Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Guide de configuration
Ce guide de configuration fournit des instructions post-déploiement destinées à un public technique sur la manière de personnaliser et d'intégrer davantage le studio de recherche et d'ingénierie AWS du produit.
**Topics**
+ [
# Gestion des identités
](manage-users.md)
+ [
# Création de sous-domaines
](create-subdomains.md)
+ [
# Création d'un certificat ACM
](acm-certificate.md)
+ [
# Amazon CloudWatch Logs
](log-groups.md)
+ [
# Définition de limites d'autorisation personnalisées
](permission-boundaries.md)
+ [
# Configurez Res Ready AMIs
](res-ready-ami.md)
+ [
# Seuils de validation de session DCV configurables
](dcv-session-validation-thresholds.md)
+ [
# Configurer des domaines personnalisés après l'installation de RES
](setup-custom-domain-after-install.md)
# Gestion des identités
Research and Engineering Studio peut utiliser n'importe quel fournisseur d'identité conforme à la norme SAML 2.0. Pour utiliser Amazon Cognito comme annuaire d'utilisateurs natif qui permet aux utilisateurs de se connecter au portail Web et à Linux avec l'identité des utilisateurs VDIs Cognito, consultez. [Configuration des utilisateurs d'Amazon Cognito](setting-up-cognito-users.md) Si vous avez déployé RES à l'aide de ressources externes ou si vous prévoyez d'utiliser le centre d'identité IAM, consultez[Configuration de l'authentification unique (SSO) avec IAM Identity Center](sso-idc.md). Si vous avez votre propre fournisseur d'identité conforme à la norme SAML 2.0, consultez[Configuration de votre fournisseur d'identité pour l'authentification unique (SSO)](configure-id-federation.md).
**Topics**
+ [
# Configuration des utilisateurs d'Amazon Cognito
](setting-up-cognito-users.md)
+ [
# Synchronisation Active Directory
](active-directory-sync.md)
+ [
# Configuration de l'authentification unique (SSO) avec IAM Identity Center
](sso-idc.md)
+ [
# Configuration de votre fournisseur d'identité pour l'authentification unique (SSO)
](configure-id-federation.md)
+ [
# Définition de mots de passe pour les utilisateurs
](setting-user-passwords.md)
# Configuration des utilisateurs d'Amazon Cognito
Le studio de recherche et d'ingénierie (RES) vous permet de configurer Amazon Cognito en tant qu'annuaire d'utilisateurs natif. Cela permet aux utilisateurs de se connecter au portail Web et sur Linux avec les identités utilisateur Amazon VDIs Cognito. Les administrateurs peuvent importer plusieurs utilisateurs dans le groupe d'utilisateurs à l'aide d'un fichier csv depuis la AWS console. Pour en savoir plus sur l'importation groupée d'utilisateurs, consultez la section [Importation d'utilisateurs dans des groupes d'utilisateurs à partir d'un fichier CSV](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) dans le manuel *Amazon Cognito Developer Guide*. RES prend en charge l'utilisation conjointe d'un annuaire d'utilisateurs natif basé sur Amazon Cognito et d'un SSO.
## Configuration administrative
**En tant qu'administrateur RES, pour configurer l'environnement RES afin d'utiliser Amazon Cognito comme annuaire d'utilisateurs, cliquez sur le bouton Utiliser **Amazon Cognito comme annuaire d'utilisateurs** sur la page de **gestion des identités accessible depuis la page de gestion** de l'environnement.** Pour permettre aux utilisateurs de s'auto-enregistrer, activez le bouton **d'auto-enregistrement des utilisateurs** sur cette même page.
![\[Page de gestion des identités affichant les paramètres du répertoire Cognito\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/id-management-cognito-directory.png)
## Flux de connexion up/sign de l'utilisateur
Si **l'enregistrement automatique** des utilisateurs est activé, vous pouvez communiquer à vos utilisateurs l'URL de votre application Web. Les utilisateurs y trouveront une option indiquant Vous **n'êtes pas encore un utilisateur ? Inscrivez-vous ici**.
![\[Page de connexion de l'utilisateur avec option d'auto-enregistrement\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/user-sign-up.png)
## Flux d'inscription
Utilisateurs qui ont choisi **Pas encore utilisateur ? Inscrivez-vous ici**. Il leur sera demandé de saisir leur e-mail et leur mot de passe pour créer un compte.
![\[Créer une page de compte pour l'auto-inscription des utilisateurs\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/create-account.png)
Dans le cadre du processus d'inscription, les utilisateurs seront invités à saisir le code de vérification reçu dans leur e-mail pour terminer le processus d'inscription.
![\[Page de saisie du code de vérification\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/verify-email.png)
Si l'auto-inscription est désactivée, les utilisateurs ne verront pas le lien d'inscription. Les administrateurs doivent configurer les utilisateurs dans Amazon Cognito en dehors de RES. (Voir [Création de comptes utilisateur en tant qu'administrateur](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) dans le manuel *Amazon Cognito Developer Guide*.)
![\[Page de saisie du code de vérification\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/user-sign-in.png)
## Options de la page de connexion
Si l'authentification unique et Amazon Cognito sont activées, une option permettant de **se connecter avec l'authentification unique de l'organisation apparaît**. Lorsque les utilisateurs cliquent sur cette option, ils sont redirigés vers leur page de connexion SSO. Par défaut, les utilisateurs s'authentifient auprès d'Amazon Cognito s'il est activé.
![\[Page de connexion de l'utilisateur avec options pour s'inscrire, vérifier le compte ou se connecter avec le SSO de l'organisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/org-sso-sign-in.png)
## Constaintes
+ **Le nom de votre groupe** Amazon Cognito peut comporter un maximum de six lettres ; seules les lettres minuscules sont acceptées.
+ L'inscription à Amazon Cognito n'autorisera pas deux adresses e-mail portant le même nom d'utilisateur mais une adresse de domaine différente.
+ Si Active Directory et Amazon Cognito sont activés et que le système détecte un nom d'utilisateur dupliqué, seuls les utilisateurs d'Active Directory seront autorisés à s'authentifier. Les administrateurs doivent prendre des mesures pour ne pas configurer de noms d'utilisateur dupliqués entre Amazon Cognito et leur Active Directory.
+ Les utilisateurs de Cognito ne seront pas autorisés à lancer une application basée sur Windows VDIs car RES ne prend pas en charge l'authentification basée sur Amazon Cognito pour les instances Windows.
## Groupe d'administrateurs pour les utilisateurs d'Amazon Cognito
Par défaut, RES accorde le privilège d'administrateur aux utilisateurs de Cognito appartenant au `admins` groupe. Pour ajouter des utilisateurs au groupe Cognito `admins` :
1. Accédez à la [console Amazon Cognito](https://console.aws.amazon.com/cognito/home) et choisissez le groupe d'utilisateurs existant utilisé pour RES.
1. Accédez à **Groupes** sous **Gestion des utilisateurs**, puis choisissez **Créer un groupe.**
1. Sur la page **Créer un groupe**, dans **Nom du groupe,** entrez`admins`.
1. Sélectionnez le `admins` groupe que vous avez créé, puis choisissez **Ajouter un utilisateur au groupe pour** ajouter des utilisateurs de Cognito.
1. Lancez la synchronisation Cognito manuellement en suivant les étapes suivantes. [Synchronisation](#setting-up-cognito-users-sync)
Une fois la synchronisation Amazon Cognito réussie, les utilisateurs ajoutés au `admins` groupe recevront des privilèges d'administrateur.
## Synchronisation
RES synchronise sa base de données avec les informations relatives aux utilisateurs et aux groupes provenant d'Amazon Cognito toutes les heures. Tous les utilisateurs appartenant au groupe « admins » se verront attribuer le privilège sudo dans leur. VDIs
Vous pouvez également lancer la synchronisation manuellement depuis la console Lambda.
**Lancez le processus de synchronisation manuellement :**
1. Ouvrez la [console Lambda](https://console.aws.amazon.com/lambda).
1. Recherchez le Lambda de synchronisation Cognito. Ce Lambda suit cette convention de dénomination :. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`
1. Sélectionnez **Test**.
1. Dans la section **Test event**, cliquez sur le bouton **Test** en haut à droite. Le format du corps de l'événement n'a pas d'importance.
