Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'ambiente
Dalla sezione Gestione dell'ambiente di Research and Engineering Studio, gli utenti amministrativi possono creare e gestire ambienti isolati per i propri progetti di ricerca e ingegneria. Questi ambienti possono includere risorse di elaborazione, storage e altri componenti necessari, il tutto all'interno di un ambiente sicuro. Gli utenti possono configurare e personalizzare questi ambienti per soddisfare i requisiti specifici dei propri progetti, semplificando la sperimentazione, il test e l'iterazione delle soluzioni senza influire su altri progetti o ambienti.
**Topics**
+ [Stato dell’ambiente](environment-status.md)
+ [Impostazioni dell'ambiente](environment-settings.md)
+ [Utenti](users.md)
+ [Gruppi](groups.md)
+ [Progetti](projects.md)
+ [Policy di autorizzazione](permission-profiles.md)
+ [File system](file-system.md)
+ [Gestione degli snapshot](snapshots.md)
+ [Bucket Amazon S3](S3-buckets.md)
# Stato dell’ambiente
La pagina **Environment Status** mostra il software e gli host distribuiti all'interno del prodotto. Include informazioni quali la versione del software, i nomi dei moduli e altre informazioni di sistema.
![\[Pagina sullo stato dell'ambiente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-environmentstatus.jpg)
# Impostazioni dell'ambiente
La pagina **delle impostazioni ambientali** mostra i dettagli di configurazione del prodotto, come:
+ Ambito generale
È possibile modificare il titolo e il sottotitolo del portale Web e aggiungere collegamenti personalizzati alla pagina di accesso del portale Web. Per configurare collegamenti personalizzati:
1. Passa a **Gestione dell'****ambiente > Impostazioni ambientali**.
1. Nella scheda **Generale**, scegli **Modifica**.
1. Nella sezione **Collegamenti personalizzati**, scegli **Aggiungi link**.
1. Inserisci un **titolo** e un **URL** per ogni link che desideri visualizzare nella pagina di accesso.
1. Scegli **Invia** per salvare le modifiche.
I link personalizzati vengono visualizzati nella pagina di accesso al portale Web, che consentono agli amministratori di indirizzare gli utenti verso risorse come la documentazione interna, le pagine di supporto o le politiche di utilizzo accettabile.
![\[Configurazione dei collegamenti personalizzati nelle impostazioni di ambiente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/web-links-edit-form.png)
+ Provider di identità
Visualizza informazioni come lo stato del Single Sign-On.
+ Rete
Visualizza l'ID VPC, l'elenco dei IDs prefissi per l'accesso.
+ Directory Service
Visualizza le impostazioni di Active Directory e l'ARN del gestore segreti degli account di servizio per nome utente e password.
# Utenti
Tutti gli utenti sincronizzati da Active Directory verranno visualizzati nella pagina Utenti. Gli utenti vengono sincronizzati dall'utente cluster-admin durante la configurazione del prodotto. Per ulteriori informazioni sulla configurazione iniziale dell'utente, consulta. [Guida alla configurazione](configuration-guide.md)
**Nota**
Gli amministratori possono creare sessioni solo per utenti attivi. Per impostazione predefinita, tutti gli utenti resteranno inattivi finché non accederanno all'ambiente del prodotto. Se un utente è inattivo, chiedigli di accedere prima di creare una sessione per lui.
![\[Utenti\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-users.jpg)
Dalla pagina **Utenti**, puoi:
1. Cerca gli utenti.
1. Quando è selezionato un nome utente, utilizza il menu **Azioni** per:
1. Imposta come utente amministratore
1. Disabilita utente
# Gruppi
Tutti i gruppi sincronizzati da Active Directory vengono visualizzati nella pagina Gruppi. Per ulteriori informazioni sulla configurazione e la gestione dei gruppi, consulta[Guida alla configurazione](configuration-guide.md).
![\[Gruppi\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-groups.jpg)
Dalla pagina **Gruppi**, puoi:
1. Cerca gruppi di utenti.
1. Quando è selezionato un gruppo di utenti, utilizzate il menu **Azioni** per disabilitare o abilitare un gruppo.
1. Quando è selezionato un gruppo di utenti, è possibile espandere il riquadro **Utenti** nella parte inferiore dello schermo per visualizzare gli utenti del gruppo.
# Progetti
I progetti costituiscono un limite per desktop virtuali, team e budget. Quando crei un progetto, ne definisci le impostazioni, come il nome, la descrizione e la configurazione dell'ambiente. I progetti includono in genere uno o più ambienti, che possono essere personalizzati per soddisfare i requisiti specifici del progetto, come il tipo e la dimensione delle risorse di elaborazione, lo stack software e la configurazione di rete.
