Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Panduan konfigurasi Panduan konfigurasi Panduan konfigurasi ini memberikan instruksi pasca-penerapan untuk audiens teknis tentang cara menyesuaikan dan mengintegrasikan lebih lanjut dengan Studio Penelitian dan Teknik pada AWS produk. **Topics** + [ # Manajemen identitas ](manage-users.md) + [ # Membuat subdomain ](create-subdomains.md) + [ # Buat sertifikat ACM ](acm-certificate.md) + [ # CloudWatch Log Amazon ](log-groups.md) + [ # Menetapkan batas izin khusus ](permission-boundaries.md) + [ # Konfigurasikan RES-Ready AMIs ](res-ready-ami.md) + [ # Ambang batas validasi sesi DCV yang dapat dikonfigurasi ](dcv-session-validation-thresholds.md) + [ # Siapkan domain khusus setelah instalasi RES ](setup-custom-domain-after-install.md) # Manajemen identitas Manajemen identitas Research and Engineering Studio dapat menggunakan penyedia identitas yang sesuai dengan SAMP 2.0. Untuk menggunakan Amazon Cognito sebagai direktori pengguna asli yang memungkinkan pengguna masuk ke portal web dan berbasis Linux dengan identitas pengguna VDIs Cognito, lihat. [Menyiapkan pengguna Amazon Cognito](setting-up-cognito-users.md) Jika Anda menerapkan RES menggunakan sumber daya eksternal atau berencana menggunakan Pusat Identitas IAM, lihat. [Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md) Jika Anda memiliki penyedia identitas yang sesuai dengan SAMP 2.0 Anda sendiri, lihat. [Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO)](configure-id-federation.md) **Topics** + [ # Menyiapkan pengguna Amazon Cognito ](setting-up-cognito-users.md) + [ # Sinkronisasi Direktori Aktif ](active-directory-sync.md) + [ # Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center ](sso-idc.md) + [ # Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO) ](configure-id-federation.md) + [ # Mengatur kata sandi untuk pengguna ](setting-user-passwords.md) # Menyiapkan pengguna Amazon Cognito Pengaturan identitas Amazon Cognito Research and Engineering Studio (RES) memungkinkan Anda mengatur Amazon Cognito sebagai direktori pengguna asli. Ini memungkinkan pengguna untuk masuk ke portal web dan berbasis Linux dengan identitas pengguna Amazon VDIs Cognito. Administrator dapat mengimpor beberapa pengguna ke kumpulan pengguna menggunakan file csv dari Konsol. AWS Untuk detail selengkapnya tentang impor pengguna massal, lihat [Mengimpor pengguna ke kumpulan pengguna dari file CSV](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) di Panduan Pengembang *Amazon Cognito*. RES mendukung penggunaan direktori pengguna asli berbasis Amazon Cognito dan SSO bersama-sama. ## Pengaturan administratif **Sebagai Administrator RES, untuk mengonfigurasi lingkungan RES agar menggunakan Amazon Cognito sebagai direktori pengguna, alihkan tombol Gunakan Amazon **Cognito sebagai direktori pengguna** di halaman Manajemen **Identitas yang dapat diakses dari halaman Manajemen** Lingkungan.** Untuk memungkinkan pengguna mendaftar sendiri, alihkan tombol **registrasi mandiri Pengguna** di halaman yang sama. ![\[Halaman manajemen identitas yang menampilkan pengaturan direktori cognito\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/id-management-cognito-directory.png) ## Alur up/sign masuk pengguna Jika **registrasi mandiri Pengguna** diaktifkan, Anda dapat memberikan URL aplikasi web kepada pengguna Anda. Di sana, pengguna akan menemukan opsi yang mengatakan **Belum pengguna? Daftar di sini**. ![\[Halaman login pengguna dengan opsi untuk mendaftar sendiri\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/user-sign-up.png) ## Alur daftar Pengguna yang memilih **Belum menjadi pengguna? Mendaftar di sini** akan diminta untuk memasukkan email dan kata sandi mereka untuk membuat akun. ![\[Buat halaman akun untuk pendaftaran mandiri pengguna\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/create-account.png) Sebagai bagian dari alur pendaftaran, pengguna akan diminta untuk memasukkan kode verifikasi yang diterima di email mereka untuk menyelesaikan proses pendaftaran. ![\[Halaman entri kode verifikasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/verify-email.png) Jika pendaftaran mandiri dinonaktifkan, pengguna tidak akan melihat tautan pendaftaran. Administrator harus mengonfigurasi pengguna di Amazon Cognito di luar RES. (Lihat [Membuat akun pengguna sebagai administrator](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) di *Panduan Pengembang Amazon Cognito*.) ![\[Halaman entri kode verifikasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/user-sign-in.png) ## Pilihan halaman login Jika SSO dan Amazon Cognito diaktifkan, opsi **untuk Masuk dengan organisasi** SSO akan muncul. Ketika pengguna mengklik opsi itu, itu akan mengalihkan mereka ke halaman login SSO mereka. Secara default, pengguna akan mengautentikasi dengan Amazon Cognito jika diaktifkan. ![\[Halaman login pengguna dengan opsi untuk mendaftar, memverifikasi akun, atau masuk dengan organisasi SSO\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/org-sso-sign-in.png) ## Batasan + **Nama Grup** Amazon Cognito Anda dapat memiliki maksimal enam huruf; hanya huruf kecil yang diterima. + Pendaftaran Amazon Cognito tidak akan mengizinkan dua alamat email dengan nama pengguna yang sama tetapi alamat domain yang berbeda. + Jika Active Directory dan Amazon Cognito diaktifkan, dan sistem mendeteksi nama pengguna duplikat, hanya pengguna Active Directory yang diizinkan untuk mengautentikasi. Administrator harus mengambil langkah-langkah untuk tidak mengonfigurasi nama pengguna duplikat antara Amazon Cognito dan Direktori Aktif mereka. + Pengguna Cognito tidak akan diizinkan untuk meluncurkan berbasis Windows VDIs karena RES tidak mendukung otentikasi berbasis Amazon Cognito untuk instance Windows. ## Grup administrator untuk pengguna Amazon Cognito Secara default, RES memberikan pengguna Cognito dalam hak administrator `admins` grup. Untuk menambahkan pengguna ke grup Cognito`admins`: 1. Arahkan ke [konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home), dan pilih kumpulan pengguna yang ada yang digunakan untuk RES. 1. Arahkan ke **Grup** di bawah **Manajemen Pengguna**, lalu pilih **Buat grup.** 1. Pada halaman **Buat grup**, di **Nama grup,** masukkan`admins`. 1. Pilih `admins` grup yang Anda buat, dan pilih **Tambahkan pengguna ke grup untuk** menambahkan pengguna Cognito. 1. Memulai sinkronisasi Cognito secara manual dengan mengikuti. [Sinkronisasi](#setting-up-cognito-users-sync) Setelah sinkronisasi Amazon Cognito berhasil, pengguna yang ditambahkan ke `admins` grup akan menerima hak administrator. ## Sinkronisasi RES menyinkronkan database-nya dengan informasi pengguna dan grup dari Amazon Cognito setiap jam. Setiap pengguna yang termasuk dalam grup “admin” akan diberikan hak istimewa sudo di dalamnya. VDIs Anda juga dapat memulai sinkronisasi secara manual dari konsol Lambda. **Memulai proses sinkronisasi secara manual:** 1. Buka [Konsol Lambda](https://console.aws.amazon.com/lambda). 1. Cari Lambda sinkronisasi Cognito. Lambda ini mengikuti konvensi penamaan ini:. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda` 1. Pilih **Uji**. 