## Considérations relatives à la sécurité pour Cognito
Avant la version 2024.12, la [journalisation de l'activité des utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), qui fait partie de la fonctionnalité du plan Amazon Cognito Plus, était activée par défaut. Cette fonctionnalité a été supprimée du déploiement de base afin de réduire les coûts pour les clients qui souhaitent essayer RES. Vous pouvez réactiver cette fonctionnalité si nécessaire pour l'aligner sur les paramètres de sécurité cloud de votre organisation.
# Synchronisation Active Directory
## Configuration de l'exécution
Tous les AWS CloudFormation paramètres liés à Active Directory (AD) sont facultatifs lors de l'installation.
![\[Informations facultatives sur Active Directory\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/active-directory-details.png)
Pour tout ARN secret fourni lors de l'exécution (par exemple, `ServiceAccountCredentialsSecretArn` ou`DomainTLSCertificateSecretArn`), assurez-vous d'ajouter les balises suivantes au secret pour que RES obtienne l'autorisation de lire la valeur du secret :
+ clé : `res:EnvironmentName`, valeur : ``
+ clé : `res:ModuleName`, valeur : `directoryservice`
Toutes les mises à jour de configuration AD sur le portail Web seront automatiquement récupérées lors de la prochaine synchronisation AD planifiée (toutes les heures). Les utilisateurs peuvent avoir besoin de reconfigurer le SSO après avoir modifié la configuration AD (par exemple, s'ils passent à un autre AD).
Après l'installation initiale, les administrateurs peuvent consulter ou modifier la configuration AD sur le portail Web RES sous la page **Gestion des identités** :
![\[Détails des paramètres de configuration du domaine Active Directory\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-active-directory-domain.png)
![\[Fenêtre contextuelle de synchronisation Active Directory\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/active-directory-synchronization.png)
### Rejoindre automatiquement Active Directory
Les administrateurs peuvent configurer le paramètre **Joindre automatiquement Active Directory** pour contrôler le comportement de jointure des domaines d'annuaire lors du lancement du VDI.
**Options de configuration :**
+ **Activé** : joint automatiquement Windows et Linux VDIs au domaine de votre répertoire lors du lancement.
+ **Désactivé : désactive** la connexion automatique à un domaine. Les instances Linux peuvent être lancées avec ou sans connexion à un domaine. Les instances Windows nécessitent une jointure de domaine pour être lancées correctement. Les administrateurs doivent donc inclure une logique de jointure de domaine dans leurs scripts de lancement personnalisés.
**Important**
Si vous désactivez ce paramètre, vérifiez que les scripts de lancement personnalisés de votre instance Windows incluent la logique de jointure de domaine nécessaire.
### Réglages supplémentaires
**Filtres**
Les administrateurs peuvent filtrer les utilisateurs ou les groupes à synchroniser à l'aide des options **Filtre des utilisateurs** et **Filtre des groupes**. Les filtres doivent respecter la [syntaxe du filtre LDAP](https://ldap.com/ldap-filters/). Voici un exemple de filtre :
```
(sAMAccountname=)
```
**Paramètres SSSD personnalisés**
Les administrateurs peuvent fournir un dictionnaire de paires clé-valeur contenant des paramètres et des valeurs SSSD à écrire dans la `[domain_type/DOMAIN_NAME]` section du fichier de configuration SSSD sur les instances de cluster. RES applique automatiquement les mises à jour SSSD : il redémarre le service SSSD sur les instances de cluster et déclenche le processus de synchronisation AD.
Certains paramètres SSSD personnalisés courants sont les suivants :
+ `enumerate`- Réglez sur « true » pour mettre en cache toutes les entrées d'utilisateur et de groupe du service d'annuaire. La désactivation de cette option peut retarder légèrement la première connexion des utilisateurs.
+ `ldap_id_mapping`- Réglez sur « true » pour associer LDAP/AD l'utilisateur et le groupe IDs au local UIDs et GIDs sur le système Linux. L'activation de cette option peut améliorer la compatibilité avec les scripts et applications POSIX existants.
Pour une description complète du fichier de configuration SSSD, consultez les pages de manuel Linux pour`SSSD`.
![\[Configurations SSSD supplémentaires\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-additional-sssd-config1.png)
Les paramètres et valeurs SSSD doivent être compatibles avec la configuration RES SSSD décrite ici :
+ `id_provider`est défini en interne par RES et ne doit pas être modifié.
+ Les configurations liées à AD`ldap_uri`, y compris`ldap_search_base`, `ldap_default_bind_dn` et `ldap_default_authtok` sont définies en fonction des autres configurations AD fournies et ne doivent pas être modifiées.
L'exemple suivant active le niveau de débogage pour les journaux SSSD :
![\[Configurations SSSD supplémentaires indiquant la nouvelle paire clé/valeur saisie\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-additional-sssd-config2.png)
## Mise à jour par e-mail après la synchronisation AD initiale (version 2025.09 et versions ultérieures)
Si l'adresse e-mail d'un utilisateur Active Directory a changé, les administrateurs peuvent démarrer manuellement la synchronisation AD ou attendre la prochaine synchronisation AD planifiée pour que la modification soit prise en compte et synchronisée avec RES.
## Comment démarrer ou arrêter manuellement la synchronisation (versions 2025.03 et ultérieures)
Accédez à la page **Gestion des identités**, puis cliquez sur le bouton **Démarrer la synchronisation AD** dans le conteneur de **domaine Active Directory** pour déclencher une synchronisation AD à la demande.
![\[Configurations de domaine Active Directory\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ad-directory-sync1.png)
Pour arrêter une synchronisation AD en cours, sélectionnez le bouton **Arrêter la synchronisation AD** dans le conteneur de **domaine Active Directory**.
![\[Page de configuration de domaine Active Directory affichant l'option permettant d'arrêter la synchronisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ad-directory-sync2.png)
Vous pouvez également vérifier l'état de synchronisation AD et l'heure de synchronisation la plus récente dans le conteneur de **domaine Active Directory**.
![\[Page de configuration de domaine Active Directory indiquant l'heure de la dernière synchronisation\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ad-directory-sync3.png)
## Comment exécuter manuellement la synchronisation (versions 2024.12 et 2024.12.01)
Le processus de synchronisation Active Directory a été déplacé de l'hôte infra de Cluster Manager vers une tâche Amazon Elastic Container Service (ECS) ponctuelle en arrière-plan. Le processus est planifié pour s'exécuter toutes les heures et vous pouvez trouver une tâche ECS en cours d'exécution dans la console Amazon ECS sous le `-ad-sync-cluster` cluster pendant qu'elle est en cours d'exécution.
**Pour le lancer manuellement :**
1. Accédez à la [console Lambda](https://console.aws.amazon.com/lambda) et recherchez le lambda appelé. `-scheduled-ad-sync`
1. **Ouvrez la fonction Lambda et accédez à Test**
1. Dans le **fichier Event JSON**, entrez ce qui suit :
```
{
"detail-type": "Scheduled Event"
}
```
1. Sélectionnez **Tester)**.
1. Observez les journaux de la tâche AD Sync en cours d'exécution sous **CloudWatch**→ **Groupes de journaux** →`//ad-sync`. Vous verrez les journaux de chacune des tâches ECS en cours d'exécution. Sélectionnez le plus récent pour afficher les journaux.
**Note**
Si vous modifiez les paramètres AD ou ajoutez des filtres AD, RES ajoutera les nouveaux utilisateurs en fonction des nouveaux paramètres spécifiés et supprimera les utilisateurs précédemment synchronisés et qui ne sont plus inclus dans l'espace de recherche LDAP.
RES ne peut pas supprimer un utilisateur ou un groupe activement affecté à un projet. Vous devez supprimer des utilisateurs des projets pour que RES les supprime de l'environnement.
## Configuration du SSO
Une fois la configuration AD fournie, les utilisateurs doivent configurer l'authentification unique (SSO) pour pouvoir se connecter au portail Web RES en tant qu'utilisateur AD. La configuration SSO a été déplacée de la page des **paramètres généraux** vers la nouvelle page de **gestion des identités**. Pour plus d'informations sur la configuration de l'authentification unique, consultez[Gestion des identités](manage-users.md).