**Topics**
+ [Visualizza i progetti](view-projects.md)
+ [Crea un progetto](create-project.md)
+ [Modifica un progetto](edit-project.md)
+ [Disabilita un progetto](disable-project.md)
+ [Elimina un progetto](delete-project.md)
+ [Aggiungere o rimuovere tag da un progetto](tag-project.md)
+ [Visualizza i file system associati a un progetto](view-project-file-systems.md)
+ [Aggiungi un modello di lancio](project-launch-template.md)
# Visualizza i progetti
![\[Progetti\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-projects.jpg)
La dashboard Progetti fornisce un elenco di progetti disponibili. Dalla dashboard Progetti, puoi:
1. Puoi utilizzare il campo di ricerca per trovare progetti.
1. Quando viene selezionato un progetto, puoi utilizzare il menu **Azioni** per:
1. Modificare un progetto
1. Disabilita o abilita un progetto
1. Aggiorna i tag del progetto
1. Elimina un progetto
1. Puoi scegliere **Crea progetto** per creare un nuovo progetto.
# Crea un progetto
1. Scegli **Crea progetto**.
1. Inserisci i dettagli del progetto.
L'ID del progetto è un tag di risorsa che può essere utilizzato per tenere traccia dell'allocazione dei costi in AWS Cost Explorer Service. Per ulteriori informazioni, vedere [Attivazione dei tag di allocazione dei costi definiti dall'utente](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html).
**Importante**
L'ID del progetto non può essere modificato dopo la creazione.
Per informazioni sulle **opzioni avanzate**, vedere[Aggiungi un modello di lancio](project-launch-template.md).
1. (Facoltativo) Attiva i budget per il progetto. Per ulteriori informazioni sui budget, consulta. [Monitoraggio e controllo dei costi](cost-management.md)
1. Il filesystem della directory home può utilizzare lo Shared Home Filesystem (impostazione predefinita), EFS, FSx per lo storage di volumi Lustre, FSx NetApp ONTAP o EBS.
Il file system home condiviso, EFS, FSx for Lustre e FSx NetApp ONTAP possono essere condivisi tra più progetti e. VDIs Tuttavia, l'opzione di storage su volumi EBS richiederà che ogni VDI di quel progetto abbia una propria home directory che non sia condivisa tra altri progetti. VDIs È inoltre possibile effettuare l'onboarding di più volumi da un unico file system FSx NetApp ONTAP.
![\[Crea un nuovo progetto con configurazioni delle risorse\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-create-new-project.png)
1. Assegna a utenti, gruppi o entrambi il ruolo appropriato («Membro del progetto» o «Proprietario del progetto»). Scopri [profili di autorizzazioni predefiniti](permission-matrix.md) le azioni che ogni ruolo può intraprendere.
1. Seleziona **Invia**.
# Modifica un progetto
1. Scegli un progetto nell'elenco dei progetti.
1. Dal menu **Azioni**, scegli **Modifica progetto**.
1. Inserisci i tuoi aggiornamenti.
Se intendi abilitare i budget, consulta [Monitoraggio e controllo dei costi](cost-management.md) per ulteriori informazioni. Quando scegli un budget per il progetto, potrebbero verificarsi alcuni secondi di ritardo nel caricamento delle opzioni del menu a discesa del budget: se non vedi il budget che hai appena creato, scegli il pulsante di aggiornamento accanto al menu a discesa.
Per informazioni sulle **opzioni avanzate, consulta**. [Aggiungi un modello di lancio](project-launch-template.md)
1. Seleziona **Invia**.
![\[Modificare un progetto\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-editproject.png)
# Disabilita un progetto
Per disabilitare un progetto:
1. Scegli un progetto nell'elenco dei progetti.
1. Dal menu **Azioni**, scegli **Disabilita progetto**.
![\[Pagina dei progetti che mostra le opzioni del menu a discesa delle azioni\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-disable-project1.png)
1. Se un progetto è disabilitato, tutte le sessioni VDI associate a quel progetto vengono interrotte. Queste sessioni non possono essere riavviate mentre il progetto è disabilitato.