1. Di bagian **Test event**, pilih tombol **Test** di kanan atas. Format badan acara tidak masalah. ## Pertimbangan keamanan untuk Cognito Sebelum rilis 2024.12, [pencatatan aktivitas pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), yang merupakan bagian dari fitur paket Amazon Cognito Plus diaktifkan secara default. Fitur ini telah dihapus dari penerapan baseline untuk menghemat biaya bagi pelanggan yang ingin mencoba RES. Anda dapat mengaktifkan kembali fitur ini sesuai kebutuhan untuk menyelaraskan dengan pengaturan keamanan cloud organisasi Anda. # Sinkronisasi Direktori Aktif Sinkronisasi Direktori Aktif ## Konfigurasi Runtime Semua AWS CloudFormation parameter yang terkait dengan Active Directory (AD) adalah opsional selama instalasi. ![\[Direktori aktif rincian opsional\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/active-directory-details.png) Untuk ARN rahasia apa pun yang disediakan saat runtime (misalnya, `ServiceAccountCredentialsSecretArn` atau`DomainTLSCertificateSecretArn`), pastikan untuk menambahkan tag berikut ke rahasia untuk RES untuk mendapatkan izin membaca nilai rahasia: + kunci:`res:EnvironmentName`, nilai: `` + kunci:`res:ModuleName`, nilai: `directoryservice` Setiap pembaruan konfigurasi AD di portal web akan diambil secara otomatis selama sinkronisasi AD terjadwal berikutnya (per jam). Pengguna mungkin perlu mengkonfigurasi ulang SSO setelah mengubah konfigurasi AD (misalnya, jika mereka beralih ke AD yang berbeda). Setelah instalasi awal, administrator dapat melihat atau mengedit konfigurasi AD di portal web RES di bawah halaman **Manajemen identitas**: ![\[Detail pengaturan konfigurasi domain direktori aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-active-directory-domain.png) ![\[Pop-out sinkronisasi direktori aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/active-directory-synchronization.png) ### Secara Otomatis Bergabung Active Directory Administrator dapat mengonfigurasi pengaturan **Bergabung Secara Otomatis Direktori Aktif** untuk mengontrol perilaku bergabung domain direktori selama peluncuran VDI. **Opsi konfigurasi:** + **Diaktifkan** - Secara otomatis bergabung dengan Windows dan Linux VDIs ke domain direktori Anda selama peluncuran. + **Dinonaktifkan** - Mematikan penggabungan domain otomatis. Instans Linux dapat diluncurkan dengan atau tanpa domain bergabung. Instans Windows memerlukan penggabungan domain agar berhasil diluncurkan, jadi administrator harus menyertakan logika gabungan-domain dalam skrip peluncuran kustom mereka. **penting** Jika Anda menonaktifkan pengaturan ini, verifikasi bahwa skrip peluncuran kustom instance Windows Anda menyertakan logika domain-join yang diperlukan. ### Pengaturan tambahan **Filter** Administrator dapat memfilter pengguna atau grup untuk disinkronkan menggunakan opsi **Filter Pengguna** dan **Filter Grup**. Filter harus mengikuti [sintaks filter LDAP](https://ldap.com/ldap-filters/). Contoh filter adalah: ``` (sAMAccountname=) ``` **Parameter SSSD khusus** Administrator dapat menyediakan kamus pasangan nilai kunci yang berisi parameter dan nilai SSSD untuk ditulis ke `[domain_type/DOMAIN_NAME]` bagian file konfigurasi SSSD pada instance cluster. RES menerapkan pembaruan SSSD secara otomatis— ini memulai ulang layanan SSSD pada instance cluster dan memicu proses sinkronisasi AD. Beberapa pengaturan SSSD kustom yang umum adalah: + `enumerate`- Setel ke 'true' untuk cache semua entri pengguna dan grup dari layanan direktori. Menonaktifkan ini dapat menambahkan penundaan singkat ke login pertama pengguna. + `ldap_id_mapping`- Setel ke 'true' untuk memetakan LDAP/AD pengguna dan grup IDs ke lokal UIDs dan GIDs pada sistem Linux. Mengaktifkan ini dapat meningkatkan kompatibilitas dengan skrip dan aplikasi POSIX yang ada. Untuk deskripsi lengkap tentang file konfigurasi SSSD, lihat halaman manual Linux untuk`SSSD`. ![\[Konfigurasi SSSD tambahan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-additional-sssd-config1.png) Parameter dan nilai SSSD harus kompatibel dengan konfigurasi RES SSSD seperti yang dijelaskan di sini: + `id_provider`diatur secara internal oleh RES dan tidak boleh dimodifikasi. + Konfigurasi terkait AD termasuk`ldap_uri`,`ldap_search_base`, `ldap_default_bind_dn` dan `ldap_default_authtok` disetel berdasarkan konfigurasi AD lain yang disediakan dan tidak boleh dimodifikasi. Contoh berikut memungkinkan tingkat debug untuk log SSSD: ![\[Konfigurasi SSSD tambahan yang menunjukkan pasangan kunci dan nilai baru yang dimasukkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-additional-sssd-config2.png) ## Pembaruan Email setelah Sinkronisasi AD Awal (rilis 2025.09 dan yang lebih baru) Jika alamat email pengguna direktori aktif telah berubah, administrator dapat memulai sinkronisasi AD secara manual atau menunggu sinkronisasi AD terjadwal berikutnya agar perubahan diambil dan disinkronkan ke RES. ## Cara memulai atau menghentikan sinkronisasi secara manual (rilis 2025.03 dan yang lebih baru) Arahkan ke halaman **Manajemen identitas**, dan pilih tombol **Mulai Sinkronisasi AD** di wadah **Domain Direktori Aktif** untuk memicu sinkronisasi AD sesuai permintaan. ![\[Konfigurasi domain Direktori Aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync1.png) Untuk menghentikan sinkronisasi AD yang sedang berlangsung, pilih tombol **Stop AD Synchronization** di container **Active Directory Domain**. ![\[Halaman konfigurasi domain Active Directory menampilkan opsi untuk menghentikan sinkronisasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync2.png) Anda juga dapat memeriksa status sinkronisasi AD dan waktu sinkronisasi terbaru di wadah **Domain Direktori Aktif**. ![\[Halaman konfigurasi domain Active Directory yang menunjukkan waktu sinkronisasi terbaru\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync3.png) ## Cara menjalankan sinkronisasi secara manual (rilis 2024.12 dan 2024.12.01) Proses sinkronisasi Direktori Aktif telah dipindahkan dari host infra Manajer Cluster ke tugas Amazon Elastic Container Service (ECS) satu kali di latar belakang. Proses ini dijadwalkan untuk berjalan setiap jam dan Anda dapat menemukan tugas ECS yang sedang berjalan di konsol Amazon ECS di bawah `-ad-sync-cluster` cluster saat sedang berlangsung. **Untuk meluncurkannya secara manual:** 1. Arahkan ke [konsol Lambda](https://console.aws.amazon.com/lambda) dan cari lambda yang dipanggil. `-scheduled-ad-sync` 1. **Buka fungsi Lambda dan pergi ke Test** 1. Dalam **Acara JSON** masukkan yang berikut ini: ``` { "detail-type": "Scheduled Event" } ``` 1. Pilih **Uji**. 