# Configuration de l'authentification unique (SSO) avec IAM Identity Center
Si aucun centre d'identité n'est déjà connecté à l'Active Directory géré, commencez par[Étape 1 : configurer un centre d'identité](#set-up-identity-center). Si vous avez déjà un centre d'identité connecté à l'Active Directory géré, commencez par[Étape 2 : Se connecter à un centre d'identité](#connect-identity-center).
**Note**
Si vous effectuez un déploiement dans une GovCloud région, configurez le SSO dans le compte de AWS GovCloud (US) partition sur lequel vous avez déployé Research and Engineering Studio.
## Étape 1 : configurer un centre d'identité
### Activation du centre d'identité IAM
1. Connectez-vous à la [console Gestion des identités et des accès AWS](https://console.aws.amazon.com/iam).
1. Ouvrez le **Identity Center**.
1. Sélectionnez **Activer**.
1. Choisissez **Activer avec AWS Organizations**.
1. Sélectionnez **Continuer**.
**Note**
Assurez-vous que vous vous trouvez dans la même région que celle dans laquelle vous gérez Active Directory.
### Connexion d'IAM Identity Center à un Active Directory géré
Après avoir activé IAM Identity Center, suivez les étapes de configuration recommandées ci-dessous :
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Sous **Source d'identité**, choisissez **Actions**, puis **Modifier la source d'identité**.
1. Sous **Répertoires existants**, sélectionnez votre répertoire.
1. Choisissez **Suivant**.
1. Passez en revue vos modifications et entrez **ACCEPT** dans le champ de confirmation.
1. Choisissez **Modifier la source d'identité**.
### Synchronisation des utilisateurs et des groupes avec le centre d'identité
Une fois les modifications [Connexion d'IAM Identity Center à un Active Directory géré](#connecting-identity-center-ad) effectuées, une bannière de confirmation verte apparaît.
1. Dans le bandeau de confirmation, sélectionnez **Démarrer la configuration guidée**.
1. Dans **Configurer les mappages d'attributs**, choisissez **Next**.
1. Dans la section **Utilisateur**, entrez les utilisateurs que vous souhaitez synchroniser.
1. Choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Passez en revue vos modifications, puis choisissez **Enregistrer la configuration**.
1. Le processus de synchronisation peut prendre quelques minutes. Si vous recevez un message d'avertissement indiquant que les utilisateurs ne se synchronisent pas, choisissez **Reprendre la synchronisation**.
### Activation des utilisateurs
1. Dans le menu, sélectionnez **Utilisateurs**.
1. Sélectionnez le ou les utilisateurs auxquels vous souhaitez autoriser l'accès.
1. Choisissez **Activer l'accès utilisateur**.
## Étape 2 : Se connecter à un centre d'identité
### Configuration de l'application dans IAM Identity Center
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Choisissez **Applications**.
1. Choisissez **Add application** (Ajouter une application).
1. Dans les **préférences de configuration**, choisissez **J'ai une application que je souhaite configurer**.
1. Sous **Type d'application**, choisissez **SAML 2.0.**
1. Choisissez **Suivant**.
1. Entrez le nom d'affichage et la description que vous souhaitez utiliser.
1. Sous **métadonnées IAM Identity Center**, copiez le lien vers le fichier de métadonnées **SAML IAM Identity Center**. Vous en aurez besoin lors de la configuration d'IAM Identity Center avec le portail RES.
1. Sous **Propriétés de l'application**, entrez l'**URL de démarrage de votre application**. Par exemple, `/sso`.
1. Sous **URL ACS de l'application**, entrez l'URL de redirection depuis le portail RES. Pour le trouver :
1. Sous **Gestion de l'environnement**, sélectionnez **Paramètres généraux**.
1. Sélectionnez l'onglet **Fournisseur d'identité**.
1. Sous **Single Sign-On**, vous trouverez l'URL de **redirection SAML.**
1. Sous **Audience SAML de l'application**, entrez l'URN Amazon Cognito.
Pour créer l'urne :
1. Depuis le portail RES, ouvrez **les paramètres généraux**.
1. Sous l'onglet **Fournisseur d'identité**, recherchez l'**ID du groupe d'utilisateurs**.
1. Ajoutez l'**ID du groupe d'utilisateurs** à cette chaîne :
```
urn:amazon:cognito:sp:
```
1. **Après avoir saisi l'URN Amazon Cognito, choisissez Soumettre.**
### Configuration des mappages d'attributs pour l'application
1. Dans le **Identity Center**, ouvrez les informations relatives à l'application que vous avez créée.
1. Choisissez **Actions**, puis **Modifier les mappages d'attributs**.
1. Dans le **champ Objet**, entrez**\$1\$1user:email\$1**.
1. Sous **Format**, choisissez **EmailAddress**.
1. Choisissez **Ajouter un nouveau mappage d'attributs**.
1. Sous **Attribut utilisateur dans l'application**, entrez « e-mail ».
1. Sous **Correspond à cette valeur de chaîne ou à cet attribut utilisateur dans IAM Identity Center**, entrez**\$1\$1user:email\$1**.
1. Dans **Format**, saisissez « non spécifié ».
1. Sélectionnez **Enregistrer les modifications**.
### Ajouter des utilisateurs à l'application dans IAM Identity Center
1. Dans le Identity Center, ouvrez **Utilisateurs assignés** pour l'application que vous avez créée et choisissez **Attribuer des utilisateurs**.
1. Sélectionnez les utilisateurs auxquels vous souhaitez attribuer l'accès à l'application.
1. Choisissez **Assign users (Affecter des utilisateurs)**.
### Configuration de l'IAM Identity Center dans l'environnement RES
1. Dans l'environnement du studio de recherche et d'ingénierie, sous **Gestion de l'environnement**, ouvrez **les paramètres généraux**.
1. Ouvrez l'onglet **Fournisseur d'identité**.
1. Sous **Authentification unique**, choisissez **Modifier** (à côté de **Statut**).
1. Complétez le formulaire avec les informations suivantes :
1. Choisissez **SAML**.
1. Sous **Nom du fournisseur**, entrez un nom convivial.
1. Choisissez **Entrer l'URL du point de terminaison du document de métadonnées**.
1. Entrez l'URL que vous avez copiée lors de la copie[Configuration de l'application dans IAM Identity Center](#setup-application-identity-center).
1. Sous **Attribut e-mail du fournisseur**, entrez « e-mail ».
1. Sélectionnez **Soumettre**.
1. Actualisez la page et vérifiez que le **statut** s'affiche comme activé.
# Configuration de votre fournisseur d'identité pour l'authentification unique (SSO)
Research and Engineering Studio s'intègre à n'importe quel fournisseur d'identité SAML 2.0 pour authentifier l'accès des utilisateurs au portail RES. Ces étapes indiquent comment intégrer le fournisseur d'identité SAML 2.0 que vous avez choisi. Si vous avez l'intention d'utiliser IAM Identity Center, consultez[Configuration de l'authentification unique (SSO) avec IAM Identity Center](sso-idc.md).
**Note**
L'adresse e-mail de l'utilisateur doit correspondre dans l'assertion SAML de l'IDP et dans Active Directory. Vous devrez connecter votre fournisseur d'identité à votre Active Directory et synchroniser régulièrement les utilisateurs.
**Topics**
+ [
## Configurez votre fournisseur d'identité
](#configure-id-federation_config-idp)
+ [
## Configurez RES pour utiliser votre fournisseur d'identité
](#configure-id-federation_config-res)
+ [
## Configuration de votre fournisseur d'identité dans un environnement hors production
](#configure-id-federation-demo-env)
+ [
## Débogage des problèmes liés à l'IdP SAML
](#configure-id-federation_debug)
## Configurez votre fournisseur d'identité
Cette section décrit les étapes à suivre pour configurer votre fournisseur d'identité avec les informations du groupe d'utilisateurs RES Amazon Cognito.
1. RES suppose que vous disposez d'un AD (AWS Managed AD ou AD auto-provisionné) avec les identités d'utilisateur autorisées à accéder au portail et aux projets RES. Connectez votre AD à votre fournisseur de services d'identité et synchronisez les identités des utilisateurs. Consultez la documentation de votre fournisseur d'identité pour savoir comment connecter votre AD et synchroniser les identités des utilisateurs. Par exemple, consultez la section [Utilisation d'Active Directory comme source d'identité](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
1. Configurez une application SAML 2.0 pour RES dans votre fournisseur d'identité (IdP). Cette configuration nécessite les paramètres suivants :
+ URL de **redirection SAML : URL** utilisée par votre IdP pour envoyer la réponse SAML 2.0 au fournisseur de services.
