektkosten im Zeitverlauf vom RES-Portal aus zu überwachen. Die Kosten können auf Projektebene gefiltert werden.
**Topics**
+ [Voraussetzungen](#cost-analysis-dashboard-prerequisites)
+ [Diagramm für Projekte mit zugewiesenem Budget](#cost-analysis-dashboard-projects-chart)
+ [Diagramm der Kostenanalyse im Zeitverlauf](#cost-analysis-dashboard-over-time)
+ [Herunterladen einer CSV](#cost-analysis-dashboard-download-csv)
## Voraussetzungen
Um das Kosten-Dashboard für Research and Engineering Studio verwenden zu können, müssen Sie zunächst:
+ [Erstellen eines Projekts](create-project.md).
+ Erstellen Sie in der [AWS Billing and Cost Management-Konsole](https://console.aws.amazon.com/costmanagement/home) ein [Budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html).
+ Ordnen Sie das Budget dem Projekt zu (siehe[Bearbeiten Sie ein Projekt](edit-project.md)).
+ Aktivieren Sie das Kostenanalysediagramm für Konten mit neuen RES-Implementierungen. Führen Sie dazu die folgenden Schritte aus:
1. Stellen Sie einen [VDI](virtual-desktops.md) für das von Ihnen erstellte Projekt bereit. Dadurch wird das `res:Project` Tag im [AWS Cost Explorer bereitgestellt](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/), was bis zu 24 Stunden dauern kann.
1. Nachdem das Tag erstellt wurde, wird die Schaltfläche **Tags aktivieren** aktiviert. Wählen Sie die Schaltfläche, um die Tags im Cost Explorer zu aktivieren. Dieser Vorgang kann weitere 24 Stunden dauern.
![\[Kostenanalyse, Onboarding; zu ergreifende Schritte\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-onboarding.png)
## Diagramm für Projekte mit zugewiesenem Budget
Das Diagramm **Projekte mit zugewiesenem Budget** zeigt den Budgetstatus von Projekten in der RES-Umgebung, denen Budgets zugewiesen wurden. Standardmäßig zeigt das Diagramm die fünf wichtigsten Projekte nach Budgetbetrag an. Sie können bestimmte Projekte in der Dropdownliste „**Angezeigte Daten filtern**“ auswählen. Dadurch wird die vollständige Liste der Projekte geladen, denen ein Budget zugewiesen wurde.
![\[Diagramm, das Projekte mit dem Status des zugewiesenen Budgets anzeigt, einschließlich ausgegebener, überhöhter und verbleibender Beträge\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-projects-budget-assigned.png)
Das Diagramm zeigt ausgegebene, verbleibende und übersteigende Beträge für jedes Budget in der Währung USD an. Zeigen Sie mit der Maus auf einen Balken, um die genauen USD-Beträge für jede Kategorie anzuzeigen. Sie können auch die Seiten Projekte und Projekt erstellen öffnen, indem Sie in der oberen rechten Ecke auf die Schaltflächen **Projekte überprüfen** und **Projekt erstellen** klicken.
![\[Diagramm, das Projekte mit dem Status des zugewiesenen Budgets und Popup-Details für ein Projekt zeigt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-projects-budget-dropdown.png)
## Diagramm der Kostenanalyse im Zeitverlauf
Das Diagramm „**Kostenanalyse im Zeitverlauf**“ zeigt die Aufschlüsselung der Kosten nach Projekten über einen bestimmten Zeitraum. Standardmäßig zeigt das Diagramm Daten für jeden der letzten 6 Monate an. Es zeigt die fünf Projekte mit den höchsten Gesamtkosten im ausgewählten **Zeitraum** mit der von Ihnen ausgewählten **Granularität** an. Alle anderen ausgewählten Projekte außer den Top 5 werden in der Kategorie **Andere** zusammengefasst.
![\[Diagramm mit der Kostenanalyse für einen ausgewählten Zeitraum\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-over-time.png)
### Filter
Sie können nach Projekt, Zeitraum und Granularität filtern, um die Diagrammansicht „**Kostenanalyse im Zeitverlauf**“ individuell anzupassen. Wenn ungültige Filterkombinationen ausgewählt wurden, öffnet sich ein modales Fenster, in dem Sie entweder zur vorherigen Konfiguration zurückkehren oder einen Vorschlag für die aktualisierte Filterkombination annehmen können.
**Projekt**
Wenn Sie das Drop-down-Menü „**Angezeigte Daten filtern**“ auswählen, wird eine vollständige Liste der Projekte in Ihrer aktuellen RES-Umgebung angezeigt. Sie sehen den Projektnamen, darunter wird der Projektcode angezeigt.
![\[Detail der Filtereinstellungen mit Projekten, die zur Anzeige ausgewählt wurden\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-filter-modal.png)
**Angabe des Zeitbereichs**
Sie können wählen, ob Sie einen **absoluten oder einen **relativen Bereich**** verwenden möchten, wenn Sie einen Datumsbereich angeben. Wenn Sie einen relativen Bereich auswählen, werden die Daten anhand vollständiger Zeiteinheiten berechnet. Wenn Sie beispielsweise im Februar 2025 die **Option Letzte 6 Monate** auswählen, ergibt sich ein Zeitraum zwischen dem 01.08.24 und dem 31.1.25.
![\[Detail des Pop-Outs, das die Auswahl eines relativen Zeitbereichs ermöglicht\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-time-range1.png)
![\[Detail des Pop-Outs, das die Auswahl eines absoluten Zeitbereichs ermöglicht\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-time-range2.png)
**Granularität**
Sie können wählen, ob Sie Daten mit **monatlicher**, **täglicher** oder **stündlicher** Granularität anzeigen möchten. Die **stündliche** Granularität unterstützt nur einen Datumsbereich von bis zu 14 Tagen. **Die tägliche** Granularität unterstützt nur einen Datumsbereich von bis zu 14 Monaten.
![\[Detail des Pop-Outs, das die Auswahl der Granularität des Zeitbereichs ermöglicht\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-granularity.png)
## Herunterladen einer CSV
Um die aktuelle Kostenanalyseansicht zu exportieren, wählen Sie oben rechts im Diagramm **Kostenanalyse im Laufe der Zeit** die Option **CSV herunterladen** aus. Die heruntergeladene CSV-Datei enthält die Kosteninformationen für jedes ausgewählte Projekt für den angegebenen Zeitraum sowie die Gesamtkosten nach Projekt und Zeitraum.
![\[Die heruntergeladene CSV-Datei wurde in einer Tabellenkalkulationsanwendung geöffnet\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-cost-analysis-download-csv.png)
# Verwaltung von Sitzungen
Die Sitzungsverwaltung bietet eine flexible und interaktive Umgebung für die Entwicklung und das Testen von Sitzungen. Als Administratorbenutzer können Sie Benutzern erlauben, interaktive Sitzungen in ihren Projektumgebungen zu erstellen und zu verwalten.
**Topics**
+ [Dashboard](dashboard.md)
+ [Sitzungen](sessions.md)
+ [Software-Stacks () AMIs](software-stacks.md)
+ [Debuggen](debug.md)
+ [Desktop-Einstellungen](desktop-settings.md)
# Dashboard
![\[Dashboard für die Sitzungsverwaltung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/virtualdesktopdashboard.jpg)
Das Sitzungsverwaltungs-Dashboard bietet Administratoren einen schnellen Überblick über:
1. Instance-Typen
1. Sitzungsstatus
1. Basis-Betriebssystem
1. Projekte
1. Availability Zones
1. Software-Stapel
Darüber hinaus können Administratoren:
1. Aktualisieren Sie das Dashboard, um die Informationen zu aktualisieren.
1. Wählen Sie **Sitzungen anzeigen**, um zu Sitzungen zu navigieren.
# Sitzungen
Sessions zeigt alle virtuellen Desktops an, die in Research and Engineering Studio erstellt wurden. Auf der Sitzungsseite können Sie Sitzungsinformationen filtern und anzeigen oder eine neue Sitzung erstellen.
![\[Sitzungsseite der Admin-Konsole mit nummerierten Anmerkungen zur Funktionalität\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-sessions.jpg)
1. Verwenden Sie das Menü, um die Ergebnisse nach Sitzungen zu filtern, die innerhalb eines bestimmten Zeitraums erstellt oder aktualisiert wurden.
1. Wählen Sie eine Sitzung aus und verwenden Sie das Aktionsmenü, um:
1. Sitzung (en) fortsetzen
1. Stop/Hibernate Sitzung (en)
1. Stop/Hibernate Sitzung (en) erzwingen
1. Sitzung (en) neu starten — Startet ausgewählte Sitzungen neu. Diese Aktion ist auch für Sitzungen mit dem Status FEHLER verfügbar, sodass Administratoren VDIs fehlerhafte Sitzungen wiederherstellen können.
1. Sitzung (en) beenden
1. Sitzung (en) beenden erzwingen
1. Sitzung (en) Health
1. Software-Stack erstellen
1. Wählen Sie **Create Session**, um eine neue Sitzung zu erstellen.
1. Suchen Sie anhand des Namens nach einer Sitzung und filtern Sie sie nach Status und Betriebssystem.
1. Wählen Sie den **Sitzungsnamen** aus, um weitere Details anzuzeigen.
## Erstellen einer Sitzung
1. Wählen Sie **Sitzung erstellen**. Das Modal „Neuen virtuellen Desktop starten“ wird geöffnet.
1. Geben Sie Details für die neue Sitzung ein.
1. (Optional.) Aktivieren Sie „**Erweiterte Optionen anzeigen**“, um zusätzliche Details wie Subnetz-ID und DCV-Sitzungstyp anzugeben.
1. Wählen Sie **Absenden** aus.
![\[Details zur Seite der Admin-Konsole mit Feldern, die ausgefüllt werden müssen, um einen neuen virtuellen Desktop zu starten\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-createsession.jpg)
## Einzelheiten der Sitzung
Wählen Sie in der **Sitzungsliste** den **Sitzungsnamen** aus, um die Sitzungsdetails anzuzeigen.
![\[Seite der Admin-Konsole mit Ansicht der Sitzungsdetails\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-viewsessiondetails.jpg)
# Software-Stacks () AMIs
Auf der Seite Software Stacks können Sie Amazon Machine Images (AMIs) konfigurieren oder bestehende verwalten.
![\[Seite der Admin-Konsole von Software Stacks mit nummerierten Anmerkungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-softwarestackspage-2026.03.png)
1. Um nach einem vorhandenen Software-Stack zu suchen, verwenden Sie das Betriebssystem-Dropdown-Menü, um nach Betriebssystem zu filtern.
1. Wählen Sie den Namen eines Software-Stacks aus, um Details zum Stack anzuzeigen.
1. Wählen Sie das Optionsfeld neben einem Software-Stack und verwenden Sie dann das **Aktionsmenü**, um den Stack zu bearbeiten und den Stack einem Projekt zuzuweisen.
1. Wählen Sie die Schaltfläche **Software-Stack registrieren**, um einen neuen Stack zu erstellen.
## Registrieren Sie einen neuen Software-Stack
Mit der Schaltfläche **Software-Stack registrieren** können Sie einen neuen Stack erstellen:
**Anmerkung**
Sie können einen unverschlüsselten Systems Manager Manager-Parameter als Alias für die Software-Stack-ID verwenden.