1. Amati log tugas AD Sync yang sedang berjalan di bawah **CloudWatch**→ **Grup Log** →`//ad-sync`. Anda akan melihat log dari masing-masing tugas ECS yang sedang berjalan. Pilih yang terbaru untuk melihat log. **catatan** Jika Anda mengubah parameter AD atau menambahkan filter AD, RES akan menambahkan pengguna baru dengan parameter yang baru ditentukan dan menghapus pengguna yang sebelumnya disinkronkan dan tidak lagi disertakan dalam ruang pencarian LDAP. RES tidak dapat menghapus pengguna atau grup yang secara aktif ditugaskan ke proyek. Anda harus menghapus pengguna dari proyek agar RES menghapusnya dari lingkungan. ## Konfigurasi SSO Setelah konfigurasi AD disediakan, pengguna harus menyiapkan Single Sign-On (SSO) untuk dapat masuk ke portal web RES sebagai pengguna AD. Konfigurasi SSO telah dipindahkan dari halaman **Pengaturan Umum** ke halaman **manajemen Identitas** baru. Untuk informasi selengkapnya tentang pengaturan SSO, lihat[Manajemen identitas](manage-users.md). # Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center Menyiapkan SSO dengan IAM Identity Center Jika Anda belum memiliki pusat identitas yang terhubung ke Direktori Aktif yang dikelola, mulailah dengan[Langkah 1: Siapkan pusat identitas](#set-up-identity-center). Jika Anda sudah memiliki pusat identitas yang terhubung dengan Direktori Aktif yang dikelola, mulailah dengan[Langkah 2: Connect ke pusat identitas](#connect-identity-center). **catatan** Jika Anda menerapkan ke GovCloud Wilayah, siapkan SSO di akun AWS GovCloud (US) partisi tempat Anda menggunakan Research and Engineering Studio. ## Langkah 1: Siapkan pusat identitas Menyiapkan pusat identitas ### Mengaktifkan Pusat Identitas IAM 1. Masuk ke [konsol AWS Identity and Access Management](https://console.aws.amazon.com/iam) tersebut. 1. Buka **Pusat Identitas**. 1. Pilih **Aktifkan**. 1. Pilih **Aktifkan dengan AWS Organizations**. 1. Pilih **Lanjutkan**. **catatan** Pastikan Anda berada di Wilayah yang sama di mana Anda memiliki Direktori Aktif terkelola. ### Menghubungkan Pusat Identitas IAM ke Direktori Aktif yang dikelola Setelah Anda mengaktifkan Pusat Identitas IAM, selesaikan langkah-langkah pengaturan yang disarankan ini: 1. Pada panel navigasi, silakan pilih **Pengaturan**. 1. Di bawah **Sumber identitas**, pilih **Tindakan** dan pilih **Ubah sumber identitas**. 1. Di bawah **Direktori yang ada**, pilih direktori Anda. 1. Pilih **Berikutnya**. 1. Tinjau perubahan Anda dan masukkan **ACCEPT** di kotak konfirmasi. 1. Pilih **Ubah sumber identitas**. ### Menyinkronkan pengguna dan grup ke pusat identitas Setelah perubahan [Menghubungkan Pusat Identitas IAM ke Direktori Aktif yang dikelola](#connecting-identity-center-ad) selesai, spanduk konfirmasi hijau muncul. 1. Di spanduk konfirmasi, pilih **Mulai penyiapan yang dipandu**. 1. **Dari **Konfigurasi pemetaan atribut**, pilih Berikutnya.** 1. Di bawah bagian **Pengguna**, masukkan pengguna yang ingin Anda sinkronkan. 1. Pilih **Tambahkan**. 1. Pilih **Berikutnya**. 1. Tinjau perubahan Anda, lalu pilih **Simpan konfigurasi**. 1. Proses sinkronisasi mungkin memakan waktu beberapa menit. Jika Anda menerima pesan peringatan tentang pengguna yang tidak menyinkronkan, pilih **Lanjutkan sinkronisasi**. ### Mengaktifkan pengguna 1. Dari menu, pilih **Pengguna**. 1. Pilih pengguna yang ingin Anda aktifkan aksesnya. 1. Pilih **Aktifkan akses pengguna**. ## Langkah 2: Connect ke pusat identitas Connect ke pusat identitas ### Menyiapkan aplikasi di IAM Identity Center 1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon/). 1. Pilih **Aplikasi**. 1. Pilih **Tambahkan aplikasi**. 1. Di bawah **preferensi Pengaturan**, pilih **Saya memiliki aplikasi yang ingin saya atur**. 1. Di bawah **Jenis aplikasi**, pilih **SAMP 2.0**. 1. Pilih **Berikutnya**. 1. Masukkan nama tampilan dan deskripsi yang ingin Anda gunakan. 1. Di bawah **metadata IAM Identity Center, salin tautan untuk file metadata** **SAM Identity Center IAM**. Anda akan memerlukan ini saat mengonfigurasi Pusat Identitas IAM dengan portal RES. 1. Di bawah **Properti aplikasi**, masukkan **URL mulai Aplikasi** Anda. Misalnya, `/sso`. 1. Di bawah **URL ACS Aplikasi**, masukkan URL pengalihan dari portal RES. Untuk menemukan ini: 1. Di bawah **Manajemen lingkungan**, pilih **Pengaturan umum**. 1. Pilih tab **Penyedia identitas**. 1. Di bawah **Single Sign-On**, Anda akan menemukan URL Pengalihan **SAMP**. 1. Di bawah **Audiens SAMP Aplikasi**, masukkan Amazon Cognito URN. Untuk membuat guci: 1. Dari portal RES, buka **Pengaturan Umum**. 1. Di bawah tab **Penyedia identitas**, cari **ID Kumpulan Pengguna**. 1. Tambahkan **ID User Pool** ke string ini: ``` urn:amazon:cognito:sp: ``` 1. **Setelah Anda memasukkan Amazon Cognito URN, pilih Kirim.** ### Mengkonfigurasi pemetaan atribut untuk aplikasi 1. Dari **Pusat Identitas**, buka detail untuk aplikasi yang Anda buat. 1. Pilih **Tindakan**, lalu pilih **Edit pemetaan atribut**. 1. Di bawah **Subjek**, masukkan**\$1\$1user:email\$1**. 1. Di bawah **Format**, pilih **EmailAddress**. 1. Pilih **Tambahkan pemetaan atribut baru**. 1. Di bawah **atribut Pengguna dalam aplikasi**, masukkan 'email'. 1. Di bawah **Peta ke nilai string ini atau atribut pengguna di Pusat Identitas IAM**, masukkan**\$1\$1user:email\$1**. 1. Di bawah **Format**, masukkan 'tidak ditentukan'. 1. Pilih **Simpan perubahan**. ### Menambahkan pengguna ke aplikasi di IAM Identity Center 1. Dari Pusat Identitas, buka **Pengguna yang Ditugaskan** untuk aplikasi yang Anda buat dan pilih **Tetapkan pengguna**. 1. Pilih pengguna yang ingin Anda tetapkan akses aplikasi. 1. Pilih **Tetapkan pengguna**. ### Menyiapkan Pusat Identitas IAM dalam lingkungan RES 1. Dari lingkungan Studio Penelitian dan Teknik, di bawah **manajemen Lingkungan**, buka **Pengaturan umum**. 1. Buka tab **Penyedia identitas**. 1. Di bawah **Single Sign-On**, pilih **Edit** (di samping **Status**). 1. Lengkapi formulir dengan informasi berikut: 1. Pilih **SAML**. 1. Di bawah **nama Penyedia**, masukkan nama yang ramah pengguna. 1. Pilih **Masukkan URL titik akhir dokumen metadata**. 1. Masukkan URL yang Anda salin selama[Menyiapkan aplikasi di IAM Identity Center](#setup-application-identity-center). 1. Di bawah **atribut email Penyedia**, masukkan 'email'. 1. Pilih **Kirim**. 1. Segarkan halaman dan periksa apakah **Status** ditampilkan sebagai diaktifkan. # Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO) Mengkonfigurasi penyedia identitas Anda untuk SSO Research and Engineering Studio terintegrasi dengan penyedia identitas SAMP 2.0 untuk mengautentikasi akses pengguna ke portal RES. Langkah-langkah ini memberikan petunjuk untuk berintegrasi dengan penyedia identitas SAMP 2.0 pilihan Anda. Jika Anda berniat menggunakan IAM Identity Center, lihat[Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md). **catatan** Email pengguna harus cocok dengan pernyataan IDP SAMP dan Active Directory. Anda harus menghubungkan penyedia identitas Anda dengan Active Directory Anda dan menyinkronkan pengguna secara berkala. **Topics** + [ ## Konfigurasikan penyedia identitas Anda ](#configure-id-federation_config-idp) + [ ## Konfigurasikan RES untuk menggunakan penyedia identitas Anda ](#configure-id-federation_config-res) + [ ## Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi ](#configure-id-federation-demo-env) + [ ## Debugging masalah SAMP iDP ](#configure-id-federation_debug) ## Konfigurasikan penyedia identitas Anda Bagian ini menyediakan langkah-langkah untuk mengonfigurasi penyedia identitas Anda dengan informasi dari kumpulan pengguna Amazon Cognito RES. 1. RES mengasumsikan bahwa Anda memiliki AD (AWS Managed AD atau iklan yang disediakan sendiri) dengan identitas pengguna yang diizinkan untuk mengakses portal dan proyek RES. Hubungkan iklan Anda ke penyedia layanan identitas Anda dan sinkronkan identitas pengguna. Periksa dokumentasi penyedia identitas Anda untuk mempelajari cara menghubungkan AD dan menyinkronkan identitas pengguna. Misalnya, lihat [Menggunakan Active Directory sebagai sumber identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) di *Panduan AWS IAM Identity Center Pengguna*. 