**Note**
En fonction de l'IdP, l'URL de redirection SAML peut porter un nom différent :
URL de l'application
URL du service Assertion Consumer (ACS)
URL de liaison ACS POST
**Pour obtenir l'URL**
1. Connectez-vous à RES en tant qu'administrateur ou ****clusteradmin****.
1. Accédez à **Gestion de l'environnement** ⇒ **Paramètres généraux** ⇒ **Fournisseur d'identité**.
1. Choisissez l'**URL de redirection SAML**.
+ **URI d'audience SAML** : ID unique de l'entité d'audience SAML du côté du fournisseur de services.
**Note**
En fonction de l'IdP, l'URI d'audience SAML peut porter un nom différent :
ClientID
Audience SAML de l'application
ID de l'entité SP
Fournissez l'entrée dans le format suivant.
```
urn:amazon:cognito:sp:user-pool-id
```
**Pour trouver l'URI de votre audience SAML**
1. Connectez-vous à RES en tant qu'administrateur ou ****clusteradmin****.
1. Accédez à **Gestion de l'environnement** ⇒ **Paramètres généraux** ⇒ **Fournisseur d'identité**.
1. Choisissez **User Pool Id**.
1. L'assertion SAML publiée sur RES doit être fields/claims définie comme suit sur l'adresse e-mail de l'utilisateur :
+ Sujet ou NameID SAML
+ Courrier électronique SAML
1. Votre IdP ajoute des éléments fields/claims à l'assertion SAML, en fonction de la configuration. RES nécessite ces champs. La plupart des fournisseurs remplissent automatiquement ces champs par défaut. Reportez-vous aux entrées et valeurs de champ suivantes si vous devez les configurer.
+ **AudienceRestriction**— Réglé sur`urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Remplacez-le par l'ID de votre groupe d'utilisateurs Amazon Cognito.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Réponse** — Réglé `InResponseTo` sur`https://user-pool-domain/saml2/idpresponse`. *user-pool-domain*Remplacez-le par le nom de domaine de votre groupe d'utilisateurs Amazon Cognito.
```
```
+ **SubjectConfirmationData**— Réglé sur `Recipient` le point de `saml2/idpresponse` terminaison de votre groupe d'utilisateurs et `InResponseTo` sur l'ID de demande SAML d'origine.
```
```
+ **AuthnStatement**— Configurez comme suit :
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Si votre application SAML possède un champ URL de déconnexion, définissez-le sur :. `/saml2/logout`
**Pour obtenir l'URL du domaine**
1. Connectez-vous à RES en tant qu'administrateur ou ****clusteradmin****.
1. Accédez à **Gestion de l'environnement** ⇒ **Paramètres généraux** ⇒ **Fournisseur d'identité**.
1. Choisissez l'**URL du domaine**.
1. Si votre IdP accepte un certificat de signature pour établir la confiance avec Amazon Cognito, téléchargez le certificat de signature Amazon Cognito et chargez-le dans votre IdP.
**Pour obtenir le certificat de signature**
1. Ouvrez la [console Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Sélectionnez votre groupe d'utilisateurs. Votre groupe d'utilisateurs doit être`res--user-pool`.
1. Sélectionnez l'onglet **Expérience de connexion**.
1. Dans la section **Connexion au fournisseur d'identité fédéré**, choisissez **Afficher le certificat de signature**.
![\[La console Amazon Cognito avec le bouton Afficher le certificat de signature dans la section de connexion du fournisseur d'identité fédéré pour un groupe d'utilisateurs sélectionné.\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Vous pouvez utiliser ce certificat pour configurer Active Directory IDP, en ajouter un `relying party trust` et activer le support SAML sur cette partie utilisatrice.
**Note**
Cela ne s'applique pas à Keycloak et IDC.
1. Une fois la configuration de l'application terminée, téléchargez le XML ou l'URL des métadonnées de l'application SAML 2.0. Vous l'utiliserez dans la section suivante.
## Configurez RES pour utiliser votre fournisseur d'identité
**Pour terminer la configuration de l'authentification unique pour RES**
1. Connectez-vous à RES en tant qu'administrateur ou ****clusteradmin****.
1. Accédez à **Gestion de l'environnement** ⇒ **Paramètres généraux** ⇒ **Fournisseur d'identité**.
![\[L'interface utilisateur des paramètres d'environnement dans RES, y compris une section pour l'authentification unique.\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/environment-settings.png)
1. Sous **Single Sign-On**, cliquez sur l'icône de modification à côté de l'indicateur d'état pour ouvrir la page de **configuration de Single Sign-On**.
![\[L'interface utilisateur de configuration d'authentification unique dans RES.\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/sso-config.png)
1. Pour le **fournisseur d'identité**, choisissez **SAML.**
1. Dans **Nom du fournisseur**, entrez un nom unique pour votre fournisseur d'identité.
**Note**
Les noms suivants ne sont pas autorisés :
Cognito
IdentityCenter
1. Sous **Source du document de métadonnées**, choisissez l'option appropriée et téléchargez le document XML de métadonnées ou fournissez l'URL du fournisseur d'identité.
1. Pour **Attribut e-mail du fournisseur**, entrez la valeur du texte`email`.
1. Sélectionnez **Soumettre**.
1. Rechargez la page des **paramètres d'environnement**. L'authentification unique est activée si la configuration est correcte.
## Configuration de votre fournisseur d'identité dans un environnement hors production
Si vous avez utilisé les [ressources externes](prerequisites.md#external-resources) fournies pour créer un environnement RES hors production et que vous avez configuré IAM Identity Center comme fournisseur d'identité, vous souhaiterez peut-être configurer un autre fournisseur d'identité tel qu'Okta. Le formulaire d'activation de RES SSO demande trois paramètres de configuration :
1. Nom du fournisseur : ne peut pas être modifié
1. Document de métadonnées ou URL — Peut être modifié
1. Attribut e-mail du fournisseur — Peut être modifié
**Pour modifier le document de métadonnées et l'attribut e-mail du fournisseur, procédez comme suit :**
1. Accédez à la console Amazon Cognito.
1. Dans le menu de navigation, sélectionnez **Groupes d'utilisateurs**.
1. Sélectionnez votre groupe d'utilisateurs pour afficher l'**aperçu du groupe d'utilisateurs**.
1. Dans l'onglet **Expérience de connexion**, accédez à **Connexion au fournisseur d'identité fédéré et ouvrez votre fournisseur** d'identité configuré.
1. En règle générale, il vous suffit de modifier les métadonnées et de laisser le mappage des attributs inchangé. Pour mettre à jour le **mappage des attributs**, choisissez **Modifier**. Pour mettre à jour le **document de métadonnées**, choisissez **Remplacer les métadonnées**.
![\[Vue d'ensemble du groupe d'utilisateurs Amazon Cognito.\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-attributemetadata.png)
1. Si vous avez modifié le mappage des attributs, vous devez mettre à jour la `.cluster-settings` table dans DynamoDB.
1. Ouvrez la console DynamoDB et **choisissez** Tables dans le menu de navigation.
1. Recherchez et sélectionnez le `.cluster-settings` tableau, puis dans le menu **Actions**, sélectionnez **Explorer les éléments**.
1. Sous **Numériser ou interroger des éléments**, accédez à **Filtres** et entrez les paramètres suivants :
+ **Nom de l'attribut** — `key`
+ **Valeur** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Cliquez sur **Exécuter**.
1. Sous **Articles renvoyés**, recherchez la `identity-provider.cognito.sso_idp_provider_email_attribute` chaîne et choisissez **Modifier** pour modifier la chaîne en fonction de vos modifications dans Amazon Cognito.
![\[Amazon Cognito met à jour les filtres et les éléments renvoyés dans DynamoDB.\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-scanqueryitems.png)
## Débogage des problèmes liés à l'IdP SAML
**Traceur SAML** — Vous pouvez utiliser cette extension pour le navigateur Chrome afin de suivre les requêtes SAML et de vérifier les valeurs d'assertion SAML. Pour plus d'informations, consultez [SAML-Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) sur le Chrome Web Store.