Für den Systems Manager Manager-Parameter sind die folgenden Tags erforderlich, damit RES darauf zugreifen kann:
Schlüssel: `res:EnvironmentName` Wert: ``
Schlüssel: `res:ModuleName` Wert: `virtual-desktop-controller`
1. Wählen Sie **Software-Stack registrieren**.
1. Geben Sie Details für den neuen Software-Stack ein, einschließlich Name, Beschreibung, AMI-ID und Betriebssystem.
1. (Optional) Verwenden Sie das Feld **Zulässige Instance-Typen**, um die Instance-Familien oder Typen anzugeben, die für diesen Software-Stack zulässig sind. Sie können Instance-Familien (zum Beispiel`t3`) oder bestimmte Instance-Größen (zum Beispiel`t3.xlarge`) eingeben.
1. Wählen Sie **Absenden** aus.
![\[Popup-Seite der Admin-Konsole, auf der Sie einen neuen Software-Stack registrieren können\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-register-new-software-stack.png)
## Weisen Sie einem Projekt einen Software-Stack zu
Wenn Sie einen neuen Software-Stack erstellen, können Sie den Stack Projekten zuweisen. Wenn Sie den Stack jedoch nach der ersten Erstellung zu einem Projekt hinzufügen müssen, gehen Sie wie folgt vor:
**Anmerkung**
Sie können Software-Stacks nur Projekten zuweisen, bei denen Sie Mitglied sind.
1. Wählen Sie auf der Seite **Software-Stacks** das Optionsfeld für den Software-Stack aus, den Sie einem Projekt hinzufügen möchten.
1. Wählen Sie **Aktionen**.
1. Wählen Sie **Bearbeiten** aus.
1. Verwenden Sie das Drop-down-Menü **Projekte**, um das Projekt auszuwählen.
![\[Admin-Konsole mit Feldern zum Aktualisieren eines Software-Stacks für ein Projekt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-update-software-stack.png)
1. Wählen Sie **Absenden** aus.
Sie können den Software-Stack auch auf der Seite mit den Stack-Details bearbeiten.
## Ändern Sie die VDI-Instanzliste des Software-Stacks
Für jeden registrierten Software-Stack können Sie die zulässigen Instanzfamilien und -typen auswählen. Die Liste der Optionen für jeden Software-Stack wird nach den in den **Desktop-Einstellungen** definierten Optionen gefiltert. Sie können dort die globalen **zulässigen Instanzfamilien und -typen finden und** ändern.
![\[Seite der Admin-Konsole mit Desktop-Einstellungen unter Sitzungsverwaltung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-vdi-instance-list1.png)
**So bearbeiten Sie das Attribut **Allowed Instance Families and Types** eines Software-Stacks:**
1. Wählen Sie auf der Seite „**Software-Stacks**“ das Optionsfeld für den Software-Stack.
1. Wählen Sie „**Aktionen**“ und anschließend „**Stack bearbeiten“**.
1. Wählen Sie die gewünschten Instanzfamilien und -typen aus der Drop-down-Liste unter **Zulässige Instanzfamilien und -typen** aus.
![\[Pop-up-Fenster für den Software-Stack aktualisieren, mit dem Sie zulässige Instanzfamilien und -typen bearbeiten können\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-vdi-instance-list2.png)
1. Wählen Sie **Absenden** aus.
**Anmerkung**
Wenn der globale Satz **zulässiger Instanzfamilien und -typen** eine Instanzfamilie und einen Instanztyp innerhalb dieser Familie umfasst (zum Beispiel `t3` und`t3.large`), umfassen die verfügbaren Optionen für das Attribut **Zulässige Instanzfamilien und -typen** eines Software-Stacks nur die Instanzfamilie.
**Wichtig**
Wenn eine Instanz auf Umgebungsebene aus der Zulassungsliste gelöscht type/family wird, sollte sie automatisch aus allen Software-Stacks entfernt werden.
Instanzen types/families , die auf Umgebungsebene hinzugefügt werden, werden nicht automatisch zu Software-Stacks hinzugefügt.
## Details zum Software-Stack anzeigen
Wählen Sie auf der Seite „**Software-Stacks**“ den Namen des Software-Stacks aus, um dessen Details anzuzeigen. Sie können auch das Optionsfeld für einen Software-Stack auswählen, **Aktionen** und dann **Bearbeiten** auswählen, um den Software-Stack zu bearbeiten.
## Unterstützung für VDI-Menancy
Wenn Sie einen neuen Software-Stack registrieren oder einen vorhandenen Software-Stack bearbeiten, können Sie den Tenancy für den aus diesem Software-Stack VDIs gestarteten auswählen. Die folgenden drei Mietverträge werden unterstützt:
+ Shared (Standard) — Wird VDIs mit gemeinsam genutzten Hardware-Instanzen ausgeführt
+ Dedizierte Instanz — Wird VDIs mit dedizierten Instanzen ausgeführt
+ Dedizierter Host — Wird VDIs mit einem dedizierten Host ausgeführt
![\[Pop-out-Seite der Admin-Konsole, auf der Sie den Tenancy-Typ für den Start auswählen können VDIs\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-vdi-tenancy-support1.png)
Wenn Sie den Tenancy-Typ für dedizierte Hosts auswählen, müssen Sie auch die Tenancy-Affinität und den Zielhosttyp auswählen. Die folgenden Zielhosttypen werden unterstützt:
+ Host-Ressourcengruppe — Host-Ressourcengruppe, die im AWS License Manager erstellt wurde
+ Host-ID — Eine bestimmte Host-ID
![\[Popup-Seite der Admin-Konsole, auf der Sie Tenancy Affinity für Launched auswählen können VDIs\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-vdi-tenancy-support2.png)
![\[Popup-Seite der Admin-Konsole, auf der Sie den Zielhosttyp für den Start auswählen können VDIs\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-vdi-tenancy-support3.png)
Um alle selbstverwalteten Lizenzen anzugeben, die Sie benötigen, VDIs wenn Sie sie mit der dedizierten Host-Tenancy starten, ordnen Sie die Lizenzen Ihrem AMI zu. Folgen Sie dazu dem Abschnitt [Zuordnen von selbstverwalteten Lizenzen und AMIs](https://docs.aws.amazon.com/license-manager/latest/userguide/license-rules.html#ami-associations) im *AWS License* Manager Manager-Benutzerhandbuch.
## Hinzufügen eines Rocky Linux 9-Software-Stacks
RES hat keinen Standard-Software-Stack für Rocky Linux 9, daher enthält dieser Abschnitt eine Empfehlung, welches Rocky-AMI zu verwenden ist und wie es zu verwenden ist.
1. Melden Sie sich bei der AWS Management Console an und rufen Sie die [AMI-Katalogseite](https://console.aws.amazon.com/ec2/home#AMICatalog) in der EC2-Konsole auf.
1. Suchen Sie AMIs unter dem **AWS Marketplace-Tab** nach dem Namen **Rocky Linux 9.**
1. **Wählen Sie das AMI mit dem Namen **Rocky Linux 9 (Official) - x86\$164** von Rocky Linux aus.**
![\[Screenshot mit den Rocky Linux 9 AMI-Suchergebnissen im AMI-Katalog\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-rocky-linux9.png)
1. Wählen Sie nach der Auswahl „**Jetzt abonnieren**“.
1. Scrollen Sie nach oben und kopieren Sie die AMI-ID für das **ausgewählte AMI**.
![\[Screenshot, der den AMI-Katalog mit der ausgewählten AMI-ID zeigt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-ami-catalog.png)
1. Gehen Sie zum RES-Portal und registrieren Sie mit diesem AMI einen neuen **Software-Stack auf der Seite Software-Stacks**.
# Debuggen
Im Debugging-Bereich wird der Nachrichtenverkehr im Zusammenhang mit den virtuellen Desktops angezeigt. Sie können dieses Fenster verwenden, um Aktivitäten zwischen Hosts zu beobachten. Auf der Registerkarte Virtual Desktop Host werden instanzspezifische Aktivitäten angezeigt, und auf der Registerkarte Virtual Desktop Sessions werden laufende Sitzungsaktivitäten angezeigt.
![\[Bedienfeld „Debugging“\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-evdi-debug-01.png)
# Desktop-Einstellungen
Sie können die Seite mit den Desktop-Einstellungen verwenden, um Ressourcen zu konfigurieren, die virtuellen Desktops zugeordnet sind.
![\[Desktop-Einstellungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-virtual-desktop-settings.png)
**General**
Die Registerkarte **Allgemein** bietet Zugriff auf Einstellungen wie:
**SCHNELL**
Aktiviert QUIC zugunsten von TCP als Standard-Streaming-Protokoll für all Ihre virtuellen Desktops.
**Standard-DCV-Sitzungstyp**
Der standardmäßige DCV-Sitzungstyp, der für alle virtuellen Desktops verwendet wird. Diese Einstellung gilt nicht für zuvor erstellte Desktops. Dies gilt nur in Fällen, in denen der Instanztyp und das Betriebssystem entweder virtuelle Sitzungstypen oder Konsolensitzungstypen unterstützen.
**Standardmäßig zulässige Sitzungen pro Benutzer pro Projekt**
Der Standardwert für die zulässige Anzahl von VDI-Sitzungen pro Benutzer und Projekt.
**Ablauf des DCV-Sitzungstoken**
Die Dauer, für die ein DCV-Sitzungstoken gültig bleibt. Wenn ein Token abläuft, müssen Benutzer die DCV-Verbindungsdatei erneut vom Webportal herunterladen, um weiterhin auf ihre virtuelle Desktop-Sitzung zugreifen zu können. Die folgenden Optionen sind verfügbar:
+ 1.440 Minuten (1 Tag)
+ 10.080 Minuten (7 Tage)
+ 43.200 Minuten (30 Tage)
![\[Einstellung für den Ablauf des DCV-Sitzungstoken in den Desktop-Einstellungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/dcv-settings-form.png)
**herstellen**
Die Registerkarte **Server** bietet Zugriff auf Einstellungen wie:
**Timeout bei Leerlauf der DCV-Sitzung**
Die Zeit, nach der die DCV-Sitzung automatisch getrennt wird. Dadurch wird der Status der Desktop-Sitzung nicht geändert. Die Sitzung wird lediglich entweder über den DCV-Client oder den Webbrowser geschlossen.
**Warnung vor Timeout im Leerlauf**
Die Zeit, nach der dem Client eine Warnung bei Leerlauf angezeigt wird.
**Schwellenwert für die CPU-Auslastung**
Die CPU-Auslastung, die als inaktiv betrachtet werden soll.
**Max. Größe des Root-Volumes**
Die Standardgröße des Root-Volumes in virtuellen Desktop-Sitzungen.
**Zulässige Instanztypen**
Die Liste der Instanzfamilien und -größen, die für diese RES-Umgebung gestartet werden können. Kombinationen aus Instance-Familie und Instance-Größe werden beide akzeptiert. Wenn Sie beispielsweise 'm7a' angeben, können alle Größen der m7a-Familie als VDI-Sitzungen gestartet werden. Wenn Sie 'm7a.24xlarge' angeben, kann nur m7a.24xlarge als VDI-Sitzung gestartet werden. Diese Liste wirkt sich auf alle Projekte in der Umgebung aus.
