Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Guide de l'administrateur
Ce guide de l'administrateur fournit des instructions supplémentaires à un public technique sur la manière de personnaliser et d'intégrer davantage le studio de recherche et d'ingénierie sur le AWS produit.
**Topics**
+ [Gestion des secrets](secrets-management.md)
+ [Surveillance et contrôle des coûts](cost-management.md)
+ [Tableau de bord d'analyse des coûts](cost-analysis-dashboard.md)
+ [Gestion de session](evdi.md)
+ [Gestion de l'environnement](environment-management.md)
# Gestion des secrets
Le studio de recherche et d'ingénierie conserve les secrets suivants en utilisant AWS Secrets Manager. RES crée automatiquement des secrets lors de la création de l'environnement. Les secrets saisis par l'administrateur lors de la création de l'environnement sont saisis en tant que paramètres.
| Nom du secret | Description | RES généré | L'administrateur est entré |
| --- | --- | --- | --- |
| -sso-client-secret | Secret du OAuth2 client Single Sign-On pour l'environnement | ✓ | |
| -vdc-client-secret | VDC ClientSecret | ✓ | |
| -vdc-client-id | VDC ClientId | ✓ | |
| -vdc-gateway-certificate-private-key | Certificat autosigné, clé privée pour le domaine | ✓ | |
| -vdc-gateway-certificate-certificate | Certificat auto-signé pour le domaine | ✓ | |
| -cluster-manager-client-secret | gestionnaire de clusters ClientSecret | ✓ | |
| -cluster-manager-client-id | gestionnaire de clusters ClientId | ✓ | |
| -external-private-key | Certificat autosigné, clé privée pour le domaine | ✓ | |
| -external-certificate | Certificat auto-signé pour le domaine | ✓ | |
| -internal-private-key | Certificat autosigné, clé privée pour le domaine | ✓ | |
| -internal-certificate | Certificat auto-signé pour le domaine | ✓ | |
| -directoryservice-ServiceAccountUserDN | L'attribut Distinguished Name (DN) de l' ServiceAccount utilisateur. | ✓ | |
Les valeurs ARN secrètes suivantes figurent dans le `-cluster-settings` tableau de DynamoDB :
| Clé | Source |
| --- | --- |
| identity-provider.cognito.sso\$1client\$1secret | |
| vdc.dcv\$1connection\$1gateway.certificate.certificate\$1secret\$1arn | pile |
| vdc.dcv\$1connection\$1gateway.certificate.private\$1key\$1secret\$1arn | pile |
| cluster.load\$1balancers.internal\$1alb.certificates.private\$1key\$1secret\$1arn | pile |
| directoryservice.root\$1username\$1secret\$1arn | |
| vdc.client\$1secret | pile |
| cluster.load\$1balancers.external\$1alb.certificates.certificate\$1secret\$1arn | pile |
| cluster.load\$1balancers.internal\$1alb.certificates.certificate\$1secret\$1arn | pile |
| directoryservice.root\$1password\$1secret\$1arn | |
| cluster.secretsmanager.kms\$1key\$1id | |
| cluster.load\$1balancers.external\$1alb.certificates.private\$1key\$1secret\$1arn | pile |
| cluster-manager.client\$1secret | |
# Surveillance et contrôle des coûts
**Note**
L'association de projets de studios de recherche et d'ingénierie à des projets n' AWS Budgets est pas prise en charge dans AWS GovCloud (US).
Créez un [budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) via [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) pour vous aider à gérer les coûts. Les prix sont susceptibles d’être modifiés. Pour plus de détails, consultez la page Web de tarification de chacun des[AWS services inclus dans ce produit](architecture-overview.md#aws-services-in-this-product).
Pour faciliter le suivi des coûts, vous pouvez associer des projets RES aux budgets créés dans ce cadre AWS Budgets. Vous devez d'abord activer les balises d'environnement dans les balises de répartition des coûts de facturation.
1. Connectez-vous à la console AWS de gestion et ouvrez la [console AWS Billing and Cost Management](https://console.aws.amazon.com/costmanagement/home).
1. Choisissez les **balises de répartition des coûts**.
1. Recherchez et sélectionnez les `res:EnvironmentName` balises `res:Project` et.
1. Choisissez **Activer**.
![\[Activer les balises de répartition des coûts\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-costtags.png)
**Note**
L'affichage des balises RES après le déploiement peut prendre jusqu'à un jour.
Pour créer un budget pour les ressources RES :
1. Dans la console de facturation, sélectionnez **Budgets**.
1. Choisissez **Créer un budget**.
1. Sous **Configuration du budget**, choisissez **Personnaliser (avancé)**.
1. Sous **Types de budget**, sélectionnez **Budget des coûts - Recommandé**.
1. Choisissez **Suivant**.
![\[Choisissez le type de budget\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-createbudget1-5.png)
1. Sous **Détails**, saisissez un **nom de budget** significatif pour votre budget afin de le distinguer des autres budgets de votre compte. Par exemple, `--`.
1. Sous **Définir le montant du budget**, entrez le montant budgétisé pour votre projet.
1. Sous **Étendue du budget**, choisissez **Filtrer les dimensions de AWS coût spécifiques**.
1. Choisissez **Add filter**.
1. Sous **Dimension**, choisissez **Tag**.
1. Sous **Tag**, sélectionnez **RES:Project**.
**Note**
La disponibilité des balises et des valeurs peut prendre jusqu'à deux jours. Vous pouvez créer un budget une fois que le nom du projet sera disponible.
1. Sous **Valeurs**, sélectionnez le nom du projet.
1. Choisissez **Appliquer le filtre** pour associer le filtre de projet au budget.
1. Choisissez **Suivant**.
![\[Définir le périmètre du budget\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-budgets-04.png)
1. (Facultatif.) Ajoutez un seuil d'alerte.
1. Choisissez **Suivant**.
1. (Facultatif.) Si une alerte a été configurée, utilisez **Attacher des actions** pour configurer les actions souhaitées avec l'alerte.
1. Choisissez **Suivant**.
1. Vérifiez la configuration du budget et confirmez que la balise correcte a été définie sous **Paramètres budgétaires supplémentaires**.
1. Choisissez **Créer un budget**.
Maintenant que le budget a été créé, vous pouvez activer le budget pour les projets. Pour activer les budgets d'un projet, voir[Modifier un projet](edit-project.md). Le lancement des bureaux virtuels sera bloqué en cas de dépassement du budget. Si le budget est dépassé lors du lancement d'un ordinateur de bureau, celui-ci continuera à fonctionner.
![\[Budget dépassé\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-budgets-exceeded.png)
Si vous devez modifier votre budget, revenez à la console pour modifier le montant du budget. La prise en compte de la modification dans RES peut prendre jusqu'à quinze minutes. Vous pouvez également modifier un projet pour désactiver un budget.
# Tableau de bord d'analyse des coûts
Le tableau de bord d'analyse des coûts permet aux administrateurs RES de surveiller les budgets et les coûts des projets au fil du temps à partir du portail RES. Les coûts peuvent être filtrés au niveau du projet.
**Topics**
+ [Conditions préalables](#cost-analysis-dashboard-prerequisites)
+ [Projets avec tableau du budget attribué](#cost-analysis-dashboard-projects-chart)
+ [Tableau de l'analyse des coûts au fil du temps](#cost-analysis-dashboard-over-time)
+ [Téléchargement d’un fichier CSV](#cost-analysis-dashboard-download-csv)
## Conditions préalables
Pour utiliser le tableau de bord des coûts pour Research and Engineering Studio, vous devez d'abord :
+ [Création d’un projet](create-project.md).
+ Créez un [budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) dans la [console AWS Billing and Cost Management](https://console.aws.amazon.com/costmanagement/home).
+ Joignez le budget au projet (voir[Modifier un projet](edit-project.md)).
+ Activez le tableau d'analyse des coûts pour les comptes dotés de nouveaux déploiements RES. Pour cela, procédez comme suit :
1. Déployez un [VDI](virtual-desktops.md) pour le projet que vous avez créé. Cela approvisionne le `res:Project` tag dans le [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/), ce qui peut prendre jusqu'à 24 heures.
1. Une fois le tag créé, le bouton **Activer les tags** est activé. Cliquez sur le bouton pour activer les balises dans Cost Explorer. Ce processus peut prendre 24 heures supplémentaires.
![\[Intégration de l'analyse des coûts ; étapes à suivre\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-onboarding.png)
## Projets avec tableau du budget attribué
Le graphique **Projets avec budget affecté** affiche l'état du budget des projets dans l'environnement RES auxquels des budgets leur ont été affectés. Par défaut, le graphique affiche les 5 meilleurs projets par montant budgétaire. Vous pouvez sélectionner des projets spécifiques dans le menu déroulant **Filtrer les données affichées** qui charge la liste complète des projets affectés au budget.
![\[Graphique montrant les projets avec l'état du budget attribué, y compris les montants dépensés, excédentaires et restants\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projects-budget-assigned.png)
Le graphique affiche les montants dépensés, restants et excédentaires pour chaque budget en dollars américains. Passez la souris sur une barre pour afficher les montants exacts en dollars américains pour chaque catégorie. Vous pouvez également ouvrir les pages Projets et Créer un projet en cliquant sur les boutons **Réviser les projets** et **Créer un projet** dans le coin supérieur droit, respectivement.
![\[Graphique montrant les projets avec l'état du budget attribué et les détails contextuels d'un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projects-budget-dropdown.png)
## Tableau de l'analyse des coûts au fil du temps
Le graphique de l'**analyse des coûts au fil du temps** affiche la répartition des coûts par projet sur une période donnée. Par défaut, le graphique affiche les données de chacun des 6 derniers mois. Il affiche les 5 meilleurs projets en termes de coût total sur la **période sélectionnée** avec la **granularité** que vous sélectionnez. Tous les autres projets sélectionnés, à l'exception des 5 premiers, sont regroupés dans une **autre** catégorie.