![\[Pagina dei progetti che mostra con successo il banner di disabilitazione del progetto\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-disable-project2.png)
# Elimina un progetto
Per eliminare un progetto:
1. Scegli un progetto nell'elenco dei progetti.
1. Dal menu **Azioni**, scegli **Elimina progetto**.
![\[Pagina dei progetti che mostra le opzioni del menu a discesa delle azioni\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-delete-project1.png)
1. Viene visualizzato un pop-up di conferma. Inserisci il nome del progetto, quindi scegli **Sì** per eliminarlo.
![\[Elimina il pop-up di conferma dei progetti\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-delete-project-confirm.png)
1. Se un progetto viene eliminato, tutte le sessioni VDI associate a quel progetto vengono terminate.
![\[Pagina dei progetti in gestione ambientale con banner che mostra l'avvenuta eliminazione del progetto\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-delete-project3.png)
# Aggiungere o rimuovere tag da un progetto
I tag di progetto assegneranno tag a tutte le istanze create nell'ambito di quel progetto.
1. Scegliete un progetto nell'elenco dei progetti.
1. Dal menu **Azioni**, scegli **Aggiorna tag**.
1. Scegli **Aggiungi tag** e inserisci un valore per **Chiave**.
1. Per rimuovere i tag, scegli **Rimuovi** accanto al tag che desideri rimuovere.
# Visualizza i file system associati a un progetto
Quando viene selezionato un progetto, è possibile espandere il riquadro **File system** nella parte inferiore dello schermo per visualizzare i file system associati al progetto.
![\[Visualizza i file system associati a un progetto\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-projectfilesystems.jpg)
# Aggiungi un modello di lancio
Quando crei o modifichi un progetto, puoi aggiungere modelli di lancio utilizzando le **Opzioni avanzate** all'interno della configurazione del progetto. I modelli di avvio forniscono configurazioni aggiuntive, come gruppi di sicurezza, policy IAM e script di avvio per tutte le istanze VDI all'interno del progetto.
## Aggiungi politiche
Puoi aggiungere una policy IAM per controllare l'accesso VDI per tutte le istanze distribuite nell'ambito del tuo progetto. Per integrare una policy, contrassegna la policy con la seguente coppia chiave-valore:
```
res:Resource/vdi-host-policy
```
Per ulteriori informazioni sui ruoli IAM, consulta [Politiche e autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) in IAM.
### Aggiunta di gruppi di sicurezza
Puoi aggiungere un gruppo di sicurezza per controllare i dati in uscita e in ingresso per tutte le istanze VDI del tuo progetto. Per integrare un gruppo di sicurezza, tagga il gruppo di sicurezza con la seguente coppia chiave-valore:
```
res:Resource/vdi-security-group
```
Per ulteriori informazioni sui gruppi di sicurezza, consulta [Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) nella *Amazon VPC User Guide*.
### Aggiungi script di avvio
È possibile aggiungere script di avvio che verranno avviati in tutte le sessioni VDI all'interno del progetto. RES supporta l'avvio degli script per Linux e Windows. Per l'avvio dello script, puoi scegliere tra:
**Esegui script all'avvio di VDI**
Questa opzione avvia lo script all'inizio di un'istanza VDI prima dell'esecuzione di qualsiasi configurazione o installazione RES.
**Esegui lo script quando VDI è configurato**
Questa opzione avvia lo script dopo il completamento delle configurazioni RES.
Gli script supportano le seguenti opzioni:
| Configurazione degli script | Esempio |
| --- | --- |
| URI S3 | s3://bucketname/script.sh |
| HTTPS URL (URL HTTPS) | https://sample.samplecontent.com/esempio |
| File locale | file:///.sh user/scripts/example |
Tutti gli script personalizzati ospitati su un bucket S3 devono essere dotati del seguente tag:
```
res:EnvironmentName/
```
Per **Arguments**, fornisci tutti gli argomenti separati da una virgola.
![\[Esempio di configurazione di progetto\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-projectconfigexample.png)
Modelli di esempio per gli script di avvio.
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# Policy di autorizzazione
Research and Engineering Studio (RES) consente a un utente amministrativo di creare profili di autorizzazione personalizzati che concedono a utenti selezionati autorizzazioni aggiuntive per gestire il progetto di cui fanno parte. Ogni progetto è dotato di due [profili di autorizzazione predefiniti](permission-matrix.md): «Membro del progetto» e «Proprietario del progetto» che possono essere personalizzati dopo la distribuzione.
Attualmente, gli amministratori possono concedere due raccolte di autorizzazioni utilizzando un profilo di autorizzazione:
1. Autorizzazioni di gestione del progetto che consistono in «Aggiorna l'appartenenza al progetto», che consente a un utente designato di aggiungere o rimuovere altri utenti e gruppi da un progetto, e «Aggiorna lo stato del progetto», che consente a un utente designato di abilitare o disabilitare un progetto.
1. Autorizzazioni di gestione delle sessioni VDI che consistono in «Crea sessione» che consente a un utente designato di creare una sessione VDI all'interno del proprio progetto e «Creazione/terminazione della sessione di un altro utente» che consente a un utente designato di creare o terminare le sessioni di altri utenti all'interno di un progetto.