![\[Desktop-Einstellungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-virtual-desktop-settings2.png)
# Verwaltung der Umgebung
Im Bereich Umweltmanagement von Research and Engineering Studio können Benutzer mit Administratorrechten isolierte Umgebungen für ihre Forschungs- und Ingenieurprojekte erstellen und verwalten. Diese Umgebungen können Rechenressourcen, Speicher und andere erforderliche Komponenten umfassen, und das alles in einer sicheren Umgebung. Benutzer können diese Umgebungen so konfigurieren und anpassen, dass sie den spezifischen Anforderungen ihrer Projekte entsprechen. Dies erleichtert das Experimentieren, Testen und Iterieren ihrer Lösungen, ohne andere Projekte oder Umgebungen zu beeinträchtigen.
**Topics**
+ [Umgebungsstatus](environment-status.md)
+ [Einstellungen für die Umgebung](environment-settings.md)
+ [Benutzer](users.md)
+ [Gruppen](groups.md)
+ [Projekte](projects.md)
+ [Berechtigungsrichtlinie](permission-profiles.md)
+ [Dateisysteme](file-system.md)
+ [Snapshot-Verwaltung](snapshots.md)
+ [Amazon-S3-Buckets](S3-buckets.md)
# Umgebungsstatus
Auf der Seite **Umgebungsstatus** werden die im Produkt implementierte Software und die bereitgestellten Hosts angezeigt. Sie enthält Informationen wie Softwareversion, Modulnamen und andere Systeminformationen.
![\[Seite mit dem Status der Umgebung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-environmentstatus.jpg)
# Einstellungen für die Umgebung
Auf der Seite mit den **Umgebungseinstellungen** werden Details zur Produktkonfiguration angezeigt, z. B.:
+ General
Sie können den Titel und den Untertitel des Webportals bearbeiten und benutzerdefinierte Links zur Anmeldeseite des Webportals hinzufügen. So konfigurieren Sie benutzerdefinierte Links:
1. Navigieren Sie zu **Environment Management** > **Umgebungseinstellungen**.
1. Wählen Sie auf der Registerkarte **Allgemein die** Option **Bearbeiten** aus.
1. Wählen Sie im Abschnitt **Benutzerdefinierte Links** die Option **Link hinzufügen** aus.
1. Geben Sie einen **Titel** und eine **URL** für jeden Link ein, den Sie auf der Anmeldeseite anzeigen möchten.
1. Wählen Sie **Absenden** aus, um Ihre Änderungen zu speichern.
Auf der Anmeldeseite des Webportals werden benutzerdefinierte Links angezeigt, über die Administratoren Benutzer auf Ressourcen wie interne Dokumentation, Supportseiten oder Richtlinien zur zulässigen Nutzung weiterleiten können.
![\[Konfiguration benutzerdefinierter Links in den Umgebungseinstellungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/web-links-edit-form.png)
+ Identitätsanbieter
Zeigt Informationen wie den Single Sign-On-Status an.
+ Netzwerk
Zeigt die VPC-ID und die Präfixliste IDs für den Zugriff an.
+ Directory Service
Zeigt Active Directory-Einstellungen und den ARN des Service Account Secrets Manager für Benutzername und Passwort an.
# Benutzer
Alle Benutzer, die von Ihrem Active Directory aus synchronisiert wurden, werden auf der Benutzerseite angezeigt. Benutzer werden während der Konfiguration des Produkts vom Cluster-Admin-Benutzer synchronisiert. Weitere Informationen zur anfänglichen Benutzerkonfiguration finden Sie unter. [Konfigurationsleitfaden](configuration-guide.md)
**Anmerkung**
Administratoren können nur Sitzungen für aktive Benutzer erstellen. Standardmäßig befinden sich alle Benutzer in einem inaktiven Status, bis sie sich bei der Produktumgebung anmelden. Wenn ein Benutzer inaktiv ist, bitten Sie ihn, sich anzumelden, bevor Sie eine Sitzung für ihn erstellen.
![\[Benutzer\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-users.jpg)
Auf der **Benutzerseite** können Sie:
1. Nach Benutzern suchen
1. Wenn ein Benutzername ausgewählt ist, verwenden Sie das **Aktionsmenü**, um:
1. Als Admin-Benutzer festlegen
1. Benutzer deaktivieren
# Gruppen
Alle Gruppen, die aus dem Active Directory synchronisiert wurden, werden auf der Gruppenseite angezeigt. Weitere Informationen zur Konfiguration und Verwaltung von Gruppen finden Sie unter[Konfigurationsleitfaden](configuration-guide.md).
![\[Gruppen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-groups.jpg)
Auf der Seite **Gruppen** können Sie:
1. Suchen Sie nach Benutzergruppen.
1. Wenn eine Benutzergruppe ausgewählt ist, verwenden Sie das **Aktionsmenü**, um eine Gruppe zu deaktivieren oder zu aktivieren.
1. Wenn eine Benutzergruppe ausgewählt ist, können Sie den Bereich **Benutzer** am unteren Bildschirmrand erweitern, um die Benutzer in der Gruppe anzuzeigen.
# Projekte
Projekte bilden eine Grenze für virtuelle Desktops, Teams und Budgets. Wenn Sie ein Projekt erstellen, definieren Sie dessen Einstellungen, z. B. den Namen, die Beschreibung und die Umgebungskonfiguration. Projekte umfassen in der Regel eine oder mehrere Umgebungen, die an die spezifischen Anforderungen Ihres Projekts angepasst werden können, z. B. Art und Größe der Rechenressourcen, den Software-Stack und die Netzwerkkonfiguration.
**Topics**
+ [Projekte ansehen](view-projects.md)
+ [Erstellen eines Projekts](create-project.md)
+ [Bearbeiten Sie ein Projekt](edit-project.md)
+ [Deaktiviere ein Projekt](disable-project.md)
+ [Projekt löschen](delete-project.md)
+ [Hinzufügen oder Entfernen von Tags zu einem Projekt](tag-project.md)
+ [Zeigen Sie die mit einem Projekt verknüpften Dateisysteme an](view-project-file-systems.md)
+ [Fügen Sie eine Startvorlage hinzu](project-launch-template.md)
# Projekte ansehen
![\[Projekte\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-projects.jpg)
Das Projekte-Dashboard enthält eine Liste der Projekte, die Ihnen zur Verfügung stehen. Über das Projekte-Dashboard können Sie:
1. Sie können das Suchfeld verwenden, um Projekte zu finden.
1. Wenn ein Projekt ausgewählt ist, können Sie das **Aktionsmenü** verwenden, um:
1. Bearbeiten Sie ein Projekt
1. Ein Projekt deaktivieren oder aktivieren
1. Projekt-Tags aktualisieren
1. Projekt löschen
1. Sie können **Projekt erstellen** wählen, um ein neues Projekt zu erstellen.
# Erstellen eines Projekts
1. Wählen Sie **Projekt erstellen** aus.
1. Geben Sie die Projektdetails ein.
Die Projekt-ID ist ein Ressourcen-Tag, mit dem die Kostenzuweisung verfolgt werden kann AWS Cost Explorer Service. Weitere Informationen finden Sie unter [Benutzerdefinierte Kostenzuordnungs-Tags aktivieren](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html).
**Wichtig**
Die Projekt-ID kann nach der Erstellung nicht geändert werden.
Informationen zu den **erweiterten Optionen** finden Sie unter[Fügen Sie eine Startvorlage hinzu](project-launch-template.md).
1. (Optional) Aktivieren Sie Budgets für das Projekt. Weitere Informationen zu Budgets finden Sie unter[Kostenüberwachung und -kontrolle](cost-management.md).
1. Das Home-Directory-Dateisystem kann entweder das Shared Home-Dateisystem (Standard), EFS, FSx für Lustre-, FSx NetApp ONTAP- oder EBS-Datenträgerspeicher verwenden.
Das gemeinsame Home-Dateisystem EFS FSx für Lustre und FSx NetApp ONTAP kann von mehreren Projekten gemeinsam genutzt werden und. VDIs Die EBS-Volume-Speicheroption erfordert jedoch, dass jeder VDI in diesem Projekt über ein eigenes Home-Verzeichnis verfügt, das nicht von anderen Projekten gemeinsam genutzt wird. VDIs Sie können auch mehrere Volumes von einem einzigen FSx NetApp ONTAP-Dateisystem aus einbinden.
![\[Erstellen Sie ein neues Projekt mit Ressourcenkonfigurationen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-create-new-project.png)
1. Weisen Sie Benutzern, Gruppen oder beiden die entsprechende Rolle zu („Projektmitglied“ oder „Projekteigentümer“). Hier findest du [Standardberechtigungsprofile](permission-matrix.md) die Aktionen, die jede Rolle ausführen kann.
1. Wählen Sie **Absenden** aus.
# Bearbeiten Sie ein Projekt
1. Wählen Sie ein Projekt in der Projektliste aus.
1. Wählen Sie im Menü **Aktionen** die Option **Projekt bearbeiten**.
1. Geben Sie Ihre Aktualisierungen ein.
Wenn Sie Budgets aktivieren möchten, finden Sie [Kostenüberwachung und -kontrolle](cost-management.md) weitere Informationen unter. Wenn Sie ein Budget für das Projekt auswählen, kann es einige Sekunden dauern, bis die Budget-Dropdown-Optionen geladen werden. Wenn Sie das gerade erstellte Budget nicht sehen, klicken Sie auf die Schaltfläche „Aktualisieren“ neben der Dropdownliste.
Informationen zu den **erweiterten Optionen** finden Sie unter. [Fügen Sie eine Startvorlage hinzu](project-launch-template.md)
1. Wählen Sie **Absenden** aus.
![\[Bearbeiten Sie ein Projekt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-editproject.png)
# Deaktiviere ein Projekt
Um ein Projekt zu deaktivieren:
1. Wählen Sie ein Projekt in der Projektliste aus.
1. Wählen Sie im Menü **Aktionen** die Option **Projekt deaktivieren**.
![\[Projektseite mit Drop-down-Optionen für das Aktionsmenü\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-disable-project1.png)
1. Wenn ein Projekt deaktiviert ist, werden alle mit diesem Projekt verknüpften VDI-Sitzungen gestoppt. Diese Sitzungen können nicht neu gestartet werden, solange das Projekt deaktiviert ist.
![\[Projektseite mit erfolgreicher Deaktivierung des Projekt-Banners\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-disable-project2.png)
# Projekt löschen
Um ein Projekt zu löschen:
1. Wählen Sie ein Projekt in der Projektliste aus.
1. Wählen Sie im Menü **Aktionen** die Option **Projekt löschen**.
![\[Projektseite mit Drop-down-Optionen für Aktionen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-delete-project1.png)
1. Ein Bestätigungs-Popup wird angezeigt. Geben Sie den Namen des Projekts ein und wählen Sie dann **Ja**, um es zu löschen.