![\[Graphique illustrant l'analyse des coûts sur une plage de temps sélectionnée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-over-time.png)
### Filtres
Vous pouvez filtrer par projet, par plage de temps et par granularité pour personnaliser l'affichage graphique de l'**analyse des coûts au fil du temps**. Si des combinaisons de filtres non valides sont sélectionnées, une fenêtre modale apparaît qui vous permet de revenir à la configuration précédente ou d'accepter une suggestion pour la combinaison de filtres mise à jour.
**Project**
Lorsque vous choisissez le menu déroulant **Filtrer les données affichées**, vous pouvez voir une liste complète des projets dans votre environnement RES actuel. Vous voyez le nom du projet, avec le code du projet affiché en dessous.
![\[Détail des paramètres de filtre indiquant les projets sélectionnés pour affichage\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-filter-modal.png)
**Spécification de l'intervalle de temps**
Vous pouvez choisir d'utiliser une **plage absolue** ou une **plage relative** lorsque vous spécifiez une plage de dates. Lorsque vous sélectionnez une plage relative, les dates sont calculées en utilisant des unités de temps complètes. Par exemple, si vous sélectionnez l'option **6 derniers mois** en février 2025, cela se traduira par une plage de temps comprise entre le 01/08/24 et le 31/01/25.
![\[Détail de la fenêtre contextuelle qui permet de sélectionner une plage de temps relative\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-time-range1.png)
![\[Détail de la fenêtre contextuelle qui permet de sélectionner une plage de temps absolue\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-time-range2.png)
**Granularité**
Vous pouvez choisir d'afficher les données avec une granularité **mensuelle**, **quotidienne** ou **horaire**. **La granularité horaire** ne prend en charge qu'une plage de dates allant jusqu'à 14 jours. La granularité **quotidienne** ne prend en charge qu'une plage de dates allant jusqu'à 14 mois.
![\[Détail de la fenêtre contextuelle qui permet de sélectionner la granularité de la plage de temps\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-granularity.png)
## Téléchargement d’un fichier CSV
Pour exporter la vue d'analyse des coûts actuelle, choisissez **Télécharger le fichier CSV en** haut à droite du graphique **Analyse des coûts au fil du temps**. Le fichier CSV téléchargé contient les informations sur les coûts de chaque projet sélectionné pour la période spécifiée, ainsi que les coûts totaux par projet et par période.
![\[Fichier CSV téléchargé ouvert dans un tableur\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-cost-analysis-download-csv.png)
# Gestion de session
La gestion des sessions fournit un environnement flexible et interactif pour le développement et le test des sessions. En tant qu'utilisateur administratif, vous pouvez autoriser les utilisateurs à créer et à gérer des sessions interactives au sein de leur environnement de projet.
**Topics**
+ [Tableau de bord](dashboard.md)
+ [Séances](sessions.md)
+ [Piles de logiciels () AMIs](software-stacks.md)
+ [Débogage](debug.md)
+ [Réglages du bureau](desktop-settings.md)
# Tableau de bord
![\[Tableau de bord de gestion des sessions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/virtualdesktopdashboard.jpg)
Le tableau de bord de gestion des sessions fournit aux administrateurs un aperçu rapide des éléments suivants :
1. Types d’instances
1. États de session
1. Système d'exploitation de base
1. Projets
1. Zones de disponibilité
1. Piles de logiciels
En outre, les administrateurs peuvent :
1. Actualisez le tableau de bord pour mettre à jour les informations.
1. Choisissez **Afficher les sessions** pour accéder aux sessions.
# Séances
Sessions affiche tous les bureaux virtuels créés dans Research and Engineering Studio. Sur la page Sessions, vous pouvez filtrer et afficher les informations de session ou créer une nouvelle session.
![\[Page des sessions de la console d'administration avec annotations numérotées indiquant les fonctionnalités\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-sessions.jpg)
1. Utilisez le menu pour filtrer les résultats par sessions créées ou mises à jour au cours d'une période spécifiée.
1. Sélectionnez une session et utilisez le menu Actions pour :
1. Reprendre une ou plusieurs sessions
1. Stop/Hibernate Séance (s)
1. Stop/Hibernate Séance (s) forcée (s)
1. Redémarrer la ou les sessions : redémarre les sessions sélectionnées. Cette action est également disponible pour les sessions en état d'erreur, ce qui permet aux administrateurs de récupérer les informations erronées. VDIs
1. Terminer une ou plusieurs sessions
1. Forcer la fermeture d'une ou de plusieurs sessions
1. Séance (s) Santé
1. Création d'une pile de logiciels
1. Choisissez **Create Session** pour créer une nouvelle session.
1. Recherchez une session par nom et filtrez par état et système d'exploitation.
1. Sélectionnez le **nom de la session** pour afficher plus de détails.
## Créer une session
1. Choisissez **Create Session**. Le modal Launch New Virtual Desktop s'ouvre.
1. Entrez les détails de la nouvelle session.
1. (Facultatif.) Activez **Afficher les options avancées** pour fournir des informations supplémentaires telles que l'ID de sous-réseau et le type de session DCV.
1. Sélectionnez **Soumettre**.
![\[Détails de la page de console d'administration avec les champs à remplir pour lancer un nouveau bureau virtuel\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-createsession.jpg)
## Détails de la session
Dans la liste des **sessions**, sélectionnez le **nom de la session** pour afficher les détails de la session.
![\[Page de console d'administration avec affichage des détails de la session\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-viewsessiondetails.jpg)
# Piles de logiciels () AMIs
Sur la page Software Stacks, vous pouvez configurer Amazon Machine Images (AMIs) ou gérer les images existantes.
![\[Le logiciel empile la page de la console d'administration avec des annotations numérotées\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-softwarestackspage-2026.03.png)
1. Pour rechercher une pile logicielle existante, utilisez le menu déroulant du système d'exploitation pour filtrer par système d'exploitation.
1. Sélectionnez le nom d'une pile logicielle pour afficher les détails de la pile.
1. Cliquez sur le bouton radio situé à côté d'une pile logicielle, puis utilisez le menu **Actions** pour modifier la pile et l'attribuer à un projet.
1. Cliquez sur le bouton **Register Software Stack** pour créer une nouvelle pile.
## Enregistrer une nouvelle pile logicielle
Le bouton **Register Software Stack** vous permet de créer une nouvelle pile :
**Note**
Vous pouvez utiliser un paramètre non chiffré de Systems Manager comme alias pour l'ID de pile logicielle.
Le paramètre Systems Manager nécessitera les balises suivantes pour que RES puisse y accéder :
clé : `res:EnvironmentName`, valeur : ``
clé : `res:ModuleName`, valeur : `virtual-desktop-controller`
1. Choisissez **Register Software Stack**.
1. Entrez les détails de la nouvelle pile logicielle, notamment le nom, la description, l'ID de l'AMI et le système d'exploitation.
1. (Facultatif) Utilisez le champ **Types d'instances autorisés** pour spécifier les familles ou les types d'instances autorisés pour cette pile logicielle. Vous pouvez saisir des familles d'instances (par exemple,`t3`) ou des tailles d'instance spécifiques (par exemple,`t3.xlarge`).
1. Sélectionnez **Soumettre**.
![\[Page contextuelle de console d'administration qui vous permet d'enregistrer une nouvelle pile logicielle\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-register-new-software-stack.png)
## Attribuer une pile logicielle à un projet
Lorsque vous créez une nouvelle pile logicielle, vous pouvez l'attribuer à des projets. Toutefois, si vous devez ajouter la pile à un projet après sa création initiale, procédez comme suit :
**Note**
Vous ne pouvez attribuer des piles de logiciels qu'aux projets dont vous êtes membre.
1. Sur la page **Software Stacks**, sélectionnez le bouton radio correspondant à la pile logicielle que vous souhaitez ajouter à un projet.
1. Choisissez **Actions**.
1. Choisissez **Modifier**.
1. Utilisez le menu déroulant **Projets** pour sélectionner le projet.
![\[Console d'administration affichant les champs permettant de mettre à jour une pile logicielle pour un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-update-software-stack.png)
1. Sélectionnez **Soumettre**.
Vous pouvez également modifier la pile logicielle depuis la page des détails de la pile.
## Modifier la liste des instances VDI de la pile logicielle
Pour chaque pile logicielle enregistrée, vous pouvez choisir les familles et les types d'instances autorisés. La liste des options pour chaque pile logicielle est filtrée en fonction des options définies dans les **paramètres du bureau**. Vous pouvez y trouver et modifier les **familles et types d'instances autorisés** globaux.
![\[Page de console d'administration affichant les paramètres du bureau sous gestion de session\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-vdi-instance-list1.png)
**Pour modifier l'attribut **Families et types d'instances autorisés** d'une pile logicielle :**
1. Sur la page **Software Stacks**, cliquez sur le bouton radio correspondant à la pile logicielle.
1. Choisissez **Actions**, puis sélectionnez **Modifier la pile**.
1. Choisissez les familles et types d'instances souhaités dans la liste déroulante située sous **Familles et types d'instances autorisés**.
![\[Fenêtre contextuelle de mise à jour de la pile logicielle qui vous permet de modifier les familles et les types d'instances autorisés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-vdi-instance-list2.png)
1. Sélectionnez **Soumettre**.
**Note**
Si l'ensemble global de **familles et de types d'instances autorisés** inclut une famille d'instances et un type d'instance au sein de cette famille (par exemple `t3` et`t3.large`), les options disponibles pour l'attribut **Familles et types d'instances autorisés** d'une pile logicielle incluront uniquement la famille d'instances.
**Important**
Lorsqu'une instance type/family est supprimée de la liste d'autorisation au niveau de l'environnement, elle doit être automatiquement supprimée de toutes les piles logicielles.
Les instances types/families ajoutées au niveau de l'environnement ne sont pas automatiquement ajoutées aux piles logicielles.