**Outils de développement SAML** : OneLogin fournit des outils que vous pouvez utiliser pour décoder la valeur codée SAML et vérifier les champs obligatoires dans l'assertion SAML. Pour plus d'informations, voir [Base 64 Decode \$1 Inflate](https://www.samltool.com/decode.php) sur le OneLogin site Web.
**Amazon CloudWatch Logs** — Vous pouvez vérifier la présence d'erreurs ou d'avertissements dans vos CloudWatch journaux RES dans Logs. Vos journaux se trouvent dans un groupe de journaux au format de nom`/res-environment-name/cluster-manager`.
**Documentation Amazon Cognito** *— Pour plus d'informations sur l'intégration de SAML à Amazon Cognito, consultez la section [Ajouter des fournisseurs d'identité SAML à un groupe d'utilisateurs dans le manuel Amazon Cognito Developer](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) Guide.*
# Définition de mots de passe pour les utilisateurs
1. Dans la [Directory Service console,](https://console.aws.amazon.com/directoryservicev2/) sélectionnez le répertoire de la pile créée.
1. Dans le menu **Actions**, choisissez **Réinitialiser le mot de passe utilisateur**.
1. Sélectionnez l'utilisateur et entrez un nouveau mot de passe.
1. Choisissez **Réinitialiser le mot de passe**.
# Création de sous-domaines
Si vous utilisez un domaine personnalisé, vous devez configurer des sous-domaines pour prendre en charge les parties Web et VDI de votre portail.
**Note**
Si vous effectuez un déploiement GovCloud dans une région, configurez l'application Web et les sous-domaines VDI dans le compte de partition commerciale hébergeant la zone hébergée publique du domaine.
1. Ouvrez la [console Route 53](https://console.aws.amazon.com/route53/).
1. Recherchez le domaine que vous avez créé et choisissez **Créer un enregistrement**.
1. Entrez « web » comme **nom de l'enregistrement**.
1. Sélectionnez **CNAME** comme **type d'enregistrement**.
1. Dans **Value**, saisissez le lien que vous avez reçu dans l'e-mail initial.
1. Choisissez **Créer des enregistrements**.
1. Pour créer un enregistrement pour le VDC, récupérez l'adresse NLB.
1. Ouvrez la [AWS CloudFormation console](https://console.aws.amazon.com/cloudformation).
1. Sélectionnez `-vdc`.
1. Choisissez **Ressources** et ouvrez`-vdc-external-nlb`.
1. Copiez le nom DNS depuis le NLB.
1. Ouvrez la [console Route 53](https://console.aws.amazon.com/route53/).
1. Trouvez votre domaine et choisissez **Créer un enregistrement**.
1. Sous **Nom de l'enregistrement**, entrez`vdc`.
1. Sous **Record type** (Type d'enregistrement), sélectionnez **CNAME**.
1. Pour le NLB, entrez le DNS.
1. Choisissez **Créer un registre**.
# Création d'un certificat ACM
Par défaut, RES héberge le portail Web sous un équilibreur de charge d'application utilisant le domaine amazonaws.com. Pour utiliser votre propre domaine, vous devez configurer un SSL/TLS certificat public que vous avez fourni ou demandé à AWS Certificate Manager (ACM). Si vous utilisez ACM, vous recevrez un nom de AWS ressource que vous devrez fournir en paramètre pour chiffrer le SSL/TLS canal entre le client et l'hôte des services Web.
**Astuce**
Si vous déployez le package de démonstration des ressources externes, vous devrez saisir le domaine de votre choix `PortalDomainName` lors du déploiement de la pile de ressources externes[Création de ressources externes](create-external-resources.md).
**Pour créer un certificat pour des domaines personnalisés :**
1. Depuis la console, ouvrez [AWS Certificate Manager](https://console.aws.amazon.com/acm/home#/certificates/request)pour demander un certificat public. Si vous déployez dans une GovCloud région, créez le certificat dans votre compte de GovCloud partition.
1. Choisissez **Demander un certificat public**, puis cliquez sur **Suivant**.
1. Sous **Noms de domaine**, demandez un certificat pour les deux `*.PortalDomainName` et`PortalDomainName`.
1. Sous **Méthode de validation**, choisissez **Validation DNS**.
1. Cliquez sur **Demander**.
1. Dans la liste des **certificats**, ouvrez les certificats demandés. Chaque certificat aura le statut **En attente de validation**.
**Note**
Si vous ne voyez pas vos certificats, actualisez la liste.
1. Effectuez l’une des actions suivantes :
+ **Déploiement commercial :**
Dans les **détails du certificat** pour chaque certificat demandé, choisissez **Create records in Route 53**. Le statut du certificat doit passer à **Émis**.
+ **GovCloud déploiement :**
Si vous déployez dans une GovCloud région, copiez la clé et la valeur CNAME. À partir du compte de partition commerciale, utilisez les valeurs pour créer un nouvel enregistrement dans la zone hébergée publique. Le statut du certificat doit passer à **Émis**.
1. Copiez le nouvel ARN du certificat à saisir en tant que paramètre pour`ACMCertificateARNforWebApp`.
# Amazon CloudWatch Logs
Research and Engineering Studio crée les groupes de journaux suivants CloudWatch lors de l'installation. Consultez le tableau suivant pour les rétentions par défaut :
| CloudWatch Groupes de journaux | Retention |
| --- | --- |
| /aws/lambda/-cluster-endpoints | N'expire jamais |
| /aws/lambda/-cluster-manager-scheduled-ad-sync | N'expire jamais |
| /aws/lambda/-cluster-settings | N'expire jamais |
| /aws/lambda/-oauth-credentials | N'expire jamais |
| /aws/lambda/-self-signed-certificate | N'expire jamais |
| /aws/lambda/-update-cluster-prefix-list | N'expire jamais |
| /aws/lambda/-vdc-scheduled-event-transformer | N'expire jamais |
| /aws/lambda/-vdc-update-cluster-manager-client-scope | N'expire jamais |
| //cluster-manager | 3 mois |
| //vdc/controller | 3 mois |
| //vdc/dcv-broker | 3 mois |
| //vdc/dcv-connection-gateway | 3 mois |
Si vous souhaitez modifier la rétention par défaut d'un groupe de journaux, vous pouvez accéder à la [CloudWatch console](https://console.aws.amazon.com/cloudwatch) et suivre les instructions de la section [Modifier la conservation des données des CloudWatch journaux dans les journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention).