In questo modo, gli amministratori possono delegare le autorizzazioni basate sul progetto ai non amministratori del proprio ambiente.
**Topics**
+ [Autorizzazioni per la gestione del progetto](permission-profiles-permission-project-management.md)
+ [Autorizzazioni per la gestione delle sessioni VDI](permission-profiles-permission-vdi-sessions.md)
+ [Gestione dei profili di autorizzazione](permission-profiles-permission-management.md)
+ [profili di autorizzazioni predefiniti](permission-matrix.md)
+ [Limiti dell'ambiente](permission-profiles-environment-boundaries.md)
+ [profili di condivisione del desktop](permission-profiles-desktop-sharing-profiles.md)
# Autorizzazioni per la gestione del progetto
**Aggiorna l'appartenenza al progetto **
Questa autorizzazione consente agli utenti non amministratori a cui è stata concessa di aggiungere e rimuovere utenti o gruppi da un progetto. Consente inoltre loro di impostare il profilo di autorizzazione e decidere il livello di accesso per tutti gli altri utenti e gruppi per quel progetto.
![\[Finestra pop-up per le configurazioni del team\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-update-project-membership.png)
**Aggiorna lo stato del progetto **
Questa autorizzazione consente agli utenti non amministratori a cui è stata concessa di abilitare o disabilitare un progetto utilizzando il pulsante **Azioni** nella pagina **Progetti**.
![\[Finestra dei progetti della console di amministrazione sotto la gestione dell'ambiente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-update-project-status.png)
# Autorizzazioni per la gestione delle sessioni VDI
**Creazione di una sessione**
Controlla se un utente è autorizzato o meno ad avviare la propria sessione VDI dalla pagina I **miei desktop virtuali**. Disabilita questa opzione per negare agli utenti non amministratori la possibilità di avviare le proprie sessioni VDI. Gli utenti possono sempre interrompere e terminare le proprie sessioni VDI.
Se un utente non amministratore non dispone delle autorizzazioni per creare una sessione, il pulsante **Avvia nuovo desktop virtuale** verrà disabilitato per lui come illustrato di seguito:
![\[gli utenti non amministratori senza autorizzazioni hanno il pulsante di avvio del nuovo desktop virtuale disabilitato\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**Crea o termina le sessioni di altri**
Consente agli utenti non amministratori di accedere alla pagina **Sessioni** dal riquadro di navigazione a sinistra. Questi utenti saranno in grado di avviare sessioni VDI per altri utenti nei progetti per i quali è stata concessa questa autorizzazione.
Se un utente non amministratore è autorizzato ad avviare sessioni per altri utenti, nel riquadro di navigazione a sinistra verrà visualizzato il collegamento **Sessioni in Gestione delle sessioni****, come illustrato di seguito**:
![\[Finestra pop-up non amministrativa per la gestione delle sessioni\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-nonadmin-link-displayed.png)
Se un utente non amministratore non dispone dell'autorizzazione per creare sessioni per altri utenti, nel riquadro di navigazione a sinistra non verrà visualizzata la funzione Gestione delle **sessioni**, come illustrato di seguito:
![\[il link alla gestione delle sessioni è nascosto agli utenti non amministratori senza l'autorizzazione a creare sessioni per altri\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-nonadmin-hidden-link.png)
# Gestione dei profili di autorizzazione
In qualità di amministratore RES, è possibile eseguire le seguenti azioni per gestire i profili di autorizzazione.
**Elenca i profili di autorizzazione**
+ Dalla pagina della console di Research and Engineering Studio, scegli **Politica di autorizzazione** nel riquadro di navigazione a sinistra. Da questa pagina è possibile creare, aggiornare, elencare, visualizzare ed eliminare i profili di autorizzazione.
![\[gli amministratori possono elencare i profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/project-roles.png)
**Visualizzare i profili di autorizzazione**
1. Nella pagina principale **dei profili di autorizzazione**, seleziona il nome del profilo di autorizzazione che desideri visualizzare. Da questa pagina è possibile modificare o eliminare il profilo di autorizzazione selezionato.
![\[gli amministratori possono modificare o eliminare i profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-permission-profiles-view-1.png)
1. Seleziona la scheda **Progetti interessati** per visualizzare i progetti che attualmente utilizzano il profilo di autorizzazione.
![\[gli amministratori possono visualizzare i progetti interessati dai profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-permission-profiles-view-2.png)
**Creare profili di autorizzazione**
1. Nella pagina principale **dei profili di autorizzazione**, scegli **Crea profilo** per creare un profilo di autorizzazione.