![\[Bestätigungs-Popup zum Löschen von Projekten\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-delete-project-confirm.png)
1. Wenn ein Projekt gelöscht wird, werden alle mit diesem Projekt verknüpften VDI-Sitzungen beendet.
![\[Projektseite unter Umgebungsmanagement mit einem Banner, das das erfolgreiche Löschen des Projekts anzeigt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-delete-project3.png)
# Hinzufügen oder Entfernen von Tags zu einem Projekt
Mit Projekt-Tags werden allen Instanzen, die im Rahmen dieses Projekts erstellt wurden, Tags zugewiesen.
1. Wählen Sie ein Projekt in der Projektliste aus.
1. Wählen Sie im Menü „**Aktionen**“ die Option „**Tags aktualisieren**“.
1. Wählen Sie „**Tags hinzufügen**“ und geben Sie einen Wert für „**Schlüssel**“ ein.
1. Um Tags zu entfernen, wählen Sie neben dem Tag, den Sie **entfernen** möchten, die Option Entfernen aus.
# Zeigen Sie die mit einem Projekt verknüpften Dateisysteme an
Wenn ein Projekt ausgewählt ist, können Sie den Bereich **Dateisysteme** am unteren Bildschirmrand erweitern, um die mit dem Projekt verknüpften Dateisysteme anzuzeigen.
![\[Zeigen Sie die mit einem Projekt verknüpften Dateisysteme an\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-projectfilesystems.jpg)
# Fügen Sie eine Startvorlage hinzu
Wenn Sie ein Projekt erstellen oder bearbeiten, können Sie mithilfe der **erweiterten Optionen** in der Projektkonfiguration Startvorlagen hinzufügen. Startvorlagen bieten zusätzliche Konfigurationen wie Sicherheitsgruppen, IAM-Richtlinien und Startskripts für alle VDI-Instanzen innerhalb des Projekts.
## Richtlinien hinzufügen
Sie können eine IAM-Richtlinie hinzufügen, um den VDI-Zugriff für alle im Rahmen Ihres Projekts bereitgestellten Instanzen zu steuern. Um eine Richtlinie zu integrieren, kennzeichnen Sie die Richtlinie mit dem folgenden Schlüssel-Wert-Paar:
```
res:Resource/vdi-host-policy
```
Weitere Informationen zu IAM-Rollen finden Sie unter [Richtlinien und Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) in IAM.
### Zusätzliche Sicherheitsgruppen
Sie können eine Sicherheitsgruppe hinzufügen, um die Ausgangs- und Eingangsdaten für alle VDI-Instanzen in Ihrem Projekt zu kontrollieren. Um eine Sicherheitsgruppe zu integrieren, kennzeichnen Sie die Sicherheitsgruppe mit dem folgenden Schlüssel-Wert-Paar:
```
res:Resource/vdi-security-group
```
Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Steuern des Datenverkehrs zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.
### Fügen Sie Startskripte hinzu
Sie können Startskripts hinzufügen, die in allen VDI-Sitzungen innerhalb Ihres Projekts initiiert werden. RES unterstützt die Skriptinitiierung für Linux und Windows. Für die Skriptinitiierung können Sie eine der folgenden Optionen wählen:
**Skript ausführen, wenn VDI gestartet wird**
Diese Option initiiert das Skript am Anfang einer VDI-Instanz, bevor RES-Konfigurationen oder -Installationen ausgeführt werden.
**Führen Sie das Skript aus, wenn VDI konfiguriert ist**
Diese Option initiiert das Skript nach Abschluss der RES-Konfigurationen.
Skripts unterstützen die folgenden Optionen:
| Konfiguration des Skripts | Beispiel |
| --- | --- |
| S3-URI | s3://bucketname/script.sh |
| HTTPS-URL | https://sample.samplecontent.com/Beispiel |
| Lokale Datei | datei:///.sh user/scripts/example |
Alle benutzerdefinierten Skripts, die auf einem S3-Bucket gehostet werden, müssen mit dem folgenden Tag bereitgestellt werden:
```
res:EnvironmentName/
```
Geben Sie für **Argumente** alle Argumente an, die durch ein Komma getrennt sind.
![\[Beispiel für eine Projektkonfiguration\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-projectconfigexample.png)
Beispielvorlagen für Startskripte.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# Berechtigungsrichtlinie
Research and Engineering Studio (RES) ermöglicht es einem Administratorbenutzer, benutzerdefinierte Berechtigungsprofile zu erstellen, die ausgewählten Benutzern zusätzliche Berechtigungen zur Verwaltung des Projekts gewähren, an dem sie beteiligt sind. Jedes Projekt verfügt über zwei [Standard-Berechtigungsprofile](permission-matrix.md) — „Projektmitglied“ und „Projekteigentümer“ —, die nach der Bereitstellung angepasst werden können.
Derzeit können Administratoren mithilfe eines Berechtigungsprofils zwei Sammlungen von Berechtigungen gewähren:
1. Projektmanagementberechtigungen, die aus „Projektmitgliedschaft aktualisieren“ bestehen, sodass ein bestimmter Benutzer andere Benutzer und Gruppen zu einem Projekt hinzufügen oder sie daraus entfernen kann, und „Projektstatus aktualisieren“, sodass ein bestimmter Benutzer ein Projekt aktivieren oder deaktivieren kann.
1. Die Berechtigungen für die Verwaltung von VDI-Sitzungen bestehen aus „Sitzung erstellen“, mit der ein bestimmter Benutzer eine VDI-Sitzung innerhalb seines Projekts erstellen kann, und „Sitzung eines anderen Benutzers erstellen/beenden“, mit dem ein bestimmter Benutzer die Sitzungen anderer Benutzer innerhalb eines Projekts erstellen oder beenden kann.
Auf diese Weise können Administratoren projektbasierte Berechtigungen an Nicht-Administratoren in ihrer Umgebung delegieren.
**Topics**
+ [Berechtigungen für das Projektmanagement](permission-profiles-permission-project-management.md)
+ [Berechtigungen für die Verwaltung von VDI-Sitzungen](permission-profiles-permission-vdi-sessions.md)
+ [Verwaltung von Berechtigungsprofilen](permission-profiles-permission-management.md)
+ [Standardberechtigungsprofile](permission-matrix.md)
+ [Grenzen der Umgebung](permission-profiles-environment-boundaries.md)
+ [Desktop-Sharing-Profile](permission-profiles-desktop-sharing-profiles.md)
# Berechtigungen für das Projektmanagement
**Projektmitgliedschaft aktualisieren **
Mit dieser Berechtigung können Benutzer ohne Administratorrechte, denen sie erteilt wurde, Benutzer oder Gruppen zu einem Projekt hinzufügen und daraus entfernen. Sie ermöglicht ihnen auch, das Berechtigungsprofil festzulegen und die Zugriffsebene für alle anderen Benutzer und Gruppen für dieses Projekt festzulegen.
![\[Popup-Fenster für Teamkonfigurationen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-update-project-membership.png)
**Projektstatus aktualisieren **
Mit dieser Berechtigung können Benutzer ohne Administratorrechte, denen sie erteilt wurde, ein Projekt über die Schaltfläche **Aktionen** auf der Seite **Projekte** aktivieren oder deaktivieren.
![\[Das Projektfenster der Admin-Konsole befindet sich unter der Umgebungsverwaltung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-update-project-status.png)
# Berechtigungen für die Verwaltung von VDI-Sitzungen
**Erstellen einer Sitzung**
Steuert, ob ein Benutzer auf der Seite **Meine virtuellen Desktops** seine eigene VDI-Sitzung starten darf. Deaktivieren Sie diese Option, um Benutzern ohne Administratorrechte die Möglichkeit zu verweigern, ihre eigenen VDI-Sitzungen zu starten. Benutzer können ihre eigenen VDI-Sitzungen jederzeit beenden und beenden.
Wenn ein Benutzer ohne Administratorrechte keine Berechtigungen zum Erstellen einer Sitzung hat, wird die Schaltfläche „**Neuen virtuellen Desktop starten**“ für ihn deaktiviert, wie hier gezeigt:
![\[Bei Benutzern ohne Administratorrechte ist die Schaltfläche „Neuen virtuellen Desktop starten“ deaktiviert\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**Erstellen oder beenden Sie die Sitzungen anderer**
Ermöglicht Benutzern ohne Administratorrechte den Zugriff auf die **Sitzungsseite** über den linken Navigationsbereich. Diese Benutzer können VDI-Sitzungen für andere Benutzer in den Projekten starten, für die ihnen diese Berechtigung erteilt wurde.
Wenn ein Benutzer ohne Administratorrechte berechtigt ist, Sitzungen für andere Benutzer zu starten, wird in seinem linken Navigationsbereich unter **Sitzungsverwaltung** der Link **Sitzungen** angezeigt, wie hier dargestellt:
![\[Pop-out-Fenster für die Sitzungsverwaltung ohne Administratorrechte\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-nonadmin-link-displayed.png)
Wenn ein Benutzer ohne Administratorrechte nicht berechtigt ist, Sitzungen für andere zu erstellen, wird in seinem linken Navigationsbereich die **Sitzungsverwaltung** nicht angezeigt, wie hier gezeigt:
![\[Der Link zur Sitzungsverwaltung ist für Benutzer ohne Administratorrechte verborgen, die nicht berechtigt sind, Sitzungen für andere zu erstellen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-nonadmin-hidden-link.png)
# Verwaltung von Berechtigungsprofilen
Als RES-Administrator können Sie die folgenden Aktionen ausführen, um Berechtigungsprofile zu verwalten.
**Berechtigungsprofile auflisten**
+ Wählen Sie auf der Konsolenseite von Research and Engineering Studio im linken Navigationsbereich die Option **Berechtigungsrichtlinie** aus. Auf dieser Seite können Sie Berechtigungsprofile erstellen, aktualisieren, auflisten, anzeigen und löschen.
![\[Administratoren können Berechtigungsprofile auflisten\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/project-roles.png)
**Berechtigungsprofile anzeigen**
1. Wählen Sie auf der Hauptseite „**Berechtigungsprofile**“ den Namen des Berechtigungsprofils aus, das Sie anzeigen möchten. Auf dieser Seite können Sie das ausgewählte Berechtigungsprofil bearbeiten oder löschen.
![\[Administratoren können Berechtigungsprofile bearbeiten oder löschen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-permission-profiles-view-1.png)
1. Wählen Sie den Tab **Betroffene Projekte** aus, um die Projekte anzuzeigen, die derzeit das Berechtigungsprofil verwenden.
![\[Administratoren können die Projekte einsehen, die von den Berechtigungsprofilen betroffen sind\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-permission-profiles-view-2.png)
**Berechtigungsprofile erstellen**
1. Wählen Sie auf der Hauptseite „**Berechtigungsprofile**“ die Option **Profil erstellen** aus, um ein Berechtigungsprofil zu erstellen.
1. Geben Sie einen Namen und eine Beschreibung für das Berechtigungsprofil ein und wählen Sie dann die Berechtigungen aus, die Sie den Benutzern oder Gruppen gewähren möchten, die Sie diesem Profil zuweisen.
![\[Administratoren können Berechtigungsprofile erstellen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-permission-profiles-create.png)
**Berechtigungsprofile bearbeiten**
+ Wählen Sie auf der Hauptseite „**Berechtigungsprofile**“ ein Profil aus, indem Sie auf den Kreis neben dem Profil klicken, **Aktionen** und dann **Profil bearbeiten** auswählen, um das Berechtigungsprofil zu aktualisieren.