## Afficher les détails de la pile logicielle
Sur la page **Software Stacks**, sélectionnez le nom de la pile logicielle pour en afficher les détails. Vous pouvez également sélectionner le bouton radio correspondant à une pile logicielle, choisir **Actions** et sélectionner **Modifier** pour modifier la pile logicielle.
## Assistance à la location VDI
Lorsque vous enregistrez une nouvelle pile logicielle ou que vous modifiez une pile logicielle existante, vous pouvez sélectionner la location de la pile logicielle VDIs lancée à partir de cette pile logicielle. Les trois locations suivantes sont prises en charge :
+ Partagé (par défaut) - Exécuter VDIs avec des instances matérielles partagées
+ Instance dédiée - Exécutée VDIs avec des instances dédiées
+ Hôte dédié : fonctionne VDIs avec un hôte dédié
![\[Page contextuelle de la console d'administration qui vous permet de sélectionner le type de location à lancer VDIs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-vdi-tenancy-support1.png)
Lorsque vous sélectionnez le type de location d'hôte dédié, vous devez également sélectionner l'affinité de location et le type d'hôte cible. Les types d'hôtes cibles suivants sont pris en charge :
+ Host Resource Group : groupe de ressources hôte créé dans AWS License Manager
+ ID d'hôte : identifiant d'hôte spécifique
![\[Page contextuelle de console d'administration qui vous permet de sélectionner l'affinité de location pour le lancement VDIs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-vdi-tenancy-support2.png)
![\[Page contextuelle de console d'administration qui vous permet de sélectionner le type d'hôte cible à lancer VDIs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-vdi-tenancy-support3.png)
Pour spécifier les licences autogérées dont vous avez besoin VDIs lorsque vous les lancez avec la location d'hôte dédiée, associez les licences à votre AMI en suivant la procédure Associating [self-managed licenses et AMIs](https://docs.aws.amazon.com/license-manager/latest/userguide/license-rules.html#ami-associations) dans le guide de l'utilisateur du *AWS License Manager*.
## Ajouter une pile logicielle Rocky Linux 9
RES n'a pas de pile logicielle par défaut pour Rocky Linux 9. Cette section propose donc une recommandation sur l'AMI Rocky à utiliser et sur la manière de l'utiliser.
1. Connectez-vous à la console AWS de gestion, puis accédez à la [page du catalogue AMI](https://console.aws.amazon.com/ec2/home#AMICatalog) dans la console EC2.
1. Recherchez AMIs sous l'onglet **AWS Marketplace** avec le nom **Rocky Linux 9**.
1. **Sélectionnez l'AMI nommée **Rocky Linux 9 (Official) - x86\$164** de Rocky Linux.**
![\[Capture d'écran montrant les résultats de recherche de l'AMI Rocky Linux 9 dans le catalogue AMI\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-rocky-linux9.png)
1. Une fois sélectionné, choisissez **S'abonner maintenant**.
1. Faites défiler l'écran vers le haut et copiez l'ID de l'**AMI sélectionnée**.
![\[Capture d'écran montrant le catalogue AMI avec l'ID d'AMI sélectionné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ami-catalog.png)
1. Accédez au portail RES et enregistrez une nouvelle pile logicielle sous la page **Software Stacks** à l'aide de cette AMI.
# Débogage
Le panneau de débogage affiche le trafic de messages associé aux bureaux virtuels. Vous pouvez utiliser ce panneau pour observer l'activité entre les hôtes. L'onglet Virtual Desktop Host affiche l'activité spécifique à l'instance, et l'onglet Virtual Desktop Sessions affiche l'activité de session en cours.
![\[Panneau de débogage\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-evdi-debug-01.png)
# Réglages du bureau
Vous pouvez utiliser la page Paramètres du bureau pour configurer les ressources associées aux bureaux virtuels.
![\[Réglages du bureau\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-virtual-desktop-settings.png)
**Général**
L'onglet **Général** permet d'accéder à des paramètres tels que :
**QUIC**
Active QUIC en faveur du protocole TCP en tant que protocole de streaming par défaut pour tous vos bureaux virtuels.
**Type de session DCV par défaut**
Type de session DCV par défaut utilisé pour tous les bureaux virtuels. Ce paramètre ne s'applique pas aux bureaux créés précédemment. Cela ne s'applique que dans les cas où le type d'instance et le système d'exploitation prennent en charge les types de session virtuelle ou de console.
**Sessions autorisées par défaut par utilisateur et par projet**
La valeur par défaut du nombre autorisé de sessions VDI par utilisateur et par projet.
**Expiration du jeton de session DCV**
Durée pendant laquelle un jeton de session DCV reste valide. Lorsqu'un jeton expire, les utilisateurs doivent retélécharger le fichier de connexion DCV depuis le portail Web pour continuer à accéder à leur session de bureau virtuel. Les options disponibles sont les suivantes :
+ 1 440 minutes (1 jour)
+ 10 080 minutes (7 jours)
+ 43 200 minutes (30 jours)
![\[Paramètre d'expiration du jeton de session DCV dans les paramètres du bureau\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/dcv-settings-form.png)
**de bases de données**
L'onglet **Serveur** permet d'accéder à des paramètres tels que :
**Expiration du délai d'inactivité de la session DCV**
Durée après laquelle la session DCV sera automatiquement déconnectée. Cela ne change pas l'état de la session de bureau, cela ferme uniquement la session à partir du client DCV ou du navigateur Web.
**Avertissement d'expiration du délai d'inactivité**
Durée après laquelle un avertissement d'inactivité sera envoyé au client.
**Seuil d'utilisation du processeur**
L'utilisation du processeur doit être considérée comme inactive.
**Taille maximale du volume racine**
Taille par défaut du volume racine sur les sessions de bureau virtuel.
**Types d'instances autorisés**
Liste des familles et tailles d'instances pouvant être lancées pour cet environnement RES. Les combinaisons de familles et de tailles d'instances sont toutes deux acceptées. Par exemple, si vous spécifiez « m7a », toutes les tailles de la famille m7a pourront être lancées sous forme de sessions VDI. Si vous spécifiez « m7a.24xlarge », seul m7a.24xlarge pourra être lancé en tant que session VDI. Cette liste concerne tous les projets dans l'environnement.
![\[Réglages du bureau\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-virtual-desktop-settings2.png)
# Gestion de l'environnement
Dans la section Gestion de l'environnement de Research and Engineering Studio, les utilisateurs administratifs peuvent créer et gérer des environnements isolés pour leurs projets de recherche et d'ingénierie. Ces environnements peuvent inclure des ressources informatiques, du stockage et d'autres composants nécessaires, le tout dans un environnement sécurisé. Les utilisateurs peuvent configurer et personnaliser ces environnements pour répondre aux exigences spécifiques de leurs projets, ce qui facilite l'expérimentation, le test et l'itération de leurs solutions sans impact sur les autres projets ou environnements.
**Topics**
+ [État de l'environnement](environment-status.md)
+ [Réglages d'environnement](environment-settings.md)
+ [Utilisateurs](users.md)
+ [Groupes](groups.md)
+ [Projets](projects.md)
+ [Stratégie d'autorisation](permission-profiles.md)
+ [Systèmes de fichiers](file-system.md)
+ [Gestion des instantanés](snapshots.md)
+ [Compartiments Amazon S3](S3-buckets.md)
# État de l'environnement
La page **État de l'environnement** affiche le logiciel déployé et les hôtes du produit. Il inclut des informations telles que la version du logiciel, les noms des modules et d'autres informations système.
![\[Page d'état de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-environmentstatus.jpg)
# Réglages d'environnement
La page des **paramètres d'environnement** affiche les détails de configuration du produit, tels que :
+ Général
Vous pouvez modifier le titre et le sous-titre du portail Web et ajouter des liens personnalisés vers la page de connexion du portail Web. Pour configurer des liens personnalisés :
1. Accédez à **Gestion de l'environnement** > **Paramètres d'environnement**.
1. Dans l'onglet **Général**, choisissez **Modifier**.
1. Dans la section **Liens personnalisés**, choisissez **Ajouter un lien**.
1. Entrez un **titre** et une **URL** pour chaque lien que vous souhaitez afficher sur la page de connexion.
1. Choisissez **Soumettre** pour enregistrer vos modifications.
Des liens personnalisés apparaissent sur la page de connexion au portail Web, permettant aux administrateurs de diriger les utilisateurs vers des ressources telles que la documentation interne, les pages d'assistance ou les politiques d'utilisation acceptables.
![\[Configuration des liens personnalisés dans les paramètres d'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/web-links-edit-form.png)
+ Fournisseur d'identité
Affiche des informations telles que l'état de l'authentification unique.
+ Réseau
Affiche l'ID VPC et la liste IDs des préfixes pour l'accès.
+ Directory Service
Affiche les paramètres Active Directory et l'ARN du gestionnaire de secrets des comptes de service pour le nom d'utilisateur et le mot de passe.
# Utilisateurs
Tous les utilisateurs synchronisés depuis votre Active Directory apparaîtront sur la page Utilisateurs. Les utilisateurs sont synchronisés par l'utilisateur cluster-admin lors de la configuration du produit. Pour plus d'informations sur la configuration utilisateur initiale, consultez le[Guide de configuration](configuration-guide.md).
**Note**
Les administrateurs ne peuvent créer des sessions que pour les utilisateurs actifs. Par défaut, tous les utilisateurs seront inactifs jusqu'à ce qu'ils se connectent à l'environnement du produit. Si un utilisateur est inactif, demandez-lui de se connecter avant de créer une session pour lui.
![\[Utilisateurs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-users.jpg)
Depuis la page **Utilisateurs**, vous pouvez :
1. Recherche des utilisateurs.
1. Lorsqu'un nom d'utilisateur est sélectionné, utilisez le menu **Actions** pour :
1. Définir en tant qu'utilisateur administrateur
1. Désactiver l'utilisateur
# Groupes
Tous les groupes synchronisés depuis Active Directory apparaissent sur la page Groupes. Pour plus d'informations sur la configuration et la gestion des groupes, consultez le[Guide de configuration](configuration-guide.md).