1. Konfigurasikan aplikasi SAMP 2.0 untuk RES di penyedia identitas Anda (iDP). Konfigurasi ini membutuhkan parameter berikut: + **URL Pengalihan SAMP — URL** yang digunakan IDP Anda untuk mengirim respons SAMP 2.0 ke penyedia layanan. **catatan** Bergantung pada IDP, URL Pengalihan SAMP mungkin memiliki nama yang berbeda: URL Aplikasi URL Pernyataan Layanan Konsumen (ACS) URL Pengikatan POST ACS **Untuk mendapatkan URL** 1. Masuk ke RES sebagai **admin** atau **clusteradmin**. 1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**. 1. Pilih URL **Pengalihan SAMP**. + **SAMP Audience URI** — ID unik dari entitas audiens SAMP di sisi penyedia layanan. **catatan** Bergantung pada IDP, URI Audiens SAMP mungkin memiliki nama yang berbeda: ClientID Aplikasi SAMP Audiens ID entitas SP Berikan masukan dalam format berikut. ``` urn:amazon:cognito:sp:user-pool-id ``` **Untuk menemukan URI Audiens SAMP Anda** 1. Masuk ke RES sebagai **admin** atau **clusteradmin**. 1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**. 1. Pilih **User Pool Id**. 1. Pernyataan SAMP yang diposting ke RES harus memiliki fields/claims set berikut ke alamat email pengguna: + Subjek SAMP atau NameID + Email SAMP 1. IDP Anda fields/claims menambah pernyataan SAMP, berdasarkan konfigurasi. RES membutuhkan bidang ini. Sebagian besar penyedia secara otomatis mengisi bidang ini secara default. Lihat input dan nilai bidang berikut jika Anda harus mengonfigurasinya. + **AudienceRestriction** — Atur ke `urn:amazon:cognito:sp:user-pool-id`. Ganti *user-pool-id* dengan ID kumpulan pengguna Amazon Cognito Anda. ``` urn:amazon:cognito:sp:user-pool-id ``` + **Respons** - Setel `InResponseTo` ke`https://user-pool-domain/saml2/idpresponse`. Ganti *user-pool-domain* dengan nama domain kumpulan pengguna Amazon Cognito Anda. ``` ``` + **SubjectConfirmationData**— Setel `Recipient` ke `saml2/idpresponse` titik akhir kumpulan pengguna Anda dan `InResponseTo` ke ID permintaan SAMP asli. ``` ``` + **AuthnStatement**— Konfigurasikan sebagai berikut: ``` urn:oasis:names:tc:SAML:2.0:ac:classes:Password ``` 1. Jika aplikasi SAMP Anda memiliki bidang URL logout, atur ke:. `/saml2/logout` **Untuk mendapatkan URL domain** 1. Masuk ke RES sebagai **admin** atau **clusteradmin**. 1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**. 1. Pilih **URL Domain**. 1. Jika IDP Anda menerima sertifikat penandatanganan untuk membangun kepercayaan dengan Amazon Cognito, unduh sertifikat penandatanganan Amazon Cognito dan unggah di IDP Anda. **Untuk mendapatkan sertifikat penandatanganan** 1. Buka Amazon Cognito [konsol](https://console.aws.amazon.com/cognito/v2/idp/user-pools/). 1. Pilih kumpulan pengguna Anda. Kumpulan pengguna Anda seharusnya`res--user-pool`. 1. Pilih tab **Pengalaman masuk**. 1. Di bagian **login penyedia identitas terfederasi**, pilih **Lihat sertifikat penandatanganan**. ![\[Konsol Amazon Cognito dengan tombol Lihat sertifikat penandatanganan di bagian login penyedia identitas Federasi untuk kumpulan pengguna yang dipilih.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/cognito-user-pool-signing-cert.png) Anda dapat menggunakan sertifikat ini untuk menyiapkan IDP Direktori Aktif, menambahkan`relying party trust`, dan mengaktifkan dukungan SAMP pada pihak yang mengandalkan ini. **catatan** Ini tidak berlaku untuk Keycloak dan IDC. 1. Setelah pengaturan aplikasi selesai, unduh metadata aplikasi SAMP 2.0 XML/URL. Anda menggunakannya di bagian selanjutnya. ## Konfigurasikan RES untuk menggunakan penyedia identitas Anda **Untuk menyelesaikan pengaturan masuk tunggal untuk RES** 1. Masuk ke RES sebagai **admin** atau **clusteradmin**. 1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**. ![\[Antarmuka pengguna Pengaturan Lingkungan di RES, termasuk bagian untuk Single Sign-On.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/environment-settings.png) 1. Di bawah **Single Sign-On**, pilih ikon edit di sebelah indikator status untuk membuka halaman **Single Sign On Configuration**. ![\[Antarmuka pengguna Konfigurasi Masuk Tunggal di RES.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/sso-config.png) 1. Untuk **Penyedia Identitas**, pilih **SAMP**. 1. Untuk **Nama Penyedia**, masukkan nama unik untuk penyedia identitas Anda. **catatan** Nama-nama berikut tidak diperbolehkan: Cognito IdentityCenter 1. Di bawah **Sumber Dokumen Metadata**, pilih opsi yang sesuai dan unggah dokumen XMLmetadata atau berikan URL dari penyedia identitas. 1. Untuk **Atribut Email Penyedia**, masukkan nilai teks`email`. 1. Pilih **Kirim**. 1. Muat ulang halaman **Pengaturan Lingkungan**. Single sign-on diaktifkan jika konfigurasi sudah benar. ## Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi Jika Anda menggunakan [sumber daya eksternal](prerequisites.md#external-resources) yang disediakan untuk membuat lingkungan RES non-produksi dan mengonfigurasi Pusat Identitas IAM sebagai penyedia identitas Anda, Anda mungkin ingin mengonfigurasi penyedia identitas yang berbeda seperti Okta. Formulir pemberdayaan RES SSO meminta tiga parameter konfigurasi: 1. Nama penyedia - Tidak dapat diubah 1. Dokumen metadata atau URL — Dapat dimodifikasi 1. Atribut email penyedia - Dapat dimodifikasi **Untuk mengubah dokumen metadata dan atribut email penyedia, lakukan hal berikut:** 1. Masuk ke Konsol Amazon Cognito. 1. Dari navigasi, pilih **Kumpulan pengguna**. 1. Pilih kumpulan pengguna Anda untuk melihat **ikhtisar kumpulan Pengguna**. 1. Dari tab **Pengalaman masuk**, buka **login penyedia identitas Federasi dan buka penyedia identitas** Anda yang dikonfigurasi. 1. Umumnya, Anda hanya akan diminta untuk mengubah metadata dan membiarkan pemetaan atribut tidak berubah. Untuk memperbarui **pemetaan Atribut**, pilih **Edit**. Untuk memperbarui **dokumen Metadata**, pilih **Ganti** metadata. ![\[Ikhtisar kumpulan Pengguna Amazon Cognito.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-attributemetadata.png) 1. Jika Anda mengedit pemetaan atribut, Anda perlu memperbarui `.cluster-settings` tabel di DynamoDB. 1. Buka konsol DynamoDB dan **pilih** Tabel dari navigasi. 1. Temukan dan pilih `.cluster-settings` tabel, dan dari menu **Tindakan** pilih **Jelajahi item**. 1. Di bawah **Pindai atau kueri item**, buka **Filter** dan masukkan parameter berikut: + **Nama atribut** — `key` + **Nilai** - `identity-provider.cognito.sso_idp_provider_email_attribute` 1. Pilih **Jalankan**. 1. Di bawah **Item yang dikembalikan**, temukan `identity-provider.cognito.sso_idp_provider_email_attribute` string dan pilih **Edit** untuk memodifikasi string agar sesuai dengan perubahan Anda di Amazon Cognito. ![\[Amazon Cognito Memperbarui Filter dan Item yang dikembalikan di DynamoDB.