![\[Administratoren können Berechtigungsprofile bearbeiten\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-permission-profiles-edit.png)
**Berechtigungsprofile löschen**
+ Wählen Sie auf der Hauptseite „**Berechtigungsprofile**“ ein Profil aus, indem Sie auf den Kreis neben dem Profil klicken, **Aktionen** und dann **Profil löschen** auswählen. Sie können kein Berechtigungsprofil löschen, das von einem vorhandenen Projekt verwendet wird.
![\[Administratoren können Berechtigungsprofile löschen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-permission-profiles-delete.png)
# Standardberechtigungsprofile
Jedes RES-Projekt verfügt über zwei Standard-Berechtigungsprofile, die globale Administratoren konfigurieren können. (Darüber hinaus können globale Administratoren neue Berechtigungsprofile für ein Projekt erstellen und ändern.) Die folgende Tabelle zeigt die zulässigen Berechtigungen für die Standard-Berechtigungsprofile „Projektmitglied“ und „Projekteigentümer“. Berechtigungsprofile und die Berechtigungen, die sie ausgewählten Benutzern eines Projekts gewähren, gelten nur für das Projekt, zu dem sie gehören. Globale Administratoren sind Superuser, die über alle unten aufgeführten Berechtigungen für alle Projekte verfügen.
| Berechtigungen | Description | Mitglied des Projekts | Eigentümer des Projekts |
| --- | --- | --- | --- |
| Sitzung erstellen | Erstellen Sie Ihre eigene Sitzung. Benutzer können ihre eigenen Sitzungen jederzeit mit oder ohne diese Erlaubnis beenden und beenden. | X | X |
| Sitzungen anderer erstellen/beenden | Erstellen oder beenden Sie die Sitzung eines anderen Benutzers innerhalb eines Projekts. | | X |
| Projektmitgliedschaft aktualisieren | Aktualisieren Sie Benutzer und Gruppen, die einem Projekt zugeordnet sind. | | X |
| Projektstatus aktualisieren | Aktiviert oder deaktiviert ein Projekt. | | X |
# Grenzen der Umgebung
Mithilfe von Umgebungsgrenzen können Administratoren von Research and Engineering Studio (RES) Berechtigungen konfigurieren, die global für alle Benutzer gelten. Dazu gehören Berechtigungen wie **Dateibrowser- und SSH-Berechtigungen**, **Desktop-Berechtigungen** und **erweiterte Desktop-Einstellungen**.
![\[Grenzen der Umgebung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Konfiguration des Dateibrowser-Zugriffs
RES-Administratoren können **Zugriffsdaten** unter **Dateibrowser-Berechtigungen** ein- oder ausschalten. Wenn **Access-Daten** deaktiviert sind, wird Benutzern die **Dateibrowser-Navigation** in ihrem Webportal nicht angezeigt und sie können keine an ihr globales Dateisystem angehängten Daten hochladen oder herunterladen. Wenn **Access-Daten** aktiviert sind, haben Benutzer Zugriff auf die **Dateibrowser-Navigation** in ihrem Webportal, mit der sie Daten hochladen oder herunterladen können, die an ihr globales Dateisystem angehängt sind.
![\[Grenzen der Umgebung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-disabled.png)
Wenn die Funktion „Auf **Daten zugreifen**“ aktiviert und später wieder ausgeschaltet wird, können Benutzer, die bereits am Webportal angemeldet sind, keine Dateien hoch- oder herunterladen, selbst wenn sie sich auf der entsprechenden Seite befinden. Außerdem wird das Navigationsmenü ausgeblendet, wenn sie die Seite aktualisieren.
# SSH-Zugriff konfigurieren
Administratoren können SSH für die RES-Umgebung im Abschnitt **Umgebungsgrenzen** aktivieren oder deaktivieren. Der SSH-Zugriff auf VDIs wird über einen Bastion-Host ermöglicht. Wenn Sie diesen Schalter aktivieren, stellt RES einen Bastion-Host bereit und macht die Seite mit den SSH-Zugriffsanweisungen für Benutzer sichtbar. Wenn Sie den Schalter deaktivieren, deaktiviert RES den SSH-Zugriff, beendet den Bastion-Host und entfernt die Seite mit den SSH-Zugriffsanweisungen für Benutzer. Dieser Schalter ist standardmäßig deaktiviert.
**Anmerkung**
Wenn RES einen Bastion-Host bereitstellt, fügt es Ihrem Konto eine `t3.medium` Amazon EC2 EC2-Instance hinzu. AWS Sie sind für alle mit dieser Instance verbundenen Gebühren verantwortlich. Weitere Informationen finden Sie auf der [Amazon EC2 EC2-Preisseite](https://aws.amazon.com/ec2/pricing/on-demand/).
**Um den SSH-Zugriff zu aktivieren**
1. Wählen Sie in der RES-Konsole im linken Navigationsbereich **Environment Management** und dann **Permission Policy** aus. Wählen Sie unter **Umgebungsgrenzen** die Option **SSH-Zugriff** aus.
![\[Seite mit den Berechtigungsrichtlinien unter Umgebungsmanagement in der Admin-Konsole\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. Warten Sie, bis der SSH-Zugriff aktiviert ist.
![\[Ein Hinweisbanner wird auf der Seite mit den Berechtigungsrichtlinien unter Umgebungsmanagement in der Admin-Konsole angezeigt\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-enable-ssh.png)
1. Sobald der Bastion-Host hinzugefügt wurde, ist der SSH-Zugriff aktiviert.
![\[Seite mit den Berechtigungsrichtlinien unter Umgebungsmanagement in der Admin-Konsole\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-enabled.png)
Die Seite mit den **SSH-Zugriffsanweisungen** ist für Benutzer im linken Navigationsbereich sichtbar.
![\[Seite mit Anweisungen für den SSH-Zugriff mit Schritten für Linux und Windows\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**Um den SSH-Zugriff zu deaktivieren**
1. Wählen Sie in der RES-Konsole im linken Navigationsbereich **Environment Management** und dann **Permission Policy** aus. Wählen Sie unter **Umgebungsgrenzen** die Option **SSH-Zugriff** aus.
![\[Seite mit den Berechtigungsrichtlinien unter Umgebungsmanagement in der Admin-Konsole\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. Warten Sie, bis der SSH-Zugriff deaktiviert ist.
![\[Auf der Seite mit den Berechtigungsrichtlinien wird ein Banner angezeigt, dass der SSH-Zugriff deaktiviert ist\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-disable-ssh.png)
1. Sobald der Vorgang abgeschlossen ist, ist der SSH-Zugriff deaktiviert.
![\[Seite mit den Berechtigungsrichtlinien, auf der der SSH-Zugriff deaktiviert ist\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-ssh-disabled.png)
# Desktop-Berechtigungen konfigurieren
Administratoren können **Desktop-Berechtigungen** ein- oder ausschalten, um die VDI-Funktionalität aller Sitzungsbesitzer global zu verwalten. Alle diese Berechtigungen oder ein Teil davon können verwendet werden, um **Desktop-Sharing-Profile** zu erstellen, die festlegen, welche Aktionen die Benutzer ausführen können, mit denen ein Desktop geteilt wird. Wenn eine Desktop-Berechtigung deaktiviert ist, werden dadurch automatisch die entsprechenden Berechtigungen in den **Desktop-Sharing-Profilen** deaktiviert. Diese Berechtigungen werden als „Weltweit deaktiviert“ gekennzeichnet. Selbst wenn der Administrator diese Desktop-Berechtigung erneut aktiviert, bleibt die Berechtigung im Desktop-Sharing-Profil deaktiviert, bis der Administrator sie manuell aktiviert.
![\[Grenzen der Umgebung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Desktop-Sharing-Profile
Administratoren können neue Profile erstellen und diese anpassen. Auf diese Profile können alle Benutzer zugreifen und werden verwendet, wenn eine Sitzung mit anderen geteilt wird. Die in diesen Profilen gewährten maximalen Berechtigungen dürfen die weltweit zulässigen Desktop-Berechtigungen nicht überschreiten.
**Profil erstellen**
Administratoren können **Profil erstellen** wählen, um ein neues Profil zu erstellen. Anschließend können sie einen **Profilnamen** und eine **Profilbeschreibung** eingeben, die gewünschten Berechtigungen festlegen und ihre Änderungen **speichern**.
![\[Desktop-Sharing-Profile\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/desktop-sharing-profiles.png)
![\[Profildefinition und Berechtigungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-profile-definition.png)
**Profil bearbeiten**
**Um ein Profil zu bearbeiten:**
1. Wählen Sie das gewünschte Profil aus.
1. Wählen Sie **Aktionen** und anschließend **Bearbeiten**, um das Profil zu ändern.
1. Passen Sie die Berechtigungen nach Bedarf an.
1. Wählen Sie **Änderungen speichern ** aus.
Alle am Profil vorgenommenen Änderungen werden sofort auf die aktuell geöffneten Sitzungen angewendet.
![\[Desktop-Sharing-Profile mit ausgewähltem Testprofile_1\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[Profildefinition und Berechtigungen für TestProfile_1\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-profile-definition2.png)
# Dateisysteme
![\[Dateisysteme\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/home-file-systems.png)
Auf der Seite Dateisysteme können Sie:
1. Suchen Sie nach Dateisystemen.
1. Wenn ein Dateisystem ausgewählt ist, verwenden Sie das Menü **Aktionen**, um:
1. Fügen Sie das Dateisystem einem Projekt hinzu.
1. Entfernen Sie das Dateisystem aus einem Projekt
1. Integrieren Sie ein neues Dateisystem.
1. Wenn ein Dateisystem ausgewählt ist, können Sie den Bereich am unteren Bildschirmrand erweitern, um Dateisystemdetails anzuzeigen.
**Topics**
+ [Integriertes Dateisystem](onboard-file-system.md)
# Integriertes Dateisystem
**Anmerkung**
Um ein Dateisystem erfolgreich zu integrieren, muss es dieselbe VPC und mindestens eines Ihrer RES-Subnetze gemeinsam nutzen. Sie müssen außerdem sicherstellen, dass die Sicherheitsgruppe ordnungsgemäß konfiguriert ist, damit Sie Zugriff auf die Inhalte des Dateisystems VDIs haben.
1. Wählen Sie **Onboard File System**.
1. Wählen Sie ein Dateisystem aus der Drop-down-Liste aus. Das Modal wird um zusätzliche Detaileinträge erweitert.
![\[Wählen Sie das Dateisystem\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-selectfilesystem.jpg)
1. Geben Sie die Dateisystemdetails ein.
**Anmerkung**
Standardmäßig haben Administratoren und Projekteigentümer die Möglichkeit, bei der Erstellung eines neuen Projekts ein Home-Dateisystem auszuwählen, das anschließend nicht bearbeitet werden kann.