![\[Groupes\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-groups.jpg)
Sur la page **Groupes**, vous pouvez :
1. Recherchez des groupes d'utilisateurs.
1. Lorsqu'un groupe d'utilisateurs est sélectionné, utilisez le menu **Actions** pour activer ou désactiver un groupe.
1. Lorsqu'un groupe d'utilisateurs est sélectionné, vous pouvez développer le volet **Utilisateurs** en bas de l'écran pour afficher les utilisateurs du groupe.
# Projets
Les projets constituent une limite pour les bureaux virtuels, les équipes et les budgets. Lorsque vous créez un projet, vous définissez ses paramètres, tels que le nom, la description et la configuration de l'environnement. Les projets incluent généralement un ou plusieurs environnements, qui peuvent être personnalisés pour répondre aux exigences spécifiques de votre projet, telles que le type et la taille des ressources informatiques, la pile logicielle et la configuration réseau.
**Topics**
+ [Afficher les projets](view-projects.md)
+ [Création d’un projet](create-project.md)
+ [Modifier un projet](edit-project.md)
+ [Désactiver un projet](disable-project.md)
+ [Supprime un projet.](delete-project.md)
+ [Ajouter ou supprimer des balises dans un projet](tag-project.md)
+ [Afficher les systèmes de fichiers associés à un projet](view-project-file-systems.md)
+ [Ajouter un modèle de lancement](project-launch-template.md)
# Afficher les projets
![\[Projets\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projects.jpg)
Le tableau de bord des projets fournit une liste des projets mis à votre disposition. Depuis le tableau de bord des projets, vous pouvez :
1. Vous pouvez utiliser le champ de recherche pour trouver des projets.
1. Lorsqu'un projet est sélectionné, vous pouvez utiliser le menu **Actions** pour :
1. Modifier un projet
1. Activer ou désactiver un projet
1. Mettre à jour les balises du projet
1. Supprime un projet.
1. Vous pouvez choisir **Create Project** pour créer un nouveau projet.
# Création d’un projet
1. Choisissez **Create Project** (Créer un projet).
1. Entrez les détails du projet.
L'ID de projet est une balise de ressource qui peut être utilisée pour suivre la répartition des coûts dans AWS Cost Explorer Service. Pour plus d'informations, consultez la section [Activation des balises de répartition des coûts définies par](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html) l'utilisateur.
**Important**
L'ID du projet ne peut pas être modifié après sa création.
Pour plus d'informations sur **les options avancées**, consultez[Ajouter un modèle de lancement](project-launch-template.md).
1. (Facultatif) Activez les budgets pour le projet. Pour plus d'informations sur les budgets, voir[Surveillance et contrôle des coûts](cost-management.md).
1. Le système de fichiers du répertoire de base peut utiliser le système de fichiers de base partagé (par défaut), EFS, FSx pour le stockage de volumes Lustre, FSx NetApp ONTAP ou EBS.
Le système de fichiers d'accueil partagé, EFS, FSx pour Lustre et FSx NetApp ONTAP peut être partagé entre plusieurs projets et. VDIs Cependant, l'option de stockage en volume EBS exigera que chaque VDI de ce projet possède son propre répertoire de base qui n'est pas partagé entre VDIs d'autres projets. Vous pouvez également intégrer plusieurs volumes à partir d'un seul système de fichiers FSx NetApp ONTAP.
![\[Création d'un nouveau projet avec des configurations de ressources\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-create-new-project.png)
1. Attribuez aux utilisateurs, aux groupes ou aux deux le rôle approprié (« Membre du projet » ou « Propriétaire du projet »). Découvrez [Profils d'autorisations par défaut](permission-matrix.md) les actions que chaque rôle peut entreprendre.
1. Sélectionnez **Soumettre**.
# Modifier un projet
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Modifier le projet**.
1. Entrez vos mises à jour.
Si vous avez l'intention d'activer les budgets, consultez [Surveillance et contrôle des coûts](cost-management.md) pour plus d'informations. Lorsque vous choisissez un budget pour le projet, le chargement des options de la liste déroulante du budget peut prendre quelques secondes. Si vous ne voyez pas le budget que vous venez de créer, cliquez sur le bouton d'actualisation à côté de la liste déroulante.
Pour plus d'informations sur **les options avancées**, consultez[Ajouter un modèle de lancement](project-launch-template.md).
1. Sélectionnez **Soumettre**.
![\[Modifier un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-editproject.png)
# Désactiver un projet
Pour désactiver un projet :
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Désactiver le projet**.
![\[Page de projets affichant les options du menu déroulant des actions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-disable-project1.png)
1. Si un projet est désactivé, toutes les sessions VDI associées à ce projet sont arrêtées. Ces sessions ne peuvent pas être redémarrées tant que le projet est désactivé.
![\[Page des projets indiquant la désactivation réussie de la bannière de projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-disable-project2.png)
# Supprime un projet.
Pour supprimer un projet :
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Supprimer le projet**.
![\[Page de projets affichant les options de liste déroulante des actions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project1.png)
1. Une fenêtre contextuelle de confirmation apparaît. Entrez le nom du projet, puis choisissez **Oui** pour le supprimer.
![\[Fenêtre contextuelle de confirmation des projets\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project-confirm.png)
1. Si un projet est supprimé, toutes les sessions VDI associées à ce projet sont interrompues.
![\[Page des projets sous gestion de l'environnement avec bannière indiquant la suppression réussie du projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-delete-project3.png)
# Ajouter ou supprimer des balises dans un projet
Les balises de projet attribueront des balises à toutes les instances créées dans le cadre de ce projet.
1. Choisissez un projet dans la liste des projets.
1. Dans le menu **Actions**, choisissez **Mettre à jour les balises**.
1. Choisissez **Ajouter des balises** et entrez une valeur pour **Key**.
1. Pour supprimer des balises, choisissez **Supprimer** à côté de la balise que vous souhaitez supprimer.
# Afficher les systèmes de fichiers associés à un projet
Lorsqu'un projet est sélectionné, vous pouvez développer le volet **Systèmes de fichiers** en bas de l'écran pour afficher les systèmes de fichiers associés au projet.
![\[Afficher les systèmes de fichiers associés à un projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projectfilesystems.jpg)
# Ajouter un modèle de lancement
Lorsque vous créez ou modifiez un projet, vous pouvez ajouter des modèles de lancement à l'aide des **options avancées** de la configuration du projet. Les modèles de lancement fournissent des configurations supplémentaires, telles que des groupes de sécurité, des politiques IAM et des scripts de lancement pour toutes les instances VDI du projet.
## Ajouter des politiques
Vous pouvez ajouter une politique IAM pour contrôler l'accès VDI pour toutes les instances déployées dans le cadre de votre projet. Pour intégrer une politique, balisez-la avec la paire clé-valeur suivante :
```
res:Resource/vdi-host-policy
```
Pour plus d'informations sur les rôles IAM, consultez la section [Politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
### Ajout de groupes de sécurité
Vous pouvez ajouter un groupe de sécurité pour contrôler les données de sortie et d'entrée pour toutes les instances VDI de votre projet. Pour intégrer un groupe de sécurité, balisez-le avec la paire clé-valeur suivante :
```
res:Resource/vdi-security-group
```
Pour plus d'informations sur les groupes de sécurité, consultez la section [Contrôler le trafic vers vos AWS ressources à l'aide de groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) dans le *guide de l'utilisateur Amazon VPC*.
### Ajouter des scripts de lancement
Vous pouvez ajouter des scripts de lancement qui seront lancés sur toutes les sessions VDI de votre projet. RES prend en charge l'initiation de scripts pour Linux et Windows. Pour lancer le script, vous pouvez choisir l'une des options suivantes :
**Exécuter le script au démarrage du VDI**
Cette option lance le script au début d'une instance VDI avant l'exécution de toute configuration ou installation RES.
**Exécuter le script lorsque le VDI est configuré**
Cette option lance le script une fois les configurations RES terminées.
Les scripts prennent en charge les options suivantes :
| Configuration du script | Exemple |
| --- | --- |
| S3 URI | s3://bucketname/script.sh |
| URL HTTPS | https://sample.samplecontent.com/échantillon |
| Fichier local | fichier :///.sh user/scripts/example |
Tous les scripts personnalisés hébergés sur un compartiment S3 doivent être provisionnés avec la balise suivante :
```
res:EnvironmentName/
```
Pour **Arguments**, fournissez tous les arguments séparés par une virgule.
![\[Exemple de configuration de projet\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-projectconfigexample.png)
Exemples de modèles pour les scripts de lancement.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# Stratégie d'autorisation
Research and Engineering Studio (RES) permet à un utilisateur administratif de créer des profils d'autorisation personnalisés qui accordent aux utilisateurs sélectionnés des autorisations supplémentaires pour gérer le projet auquel ils participent. Chaque projet est fourni avec deux [profils d'autorisation par défaut](permission-matrix.md), « Membre du projet » et « Propriétaire du projet », qui peuvent être personnalisés après le déploiement.
Actuellement, les administrateurs peuvent accorder deux ensembles d'autorisations à l'aide d'un profil d'autorisation :
1. Les autorisations de gestion de projet consistent à « mettre à jour l'adhésion au projet », qui permet à un utilisateur désigné d'ajouter d'autres utilisateurs et groupes à un projet ou de les en retirer, et à « mettre à jour le statut du projet », qui permet à un utilisateur désigné d'activer ou de désactiver un projet.
1. Les autorisations de gestion de session VDI consistent en « Créer une session » qui permet à un utilisateur désigné de créer une session VDI dans son projet, et « Créer/mettre fin à la session d'un autre utilisateur » qui permet à un utilisateur désigné de créer ou de terminer les sessions d'autres utilisateurs au sein d'un projet.