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-scanqueryitems.png) ## Debugging masalah SAMP iDP **SAML-tracer** - Anda dapat menggunakan ekstensi ini untuk browser Chrome untuk melacak permintaan SAMP dan memeriksa nilai pernyataan SAMP. Untuk informasi selengkapnya, lihat [SAML-tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) di toko web Chrome. **Alat pengembang SAMP** - OneLogin menyediakan alat yang dapat Anda gunakan untuk memecahkan kode nilai yang dikodekan SAMP dan memeriksa bidang yang diperlukan dalam pernyataan SAMP. Untuk informasi lebih lanjut, lihat [Base 64 Decode\$1Inflate](https://www.samltool.com/decode.php) di OneLogin situs web. **Amazon CloudWatch Logs** — Anda dapat memeriksa log RES Anda di CloudWatch Log untuk kesalahan atau peringatan. Log Anda berada dalam grup log dengan format nama`/res-environment-name/cluster-manager`. **Dokumentasi Amazon Cognito** *— Untuk informasi selengkapnya tentang integrasi SAMP dengan Amazon Cognito, lihat [Menambahkan penyedia identitas SAMP ke kumpulan pengguna di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) Amazon Cognito.* # Mengatur kata sandi untuk pengguna Mengatur kata sandi untuk pengguna 1. Dari [Directory Service konsol,](https://console.aws.amazon.com/directoryservicev2/) pilih direktori untuk tumpukan yang dibuat. 1. Di bawah menu **Tindakan**, pilih **Setel ulang kata sandi pengguna**. 1. Pilih pengguna dan masukkan kata sandi baru. 1. Pilih **Setel ulang kata sandi**. # Membuat subdomain Membuat subdomain Jika Anda menggunakan domain khusus, Anda perlu mengatur subdomain untuk mendukung bagian web dan VDI portal Anda. **catatan** Jika Anda menyebarkan ke GovCloud Wilayah, siapkan aplikasi web dan subdomain VDI di akun partisi komersial yang menghosting zona domain yang dihosting publik. 1. Buka [konsol Route 53](https://console.aws.amazon.com/route53/). 1. Temukan domain yang Anda buat dan pilih **Buat catatan**. 1. Masukkan 'web' sebagai **nama Rekam**. 1. Pilih **CNAME** sebagai **tipe Rekam**. 1. Untuk **Nilai**, masukkan tautan yang Anda terima di email awal. 1. Pilih **Create records** (Buat catatan). 1. Untuk membuat catatan untuk VDC, ambil alamat NLB. 1. Buka [konsol AWS CloudFormation](https://console.aws.amazon.com/cloudformation). 1. Pilih `-vdc`. 1. Pilih **Sumber Daya** dan buka`-vdc-external-nlb`. 1. Salin nama DNS dari NLB. 1. Buka [konsol Route 53](https://console.aws.amazon.com/route53/). 1. Temukan domain Anda dan pilih **Buat catatan**. 1. Di bawah **nama Rekam**, masukkan`vdc`. 1. Di bawah **Jenis rekaman**, pilih **CNAME**. 1. Untuk NLB, masukkan DNS. 1. Pilih **Buat catatan**. # Buat sertifikat ACM Buat sertifikat ACM Secara default, RES meng-host portal web di bawah penyeimbang beban aplikasi menggunakan domain amazonaws.com. Untuk menggunakan domain Anda sendiri, Anda perlu mengonfigurasi SSL/TLS sertifikat publik yang disediakan oleh Anda atau diminta dari AWS Certificate Manager (ACM). Jika Anda menggunakan ACM, Anda akan menerima nama AWS sumber daya yang perlu Anda berikan sebagai parameter untuk mengenkripsi SSL/TLS saluran antara klien dan host layanan web. **Tip** Jika Anda menerapkan paket demo sumber daya eksternal, Anda harus memasukkan domain yang Anda pilih `PortalDomainName` saat menerapkan tumpukan sumber daya eksternal. [Buat sumber daya eksternal](create-external-resources.md) **Untuk membuat sertifikat untuk domain kustom:** 1. Dari konsol, buka [AWS Certificate Manager](https://console.aws.amazon.com/acm/home#/certificates/request)untuk meminta sertifikat publik. Jika Anda menerapkan di GovCloud Wilayah, buat sertifikat di akun GovCloud partisi Anda. 1. Pilih **Minta sertifikat publik**, dan pilih **Berikutnya**. 1. Di bawah **nama Domain**, minta sertifikat untuk keduanya `*.PortalDomainName` dan`PortalDomainName`. 1. Di bawah **metode Validasi**, pilih validasi **DNS**. 1. Pilih **Minta**. 1. Dari daftar **Sertifikat**, buka sertifikat yang Anda minta. Setiap sertifikat akan memiliki **validasi Tertunda** sebagai status. **catatan** Jika Anda tidak melihat sertifikat Anda, segarkan daftar. 1. Lakukan salah satu tindakan berikut: + **Penyebaran komersial:** Dari **detail Sertifikat** untuk setiap sertifikat yang diminta, pilih **Buat catatan di Rute 53**. Status sertifikat harus berubah menjadi **Diterbitkan**. + **GovCloud penyebaran:** Jika Anda menerapkan di suatu GovCloud wilayah, salin kunci dan nilai CNAME. Dari akun partisi komersial, gunakan nilai untuk membuat catatan baru di Zona Hosted Publik. Status sertifikat harus berubah menjadi **Diterbitkan**. 1. Salin sertifikat ARN baru untuk dimasukkan sebagai parameter untuk. `ACMCertificateARNforWebApp` # CloudWatch Log Amazon CloudWatch Log Amazon Research and Engineering Studio membuat grup log berikut CloudWatch selama instalasi. Lihat tabel berikut untuk retensi default: | CloudWatch Grup log | Penyimpanan | | --- | --- | | /aws/lambda/-cluster-endpoints | Tidak pernah kedaluwarsa | | /aws/lambda/-cluster-manager-scheduled-ad-sync | Tidak pernah kedaluwarsa | | /aws/lambda/-cluster-settings | Tidak pernah kedaluwarsa | | /aws/lambda/-oauth-credentials | Tidak pernah kedaluwarsa | | /aws/lambda/-self-signed-certificate | Tidak pernah kedaluwarsa | | /aws/lambda/-update-cluster-prefix-list | Tidak pernah kedaluwarsa | | /aws/lambda/-vdc-scheduled-event-transformer | Tidak pernah kedaluwarsa | | /aws/lambda/-vdc-update-cluster-manager-client-scope | Tidak pernah kedaluwarsa | | //cluster-manager | 3 bulan | | //vdc/controller | 3 bulan | | //vdc/dcv-broker | 3 bulan | | //vdc/dcv-connection-gateway | 3 bulan | Jika Anda ingin mengubah retensi default untuk grup log, Anda dapat pergi ke [CloudWatch konsol](https://console.aws.amazon.com/cloudwatch) dan mengikuti petunjuk untuk [Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention). # Menetapkan batas izin khusus Menetapkan batas izin khusus Mulai 2024.04, Anda dapat secara opsional memodifikasi peran yang dibuat oleh RES dengan melampirkan batas izin khusus. Batas izin khusus dapat didefinisikan sebagai bagian dari CloudFormation instalasi RES dengan memberikan ARN batas izin sebagai bagian dari parameter Batas. IAMPermission Tidak ada batas izin yang ditetapkan pada peran RES apa pun jika parameter ini dibiarkan kosong. Di bawah ini adalah daftar tindakan yang diperlukan peran RES untuk beroperasi. Pastikan bahwa batas izin apa pun yang Anda rencanakan untuk digunakan secara eksplisit memungkinkan tindakan berikut: ``` [ { "Effect": "Allow", "Resource": "*", "Sid": "ResRequiredActions", "Action": [ "access-analyzer:*", "account:GetAccountInformation", "account:ListRegions", "acm:*", "airflow:*", "amplify:*", "amplifybackend:*", "amplifyuibuilder:*", "aoss:*", "apigateway:*", "appflow:*", "application-autoscaling:*", "appmesh:*", "apprunner:*", "aps:*", "athena:*", "auditmanager:*", "autoscaling-plans:*", "autoscaling:*", "backup-gateway:*", "backup-storage:*", "backup:*", "batch:*", "bedrock:*", "budgets:*", "ce:*", "cloud9:*", "cloudformation:*", "cloudfront:*", "cloudtrail-data:*", "cloudtrail:*", "cloudwatch:*", "codeartifact:*", "codebuild:*", "codeguru-profiler:*", "codeguru-reviewer:*", "codepipeline:*", "codestar-connections:*", "codestar-notifications:*", "codestar:*", "cognito-identity:*", "cognito-idp:*", "cognito-sync:*", "comprehend:*", "compute-optimizer:*", "cur:*", "databrew:*", "datapipeline:*", "datasync:*", "dax:*", "detective:*", "devops-guru:*", "dlm:*", "dms:*", "drs:*", "dynamodb:*", "ebs:*", "ec2-instance-connect:*", "ec2:*", "ec2messages:*", "ecr:*", "ecs:*", "eks:*", "elastic-inference:*", "elasticache:*", "elasticbeanstalk:*", "elasticfilesystem:*", "elasticloadbalancing:*", "elasticmapreduce:*", "elastictranscoder:*", "es:*", "events:*", "firehose:*", "fis:*", "fms:*", "forecast:*", "fsx:*", "geo:*", "glacier:*", "glue:*", "grafana:*", "guardduty:*", "health:*", "iam:*", "identitystore:*", "imagebuilder:*", "inspector2:*", "inspector:*", "internetmonitor:*", "iot:*", "iotanalytics:*", "kafka:*", "kafkaconnect:*", "kinesis:*", "kinesisanalytics:*", "kms:*", "lambda:*", "lightsail:*", "logs:*", "memorydb:*", "mgh:*", "mobiletargeting:*", "mq:*", "neptune-db:*", "organizations:DescribeOrganization", "osis:*", "personalize:*", "pi:*", "pipes:*", "polly:*", "quicksight:*", "rds-data:*", "rds:*", "redshift-data:*", "redshift-serverless:*", "redshift:*", "rekognition:*", "resiliencehub:*", "resource-groups:*", "route53:*", "route53domains:*", "route53resolver:*", "rum:*", "s3:*", "sagemaker:*", "scheduler:*", "schemas:*", "sdb:*", "secretsmanager:*", "securityhub:*", "serverlessrepo:*", "servicecatalog:*", "servicequotas:*", "ses:*", "signer:*", "sns:*", "sqs:*", "ssm:*", "ssmmessages:*", "states:*", "storagegateway:*", "sts:*", "support:*", "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "textract:*", "timestream:*", "transcribe:*", "transfer:*", "translate:*", "vpc-lattice:*", "waf-regional:*", "waf:*", "wafv2:*", "wellarchitected:*", "wisdom:*", "xray:*" ] } ] ``` # Konfigurasikan RES-Ready AMIs Konfigurasikan RES-Ready AMIs Dengan Amazon Machine Images (AMI) yang siap RES, Anda dapat melakukan pra-instal dependensi RES untuk instans desktop virtual (VDI) pada AMI kustom Anda. Menggunakan AMI yang siap RES meningkatkan waktu boot untuk instance VDI menggunakan gambar yang sudah dipanggang sebelumnya. Menggunakan EC2 Image Builder, Anda dapat membangun dan mendaftarkan AMIs Anda sebagai tumpukan perangkat lunak baru. Untuk informasi selengkapnya tentang Image Builder, lihat [Panduan Pengguna Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html). Sebelum Anda mulai, Anda harus [menerapkan versi terbaru dari RES](update-the-product.md). **penting** RES-ready yang AMIs dibuat sebelum RES 2025.06.01 tidak kompatibel dengan RES 2025.06.01 dan semua versi berikutnya. Saat memutakhirkan lingkungan RES Anda dari versi sebelum 2025.06.01 ke yang terbaru, Anda harus membangun kembali semua RES-ready. AMIs **Topics** + [ ## Siapkan peran IAM untuk mengakses lingkungan RES ](#prepare-role) + [ ## Buat komponen EC2 Image Builder ](#image-builder-component) + [ ## Siapkan resep EC2 Image Builder Anda ](#prepare-recipe) + [ ## Konfigurasikan infrastruktur EC2 Image Builder ](#configure-ib-infrastructure) + [ ## Konfigurasikan pipa gambar Image Builder ](#image-builder-pipeline) + [ ## Jalankan pipa gambar Image Builder ](#run-image-pipeline) + [ ## Daftarkan tumpukan perangkat lunak baru di RES ](#register-res-ready-stack) ## Siapkan peran IAM untuk mengakses lingkungan RES Siapkan peran IAM untuk mengakses lingkungan RES Untuk mengakses layanan lingkungan RES dari EC2 Image Builder, Anda harus membuat atau memodifikasi peran IAM yang disebut RES-. EC2 InstanceProfileForImageBuilder Untuk informasi tentang mengonfigurasi peran IAM untuk digunakan di Image Builder, lihat [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/imagebuilder/latest/userguide/image-builder-setting-up.html#image-builder-IAM-prereq) di Panduan Pengguna *Image Builder*. **Peran Anda membutuhkan:** + Hubungan tepercaya yang mencakup layanan Amazon EC2. + AmazonS3, ReadOnlyAccess Amazon SSMManaged InstanceCore dan kebijakan. EC2 InstanceProfileForImageBuilder ## Buat komponen EC2 Image Builder Buat komponen EC2 Image Builder Ikuti petunjuk untuk [Membuat komponen menggunakan konsol Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/create-component-console.html) di *Panduan Pengguna Image Builder*. **Masukkan detail komponen Anda:** 1. Untuk **Type**, pilih **Build**. 1. Untuk **sistem operasi Image (OS)**, pilih Linux atau Windows. 1. Untuk **nama Komponen**, masukkan nama yang bermakna seperti**research-and-engineering-studio-vdi-**. 1. Masukkan nomor versi komponen Anda dan tambahkan deskripsi secara opsional. ``` key : value ``` 1. Untuk **dokumen Definisi**, masukkan file definisi berikut. Jika Anda menemukan kesalahan, file YAMM sensitif terhadap ruang dan merupakan penyebab yang paling mungkin. **penting** Dalam file definisi, ganti **latest** di URI unduhan (`- source: 's3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz'`) dengan nomor versi yang tepat (misalnya,**2025.06**) jika versi lingkungan RES Anda bukan yang terbaru. ------ #### [ Linux ] ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-vdi-linux description: An RES EC2 Image Builder component to install required RES software dependencies for Linux VDI. schemaVersion: 1.0 parameters: - GPUFamily: type: string description: GPU family (NONE, NVIDIA, or AMD) default: NONE phases: - name: build steps: - name: PrepareRESBootstrap action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - "mkdir -p /root/bootstrap/logs" - "mkdir -p /root/bootstrap/latest" - name: DownloadRESLinuxInstallPackage action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: "s3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz" destination: "/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz" - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - "cd /root/bootstrap/res-installation-scripts" - "tar -xf res-installation-scripts.tar.gz" - "cd scripts/virtual-desktop-host/linux" - "/bin/bash install.sh -g {{ GPUFamily }}" - name: RebootAfterInstall action: Reboot onFailure: Abort maxAttempts: 3 inputs: delaySeconds: 0 - name: RunInstallPostRebootScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - "cd /root/bootstrap/res-installation-scripts/scripts/virtual-desktop-host/linux" - 'sed -i ''/^export AWS_DEFAULT_PROFILE="bootstrap_profile"$/d'' install_post_reboot.sh' - "/bin/bash install_post_reboot.sh -g {{ GPUFamily }}" - name: PreventAL2023FromUninstallingCronie action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - "rm -f /tmp/imagebuilder_service/crontab_installed" ``` ------ #### [ Windows ] ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-vdi-windows description: An RES EC2 Image Builder component to install required RES software dependencies for Windows VDI. schemaVersion: 1.0 phases: - name: build steps: - name: CreateRESBootstrapFolder action: CreateFolder onFailure: Abort maxAttempts: 3 inputs: - path: 'C:\Users\Administrator\RES\Bootstrap' overwrite: true - name: DownloadRESWindowsInstallPackage action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: 's3://research-engineering-studio-us-east-1/releases/latest/res-installation-scripts.tar.gz' destination: '{{ build.CreateRESBootstrapFolder.inputs[0].path }}\res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecutePowerShell onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd {{ build.CreateRESBootstrapFolder.inputs[0].path }}' - 'tar -xf res-installation-scripts.tar.gz' - 'Import-Module .