Dateisysteme, die als Basisverzeichnisse in Projekten verwendet werden sollen, müssen eingebunden werden, indem ihr **Mount-Verzeichnispfad** auf gesetzt wird. `/home` Dadurch wird das integrierte Dateisystem in den Drop-down-Optionen des Dateisystems des Home-Verzeichnisses aufgefüllt. Diese Funktion trägt dazu bei, die Daten projektübergreifend isoliert zu halten, da nur Benutzer, die mit dem Projekt verknüpft sind, über ihr Zugriff auf das Dateisystem haben. VDIs VDIs mountet das Dateisystem an dem Einhängepunkt, der beim Onboarding eines Dateisystems ausgewählt wurde.
1. Wählen Sie **Absenden** aus.
![\[Wählen Sie das Dateisystem\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-filesystemdetails.jpg)
## Mehrere Volumes aus einem einzigen ONTAP-Dateisystem
RES unterstützt das Onboarding mehrerer Volumes aus einem einzigen für NetApp ONTAP Dateisystem. Auf diese Weise können Administratoren Daten auf separaten Volumes innerhalb desselben ONTAP-Dateisystems organisieren und gleichzeitig jedes Volume unabhängig für Projekte verfügbar machen.
So binden Sie zusätzliche Volumes aus einem bereits integrierten ONTAP-Dateisystem ein:
1. Wählen Sie **Onboard File System**.
1. Wählen Sie dasselbe ONTAP-Dateisystem aus der Drop-down-Liste aus.
1. Wählen Sie im Feld **Volume** ein anderes Volume aus dem Dateisystem aus.
1. Geben Sie ein eindeutiges **Mount-Verzeichnis** für dieses Volume an.
1. Wählen Sie **Absenden** aus.
**Anmerkung**
Jedes Volume aus demselben ONTAP-Dateisystem muss mit einem eindeutigen Mount-Verzeichnis verknüpft sein. Volumes können unabhängig voneinander verschiedenen Projekten zugewiesen werden.
# Snapshot-Verwaltung
Das Snapshot-Management vereinfacht das Speichern und Migrieren von Daten zwischen Umgebungen und gewährleistet so Konsistenz und Genauigkeit. Mit Snapshots können Sie Ihren Umgebungsstatus speichern und Daten in eine neue Umgebung mit demselben Status migrieren.
![\[Seite zur Verwaltung von Snapshots\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-snapshotmanagement.png)
Auf der **Snapshot-Verwaltungsseite** können Sie:
1. Alle erstellten Snapshots und ihren Status anzeigen.
1. Erstellen Sie einen Snapshot. Bevor Sie einen Snapshot erstellen können, müssen Sie einen Bucket mit den entsprechenden Berechtigungen erstellen.
1. Alle angewendeten Snapshots und ihren Status anzeigen.
1. Wenden Sie einen Snapshot an.
**Topics**
+ [Snapshot erstellen](create-snapshot.md)
+ [Wenden Sie einen Snapshot an](apply-snapshot.md)
# Snapshot erstellen
Bevor Sie einen Snapshot erstellen können, müssen Sie einen Amazon S3 S3-Bucket mit den erforderlichen Berechtigungen bereitstellen. Informationen zum Erstellen eines Buckets finden Sie unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Aktivieren Sie die Bucket-Versionierung und die Protokollierung des Serverzugriffs. Diese Einstellungen können nach der Bereitstellung auf der Registerkarte „**Eigenschaften**“ des Buckets aktiviert werden.
**Anmerkung**
Der Lebenszyklus dieses Amazon S3 S3-Buckets wird nicht innerhalb des Produkts verwaltet. Sie müssen den Bucket-Lebenszyklus von der Konsole aus verwalten.
**So fügen Sie dem Bucket Berechtigungen hinzu:**
1. Wählen Sie den Bucket, den Sie erstellt haben, aus der **Buckets-Liste** aus.
1. Wählen Sie den Tab **Berechtigungen** aus.
1. Wählen Sie unter **Bucket-Richtlinie** **Bearbeiten** aus.
1. Fügen Sie der Bucket-Richtlinie die folgende Anweisung hinzu. Ersetzen Sie diese Werte durch Ihre eigenen Werte:
+ *111122223333*-> deine AWS Konto-ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> Name Ihrer RES-Umgebung
+ *amzn-s3-demo-bucket*-> Ihr S3-Bucket-Name
**Wichtig**
Es gibt begrenzte Versionszeichenfolgen, die von unterstützt werden AWS. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Um den Snapshot zu erstellen:**
1. Wählen Sie **Create Snapshot (Snapshot erstellen)** aus.
1. Geben Sie den Namen des Amazon S3 S3-Buckets ein, den Sie erstellt haben.
1. Geben Sie den Pfad ein, in dem der Snapshot im Bucket gespeichert werden soll. Beispiel, **october2023/23**.
1. Wählen Sie **Absenden** aus.
![\[Erstellen Sie einen neuen Snapshot\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-createsnapshot.png)
1. Wählen Sie nach fünf bis zehn Minuten auf der Seite Snapshots die Option **Aktualisieren** aus, um den Status zu überprüfen. Ein Snapshot ist erst gültig, wenn sich der Status von IN\$1PROGRESS auf COMPLETED ändert.
# Wenden Sie einen Snapshot an
Sobald Sie einen Snapshot einer Umgebung erstellt haben, können Sie diesen Snapshot auf eine neue Umgebung anwenden, um Daten zu migrieren. Sie müssen dem Bucket eine neue Richtlinie hinzufügen, die es der Umgebung ermöglicht, den Snapshot zu lesen.
Durch das Anwenden eines Snapshots werden Daten wie Benutzerberechtigungen, Projekte, Software-Stacks, Berechtigungsprofile und Dateisysteme mit ihren Verknüpfungen in eine neue Umgebung kopiert. Benutzersitzungen werden nicht repliziert. Wenn der Snapshot angewendet wird, überprüft er die Basisinformationen der einzelnen Ressourceneinträge, um festzustellen, ob sie bereits vorhanden sind. Bei doppelten Datensätzen überspringt der Snapshot die Erstellung von Ressourcen in der neuen Umgebung. Bei Datensätzen, die ähnlich sind, z. B. einen gemeinsamen Namen oder Schlüssel, aber andere grundlegende Ressourceninformationen variieren, wird ein neuer Datensatz mit einem geänderten Namen und Schlüssel erstellt, wobei die folgende Konvention verwendet wird:`RecordName_SnapshotRESVersion_ApplySnapshotID`. Der `ApplySnapshotID` sieht aus wie ein Zeitstempel und kennzeichnet jeden Versuch, einen Snapshot anzuwenden.
Während der Snapshot-Anwendung überprüft der Snapshot die Verfügbarkeit von Ressourcen. Ressourcen, die für die neue Umgebung nicht verfügbar sind, werden nicht erstellt. Bei Ressourcen mit einer abhängigen Ressource prüft der Snapshot, ob die abhängige Ressource verfügbar ist. Wenn die abhängige Ressource nicht verfügbar ist, wird die Hauptressource ohne die abhängige Ressource erstellt.
Wenn die neue Umgebung nicht wie erwartet funktioniert oder ausfällt, können Sie in den CloudWatch Protokollen in der Protokollgruppe `/res-/cluster-manager` nach Einzelheiten suchen. Jedes Protokoll wird mit dem Tag [Snapshot anwenden] versehen. Sobald Sie einen Snapshot angewendet haben, können Sie seinen Status [Snapshot-Verwaltung](snapshots.md) auf der Seite überprüfen.
**So fügen Sie dem Bucket Berechtigungen hinzu:**
1. Wählen Sie den Bucket, den Sie erstellt haben, aus der **Buckets-Liste** aus.
1. Wählen Sie den Tab **Berechtigungen** aus.
1. Wählen Sie unter **Bucket-Richtlinie** **Bearbeiten** aus.
1. Fügen Sie der Bucket-Richtlinie die folgende Anweisung hinzu. Ersetzen Sie diese Werte durch Ihre eigenen Werte:
+ *111122223333*-> deine AWS Konto-ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> Name Ihrer RES-Umgebung
+ *amzn-s3-demo-bucket*-> Ihr S3-Bucket-Name
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Um den Snapshot anzuwenden:**
1. Wählen Sie **Snapshot anwenden**.
1. Geben Sie den Namen des Amazon S3 S3-Buckets ein, der den Snapshot enthält.
1. Geben Sie den Dateipfad zum Snapshot innerhalb des Buckets ein.
1. Wählen Sie **Absenden** aus.
![\[Wenden Sie einen Snapshot an\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-applysnapshot.png)
1. Wählen Sie nach fünf bis zehn Minuten auf der Snapshot-Verwaltungsseite die Option **Aktualisieren** aus, um den Status zu überprüfen.
# Amazon-S3-Buckets
Research and Engineering Studio (RES) unterstützt das Mounten von [Amazon S3 S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) auf Linux Virtual Desktop Infrastructure (VDI) -Instances. **RES-Administratoren können S3-Buckets in RES integrieren, sie an Projekte anhängen, ihre Konfiguration bearbeiten und Buckets auf der Registerkarte S3-Buckets unter Environment Management entfernen.**
Das S3-Buckets-Dashboard bietet eine Liste der integrierten S3-Buckets, die Ihnen zur Verfügung stehen. Über das S3-Buckets-Dashboard können Sie:
1. Verwenden **Sie Bucket hinzufügen**, um einen S3-Bucket in RES zu integrieren.
1. Wählen Sie einen S3-Bucket aus und verwenden Sie das **Aktionsmenü**, um:
+ Bearbeiten Sie einen Bucket
+ Einen Bucket entfernen
1. Verwenden Sie das Suchfeld, um nach dem Bucket-Namen zu suchen und integrierte S3-Buckets zu finden.
![\[In der S3-Buckets-Liste können Sie nach dem Bucket-Namen suchen und integrierte Buckets finden\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/docs-list-bucket.png)
In den folgenden Abschnitten wird beschrieben, wie Sie Amazon S3 S3-Buckets in Ihren RES-Projekten verwalten.
**Topics**
+ [Voraussetzungen für Amazon S3 S3-Buckets für isolierte VPC-Bereitstellungen](S3-buckets-prereqs.md)
+ [Einen Amazon S3 S3-Bucket hinzufügen](S3-buckets-add.md)
+ [Einen Amazon S3 S3-Bucket bearbeiten](S3-buckets-edit.md)
+ [Einen Amazon S3 S3-Bucket entfernen](S3-buckets-remove.md)
+ [Datenisolierung](S3-buckets-data-isolation.md)
+ [Kontoübergreifender Bucket-Zugriff](S3-buckets-cross-account-access.md)
+ [Verhinderung der Datenexfiltration in einer privaten VPC](S3-buckets-preventing-exfiltration.md)
+ [Fehlerbehebung](S3-buckets-troubleshooting.md)
+ [Wird aktiviert CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Voraussetzungen für Amazon S3 S3-Buckets für isolierte VPC-Bereitstellungen
Wenn Sie Research and Engineering Studio in einer isolierten VPC bereitstellen, gehen Sie wie folgt vor, um die Lambda-Konfigurationsparameter zu aktualisieren, nachdem Sie RES in Ihrem AWS Konto bereitgestellt haben.
1. Melden Sie sich bei der Lambda-Konsole des AWS Kontos an, in dem Research and Engineering Studio bereitgestellt wird.
1. Suchen Sie die Lambda-Funktion mit dem Namen `-vdc-custom-credential-broker-lambda` und navigieren Sie zu ihr.
1. Wählen Sie die Registerkarte **Konfiguration** der Funktion aus.
![\[isolierte VPC-Umgebungsvariable\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Wählen Sie im Navigationsbereich die Option **Umgebungsvariablen** aus, um diesen Abschnitt anzuzeigen.