De cette façon, les administrateurs peuvent déléguer des autorisations basées sur des projets à des non-administrateurs de leur environnement.
**Topics**
+ [Autorisations de gestion de projet](permission-profiles-permission-project-management.md)
+ [Autorisations de gestion des sessions VDI](permission-profiles-permission-vdi-sessions.md)
+ [Gestion des profils d'autorisation](permission-profiles-permission-management.md)
+ [Profils d'autorisations par défaut](permission-matrix.md)
+ [Limites de l'environnement](permission-profiles-environment-boundaries.md)
+ [Profils de partage de bureau](permission-profiles-desktop-sharing-profiles.md)
# Autorisations de gestion de projet
**Mettre à jour l'adhésion au projet **
Cette autorisation permet aux utilisateurs non administrateurs qui l'ont accordée d'ajouter et de supprimer des utilisateurs ou des groupes d'un projet. Cela leur permet également de définir le profil d'autorisation et de décider du niveau d'accès pour tous les autres utilisateurs et groupes associés à ce projet.
![\[Fenêtre contextuelle relative aux configurations d'équipe\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-update-project-membership.png)
**Mettre à jour le statut du projet **
Cette autorisation permet aux utilisateurs non administrateurs qui l'ont accordée d'activer ou de désactiver un projet à l'aide du bouton **Actions** de la page **Projets**.
![\[Fenêtre des projets de la console d'administration sous gestion de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-update-project-status.png)
# Autorisations de gestion des sessions VDI
**Créer une session**
Contrôle si un utilisateur est autorisé ou non à lancer sa propre session VDI depuis la page **Mes bureaux virtuels**. Désactivez cette option pour empêcher les utilisateurs non administrateurs de lancer leurs propres sessions VDI. Les utilisateurs peuvent toujours arrêter et terminer leurs propres sessions VDI.
Si un utilisateur non administrateur n'est pas autorisé à créer une session, le bouton **Lancer un nouveau bureau virtuel** sera désactivé pour lui, comme indiqué ici :
![\[le bouton de lancement d'un nouveau bureau virtuel est désactivé pour les utilisateurs non administrateurs non autorisés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**Créer ou mettre fin aux sessions des autres**
Permet aux utilisateurs non administrateurs d'accéder à la page **Sessions** depuis le volet de navigation de gauche. Ces utilisateurs pourront lancer des sessions VDI pour d'autres utilisateurs des projets pour lesquels cette autorisation leur a été accordée.
Si un utilisateur non administrateur est autorisé à lancer des sessions pour d'autres utilisateurs, son volet de navigation de gauche affiche le lien **Sessions sous **Gestion des sessions****, comme indiqué ici :
![\[Fenêtre contextuelle non réservée aux administrateurs pour la gestion des sessions\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-link-displayed.png)
Si un utilisateur non administrateur n'est pas autorisé à créer des sessions pour d'autres utilisateurs, son volet de navigation de gauche n'affichera pas la **gestion des sessions**, comme indiqué ici :
![\[le lien de gestion des sessions est masqué aux utilisateurs non administrateurs qui ne sont pas autorisés à créer des sessions pour d'autres\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-nonadmin-hidden-link.png)
# Gestion des profils d'autorisation
En tant qu'administrateur RES, vous pouvez effectuer les actions suivantes pour gérer les profils d'autorisation.
**Lister les profils d'autorisation**
+ Sur la page de console de Research and Engineering Studio, choisissez **Permission policy** dans le volet de navigation de gauche. À partir de cette page, vous pouvez créer, mettre à jour, répertorier, afficher et supprimer des profils d'autorisation.
![\[les administrateurs peuvent répertorier les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/project-roles.png)
**Afficher les profils d'autorisation**
1. Sur la page principale **des profils d'autorisation**, sélectionnez le nom du profil d'autorisation que vous souhaitez consulter. Sur cette page, vous pouvez modifier ou supprimer le profil d'autorisation sélectionné.
![\[les administrateurs peuvent modifier ou supprimer les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-view-1.png)
1. Sélectionnez l'onglet **Projets concernés** pour afficher les projets qui utilisent actuellement le profil d'autorisation.
![\[les administrateurs peuvent consulter les projets concernés par les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-view-2.png)
**Création de profils d'autorisation**
1. Sur la page principale **des profils d'autorisation**, choisissez **Créer un profil** pour créer un profil d'autorisation.
1. Entrez le nom et la description du profil d'autorisation, puis sélectionnez les autorisations à accorder aux utilisateurs ou aux groupes que vous attribuez à ce profil.
![\[les administrateurs peuvent créer des profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-create.png)
**Modifier les profils d'autorisation**
+ Sur la page principale **des profils d'autorisation**, sélectionnez un profil en cliquant sur le cercle à côté de celui-ci, choisissez **Actions**, puis choisissez **Modifier le profil** pour mettre à jour ce profil d'autorisation.
![\[les administrateurs peuvent modifier les profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-edit.png)
**Supprimer les profils d'autorisation**
+ Sur la page principale **des profils d'autorisation**, sélectionnez un profil en cliquant sur le cercle situé à côté, choisissez **Actions**, puis sélectionnez **Supprimer le profil**. Vous ne pouvez pas supprimer un profil d'autorisation utilisé par un projet existant.
![\[les administrateurs peuvent supprimer des profils d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-permission-profiles-delete.png)
# Profils d'autorisations par défaut
Chaque projet RES est fourni avec deux profils d'autorisation par défaut que les administrateurs globaux peuvent configurer. (En outre, les administrateurs globaux peuvent créer et modifier de nouveaux profils d'autorisation pour un projet.) Le tableau suivant indique les autorisations autorisées pour les profils d'autorisation par défaut, « Membre du projet » et « Propriétaire du projet ». Les profils d'autorisation, et les autorisations qu'ils accordent pour sélectionner les utilisateurs d'un projet, ne s'appliquent qu'au projet auquel ils appartiennent ; les administrateurs globaux sont des super utilisateurs qui disposent de toutes les autorisations ci-dessous pour tous les projets.
| Permissions | Description | Membre du projet | Propriétaire du projet |
| --- | --- | --- | --- |
| Créer une session | Créez votre propre session. Les utilisateurs peuvent toujours arrêter et terminer leurs propres sessions avec ou sans cette autorisation. | X | X |
| Créer/mettre fin aux sessions des autres | Créez ou mettez fin à la session d'un autre utilisateur au sein d'un projet. | | X |
| Mettre à jour l'adhésion au projet | Mettez à jour les utilisateurs et les groupes associés à un projet. | | X |
| Mettre à jour le statut du projet | Activez ou désactivez un projet. | | X |
# Limites de l'environnement
Les limites de l'environnement permettent aux administrateurs de Research and Engineering Studio (RES) de configurer des autorisations qui s'appliqueront globalement à tous les utilisateurs. Cela inclut les autorisations telles que **le navigateur de fichiers et les autorisations SSH, les** **autorisations de bureau** et les **paramètres avancés du bureau**.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Configuration de l'accès au navigateur de fichiers
Les administrateurs RES peuvent activer ou désactiver **les données d'accès** sous les **autorisations du navigateur de fichiers**. Si **les données d'accès** sont désactivées, les utilisateurs ne verront pas la navigation dans **le navigateur de fichiers** sur leur portail Web et ne pourront pas charger ou télécharger les données jointes à leur système de fichiers global. Lorsque **l'accès aux données** est activé, les utilisateurs ont accès à la navigation **du navigateur de fichiers** sur leur portail Web, ce qui leur permet de télécharger ou de télécharger les données jointes à leur système de fichiers global.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
Lorsque la fonctionnalité **Accès aux données** est activée puis désactivée ultérieurement, les utilisateurs déjà connectés au portail Web ne pourront pas charger ou télécharger des fichiers, même s'ils se trouvent sur la page correspondante. De plus, le menu de navigation disparaît lorsqu'ils actualisent la page.
# Configuration de l'accès SSH
Les administrateurs peuvent activer ou désactiver SSH pour l'environnement RES dans la section **Limites de l'environnement**. L'accès SSH VDIs est facilité par un hôte bastion. Lorsque vous activez cette option, RES déploie un hôte bastion et rend la page des instructions d'accès SSH visible pour les utilisateurs. Lorsque vous désactivez le bouton, RES désactive l'accès SSH, met fin à l'hôte Bastion et supprime la page d'instructions d'accès SSH pour les utilisateurs. Ce bouton est désactivé par défaut.
**Note**
Lorsque RES déploie un hôte bastion, il ajoute une instance Amazon `t3.medium` EC2 à votre compte. AWS Vous êtes responsable de tous les frais associés à cette instance. Consultez la [page de tarification d'Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/) pour plus d'informations.
**Pour activer l'accès SSH**
1. Dans la console RES, dans le volet de navigation de gauche, choisissez **Environment Management**, puis **Permission Policy**. Sous **Limites de l'environnement**, sélectionnez le **bouton d'accès SSH**.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. Attendez que l'accès SSH soit activé.
![\[La bannière consultative apparaît sur la page de politique d'autorisation sous Gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-enable-ssh.png)
1. Une fois l'hôte Bastion ajouté, l'accès SSH est activé.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled.png)
La page des **instructions d'accès SSH** est visible par les utilisateurs depuis le volet de navigation de gauche.
![\[Page d'instructions d'accès SSH présentant les étapes pour Linux et Windows\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**Pour désactiver l'accès SSH**
1. Dans la console RES, dans le volet de navigation de gauche, choisissez **Environment Management**, puis **Permission Policy**. Sous **Limites de l'environnement**, sélectionnez le **bouton d'accès SSH**.
![\[Page de politique d'autorisation sous gestion de l'environnement dans la console d'administration\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. Attendez que l'accès SSH soit désactivé.