\scripts\virtual-desktop-host\windows\Install.ps1' - 'Install-WindowsEC2Instance -PrebakeAMI' ``` ------ 1. Buat tag opsional apa pun dan pilih **Buat komponen**. ## Siapkan resep EC2 Image Builder Anda Siapkan resep EC2 Image Builder Anda Resep EC2 Image Builder mendefinisikan gambar dasar yang akan digunakan sebagai titik awal Anda untuk membuat gambar baru, bersama dengan kumpulan komponen yang Anda tambahkan untuk menyesuaikan gambar Anda dan memverifikasi bahwa semuanya berfungsi seperti yang diharapkan. Anda harus membuat atau memodifikasi resep untuk membangun AMI target dengan dependensi perangkat lunak RES yang diperlukan. Untuk informasi selengkapnya tentang resep, lihat [Mengelola resep](https://docs.aws.amazon.com/imagebuilder/latest/userguide/manage-recipes.html). RES mendukung sistem operasi gambar berikut: + Amazon Linux 2 (x86 dan ARM64) + Amazon Linux 2023 (x86 dan) ARM64 + RHEL 8 (x86), dan 9 (x86) + Berbatu Linux 9 (x86) + Ubuntu 22.04.3 (x86) + Ubuntu 24.04.3 (x86) + Server Windows 2019, 2022 (x86) + Windows 10, 11 (x86) **catatan** Dimulai dengan rilis 2026.03, Amazon Linux 2 dan RHEL 8 tidak lagi disertakan sebagai tumpukan perangkat lunak default. Tumpukan perangkat lunak khusus dengan sistem operasi ini masih dapat didaftarkan jika diperlukan. ------ #### [ Create a new recipe ] 1. Buka konsol [https://console.aws.amazon.com/imagebuilder](https://console.aws.amazon.com/imagebuilder) EC2 Image Builder di. 1. Di bawah **Sumber daya tersimpan**, pilih **Resep gambar**. 1. Pilih **Buat resep gambar**. 1. Masukkan nama unik dan nomor versi. 1. Pilih gambar dasar yang didukung oleh RES. 1. Di bawah **konfigurasi Instans**, instal agen SSM jika salah satu tidak datang pra-instal. Masukkan informasi dalam **data Pengguna dan data** pengguna lain yang diperlukan. **catatan** Untuk informasi tentang cara menginstal agen SSM, lihat: [Menginstal Agen SSM secara manual pada instans EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html) untuk Linux. [Menginstal dan menghapus instalan Agen SSM secara manual pada instans EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html) untuk Windows Server. 1. Untuk resep berbasis Linux, tambahkan komponen `aws-cli-version-2-linux` build yang dikelola Amazon ke resep. Untuk resep berbasis Windows, tambahkan komponen `aws-cli-version-2-windows` build yang dikelola Amazon ke resep. Skrip instalasi RES menggunakan AWS CLI untuk menyediakan akses VDI ke nilai konfigurasi untuk pengaturan cluster DynamoDB. 1. Tambahkan komponen EC2 Image Builder yang dibuat untuk lingkungan Linux atau Windows Anda. **penting** Anda harus menambahkan komponen ini secara berurutan dengan komponen build `aws-cli-version-2-linux` (untuk Linux) atau ` aws-cli-version-2-windows` (untuk Windows) ditambahkan terlebih dahulu. ![\[Halaman komponen yang menampilkan komponen build ditambahkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ami-build-components.png) 1. (Disarankan) Tambahkan komponen `simple-boot-test-` pengujian yang dikelola Amazon untuk memverifikasi bahwa AMI dapat diluncurkan. Ini adalah rekomendasi minimum. Anda dapat memilih komponen pengujian lain yang memenuhi kebutuhan Anda. 1. Lengkapi bagian opsional apa pun jika diperlukan, tambahkan komponen lain yang diinginkan, dan pilih **Buat resep**. ------ #### [ Modify a recipe ] Jika Anda memiliki resep EC2 Image Builder yang sudah ada, Anda dapat menggunakannya dengan menambahkan komponen berikut: 1. Untuk resep berbasis Linux, tambahkan komponen `aws-cli-version-2-linux` build yang dikelola Amazon ke resep. Untuk resep berbasis Windows, tambahkan komponen `aws-cli-version-2-windows` build yang dikelola Amazon ke resep. Skrip instalasi RES menggunakan AWS CLI untuk menyediakan akses VDI ke nilai konfigurasi untuk pengaturan cluster DynamoDB. 1. Tambahkan komponen EC2 Image Builder yang dibuat untuk lingkungan Linux atau Windows Anda. **penting** Anda harus menambahkan komponen ini secara berurutan dengan komponen build `aws-cli-version-2-linux` (untuk Linux) atau ` aws-cli-version-2-windows` (untuk Windows) ditambahkan terlebih dahulu. ![\[Halaman komponen yang menampilkan komponen build ditambahkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ami-build-components.png) 1. Lengkapi bagian opsional apa pun jika diperlukan, tambahkan komponen lain yang diinginkan, dan pilih **Buat resep**. ------ ## Konfigurasikan infrastruktur EC2 Image Builder Konfigurasikan infrastruktur EC2 Image Builder Anda dapat menggunakan konfigurasi infrastruktur untuk menentukan infrastruktur Amazon EC2 yang digunakan Image Builder untuk membangun dan menguji image Image Builder Anda. Untuk digunakan dengan RES, Anda dapat memilih untuk membuat konfigurasi infrastruktur baru, atau menggunakan yang sudah ada. + Untuk membuat konfigurasi infrastruktur baru, lihat [Membuat konfigurasi infrastruktur](https://docs.aws.amazon.com/imagebuilder/latest/userguide/create-infra-config.html). + Untuk menggunakan konfigurasi infrastruktur yang ada, [Perbarui konfigurasi infrastruktur](https://docs.aws.amazon.com/imagebuilder/latest/userguide/update-infra-config.html). **Untuk mengonfigurasi infrastruktur Image Builder Anda:** 1. Untuk peran **IAM, masukkan peran** yang telah Anda konfigurasikan sebelumnya. [Siapkan peran IAM untuk mengakses lingkungan RES](#prepare-role) 1. Untuk **tipe Instance**, pilih tipe dengan memori minimal 4 GB dan dukung arsitektur AMI dasar pilihan Anda. Lihat [jenis Instans Amazon EC2](https://aws.amazon.com/ec2/instance-types/). 1. Untuk **VPC, subnet, dan grup keamanan,** Anda harus mengizinkan akses internet untuk mengunduh paket perangkat lunak. Akses juga harus diizinkan ke tabel `cluster-settings` DynamoDB dan bucket cluster Amazon S3 dari lingkungan RES. ## Konfigurasikan pipa gambar Image Builder Konfigurasikan pipa gambar Image Builder Pipeline image Builder Image Builder merakit image dasar, komponen untuk pembuatan dan pengujian, konfigurasi infrastruktur, dan pengaturan distribusi. Untuk mengonfigurasi pipeline gambar untuk RES-ready AMIs, Anda dapat memilih untuk membuat pipeline baru, atau menggunakan pipeline yang sudah ada. Untuk informasi selengkapnya, lihat [Membuat dan memperbarui pipeline gambar AMI](https://docs.aws.amazon.com/imagebuilder/latest/userguide/ami-image-pipelines.html) di *Panduan Pengguna Image Builder*. ------ #### [ Create a new Image Builder pipeline ] 1. Buka konsol Image Builder di[https://console.aws.amazon.com/imagebuilder](https://console.aws.amazon.com/imagebuilder). 1. Dari panel navigasi, pilih **Pipeline gambar**. 1. Pilih **Buat pipeline gambar**. 1. Tentukan detail pipeline Anda dengan memasukkan nama unik, deskripsi opsional, jadwal, dan frekuensi. 1. Untuk **Pilih resep**, pilih **Gunakan resep yang ada** dan pilih resep yang dibuat di[Siapkan resep EC2 Image Builder Anda](#prepare-recipe). Verifikasi bahwa detail resep Anda benar. 