1. Wählen Sie **Bearbeiten** und fügen Sie der Funktion die folgende neue Umgebungsvariable hinzu:
+ Schlüssel: `AWS_STS_REGIONAL_ENDPOINTS`
+ Wert: `regional`
1. Wählen Sie **Speichern**.
# Einen Amazon S3 S3-Bucket hinzufügen
**So fügen Sie Ihrer RES-Umgebung einen S3-Bucket hinzu:**
1. Wählen Sie **Add bucket (Bucket hinzufügen)** aus.
1. Geben Sie die Bucket-Details wie Bucket-Name, ARN und Mount-Punkt ein.
**Wichtig**
Der bereitgestellte Bucket ARN, der Bereitstellungspunkt und der bereitgestellte Modus können nach der Erstellung nicht geändert werden.
Der Bucket-ARN kann ein Präfix enthalten, das den integrierten S3-Bucket von diesem Präfix isoliert.
1. Wählen Sie einen Modus aus, in dem Sie Ihren Bucket einbinden möchten.
**Wichtig**
Weitere Informationen [Datenisolierung](S3-buckets-data-isolation.md) zur Datenisolierung mit bestimmten Modi finden Sie unter.
1. Unter **Erweiterte Optionen** können Sie einen IAM-Rollen-ARN angeben, um die Buckets für den kontoübergreifenden Zugriff bereitzustellen. Folgen Sie den Schritten unter[Kontoübergreifender Bucket-Zugriff](S3-buckets-cross-account-access.md), um die erforderliche IAM-Rolle für den kontoübergreifenden Zugriff zu erstellen.
1. (Optional) Ordnen Sie den Bucket Projekten zu, die später geändert werden können. Ein S3-Bucket kann jedoch nicht in die vorhandenen VDI-Sitzungen eines Projekts eingebunden werden. Nur Sitzungen, die gestartet werden, nachdem das Projekt dem Bucket zugeordnet wurde, werden den Bucket mounten.
1. Wählen Sie **Absenden** aus.
![\[Bucket-Seite mit verfügbaren Bucket-Setup-Feldern und Schaltfläche „Senden“ hinzufügen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/docs-add-bucket.png)
# Einen Amazon S3 S3-Bucket bearbeiten
1. Wählen Sie in der S3-Bucket-Liste einen S3-Bucket aus.
1. Wählen Sie im Menü **Aktionen** die Option **Bearbeiten** aus.
1. Geben Sie Ihre Updates ein.
**Wichtig**
Wenn Sie ein Projekt einem S3-Bucket zuordnen, wird der Bucket **nicht** in die vorhandenen VDI-Instanzen (Virtual Desktop Infrastructure) dieses Projekts eingebunden. Der Bucket wird nur für VDI-Sitzungen bereitgestellt, die in einem Projekt gestartet werden, nachdem der Bucket diesem Projekt zugeordnet wurde.
Das Trennen eines Projekts von einem S3-Bucket hat keine Auswirkungen auf die Daten im S3-Bucket, führt jedoch dazu, dass Desktop-Benutzer den Zugriff auf diese Daten verlieren.
1. Wählen Sie **Bucket-Setup speichern**.
![\[Die Seite „S3-Bucket bearbeiten“ mit den eingegebenen Feldern für Anzeigename und Projektverknüpfung und markierter Schaltfläche „Bucket-Setup speichern“\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/docs-edit-bucket.png)
# Einen Amazon S3 S3-Bucket entfernen
1. Wählen Sie in der S3-Bucket-Liste einen S3-Bucket aus.
1. Wählen Sie im Menü **Aktionen** die Option **Entfernen** aus.
**Wichtig**
Sie müssen zuerst alle Projektzuordnungen aus dem Bucket entfernen.
Der Entfernungsvorgang hat keine Auswirkungen auf die Daten im S3-Bucket. Es entfernt nur die Zuordnung des S3-Buckets zu RES.
Wenn Sie einen Bucket entfernen, verlieren bestehende VDI-Sitzungen nach Ablauf der Anmeldeinformationen dieser Sitzung (\$11 Stunde) den Zugriff auf den Inhalt dieses Buckets.
# Datenisolierung
Wenn Sie RES einen S3-Bucket hinzufügen, haben Sie die Möglichkeit, die Daten innerhalb des Buckets für bestimmte Projekte und Benutzer zu isolieren. Auf der Seite **Bucket hinzufügen** können Sie den Modus Schreibgeschützt (R) oder Lesen und Schreiben (R/W) auswählen.
**Nur lesen**
Wenn ausgewählt, `Read Only (R)` wird die Datenisolierung basierend auf dem Präfix des Bucket-ARN (Amazon Resource Name) erzwungen. Wenn ein Administrator beispielsweise mithilfe des ARN einen Bucket zu RES hinzufügt `arn:aws:s3:::bucket-name/example-data/` und diesen Bucket mit Projekt A und Projekt B verknüpft, können Benutzer, die von Projekt A und Projekt B VDIs aus starten, nur die Daten lesen, die sich `bucket-name` unter dem Pfad befinden`/example-data`. Sie haben keinen Zugriff auf Daten außerhalb dieses Pfads. Wenn dem Bucket-ARN kein Präfix angehängt wird, wird der gesamte Bucket für jedes damit verknüpfte Projekt verfügbar gemacht.
**Lesen und Schreiben**
Wenn ausgewählt `Read and Write (R/W)` ist, wird die Datenisolierung weiterhin auf der Grundlage des Präfix des Bucket-ARN erzwungen, wie oben beschrieben. Dieser Modus bietet zusätzliche Optionen, mit denen Administratoren variablenbasierte Präfixe für den S3-Bucket angeben können. Wenn diese Option ausgewählt `Read and Write (R/W)` ist, wird ein Abschnitt Benutzerdefiniertes Präfix verfügbar, der ein Dropdownmenü mit den folgenden Optionen bietet:
+ Kein benutzerdefiniertes Präfix
+ /%p
+ /%p/%u
![\[Bucket-Seite mit angezeigtem benutzerdefiniertem Präfix hinzufügen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/add-bucket-custom-prefix.png)
**Keine benutzerdefinierte Datenisolierung **
Wenn die Option **Benutzerdefiniertes Präfix** ausgewählt `No custom prefix` ist, wird der Bucket ohne benutzerdefinierte Datenisolierung hinzugefügt. Dadurch können alle mit dem Bucket verknüpften Projekte Lese- und Schreibzugriff haben. Wenn ein Administrator beispielsweise mithilfe des ARN `arn:aws:s3:::bucket-name` mit `No custom prefix` selected einen Bucket zu RES hinzufügt und diesen Bucket mit Projekt A und Projekt B verknüpft, haben Benutzer, die von Projekt A und Projekt B VDIs aus starten, uneingeschränkten Lese- und Schreibzugriff auf den Bucket.
**Datenisolierung auf Projektebene **
Wenn diese Option für **Benutzerdefiniertes Präfix** ausgewählt `/%p` ist, werden die Daten im Bucket für jedes spezifische Projekt isoliert, das dem Bucket zugeordnet ist. Die `%p` Variable steht für den Projektcode. Wenn ein Administrator beispielsweise einen Bucket zu RES hinzufügt, indem er den ARN `arn:aws:s3:::bucket-name` mit `/%p` selected und einem **Mount-Point** von */bucket* verwendet und diesen Bucket mit Projekt A und Projekt B verknüpft, kann Benutzer A in Projekt A eine Datei schreiben*/bucket*. Benutzer B in Projekt A kann auch die Datei sehen, in die Benutzer A geschrieben hat*/bucket*. Wenn Benutzer B jedoch einen VDI in Projekt B startet und hineinschaut*/bucket*, wird er die Datei, die Benutzer A geschrieben hat, nicht sehen, da die Daten nach Projekten isoliert sind. Die Datei, die Benutzer A geschrieben hat, befindet sich im S3-Bucket unter dem Präfix, `/ProjectA` während Benutzer B nur darauf zugreifen kann, `/ProjectB` wenn er sie VDIs von Projekt B aus verwendet.
**Datenisolierung auf Projekt- und Benutzerebene **
Wenn die Option **Benutzerdefiniertes Präfix** ausgewählt `/%p/%u` ist, werden die Daten im Bucket für jedes spezifische Projekt und jeden Benutzer, der diesem Projekt zugeordnet ist, isoliert. Die `%p` Variable stellt den Projektcode und den Benutzernamen `%u` dar. Ein Administrator fügt beispielsweise einen Bucket zu RES hinzu, indem er den ARN `arn:aws:s3:::bucket-name` mit `/%p/%u` selected und dem Mount-Point von verwendet*/bucket*. Dieser Bucket ist mit Projekt A und Projekt B verknüpft. Benutzer A in Projekt A kann eine Datei schreiben*/bucket*. Im Gegensatz zum vorherigen Szenario, bei dem es nur um `%p` Isolation ging, kann Benutzer B in diesem Fall die Datei, in die Benutzer A geschrieben hat, nicht sehen*/bucket*, da die Daten sowohl vom Projekt als auch vom Benutzer isoliert sind. Die Datei, die Benutzer A geschrieben hat, befindet sich im S3-Bucket unter dem Präfix, `/ProjectA/UserA` während Benutzer B nur darauf zugreifen kann`/ProjectA/UserB`, wenn er sie VDIs in Projekt A verwendet.
# Kontoübergreifender Bucket-Zugriff
RES ist in der Lage, Buckets von anderen AWS Konten aus zu mounten, sofern diese Buckets über die richtigen Berechtigungen verfügen. Im folgenden Szenario möchte eine RES-Umgebung in Konto A einen S3-Bucket in Konto B bereitstellen.
**Schritt 1: Erstellen Sie eine IAM-Rolle in dem Konto, in dem RES bereitgestellt wird *(dies wird als Konto A bezeichnet)*:**
1. Melden Sie sich bei der AWS Management Console für das RES-Konto an, das Zugriff auf den S3-Bucket benötigt (Konto A).
1. Öffnen Sie die IAM-Konsole:
1. Navigieren Sie zum IAM-Dashboard.
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Erstellen Sie eine Richtlinie:
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte **JSON**.
1. Fügen Sie die folgende JSON-Richtlinie ein (`amzn-s3-demo-bucket`ersetzen Sie sie durch den Namen des S3-Buckets in Konto B):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Wählen Sie **Weiter** aus.
1. Überprüfen und erstellen Sie die Richtlinie:
1. Geben Sie einen Namen für die Richtlinie ein (z. B. AccessPolicy „S3“).
1. Fügen Sie eine optionale Beschreibung hinzu, um den Zweck der Richtlinie zu erläutern.
1. Überprüfen Sie die Richtlinie und wählen Sie **Richtlinie erstellen** aus.
1. Öffnen Sie die IAM-Konsole:
1. Navigieren Sie zum IAM-Dashboard.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Eine Rolle erstellen:
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** als Typ der vertrauenswürdigen Entität aus.