![\[Une bannière indique que l'accès SSH est désactivé sur la page de politique d'autorisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-disable-ssh.png)
1. Une fois le processus terminé, l'accès SSH est désactivé.
![\[Page de politique d'autorisation indiquant que l'accès SSH est désactivé\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-ssh-disabled.png)
# Configuration des autorisations de bureau
Les administrateurs peuvent activer ou désactiver **les autorisations de bureau** pour gérer globalement les fonctionnalités VDI de tous les propriétaires de sessions. Toutes ces autorisations, ou un sous-ensemble, peuvent être utilisées pour créer des **profils de partage de bureau** qui déterminent les actions que les utilisateurs avec lesquels un bureau est partagé peuvent effectuer. Si une autorisation de bureau est désactivée, les autorisations correspondantes seront automatiquement désactivées dans les **profils de partage de bureau**. Ces autorisations seront étiquetées comme « Désactivées globalement ». Même si l'administrateur réactive cette autorisation de bureau, l'autorisation dans le profil de partage de bureau restera désactivée jusqu'à ce que l'administrateur l'active manuellement.
![\[limites de l'environnement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Profils de partage de bureau
Les administrateurs peuvent créer de nouveaux profils et les personnaliser. Ces profils sont accessibles à tous les utilisateurs et sont utilisés lors du partage d'une session avec d'autres utilisateurs. Les autorisations maximales accordées au sein de ces profils ne peuvent pas dépasser les autorisations de bureau autorisées dans le monde entier.
**Créer un profil**
Les administrateurs peuvent choisir **Créer un profil** pour créer un nouveau profil. Ils peuvent ensuite saisir un **nom de profil**, une **description du profil**, définir les autorisations souhaitées et **enregistrer** leurs modifications.
![\[profils de partage de bureau\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/desktop-sharing-profiles.png)
![\[définition du profil et autorisations\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-profile-definition.png)
**Modifier le profil**
**Pour modifier un profil, procédez comme suit :**
1. Sélectionnez le profil souhaité.
1. Choisissez **Actions**, puis sélectionnez **Modifier** pour modifier le profil.
1. Ajustez les autorisations selon vos besoins.
1. Sélectionnez **Enregistrer les modifications**.
Toute modification apportée au profil sera immédiatement appliquée aux sessions ouvertes en cours.
![\[profils de partage de bureau avec testprofile_1 sélectionné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[définition du profil et autorisations pour TestProfile_1\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-profile-definition2.png)
# Systèmes de fichiers
![\[Systèmes de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/home-file-systems.png)
Sur la page Systèmes de fichiers, vous pouvez :
1. Recherchez des systèmes de fichiers.
1. Lorsqu'un système de fichiers est sélectionné, utilisez le menu **Actions** pour :
1. Ajoutez le système de fichiers à un projet.
1. Supprimer le système de fichiers d'un projet
1. Intégrez un nouveau système de fichiers.
1. Lorsqu'un système de fichiers est sélectionné, vous pouvez agrandir le volet en bas de l'écran pour afficher les détails du système de fichiers.
**Topics**
+ [Intégrer un système de fichiers](onboard-file-system.md)
# Intégrer un système de fichiers
**Note**
Pour intégrer correctement un système de fichiers, celui-ci doit partager le même VPC et au moins un de vos sous-réseaux RES. Vous devez également vous assurer que le groupe de sécurité est correctement configuré afin d' VDIs avoir accès au contenu du système de fichiers.
1. Choisissez le **système de fichiers intégré**.
1. Sélectionnez un système de fichiers dans le menu déroulant. Le modal s'étendra avec des entrées détaillées supplémentaires.
![\[Sélectionnez le système de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-selectfilesystem.jpg)
1. Entrez les détails du système de fichiers.
**Note**
Par défaut, les administrateurs et les propriétaires de projets ont la possibilité de choisir un système de fichiers personnel lors de la création d'un nouveau projet, qui ne peut pas être modifié par la suite.
Les systèmes de fichiers destinés à être utilisés comme répertoires de base dans les projets doivent être intégrés en définissant leur chemin de **répertoire de montage sur**. `/home` Cela remplira le système de fichiers intégré dans les options déroulantes du système de fichiers du répertoire de base. Cette fonctionnalité permet de garder les données isolées entre les projets puisque seuls les utilisateurs associés au projet auront accès au système de fichiers via leur VDIs. VDIs montera le système de fichiers au point de montage sélectionné lors de l'intégration d'un système de fichiers.
1. Sélectionnez **Soumettre**.
![\[Sélectionnez le système de fichiers\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-filesystemdetails.jpg)
## Plusieurs volumes à partir d'un seul système de fichiers ONTAP
RES prend en charge l'intégration de plusieurs volumes à partir d'un seul système de fichiers pour NetApp ONTAP. Cela permet aux administrateurs d'organiser les données sur des volumes distincts au sein du même système de fichiers ONTAP tout en mettant chaque volume indépendamment à la disposition des projets.
Pour intégrer des volumes supplémentaires à partir d'un système de fichiers ONTAP déjà intégré, procédez comme suit :
1. Choisissez le **système de fichiers intégré**.
1. Sélectionnez le même système de fichiers ONTAP dans le menu déroulant.
1. Dans le champ **Volume**, sélectionnez un volume différent du système de fichiers.
1. Spécifiez un **répertoire de montage** unique pour ce volume.
1. Sélectionnez **Soumettre**.
**Note**
Chaque volume du même système de fichiers ONTAP doit être intégré avec un répertoire de montage unique. Les volumes peuvent être assignés indépendamment à différents projets.
# Gestion des instantanés
La gestion des snapshots simplifie le processus de sauvegarde et de migration des données entre les environnements, garantissant ainsi cohérence et précision. Avec les instantanés, vous pouvez enregistrer l'état de votre environnement et migrer les données vers un nouvel environnement ayant le même état.
![\[Page de gestion des snapshots\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-snapshotmanagement.png)
Depuis la page de **gestion des snapshots**, vous pouvez :
1. Affichez tous les instantanés créés et leur statut.
1. Créez un instantané. Avant de créer un instantané, vous devez créer un bucket doté des autorisations appropriées.
1. Affichez tous les instantanés appliqués et leur état.
1. Appliquez un instantané.
**Topics**
+ [Créer un instantané](create-snapshot.md)
+ [Appliquer un instantané](apply-snapshot.md)
# Créer un instantané
Avant de créer un instantané, vous devez fournir à un compartiment Amazon S3 les autorisations nécessaires. Pour en savoir plus sur la création d'un compartiment, consultez [Créer un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Activez la gestion des versions des compartiments et la journalisation des accès au serveur. Ces paramètres peuvent être activés depuis l'onglet **Propriétés** du bucket après le provisionnement.
**Note**
Le cycle de vie de ce compartiment Amazon S3 ne sera pas géré au sein du produit. Vous devrez gérer le cycle de vie du bucket depuis la console.
**Pour ajouter des autorisations au bucket, procédez comme suit :**
1. Sélectionnez le compartiment que vous avez créé dans la liste des **compartiments**.
1. Sélectionnez l'onglet **Autorisations**.
1. Sous **Politique de compartiment**, choisissez **Modifier**.
1. Ajoutez la déclaration suivante à la politique du compartiment. Remplacez les valeurs suivantes par les vôtres :
+ *111122223333*-> votre identifiant AWS de compte
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> le nom de votre environnement RES
+ *amzn-s3-demo-bucket*-> le nom de votre compartiment S3
**Important**
Certaines chaînes de version limitées sont prises en charge par AWS. Pour de plus amples informations, veuillez consulter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Pour créer l'instantané :**
1. Choisissez **Create Snapshot (Créer un instantané)**.
1. Entrez le nom du compartiment Amazon S3 que vous avez créé.
1. Entrez le chemin où vous souhaitez que le cliché soit stocké dans le compartiment. Par exemple, **october2023/23**.
1. Sélectionnez **Soumettre**.
![\[Création d'un nouvel instantané\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-createsnapshot.png)
1. Après cinq à dix minutes, choisissez **Actualiser** sur la page Instantanés pour vérifier l'état. Un instantané ne sera valide que lorsque le statut passera de IN\$1PROGRESS à COMPLETED.
# Appliquer un instantané
Une fois que vous avez créé un instantané d'un environnement, vous pouvez l'appliquer à un nouvel environnement pour faire migrer les données. Vous devrez ajouter une nouvelle politique au compartiment pour permettre à l'environnement de lire l'instantané.
L'application d'un instantané copie des données telles que les autorisations des utilisateurs, les projets, les piles de logiciels, les profils d'autorisation et les systèmes de fichiers avec leurs associations dans un nouvel environnement. Les sessions utilisateur ne seront pas répliquées. Lorsque le cliché est appliqué, il vérifie les informations de base de chaque enregistrement de ressource pour déterminer s'il existe déjà. Pour les enregistrements dupliqués, le snapshot ignore la création de ressources dans le nouvel environnement. Pour les enregistrements similaires, tels que partager un nom ou une clé, mais les autres informations de base sur les ressources varient, il créera un nouvel enregistrement avec un nom et une clé modifiés en utilisant la convention suivante : `RecordName_SnapshotRESVersion_ApplySnapshotID` `ApplySnapshotID`Il ressemble à un horodatage et identifie chaque tentative d'application d'un instantané.
Au cours de l'application de capture instantanée, la capture instantanée vérifie la disponibilité des ressources. La ressource non disponible pour le nouvel environnement ne sera pas créée. Pour les ressources dotées d'une ressource dépendante, le cliché vérifie la disponibilité de la ressource dépendante. Si la ressource dépendante n'est pas disponible, elle créera la ressource principale sans la ressource dépendante.
Si le nouvel environnement ne fonctionne pas comme prévu ou échoue, vous pouvez consulter les CloudWatch journaux trouvés dans le groupe de journaux `/res-/cluster-manager` pour plus de détails. Chaque journal comportera la balise [apply snapshot]. Une fois que vous avez appliqué un instantané, vous pouvez vérifier son statut [Gestion des instantanés](snapshots.md) sur la page.