# Définition de limites d'autorisation personnalisées
À partir du 2024.04, vous pouvez éventuellement modifier les rôles créés par RES en attachant des limites d'autorisation personnalisées. Une limite d'autorisation personnalisée peut être définie dans le cadre de l' CloudFormation installation RES en fournissant l'ARN de la limite d'autorisation dans le cadre du paramètre IAMPermission Boundary. Aucune limite d'autorisation n'est définie pour les rôles RES si ce paramètre est laissé vide. Vous trouverez ci-dessous la liste des actions dont les rôles RES ont besoin pour fonctionner. Assurez-vous que toute limite d'autorisation que vous prévoyez d'utiliser explicitement autorise les actions suivantes :
```
[
{
"Effect": "Allow",
"Resource": "*",
"Sid": "ResRequiredActions",
"Action": [
"access-analyzer:*",
"account:GetAccountInformation",
"account:ListRegions",
"acm:*",
"airflow:*",
"amplify:*",
"amplifybackend:*",
"amplifyuibuilder:*",
"aoss:*",
"apigateway:*",
"appflow:*",
"application-autoscaling:*",
"appmesh:*",
"apprunner:*",
"aps:*",
"athena:*",
"auditmanager:*",
"autoscaling-plans:*",
"autoscaling:*",
"backup-gateway:*",
"backup-storage:*",
"backup:*",
"batch:*",
"bedrock:*",
"budgets:*",
"ce:*",
"cloud9:*",
"cloudformation:*",
"cloudfront:*",
"cloudtrail-data:*",
"cloudtrail:*",
"cloudwatch:*",
"codeartifact:*",
"codebuild:*",
"codeguru-profiler:*",
"codeguru-reviewer:*",
"codepipeline:*",
"codestar-connections:*",
"codestar-notifications:*",
"codestar:*",
"cognito-identity:*",
"cognito-idp:*",
"cognito-sync:*",
"comprehend:*",
"compute-optimizer:*",
"cur:*",
"databrew:*",
"datapipeline:*",
"datasync:*",
"dax:*",
"detective:*",
"devops-guru:*",
"dlm:*",
"dms:*",
"drs:*",
"dynamodb:*",
"ebs:*",
"ec2-instance-connect:*",
"ec2:*",
"ec2messages:*",
"ecr:*",
"ecs:*",
"eks:*",
"elastic-inference:*",
"elasticache:*",
"elasticbeanstalk:*",
"elasticfilesystem:*",
"elasticloadbalancing:*",
"elasticmapreduce:*",
"elastictranscoder:*",
"es:*",
"events:*",
"firehose:*",
"fis:*",
"fms:*",
"forecast:*",
"fsx:*",
"geo:*",
"glacier:*",
"glue:*",
"grafana:*",
"guardduty:*",
"health:*",
"iam:*",
"identitystore:*",
"imagebuilder:*",
"inspector2:*",
"inspector:*",
"internetmonitor:*",
"iot:*",
"iotanalytics:*",
"kafka:*",
"kafkaconnect:*",
"kinesis:*",
"kinesisanalytics:*",
"kms:*",
"lambda:*",
"lightsail:*",
"logs:*",
"memorydb:*",
"mgh:*",
"mobiletargeting:*",
"mq:*",
"neptune-db:*",
"organizations:DescribeOrganization",
"osis:*",
"personalize:*",
"pi:*",
"pipes:*",
"polly:*",
"quicksight:*",
"rds-data:*",
"rds:*",
"redshift-data:*",
"redshift-serverless:*",
"redshift:*",
"rekognition:*",
"resiliencehub:*",
"resource-groups:*",
"route53:*",
"route53domains:*",
"route53resolver:*",
"rum:*",
"s3:*",
"sagemaker:*",
"scheduler:*",
"schemas:*",
"sdb:*",
"secretsmanager:*",
"securityhub:*",
"serverlessrepo:*",
"servicecatalog:*",
"servicequotas:*",
"ses:*",
"signer:*",
"sns:*",
"sqs:*",
"ssm:*",
"ssmmessages:*",
"states:*",
"storagegateway:*",
"sts:*",
"support:*",
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"textract:*",
"timestream:*",
"transcribe:*",
"transfer:*",
"translate:*",
"vpc-lattice:*",
"waf-regional:*",
"waf:*",
"wafv2:*",
"wellarchitected:*",
"wisdom:*",
"xray:*"
]
}
]
```
# Configurez Res Ready AMIs
Grâce aux Amazon Machine Images (AMI) compatibles RES, vous pouvez préinstaller les dépendances RES pour les instances de bureau virtuel (VDI) sur vos AMI personnalisées. L'utilisation d'AMI compatibles RES améliore les temps de démarrage des instances VDI à l'aide des images préconfigurées. À l'aide d'EC2 Image Builder, vous pouvez créer et enregistrer AMIs vos piles de logiciels en tant que nouvelles. Pour plus d'informations sur Image Builder, consultez le [guide de l'utilisateur d'Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html).
Avant de commencer, vous devez [déployer la dernière version de RES](update-the-product.md).
**Important**
Les versions RES Ready AMIs créées avant RES 2025.06.01 sont incompatibles avec RES 2025.06.01 et toutes les versions suivantes. Lorsque vous mettez à niveau votre environnement RES d'une version antérieure au 01/06/2020 vers la version la plus récente, vous devez reconstruire tous les environnements compatibles RES. AMIs
**Topics**
+ [
## Préparer un rôle IAM pour accéder à l'environnement RES
](#prepare-role)
+ [
## Création d'un composant EC2 Image Builder
](#image-builder-component)
+ [
## Préparez votre recette pour EC2 Image Builder
](#prepare-recipe)
+ [
## Configuration de l'infrastructure EC2 Image Builder
](#configure-ib-infrastructure)
+ [
## Configurer le pipeline d'images Image Builder
](#image-builder-pipeline)
+ [
## Exécuter le pipeline d'images Image Builder
](#run-image-pipeline)
+ [
## Enregistrez une nouvelle pile logicielle dans RES
](#register-res-ready-stack)
## Préparer un rôle IAM pour accéder à l'environnement RES
Pour accéder au service d'environnement RES depuis EC2 Image Builder, vous devez créer ou modifier un rôle IAM appelé RES-. EC2 InstanceProfileForImageBuilder Pour plus d'informations sur la configuration d'un rôle IAM à utiliser dans Image Builder, consultez [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/imagebuilder/latest/userguide/image-builder-setting-up.html#image-builder-IAM-prereq) dans le guide de l'*utilisateur d'Image Builder*.
**Votre rôle nécessite :**
+ Des relations de confiance incluant le service Amazon EC2.
+ Amazon S3, ReadOnlyAccess Amazon SSMManaged InstanceCore et politiques. EC2 InstanceProfileForImageBuilder
## Création d'un composant EC2 Image Builder
Suivez les instructions pour [créer un composant à l'aide de la console Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/create-component-console.html) dans le *guide de l'utilisateur d'Image Builder*.
**Entrez les détails de votre composant :**
1. Dans **Type**, choisissez **Build**.
1. Pour le **système d'exploitation Image (OS)**, choisissez Linux ou Windows.
1. Pour **Nom du composant**, entrez un nom significatif tel que**research-and-engineering-studio-vdi-**.
1. Entrez le numéro de version de votre composant et ajoutez éventuellement une description.
```
key : value
```
1. Pour le **document de définition**, entrez le fichier de définition suivant. Si vous rencontrez des erreurs, le fichier YAML est sensible à l'espace et en est la cause la plus probable.
**Important**
Dans le fichier de définition, remplacez **latest** l'URI de téléchargement (`- source: 's3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz'`) par le numéro de version exact (par exemple,**2025.06**) si la version de votre environnement RES n'est pas la plus récente.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
name: research-and-engineering-studio-vdi-linux
description: An RES EC2 Image Builder component to install required RES software dependencies for Linux VDI.
schemaVersion: 1.0
parameters:
- GPUFamily:
type: string
description: GPU family (NONE, NVIDIA, or AMD)
default: NONE
phases:
- name: build
steps:
- name: PrepareRESBootstrap
action: ExecuteBash
onFailure: Abort
maxAttempts: 3
inputs:
commands:
- "mkdir -p /root/bootstrap/logs"
- "mkdir -p /root/bootstrap/latest"
- name: DownloadRESLinuxInstallPackage
action: S3Download
onFailure: Abort
maxAttempts: 3
inputs:
- source: "s3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz"
destination: "/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz"
- name: RunInstallScript
action: ExecuteBash
onFailure: Abort
maxAttempts: 3
inputs:
commands:
- "cd /root/bootstrap/res-installation-scripts"
- "tar -xf res-installation-scripts.tar.gz"
- "cd scripts/virtual-desktop-host/linux"
- "/bin/bash install.sh -g {{ GPUFamily }}"
- name: RebootAfterInstall
action: Reboot
onFailure: Abort
maxAttempts: 3
inputs:
delaySeconds: 0
- name: RunInstallPostRebootScript
action: ExecuteBash
onFailure: Abort
maxAttempts: 3
inputs:
commands:
- "cd /root/bootstrap/res-installation-scripts/scripts/virtual-desktop-host/linux"
- 'sed -i ''/^export AWS_DEFAULT_PROFILE="bootstrap_profile"$/d'' install_post_reboot.sh'
- "/bin/bash install_post_reboot.sh -g {{ GPUFamily }}"
- name: PreventAL2023FromUninstallingCronie
action: ExecuteBash
onFailure: Abort
maxAttempts: 3
inputs:
commands:
- "rm -f /tmp/imagebuilder_service/crontab_installed"
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
name: research-and-engineering-studio-vdi-windows
description: An RES EC2 Image Builder component to install required RES software dependencies for Windows VDI.
schemaVersion: 1.0
phases:
- name: build
steps:
- name: CreateRESBootstrapFolder
action: CreateFolder
onFailure: Abort
maxAttempts: 3
inputs:
- path: 'C:\Users\Administrator\RES\Bootstrap'
overwrite: true
- name: DownloadRESWindowsInstallPackage
action: S3Download
onFailure: Abort
maxAttempts: 3
inputs:
- source: 's3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz'
destination: '{{ build.CreateRESBootstrapFolder.inputs[0].path }}\res-installation-scripts.tar.gz'
- name: RunInstallScript
action: ExecutePowerShell
onFailure: Abort
maxAttempts: 3
inputs:
commands:
- 'cd {{ build.CreateRESBootstrapFolder.inputs[0].path }}'
- 'tar -xf res-installation-scripts.tar.gz'
- 'Import-Module .\scripts\virtual-desktop-host\windows\Install.ps1'
- 'Install-WindowsEC2Instance -PrebakeAMI'
```
------
1. Créez des balises facultatives et choisissez **Créer un composant**.
## Préparez votre recette pour EC2 Image Builder
Une recette EC2 Image Builder définit l'image de base à utiliser comme point de départ pour créer une nouvelle image, ainsi que l'ensemble des composants que vous ajoutez pour personnaliser votre image et vérifier que tout fonctionne comme prévu. Vous devez créer ou modifier une recette pour construire l'AMI cible avec les dépendances logicielles RES nécessaires. Pour plus d'informations sur les recettes, voir [Gérer les recettes](https://docs.aws.amazon.com/imagebuilder/latest/userguide/manage-recipes.html).