1. Untuk **proses pembuatan gambar**, pilih alur kerja default atau kustom tergantung pada kasus penggunaan. Dalam kebanyakan kasus, alur kerja default sudah cukup. Untuk informasi selengkapnya, lihat [Mengonfigurasi alur kerja gambar untuk pipeline EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/pipeline-workflows.html). 1. Untuk **Tentukan konfigurasi infrastruktur**, pilih **Pilih konfigurasi infrastruktur yang ada** dan pilih konfigurasi infrastruktur yang dibuat[Konfigurasikan infrastruktur EC2 Image Builder](#configure-ib-infrastructure). Verifikasi bahwa detail infrastruktur Anda sudah benar. 1. Untuk **Tentukan setelan distribusi**, pilih **Buat setelan distribusi menggunakan default layanan**. Gambar output harus berada sama dengan lingkungan AWS Region RES Anda. Menggunakan default layanan, gambar akan dibuat di Wilayah tempat Image Builder digunakan. 1. Tinjau detail pipeline dan pilih **Create pipeline**. ------ #### [ Modify an existing Image Builder pipeline ] 1. Untuk menggunakan pipeline yang ada, ubah detail untuk menggunakan resep yang dibuat[Siapkan resep EC2 Image Builder Anda](#prepare-recipe). 1. Pilih **Simpan perubahan**. ------ ## Jalankan pipa gambar Image Builder Jalankan pipa gambar Image Builder Untuk menghasilkan gambar keluaran yang dikonfigurasi, Anda harus memulai pipeline gambar. Proses pembangunan berpotensi memakan waktu hingga satu jam tergantung pada jumlah komponen dalam resep gambar. **Untuk menjalankan pipeline gambar:** 1. Dari **pipeline Image**, pilih pipeline yang dibuat di[Konfigurasikan pipa gambar Image Builder](#image-builder-pipeline). 1. Dari **Tindakan**, pilih **Jalankan pipeline**. ## Daftarkan tumpukan perangkat lunak baru di RES Daftarkan tumpukan perangkat lunak baru di RES 1. Ikuti petunjuk [Tumpukan Perangkat Lunak () AMIs](software-stacks.md) untuk mendaftarkan tumpukan perangkat lunak. 1. Untuk **ID AMI**, masukkan ID AMI dari gambar keluaran bawaan[Jalankan pipa gambar Image Builder](#run-image-pipeline). # Ambang batas validasi sesi DCV yang dapat dikonfigurasi Ambang batas validasi sesi DCV Ketika sesi VDI dilanjutkan atau dimulai, RES berulang kali memeriksa apakah sesi DCV telah mencapai status READY. Jika sesi tidak siap dalam sejumlah percobaan ulang, itu ditandai sebagai ERROR. Ambang coba lagi ini dapat dikonfigurasi melalui tabel DynamoDB, memungkinkan administrator untuk `.cluster-settings` menyetelnya berdasarkan lingkungan mereka. Ini sangat berguna untuk lingkungan dengan waktu bootstrap yang lebih lama karena konfigurasi AMI khusus, instalasi perangkat lunak tambahan, atau logika pengaturan VDI lainnya. | Key | Deskripsi | Nilai default | | --- | --- | --- | | vdc.validation\$1request\$1threshold | Percobaan ulang maksimum sebelum menandai sesi yang tidak siap sebagai ERROR | 50 | | vdc.session\$1deleted\$1threshold | Percobaan ulang maksimum sebelum menandai sesi DIHAPUS sebagai ERROR | 15 | # Siapkan domain khusus setelah instalasi RES **catatan** *Prasyarat*: Anda harus menyimpan Sertifikat dan PrivateKey konten dalam rahasia Secrets Manager sebelum melakukan langkah-langkah ini. **Tambahkan sertifikat ke klien web** 1. Perbarui sertifikat yang dilampirkan ke pendengar penyeimbang beban external-alb: 1. **Arahkan ke penyeimbang beban eksternal RES di AWS konsol di bawah **EC2 > Load Balancing>** **Load Balancers**.** 1. Cari penyeimbang beban yang mengikuti konvensi `-external-alb` penamaan. 1. Periksa pendengar yang terpasang pada penyeimbang beban. 1. Perbarui pendengar yang memiliki SSL/TLS sertifikat Default yang dilampirkan dengan detail sertifikat baru. 1. Simpan perubahan Anda. 1. Dalam tabel pengaturan cluster: 1. Temukan tabel pengaturan cluster di DynamoDB -> Tabel ->. `.cluster-settings` 1. Pergi ke **Jelajahi Item** dan **Filter berdasarkan Atribut** — nama “kunci”, Ketik “string”, kondisi “berisi”, dan nilai “external\$1alb”. 1. Setel `cluster.load_balancers.external_alb.certificates.provided` ke Benar. 1. Perbarui nilai`cluster.load_balancers.external_alb.certificates.custom_dns_name`. Ini adalah nama domain khusus untuk antarmuka pengguna web. 1. Perbarui nilai`cluster.load_balancers.external_alb.certificates.acm_certificate_arn`. Ini adalah Nama Sumber Daya Amazon (ARN) untuk sertifikat terkait yang disimpan di Amazon Certificate Manager (ACM). 1. Perbarui catatan subdomain Route53 yang sesuai yang Anda buat untuk klien web Anda untuk menunjuk ke nama DNS penyeimbang beban alb eksternal. `-external-alb` 1. Jika SSO sudah dikonfigurasi di lingkungan, konfigurasikan ulang SSO dengan input yang sama seperti yang Anda gunakan awalnya dari tombol **Environment Management > **Identity management**** > **Single Sign-On > **Status** > **Edit** di** portal web RES. **Tambahkan sertifikat ke VDIs atau putar sertifikat** 1. Berikan izin aplikasi RES untuk melakukan GetSecret operasi pada rahasia dengan menambahkan tag berikut ke rahasia: + `res:EnvironmentName` : `` + `res:ModuleName` : `virtual-desktop-controller` 1. Dalam tabel pengaturan cluster: 1. Temukan tabel pengaturan cluster di DynamoDB -> Tabel ->. `.cluster-settings` 1. Pergi ke **Jelajahi Item** dan **Filter berdasarkan Atribut** — nama “kunci”, Ketik “string”, kondisi “berisi”, dan nilai “dcv\$1connection\$1gateway”. 1. Setel `vdc.dcv_connection_gateway.certificate.provided` ke Benar. 1. Perbarui nilai`vdc.dcv_connection_gateway.certificate.custom_dns_name`. Ini adalah nama domain khusus untuk akses VDI. 1. Perbarui nilai`vdc.dcv_connection_gateway.certificate.certificate_secret_arn`. Ini adalah ARN untuk rahasia yang menyimpan isi Sertifikat. 1. Perbarui nilai`vdc.dcv_connection_gateway.certificate.private_key_secret_arn`. Ini adalah ARN untuk rahasia yang menyimpan isi Kunci Pribadi. 1. Perbarui template peluncuran yang digunakan untuk instance gateway: 1. **Buka grup Auto Scaling di AWS Konsol di bawah **EC2** > Auto Scaling **> Auto** Scaling Groups.** 1. Pilih grup penskalaan otomatis gateway yang sesuai dengan lingkungan RES. Namanya mengikuti konvensi penamaan`-vdc-gateway-asg`. 1. Temukan dan buka Template Peluncuran di bagian detail. 1. Di bawah **Detail>** **Tindakan** > pilih **Ubah template** (Buat versi baru). 1. Gulir ke bawah ke **detail lanjutan**. 1. Gulir ke bagian paling bawah, ke **data Pengguna**. 1. Carilah kata-katanya `CERTIFICATE_SECRET_ARN` dan`PRIVATE_KEY_SECRET_ARN`. Perbarui nilai-nilai ini dengan ARNs diberikan ke rahasia yang menyimpan konten Sertifikat (lihat langkah 2.c) dan Kunci Pribadi (lihat langkah 2.d). 1. Pastikan grup Auto Scaling dikonfigurasi untuk menggunakan versi template peluncuran yang baru dibuat (dari halaman grup Auto Scaling). 1. Perbarui catatan subdomain Route53 yang sesuai yang Anda buat untuk desktop virtual Anda untuk menunjuk ke nama DNS penyeimbang beban nlb eksternal:. `-external-nlb` 1. Hentikan instance dcv-gateway yang ada: `-vdc-gateway` dan tunggu yang baru berputar. Instans dcv-gateway memeriksa setiap hari pada pukul 12:00 (tengah malam) UTC untuk perubahan pada sertifikat dan nilai kunci pribadi yang disimpan di Secrets Manager, dan secara otomatis mengambil dan menerapkan nilai baru jika diperbarui.