**Pour ajouter des autorisations au bucket, procédez comme suit :**
1. Sélectionnez le compartiment que vous avez créé dans la liste des **compartiments**.
1. Sélectionnez l'onglet **Autorisations**.
1. Sous **Politique de compartiment**, choisissez **Modifier**.
1. Ajoutez la déclaration suivante à la politique du compartiment. Remplacez les valeurs suivantes par les vôtres :
+ *111122223333*-> votre identifiant AWS de compte
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> le nom de votre environnement RES
+ *amzn-s3-demo-bucket*-> le nom de votre compartiment S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Pour appliquer un instantané, procédez comme suit :**
1. Choisissez **Appliquer un instantané**.
1. Entrez le nom du compartiment Amazon S3 contenant le snapshot.
1. Entrez le chemin du fichier vers le snapshot dans le compartiment.
1. Sélectionnez **Soumettre**.
![\[Appliquer un instantané\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-applysnapshot.png)
1. Après cinq à dix minutes, choisissez **Actualiser** sur la page de gestion des snapshots pour vérifier l'état.
# Compartiments Amazon S3
Research and Engineering Studio (RES) prend en charge le montage de [buckets Amazon S3 sur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) des instances VDI (Virtual Desktop Infrastructure) Linux. **Les administrateurs RES peuvent intégrer des compartiments S3 à RES, les associer à des projets, modifier leur configuration et supprimer des compartiments dans l'onglet Compartiments S3 sous Gestion de l'environnement.**
Le tableau de bord des compartiments S3 fournit une liste des compartiments S3 intégrés mis à votre disposition. Depuis le tableau de bord des compartiments S3, vous pouvez :
1. Utilisez **Ajouter un compartiment** pour intégrer un compartiment S3 à RES.
1. Sélectionnez un compartiment S3 et utilisez le menu **Actions** pour :
+ Modifier un bucket
+ Supprimer un seau
1. Utilisez le champ de recherche pour effectuer une recherche par nom de compartiment et trouver des compartiments S3 intégrés.
![\[La liste des compartiments S3 vous permet d'effectuer une recherche par nom de compartiment et de trouver des compartiments intégrés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-list-bucket.png)
Les sections suivantes décrivent comment gérer les compartiments Amazon S3 dans vos projets RES.
**Topics**
+ [Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés](S3-buckets-prereqs.md)
+ [Ajouter un compartiment Amazon S3](S3-buckets-add.md)
+ [Modifier un compartiment Amazon S3](S3-buckets-edit.md)
+ [Supprimer un compartiment Amazon S3](S3-buckets-remove.md)
+ [Isolation des données](S3-buckets-data-isolation.md)
+ [Accès au bucket entre comptes](S3-buckets-cross-account-access.md)
+ [Empêcher l'exfiltration de données dans un VPC privé](S3-buckets-preventing-exfiltration.md)
+ [Résolution des problèmes](S3-buckets-troubleshooting.md)
+ [Activant CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés
Si vous déployez Research and Engineering Studio dans un VPC isolé, suivez ces étapes pour mettre à jour les paramètres de configuration Lambda après avoir déployé RES dans votre compte. AWS
1. Connectez-vous à la console Lambda du AWS compte sur lequel Research and Engineering Studio est déployé.
1. Recherchez et naviguez jusqu'à la fonction Lambda nommée. `-vdc-custom-credential-broker-lambda`
1. Sélectionnez l'onglet **Configuration** de la fonction.
![\[variable d'environnement VPC isolée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Dans le volet de navigation, choisissez **Variables d'environnement** pour afficher cette section.
1. Choisissez **Modifier** et ajoutez la nouvelle variable d'environnement suivante à la fonction :
+ Clé : `AWS_STS_REGIONAL_ENDPOINTS`
+ Valeur : `regional`
1. Choisissez **Enregistrer**.
# Ajouter un compartiment Amazon S3
**Pour ajouter un compartiment S3 à votre environnement RES :**
1. Choisissez **Add bucket (Ajouter un compartiment)**.
1. Entrez les détails du bucket tels que le nom du bucket, l'ARN et le point de montage.
**Important**
L'ARN du bucket, le point de montage et le mode fournis ne peuvent pas être modifiés après la création.
L'ARN du bucket peut contenir un préfixe qui isolera le bucket S3 intégré par rapport à ce préfixe.
1. Sélectionnez le mode dans lequel vous souhaitez embarquer votre bucket.
**Important**
Voir [Isolation des données](S3-buckets-data-isolation.md) pour plus d'informations sur l'isolation des données avec des modes spécifiques.
1. Sous **Options avancées**, vous pouvez fournir un ARN de rôle IAM pour monter les buckets pour l'accès entre comptes. Suivez les étapes décrites [Accès au bucket entre comptes](S3-buckets-cross-account-access.md) pour créer le rôle IAM requis pour l'accès entre comptes.
1. (Facultatif) Associez le bucket à des projets, qui peuvent être modifiés ultérieurement. Toutefois, un compartiment S3 ne peut pas être monté sur les sessions VDI existantes d'un projet. Seules les sessions lancées une fois que le projet a été associé au bucket monteront le bucket.
1. Sélectionnez **Soumettre**.
![\[Ajouter une page de bucket indiquant les champs de configuration de bucket disponibles et le bouton d'envoi\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-add-bucket.png)
# Modifier un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Modifier**.
1. Entrez vos mises à jour.
**Important**
L'association d'un projet à un compartiment S3 **ne montera pas** le compartiment sur les instances d'infrastructure de bureau virtuel (VDI) existantes de ce projet. Le bucket ne sera monté sur les sessions VDI lancées dans un projet qu'une fois le bucket associé à ce projet.
La dissociation d'un projet d'un compartiment S3 n'aura aucun impact sur les données contenues dans le compartiment S3, mais les utilisateurs d'ordinateurs de bureau perdront l'accès à ces données.
1. Choisissez **Enregistrer la configuration du bucket**.
![\[La page Modifier le compartiment S3 avec les champs de nom d'affichage et d'association de projet saisis et le bouton Enregistrer la configuration du compartiment surligné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-edit-bucket.png)
# Supprimer un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Supprimer**.
**Important**
Vous devez d'abord supprimer toutes les associations de projets du compartiment.
L'opération de suppression n'a aucun impact sur les données du compartiment S3. Il supprime uniquement l'association du compartiment S3 avec RES.
La suppression d'un compartiment entraîne la perte de l'accès des sessions VDI existantes au contenu de ce compartiment à l'expiration des informations d'identification de cette session (environ 1 heure).
# Isolation des données
Lorsque vous ajoutez un compartiment S3 à RES, vous avez la possibilité d'isoler les données qu'il contient pour des projets et des utilisateurs spécifiques. Sur la page **Ajouter un compartiment**, vous pouvez sélectionner un mode Read Only (R) ou Read and Write (R/W).
**Lecture seule**
Si `Read Only (R)` cette option est sélectionnée, l'isolation des données est appliquée en fonction du préfixe de l'ARN du bucket (Amazon Resource Name). Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name/example-data/` et associe ce bucket au projet A et au projet B, les utilisateurs qui lancent VDIs depuis le projet A et le projet B ne peuvent lire que les données situées `bucket-name` sous le chemin`/example-data`. Ils n'auront pas accès aux données en dehors de ce chemin. Si aucun préfixe n'est ajouté à l'ARN du bucket, l'intégralité du bucket sera mise à la disposition de tous les projets qui lui sont associés.
**Lisez et écrivez**
Si `Read and Write (R/W)` cette option est sélectionnée, l'isolation des données est toujours appliquée en fonction du préfixe de l'ARN du bucket, comme décrit ci-dessus. Ce mode comporte des options supplémentaires permettant aux administrateurs de fournir un préfixe basé sur des variables pour le compartiment S3. Lorsque cette option `Read and Write (R/W)` est sélectionnée, une section Préfixe personnalisé devient disponible et propose un menu déroulant avec les options suivantes :
+ Aucun préfixe personnalisé
+ /%p
+ /%p/%u
![\[Ajouter une page de bucket avec la liste déroulante des préfixes personnalisés affichée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/add-bucket-custom-prefix.png)
**Aucune isolation personnalisée des données **
Lorsque `No custom prefix` le **préfixe personnalisé** est sélectionné, le bucket est ajouté sans aucune isolation de données personnalisée. Cela permet à tous les projets associés au bucket d'avoir un accès en lecture et en écriture. Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name` avec `No custom prefix` selected et associe ce bucket aux projets A et B, les utilisateurs qui le lancent VDIs depuis le projet A et le projet B auront un accès illimité en lecture et en écriture au bucket.
**Isolation des données au niveau du projet **
Lorsque `/%p` le **préfixe personnalisé est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique qui lui est associé. La `%p` variable représente le code du projet. Par exemple, si un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` avec `/%p` selected et un **point de montage** de*/bucket*, et qu'il associe ce bucket aux projets A et B, l'utilisateur A du projet A peut y écrire un fichier*/bucket*. L'utilisateur B du projet A peut également voir le fichier dans lequel l'utilisateur A a écrit*/bucket*. Toutefois, si l'utilisateur B lance un VDI dans le projet B et y jette un */bucket* œil, il ne verra pas le fichier écrit par l'utilisateur A, car les données sont isolées par projet. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA` tandis que l'utilisateur B ne peut y accéder que `/ProjectB` s'il utilise le fichier VDIs depuis le projet B.