RES prend en charge les systèmes d'exploitation d'image suivants :
+ Amazon Linux 2 (x86 et ARM64)
+ Amazon Linux 2023 (x86 et ARM64)
+ RHEL 8 (x86) et 9 (x86)
+ Rocky Linux 9 (x86)
+ Ubuntu 22.04.3 (x86)
+ Ubuntu 24.04.3 (x86)
+ Windows Server 2019, 2022 (x86)
+ Windows 10, 11 (x86)
**Note**
À compter de la version 2026.03, Amazon Linux 2 et RHEL 8 ne sont plus inclus en tant que piles logicielles par défaut. Les piles logicielles personnalisées dotées de ces systèmes d'exploitation peuvent toujours être enregistrées si nécessaire.
------
#### [ Create a new recipe ]
1. Ouvrez la console [https://console.aws.amazon.com/imagebuilder](https://console.aws.amazon.com/imagebuilder) EC2 Image Builder à l'adresse.
1. Sous **Ressources enregistrées**, choisissez **Image recipes**.
1. Choisissez **Créer une recette d'image**.
1. Entrez un nom unique et un numéro de version.
1. Sélectionnez une image de base prise en charge par RES.
1. Sous **Configuration de l'instance**, installez un agent SSM s'il n'en existe pas un préinstallé. Entrez les informations dans **Données utilisateur** et toute autre donnée utilisateur nécessaire.
**Note**
Pour plus d'informations sur l'installation d'un agent SSM, voir :
[Installation manuelle de l'agent SSM sur les instances EC2 pour Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html).
[Installation et désinstallation manuelles de l'agent SSM sur les instances EC2 pour Windows Server](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html).
1. Pour les recettes basées sur Linux, ajoutez le composant de `aws-cli-version-2-linux` compilation géré par Amazon à la recette. Pour les recettes basées sur Windows, ajoutez le composant de `aws-cli-version-2-windows` génération géré par Amazon à la recette. Les scripts d'installation RES utilisent le AWS CLI pour fournir un accès VDI aux valeurs de configuration des paramètres du cluster DynamoDB.
1. Ajoutez le composant EC2 Image Builder créé pour votre environnement Linux ou Windows.
**Important**
Vous devez ajouter ces composants dans l'ordre avec le composant de compilation `aws-cli-version-2-linux` (pour Linux) ou ` aws-cli-version-2-windows` (pour Windows) ajouté en premier.
![\[Page des composants montrant les composants de construction ajoutés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ami-build-components.png)
1. (Recommandé) Ajoutez le composant de `simple-boot-test-` test géré par Amazon pour vérifier que l'AMI peut être lancée. Il s'agit d'une recommandation minimale. Vous pouvez sélectionner d'autres composants de test qui répondent à vos exigences.
1. Complétez les sections facultatives si nécessaire, ajoutez les autres composants souhaités et choisissez **Créer une recette**.
------
#### [ Modify a recipe ]
Si vous possédez déjà une recette EC2 Image Builder, vous pouvez l'utiliser en ajoutant les composants suivants :
1. Pour les recettes basées sur Linux, ajoutez le composant de `aws-cli-version-2-linux` compilation géré par Amazon à la recette. Pour les recettes basées sur Windows, ajoutez le composant de `aws-cli-version-2-windows` génération géré par Amazon à la recette. Les scripts d'installation RES utilisent le AWS CLI pour fournir un accès VDI aux valeurs de configuration des paramètres du cluster DynamoDB.
1. Ajoutez le composant EC2 Image Builder créé pour votre environnement Linux ou Windows.
**Important**
Vous devez ajouter ces composants dans l'ordre avec le composant de compilation `aws-cli-version-2-linux` (pour Linux) ou ` aws-cli-version-2-windows` (pour Windows) ajouté en premier.
![\[Page des composants montrant les composants de construction ajoutés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/res-ami-build-components.png)
1. Complétez les sections facultatives si nécessaire, ajoutez les autres composants souhaités et choisissez **Créer une recette**.
------
## Configuration de l'infrastructure EC2 Image Builder
Vous pouvez utiliser les configurations d'infrastructure pour spécifier l'infrastructure Amazon EC2 qu'Image Builder utilise pour créer et tester votre image Image Builder. Pour une utilisation avec RES, vous pouvez choisir de créer une nouvelle configuration d'infrastructure ou d'utiliser une configuration existante.
+ Pour créer une nouvelle configuration d'infrastructure, voir [Création d'une configuration d'infrastructure](https://docs.aws.amazon.com/imagebuilder/latest/userguide/create-infra-config.html).
+ Pour utiliser une configuration d'infrastructure existante, [mettez à jour une configuration d'infrastructure](https://docs.aws.amazon.com/imagebuilder/latest/userguide/update-infra-config.html).
**Pour configurer votre infrastructure Image Builder :**
1. Pour le **rôle IAM**, entrez le rôle que vous avez configuré précédemment. [Préparer un rôle IAM pour accéder à l'environnement RES](#prepare-role)
1. Pour le **type d'instance**, choisissez un type avec au moins 4 Go de mémoire et compatible avec l'architecture AMI de base que vous avez choisie. Consultez la section [Types d'instances Amazon EC2](https://aws.amazon.com/ec2/instance-types/).
1. Pour les **VPC, les sous-réseaux et les groupes de sécurité,** vous devez autoriser l'accès à Internet pour télécharger des packages logiciels. L'accès doit également être autorisé à la table `cluster-settings` DynamoDB et au compartiment de cluster Amazon S3 de l'environnement RES.
## Configurer le pipeline d'images Image Builder
Le pipeline d'images Image Builder assemble l'image de base, les composants pour la création et les tests, la configuration de l'infrastructure et les paramètres de distribution. Pour configurer un pipeline d'images pour qu' AMIsil soit prêt pour RES, vous pouvez choisir de créer un nouveau pipeline ou d'utiliser un pipeline existant. Pour plus d'informations, consultez la section [Création et mise à jour de pipelines d'images AMI](https://docs.aws.amazon.com/imagebuilder/latest/userguide/ami-image-pipelines.html) dans le *guide de l'utilisateur d'Image Builder*.
------
#### [ Create a new Image Builder pipeline ]
1. Ouvrez la console Image Builder à l'adresse[https://console.aws.amazon.com/imagebuilder](https://console.aws.amazon.com/imagebuilder).
1. Dans le volet de navigation, choisissez **Image pipelines**.
1. Choisissez **Créer un pipeline d'images**.
1. Spécifiez les détails de votre pipeline en saisissant un nom unique, une description facultative, un calendrier et une fréquence.
1. Pour **Choisir une recette**, choisissez **Utiliser une recette existante** et sélectionnez la recette créée dans[Préparez votre recette pour EC2 Image Builder](#prepare-recipe). Vérifiez que les détails de votre recette sont corrects.
1. Pour **Définir le processus de création d'image**, choisissez le flux de travail par défaut ou personnalisé selon le cas d'utilisation. Dans la plupart des cas, les flux de travail par défaut sont suffisants. Pour plus d'informations, consultez [Configurer les flux de travail d'imagerie pour votre pipeline EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/pipeline-workflows.html).