1. Fügen Sie die folgende JSON-Richtlinie ein (`111122223333`ersetzen Sie sie durch die tatsächliche Konto-ID von Konto A und `{RES_ENVIRONMENT_NAME}` durch den Umgebungsnamen der RES-Bereitstellung):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Wählen Sie **Weiter** aus.
1. Berechtigungsrichtlinien anhängen:
1. Suchen Sie nach der Richtlinie, die Sie zuvor erstellt haben, und wählen Sie sie aus.
1. Wählen Sie **Weiter** aus.
1. Markieren, überprüfen und erstellen Sie die Rolle:
1. Geben Sie einen Rollennamen ein (z. B. AccessRole „S3“).
1. Wählen Sie unter Schritt 3 die Option **Tag hinzufügen** aus und geben Sie dann den folgenden Schlüssel und Wert ein:
+ Schlüssel: `res:Resource`
+ Wert: `s3-bucket-iam-role`
1. Überprüfen Sie die Rolle und wählen Sie **Rolle erstellen** aus.
1. Verwenden Sie die IAM-Rolle in RES:
1. Kopieren Sie den von Ihnen erstellten IAM-Rollen-ARN.
1. Melden Sie sich bei der RES-Konsole an.
1. Wählen Sie im linken Navigationsbereich **S3 Bucket** aus.
1. Wählen Sie **Bucket hinzufügen** und füllen Sie das Formular mit dem kontoübergreifenden S3-Bucket-ARN aus.
1. Wählen Sie das Drop-down-Menü **Erweiterte Einstellungen — optional** aus.
1. Geben Sie den Rollen-ARN in das Feld IAM-Rollen-ARN ein.
1. Wählen Sie **Bucket hinzufügen**.
**Schritt 2: Ändern Sie die Bucket-Richtlinie in Konto B**
1. Melden Sie sich bei der AWS Management Console für Konto B an.
1. Öffnen Sie die S3-Konsole:
1. Navigieren Sie zum S3-Dashboard.
1. Wählen Sie den Bucket aus, für den Sie Zugriff gewähren möchten.
1. Bearbeiten Sie die Bucket-Richtlinie:
1. Wählen Sie den Tab „**Berechtigungen**“ und dann „**Bucket-Richtlinie**“.
1. Fügen Sie die folgende Richtlinie hinzu, um der IAM-Rolle von Konto A aus Zugriff auf den Bucket zu gewähren (*111122223333*ersetzen Sie ihn durch die tatsächliche Konto-ID von Konto A und *amzn-s3-demo-bucket* durch den Namen des S3-Buckets):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Wählen Sie **Speichern**.
# Verhinderung der Datenexfiltration in einer privaten VPC
Um zu verhindern, dass Benutzer Daten aus sicheren S3-Buckets in ihre eigenen S3-Buckets in ihrem Konto exfiltrieren, können Sie einen VPC-Endpunkt anhängen, um Ihre private VPC zu sichern. Die folgenden Schritte zeigen, wie Sie einen VPC-Endpunkt für den S3-Dienst erstellen, der den Zugriff auf S3-Buckets in Ihrem Konto sowie auf alle zusätzlichen Konten mit kontoübergreifenden Buckets unterstützt.
1. Öffnen Sie die Amazon VPC-Konsole:
1. Melden Sie sich bei der AWS Management Console an.
1. Öffnen Sie die Amazon VPC-Konsole unter [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole).
1. Erstellen Sie einen VPC-Endpunkt für S3:
1. Wählen Sie im linken Navigationsbereich die Option **Endpoints** (Endpunkte) aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass bei **Servicekategorie** die Option **AWS Services** ausgewählt ist.
1. Geben Sie im Feld **Dienstname** „S3“ ein `com.amazonaws..s3` (``ersetzen Sie es durch Ihre AWS Region) oder suchen Sie danach.
1. Wählen Sie den S3-Dienst aus der Liste aus.
1. Endpunkteinstellungen konfigurieren:
1. Wählen Sie für **VPC** die VPC aus, in der Sie den Endpunkt erstellen möchten.
1. Wählen Sie für **Subnetze** beide privaten Subnetze aus, die während der Bereitstellung für die VDI-Subnetze verwendet wurden.
1. Stellen Sie sicher, dass die **Option „DNS-Name aktivieren**“ aktiviert ist. Dadurch kann der private DNS-Hostname in die Endpunkt-Netzwerkschnittstellen aufgelöst werden.
1. Konfigurieren Sie die Richtlinie zur Zugriffsbeschränkung:
1. Wählen Sie unter **Richtlinie** die Option **Benutzerdefiniert** aus.
1. Geben Sie im Richtlinieneditor eine Richtlinie ein, die den Zugriff auf Ressourcen in Ihrem Konto oder einem bestimmten Konto einschränkt. Hier ist ein Beispiel für eine Richtlinie (*amzn-s3-demo-bucket*ersetzen Sie sie durch Ihren S3-Bucket-Namen *111122223333* und *444455556666* durch das entsprechende AWS Konto IDs , auf das Sie zugreifen möchten):
**Anmerkung**
Diese Beispielrichtlinie verwendet `s3:*` Operationen der S3-Steuerungsebene wie Konfiguration, Replikation oder Inventarisierung bei Ereignisbenachrichtigungen und schränkt diese nicht ein. Diese Operationen könnten es ermöglichen, Objektmetadaten (wie Bucket-Namen und Objektschlüssel) an kontoübergreifende Ziele zu senden. Wenn dies ein Problem darstellt, fügen Sie der VPC-Endpunktrichtlinie explizite Deny-Anweisungen für die entsprechenden Aktionen der S3-Steuerungsebene hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Erstellen Sie den Endpunkt:
1. Überprüfen Sie die Einstellungen.
1. Wählen Sie **Endpunkt erstellen** aus.
1. Überprüfen Sie den Endpunkt:
1. Sobald der Endpunkt erstellt wurde, navigieren Sie in der VPC-Konsole zum Abschnitt **Endpoints**.
1. Wählen Sie den neu erstellten Endpunkt aus.
1. Stellen Sie sicher, dass der **Status** **verfügbar** ist.
Indem Sie diese Schritte ausführen, erstellen Sie einen VPC-Endpunkt, der S3-Zugriff ermöglicht, der auf Ressourcen innerhalb Ihres Kontos oder einer bestimmten Konto-ID beschränkt ist.
# Fehlerbehebung
**Wie überprüft man, ob ein Bucket nicht auf einem VDI bereitgestellt werden kann**
Wenn ein Bucket nicht auf einem VDI bereitgestellt werden kann, gibt es einige Stellen, an denen Sie nach Fehlern suchen können. Gehen Sie wie folgt vor.
1. Überprüfen Sie die VDI-Protokolle:
1. Melden Sie sich bei der AWS Management Console an.
1. Öffnen Sie die EC2-Konsole und navigieren Sie zu **Instances**.
1. Wählen Sie die VDI-Instanz aus, die Sie gestartet haben.
1. Stellen Sie über den Session Manager eine Connect zum VDI her.
1. Führen Sie die folgenden Befehle aus:
```
sudo su
cd ~/bootstrap/logs
```
Hier finden Sie die Bootstrap-Protokolle. Die Details eines Fehlers finden Sie in der `configure.log.{time}` Datei.
Weitere Informationen finden Sie außerdem im `/etc/message` Protokoll.
1. Überprüfen Sie die CloudWatch Lambda-Protokolle von Custom Credential Broker:
1. Melden Sie sich bei der AWS Management Console an.
1. Öffnen Sie die CloudWatch Konsole und navigieren Sie zu **Protokollgruppen**.
1. Suchen Sie nach der Protokollgruppe`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Untersuchen Sie die erste verfügbare Protokollgruppe und suchen Sie nach Fehlern in den Protokollen. Diese Protokolle enthalten Details zu potenziellen Problemen bei der Bereitstellung temporärer benutzerdefinierter Anmeldeinformationen für das Mounten von S3-Buckets.
1. Überprüfen Sie die benutzerdefinierten Credential Broker CloudWatch API-Gateway-Protokolle:
1. Melden Sie sich bei der AWS Management Console an.
1. Öffnen Sie die CloudWatch Konsole und navigieren Sie zu **Protokollgruppen**.
1. Suchen Sie nach der Protokollgruppe`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Untersuchen Sie die erste verfügbare Protokollgruppe und suchen Sie nach Fehlern in den Protokollen. Diese Protokolle enthalten Details zu allen Anfragen und Antworten an das API Gateway für benutzerdefinierte Anmeldeinformationen, die für das Mounten der S3-Buckets erforderlich sind.
**Wie bearbeitet man die IAM-Rollenkonfiguration eines Buckets nach dem Onboarding**
1. Melden Sie sich bei der [AWS DynamoDB-Konsole](https://console.aws.amazon.com/dynamodbv2/home) an.
1. Wählen Sie die Tabelle aus:
1. Wählen Sie im linken Navigationsbereich **Tables (Tabellen)** aus.
1. Suchen Sie und wählen Sie aus`.cluster-settings`.
1. Scannen Sie die Tabelle:
1. Wählen Sie **Tabellenelemente erkunden** aus.
1. Stellen **Sie sicher, dass Scannen** ausgewählt ist.
1. Einen Filter hinzufügen:
1. Wählen Sie **Filter**, um den Bereich für die Filtereingabe zu öffnen.
1. Stellen Sie den Filter so ein, dass er Ihrem Schlüssel entspricht-
+ **Attribut**: Geben Sie den Schlüssel ein.
+ **Bedingung**: Wählen Sie **Beginnt mit**.
+ **Wert**: Geben `shared-storage..s3_bucket.iam_role_arn` Sie replace ** mit dem Wert des Dateisystems ein, das geändert werden muss.
1. Führen Sie den Scan aus:
Wählen Sie **Ausführen**, um den Scan mit dem Filter auszuführen.
1. Überprüfen Sie den Wert:
Wenn der Eintrag vorhanden ist, stellen Sie sicher, dass der Wert mit dem richtigen IAM-Rollen-ARN korrekt festgelegt ist.
Wenn der Eintrag nicht existiert:
1. Wählen Sie **Element erstellen** aus.
1. Geben Sie die Artikeldetails ein:
+ Geben Sie für das identifizierende Attribut ein`shared-storage..s3_bucket.iam_role_arn`.
+ Fügen Sie den richtigen IAM-Rollen-ARN hinzu.
1. Wählen Sie **Speichern**, um den Artikel hinzuzufügen.
1. Starten Sie die VDI-Instanzen neu:
Starten Sie die Instance neu, um sicherzustellen VDIs , dass diejenigen, die von der falschen IAM-Rolle betroffen ARN, erneut bereitgestellt werden.
# Wird aktiviert CloudTrail
Folgen Sie CloudTrail den Anweisungen unter [Erstellen eines Trails mit der CloudTrail Konsole im *AWS CloudTrail Benutzerhandbuch*, um es in Ihrem Konto CloudTrail über die Konsole](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) zu aktivieren. CloudTrail protokolliert den Zugriff auf S3-Buckets, indem die IAM-Rolle aufgezeichnet wird, die darauf zugegriffen hat. Dies kann mit einer Instanz-ID verknüpft werden, die mit einem Projekt oder Benutzer verknüpft ist.