**Isolation des données au niveau du projet et de l'utilisateur **
Lorsque le **préfixe personnalisé `/%p/%u` est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique et pour chaque utilisateur associé à ce projet. La `%p` variable représente le code du projet et `%u` le nom d'utilisateur. Par exemple, un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` dont le point de montage est `/%p/%u` sélectionné et le point de montage est égal à*/bucket*. Ce compartiment est associé au projet A et au projet B. L'utilisateur A du projet A peut y écrire un fichier*/bucket*. Contrairement au scénario précédent avec uniquement `%p` l'isolation, l'utilisateur B ne verra pas dans ce cas le fichier écrit par l'utilisateur A dans le projet A*/bucket*, car les données sont isolées à la fois par le projet et par l'utilisateur. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA/UserA` tandis que l'utilisateur B ne peut y accéder que `/ProjectA/UserB` s'il l'utilise VDIs dans le projet A.
# Accès au bucket entre comptes
RES est capable de monter des buckets à partir d'autres AWS comptes, à condition que ces buckets disposent des autorisations appropriées. Dans le scénario suivant, un environnement RES du compte A souhaite monter un compartiment S3 dans le compte B.
**Étape 1 : Créez un rôle IAM dans le compte dans lequel RES est déployé *(ce rôle sera appelé compte A)* :**
1. Connectez-vous à la console AWS de gestion du compte RES qui doit accéder au compartiment S3 (compte A).
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Créez une politique :
1. Choisissez **Create Policy** (Créer une politique).
1. Sélectionnez l’onglet **JSON**.
1. Collez la politique JSON suivante (`amzn-s3-demo-bucket`remplacez-la par le nom du compartiment S3 situé dans le compte B) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Suivant**.
1. Passez en revue et créez la politique :
1. Donnez un nom à la politique (par exemple, AccessPolicy « S3 »).
1. Ajoutez une description facultative pour expliquer l'objectif de la politique.
1. Passez en revue la politique et choisissez **Créer une politique**.
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Créez un rôle :
1. Choisissez **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée** comme type d'entité de confiance.
1. Collez la politique JSON suivante (`111122223333`remplacez-la par l'ID de compte réel du compte A et `{RES_ENVIRONMENT_NAME}` par le nom d'environnement du déploiement RES) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Joindre des politiques d'autorisation :
1. Recherchez et sélectionnez la politique que vous avez créée précédemment.
1. Choisissez **Suivant**.
1. Marquez, révisez et créez le rôle :
1. Entrez un nom de rôle (par exemple, AccessRole « S3 »).
1. À l'étape 3, choisissez **Ajouter une étiquette**, puis entrez la clé et la valeur suivantes :
+ Clé : `res:Resource`
+ Valeur : `s3-bucket-iam-role`
1. Passez en revue le rôle et choisissez **Créer un rôle**.
1. Utilisez le rôle IAM dans RES :
1. Copiez l'ARN du rôle IAM que vous avez créé.
1. Connectez-vous à la console RES.
1. Dans le volet de navigation de gauche, choisissez **S3 Bucket**.
1. Choisissez **Ajouter un compartiment** et remplissez le formulaire avec l'ARN du compartiment S3 multi-comptes.
1. Choisissez le menu déroulant **Paramètres avancés - facultatif**.
1. Entrez l'ARN du rôle dans le champ ARN du rôle IAM.
1. Choisissez **Ajouter un compartiment**.
**Étape 2 : Modifier la politique de compartiment dans le compte B**
1. Connectez-vous à la console AWS de gestion du compte B.
1. Ouvrez la console S3 :
1. Accédez au tableau de bord S3.
1. Sélectionnez le bucket auquel vous souhaitez accorder l'accès.
1. Modifiez la politique relative aux compartiments :
1. Sélectionnez l'onglet **Permissions**, puis choisissez **Bucket policy**.
1. Ajoutez la politique suivante pour accorder au rôle IAM depuis le compte A l'accès au compartiment (remplacez-le *111122223333* par l'ID de compte réel du compte A et *amzn-s3-demo-bucket* par le nom du compartiment S3) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Enregistrer**.
# Empêcher l'exfiltration de données dans un VPC privé
Pour empêcher les utilisateurs d'exfiltrer les données des compartiments S3 sécurisés vers leurs propres compartiments S3 de leur compte, vous pouvez associer un point de terminaison VPC pour sécuriser votre VPC privé. Les étapes suivantes montrent comment créer un point de terminaison VPC pour le service S3 qui prend en charge l'accès aux compartiments S3 au sein de votre compte, ainsi qu'à tout compte supplémentaire doté de compartiments multicomptes.
1. Ouvrez la console Amazon VPC :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console Amazon VPC à l'adresse. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Créez un point de terminaison VPC pour S3 :
1. Dans le panneau de navigation de gauche, sélectionnez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. Pour **Catégorie de service**, assurez-vous que l’option **services AWS ** est sélectionnée.
1. Dans le champ **Nom du service**, entrez `com.amazonaws..s3` (remplacez `` par votre AWS région) ou recherchez « S3 ».
1. Sélectionnez le service S3 dans la liste.
1. Configurer les paramètres du point de terminaison :
1. Pour le **VPC**, sélectionnez le VPC dans lequel vous souhaitez créer le point de terminaison.
1. Pour les **sous-réseaux**, sélectionnez les deux sous-réseaux privés utilisés pour les sous-réseaux VDI lors du déploiement.
1. Pour **Activer le nom DNS**, assurez-vous que l'option est cochée. Cela permet de résoudre le nom d'hôte DNS privé sur les interfaces réseau des terminaux.
1. Configurez la politique pour restreindre l'accès :
1. Sous **Politique**, sélectionnez **Personnaliser**.
1. Dans l'éditeur de règles, entrez une politique qui restreint l'accès aux ressources de votre compte ou d'un compte spécifique. Voici un exemple de politique (remplacez-le *amzn-s3-demo-bucket* par le nom de votre compartiment S3 *111122223333* et *444455556666* par le AWS compte approprié IDs auquel vous souhaitez avoir accès) :
**Note**
Cet exemple de politique utilise `s3:*` et ne limite pas les opérations du plan de contrôle S3 telles que la configuration des notifications d'événements, la réplication ou l'inventaire. Ces opérations peuvent permettre l'envoi de métadonnées d'objets (telles que les noms de compartiment et les clés d'objet) vers des destinations multicomptes. Si cela vous pose problème, ajoutez des instructions Deny explicites pour les actions pertinentes du plan de contrôle S3 dans la politique de point de terminaison du VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Créez le point de terminaison :
1. Vérifiez vos paramètres.
1. Choisissez **Créer un point de terminaison**.
1. Vérifiez le point de terminaison :
1. Une fois le point de terminaison créé, accédez à la section **Points de terminaison** de la console VPC.
1. Sélectionnez le point de terminaison nouvellement créé.
1. Vérifiez que l'**état** est **disponible**.
En suivant ces étapes, vous créez un point de terminaison VPC qui autorise un accès S3 limité aux ressources de votre compte ou à un ID de compte spécifié.
# Résolution des problèmes
**Comment vérifier si un bucket ne parvient pas à être monté sur un VDI**
Si un bucket ne parvient pas à être monté sur un VDI, vous pouvez vérifier les erreurs à certains endroits. Suivez les étapes ci-dessous.
1. Vérifiez les journaux VDI :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console EC2 et accédez à **Instances**.
1. Sélectionnez l'instance VDI que vous avez lancée.
1. Connectez-vous au VDI via le gestionnaire de session.
1. Exécutez les commandes suivantes :
```
sudo su
cd ~/bootstrap/logs
```
Vous trouverez ici les journaux de bootstrap. Les détails de toute défaillance figureront dans le `configure.log.{time}` fichier.
Consultez également le `/etc/message` journal pour plus de détails.
1. Vérifiez les journaux CloudWatch Lambda de Custom Credential Broker :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant les problèmes potentiels liés à la fourniture d'informations d'identification personnalisées temporaires pour le montage de compartiments S3.
1. Vérifiez les CloudWatch journaux personnalisés de Credential Broker API Gateway :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant toutes les demandes et réponses adressées à l'API Gateway concernant les informations d'identification personnalisées nécessaires au montage des compartiments S3.
**Comment modifier la configuration du rôle IAM d'un bucket après l'intégration**
1. Connectez-vous à la console [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Sélectionnez le tableau :
1. Dans le volet de navigation de gauche, choisissez **Tables**.
1. Recherchez et sélectionnez`.cluster-settings`.
1. Scannez le tableau :
1. Sélectionnez **Explorer les éléments de table**.
1. Assurez-vous que **Scan** est sélectionné.
1. Ajoutez un filtre :
1. Choisissez **Filtres** pour ouvrir la section de saisie des filtres.
1. Réglez le filtre pour qu'il corresponde à votre clé-
+ **Attribut** : Entrez la clé.
+ **État** : Sélectionnez **Commence par**.
+ **Valeur** : entrez « `shared-storage..s3_bucket.iam_role_arn` remplacement ** » par la valeur du système de fichiers à modifier.
1. Exécutez le scan :
Choisissez **Exécuter** pour exécuter le scan avec le filtre.
1. Vérifiez la valeur :
Si l'entrée existe, assurez-vous que la valeur est correctement définie avec le bon ARN du rôle IAM.
Si l'entrée n'existe pas :
1. Choisissez **Créer un élément**.
1. Entrez les détails de l'article :
+ Pour l'attribut clé, entrez`shared-storage..s3_bucket.iam_role_arn`.
+ Ajoutez le bon ARN du rôle IAM.
1. Choisissez **Enregistrer** pour ajouter l'article.
1. Redémarrez les instances VDI :
Redémarrez l'instance pour vous assurer VDIs que les ARN affectés par le rôle IAM incorrect sont à nouveau montés.
# Activant CloudTrail
Pour l'activer CloudTrail dans votre compte à l'aide de la CloudTrail console, suivez les instructions fournies dans la [section Création d'un historique avec la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*. CloudTrail enregistrera l'accès aux compartiments S3 en enregistrant le rôle IAM qui y a accédé. Cela peut être lié à un ID d'instance, qui est lié à un projet ou à un utilisateur.