1. Pour **Définir la configuration de l'infrastructure**, **choisissez Choisir la configuration d'infrastructure existante** et sélectionnez la configuration d'infrastructure créée dans[Configuration de l'infrastructure EC2 Image Builder](#configure-ib-infrastructure). Vérifiez que les détails de votre infrastructure sont corrects.
1. Pour **Définir les paramètres de distribution, choisissez Créer les paramètres** **de distribution à l'aide des paramètres de distribution par défaut du service**. L'image de sortie doit se trouver dans le même environnement RES Région AWS que celui de votre environnement RES. En utilisant les paramètres par défaut du service, l'image sera créée dans la région où Image Builder est utilisé.
1. Passez en revue les détails du pipeline et choisissez **Create pipeline**.
------
#### [ Modify an existing Image Builder pipeline ]
1. Pour utiliser un pipeline existant, modifiez les détails afin d'utiliser la recette créée dans[Préparez votre recette pour EC2 Image Builder](#prepare-recipe).
1. Sélectionnez **Enregistrer les modifications**.
------
## Exécuter le pipeline d'images Image Builder
Pour produire l'image de sortie configurée, vous devez lancer le pipeline d'images. Le processus de création peut prendre jusqu'à une heure selon le nombre de composants contenus dans la recette d'image.
**Pour exécuter le pipeline d'images :**
1. Dans **Pipelines d'images**, sélectionnez le pipeline créé dans[Configurer le pipeline d'images Image Builder](#image-builder-pipeline).
1. Dans **Actions**, sélectionnez **Exécuter le pipeline**.
## Enregistrez une nouvelle pile logicielle dans RES
1. Suivez les instructions [Piles de logiciels () AMIs](software-stacks.md) pour enregistrer une pile logicielle.
1. Pour l'**ID AMI**, entrez l'ID AMI de l'image de sortie intégrée[Exécuter le pipeline d'images Image Builder](#run-image-pipeline).
# Seuils de validation de session DCV configurables
Lorsqu'une session VDI reprend ou démarre, RES vérifie à plusieurs reprises si la session DCV a atteint l'état PRÊT. Si la session n'est pas prête après un certain nombre de tentatives, elle est marquée comme ERREUR.
Ces seuils de nouvelles tentatives sont configurables via la table `.cluster-settings` DynamoDB, ce qui permet aux administrateurs de les ajuster en fonction de leur environnement. Cela est particulièrement utile pour les environnements où les temps de démarrage sont plus longs en raison de configurations d'AMI personnalisées, d'installations logicielles supplémentaires ou d'autres logiques de configuration VDI.
| Clé | Description | Valeur par défaut |
| --- | --- | --- |
| vdc.validation\$1request\$1threshold | Nombre maximum de tentatives avant de marquer une session non prête comme ERROR | 50 |
| vdc.session\$1deleted\$1threshold | Nombre maximum de tentatives avant de marquer une session SUPPRIMÉE comme ERROR | 15 |
# Configurer des domaines personnalisés après l'installation de RES
**Note**
*Conditions préalables* : Vous devez stocker le certificat et PrivateKey son contenu dans un secret Secrets Manager avant d'effectuer ces étapes.
**Ajouter des certificats au client Web**
1. Mettez à jour le certificat attaché à l'écouteur de l'équilibreur de charge external-alb :
1. Accédez à l'équilibreur de charge externe RES dans la AWS console sous **EC2** > Équilibrage de **charge > Équilibreurs** de **charge**.
1. Recherchez l'équilibreur de charge qui respecte la convention `-external-alb` de dénomination.
1. Vérifiez les écouteurs connectés à l'équilibreur de charge.
1. Mettez à jour l'écouteur auquel un SSL/TLS certificat par défaut est attaché avec les détails du nouveau certificat.
1. Enregistrez vos modifications.
1. Dans le tableau des paramètres du cluster :
1. Trouvez la table des paramètres du cluster dans DynamoDB -> Tables ->. `.cluster-settings`
1. Accédez à **Explorer les éléments** et **filtrez par attribut** : nom « clé », type « chaîne », condition « contient » et valeur « external\$1alb ».
1. Réglé `cluster.load_balancers.external_alb.certificates.provided` sur True.
1. Mettez à jour la valeur de`cluster.load_balancers.external_alb.certificates.custom_dns_name`. Il s'agit du nom de domaine personnalisé pour l'interface utilisateur Web.
1. Mettez à jour la valeur de`cluster.load_balancers.external_alb.certificates.acm_certificate_arn`. Il s'agit de l'Amazon Resource Name (ARN) du certificat correspondant stocké dans Amazon Certificate Manager (ACM).
1. Mettez à jour l'enregistrement de sous-domaine Route53 correspondant que vous avez créé pour votre client Web afin qu'il pointe vers le nom DNS de l'équilibreur de charge alb externe. `-external-alb`
1. Si l'authentification unique est déjà configurée dans l'environnement, reconfigurez l'authentification unique avec les mêmes entrées que celles que vous avez utilisées initialement depuis le bouton **Gestion de l'environnement** > **Gestion des identités** > **Authentification unique** > **État** > **Modifier** du portail Web RES.
**Ajoutez des certificats aux certificats VDIs ou faites pivoter les certificats**
1. Accordez à l'application RES l'autorisation d'effectuer une GetSecret opération sur le secret en ajoutant les balises suivantes au secret :
+ `res:EnvironmentName` : ``
+ `res:ModuleName` : `virtual-desktop-controller`
1. Dans le tableau des paramètres du cluster :
1. Trouvez la table des paramètres du cluster dans DynamoDB -> Tables ->. `.cluster-settings`
1. Accédez à **Explorer les éléments** et **filtrez par attribut** : nom « clé », type « chaîne », condition « contient » et valeur « dcv\$1connection\$1gateway ».
1. Réglé `vdc.dcv_connection_gateway.certificate.provided` sur True.
1. Mettez à jour la valeur de`vdc.dcv_connection_gateway.certificate.custom_dns_name`. Il s'agit du nom de domaine personnalisé pour l'accès VDI.
1. Mettez à jour la valeur de`vdc.dcv_connection_gateway.certificate.certificate_secret_arn`. Il s'agit de l'ARN du secret qui contient le contenu du certificat.
1. Mettez à jour la valeur de`vdc.dcv_connection_gateway.certificate.private_key_secret_arn`. Il s'agit de l'ARN du secret qui contient le contenu de la clé privée.
1. Mettez à jour le modèle de lancement utilisé pour l'instance de passerelle :
1. Ouvrez le groupe Auto Scaling dans la AWS console sous **EC2** > **Auto Scaling > Auto Scaling** **Groups**.
1. Sélectionnez le groupe de mise à l'échelle automatique de la passerelle qui correspond à l'environnement RES. Le nom suit la convention de dénomination`-vdc-gateway-asg`.
1. Recherchez et ouvrez le modèle de lancement dans la section des détails.
1. Sous **Détails** > **Actions** > choisissez **Modifier le modèle** (Créer une nouvelle version).
1. Faites défiler l'écran vers le bas jusqu'à **Détails avancés**.
1. Faites défiler l'écran jusqu'en bas, jusqu'à **Données utilisateur**.
1. Recherchez les mots `CERTIFICATE_SECRET_ARN` et`PRIVATE_KEY_SECRET_ARN`. Mettez à jour ces valeurs avec les ARNs informations fournies aux secrets qui contiennent le contenu du certificat (voir étape 2.c) et de la clé privée (voir étape 2.d).
1. Assurez-vous que le groupe Auto Scaling est configuré pour utiliser la version récemment créée du modèle de lancement (depuis la page du groupe Auto Scaling).
1. Mettez à jour l'enregistrement de sous-domaine Route53 correspondant que vous avez créé pour vos bureaux virtuels afin qu'il pointe vers le nom DNS de l'équilibreur de charge nlb externe :. `-external-nlb`
1. Mettez fin à l'instance dcv-gateway existante : `-vdc-gateway` et attendez qu'une nouvelle instance démarre. L'instance dcv-gateway vérifie tous les jours à 00h00 (minuit) UTC les modifications apportées aux valeurs du certificat et de la clé privée stockées dans Secrets Manager, puis récupère et applique automatiquement les nouvelles valeurs en cas de mise à jour.