1. Inserisci il nome e la descrizione del profilo di autorizzazione, quindi seleziona le autorizzazioni da concedere agli utenti o ai gruppi da assegnare a questo profilo.
![\[gli amministratori possono creare profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-permission-profiles-create.png)
**Modificare i profili di autorizzazione**
+ Nella pagina principale **dei profili di autorizzazione**, seleziona un profilo facendo clic sul cerchio accanto ad esso, scegli **Azioni**, quindi scegli **Modifica profilo** per aggiornare il profilo di autorizzazione.
![\[gli amministratori possono modificare i profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-permission-profiles-edit.png)
**Eliminare i profili di autorizzazione**
+ Nella pagina principale **dei profili di autorizzazione**, seleziona un profilo facendo clic sul cerchio accanto ad esso, scegli **Azioni**, quindi scegli **Elimina profilo**. Non è possibile eliminare un profilo di autorizzazione utilizzato da qualsiasi progetto esistente.
![\[gli amministratori possono eliminare i profili di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-permission-profiles-delete.png)
# profili di autorizzazioni predefiniti
Ogni progetto RES è dotato di due profili di autorizzazione predefiniti che gli amministratori globali possono configurare. (Inoltre, gli amministratori globali possono creare e modificare nuovi profili di autorizzazione per un progetto.) La tabella seguente mostra le autorizzazioni consentite per i profili di autorizzazione predefiniti: «Membro del progetto» e «Proprietario del progetto». I profili di autorizzazione e le autorizzazioni che concedono a determinati utenti di un progetto si applicano solo al progetto a cui appartengono; gli amministratori globali sono utenti privilegiati che dispongono di tutte le autorizzazioni seguenti per tutti i progetti.
| Permissions | Description | Membro del progetto | Proprietario del progetto |
| --- | --- | --- | --- |
| Crea sessione | Crea la tua sessione. Gli utenti possono sempre interrompere e terminare le proprie sessioni con o senza questa autorizzazione. | X | X |
| Creare/terminare le sessioni altrui | Creare o terminare la sessione di un altro utente all'interno di un progetto. | | X |
| Aggiorna l'appartenenza al progetto | Aggiorna utenti e gruppi associati a un progetto. | | X |
| Aggiorna lo stato del progetto | Abilita o disabilita un progetto. | | X |
# Limiti dell'ambiente
I limiti dell'ambiente consentono agli amministratori di Research and Engineering Studio (RES) di configurare le autorizzazioni che avranno effetto a livello globale per tutti gli utenti. **Ciò include autorizzazioni come le autorizzazioni **File Browser e SSH, le autorizzazioni** desktop e le impostazioni **avanzate del desktop**.**
![\[confini dell'ambiente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-environment-boundaries.png)
# Configurazione dell'accesso al file browser
**Gli amministratori RES possono attivare o disattivare **i dati di accesso** nelle autorizzazioni del browser di file.** Se **i dati di Access** sono disattivati, gli utenti non vedranno la navigazione di **File Browser** nel loro portale web e non potranno caricare o scaricare i dati allegati al loro file system globale. Quando **i dati di Access** sono abilitati, gli utenti hanno accesso alla navigazione in **File Browser** nel proprio portale Web, che consente loro di caricare o scaricare dati allegati al proprio file system globale.
![\[confini ambientali\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-disabled.png)
Quando la funzionalità **Access data** è attivata e successivamente disattivata, gli utenti che hanno già effettuato l'accesso al portale web non saranno in grado di caricare o scaricare file, anche se si trovano nella pagina corrispondente. Inoltre, il menu di navigazione scompare quando aggiornano la pagina.
# Configurazione dell'accesso SSH
Gli amministratori possono abilitare o disabilitare SSH per l'ambiente RES dalla sezione **Limiti dell'ambiente**. L'accesso SSH a VDIs è facilitato tramite un host bastion. Quando attivi questo interruttore, RES implementa un bastion host e rende visibile agli utenti la pagina delle istruzioni di accesso SSH. Quando si disattiva l'interruttore, RES disabilita l'accesso SSH, chiude l'host bastion e rimuove la pagina delle istruzioni di accesso SSH per gli utenti. Questo interruttore è disattivato per impostazione predefinita.
**Nota**
Quando RES implementa un bastion host, aggiunge un'istanza Amazon `t3.medium` EC2 nel tuo account. AWS Sei responsabile di tutti gli addebiti associati a questa istanza. Per ulteriori informazioni, consulta la [pagina dei prezzi di Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
**Per abilitare l'accesso SSH**
1. Nella console RES, nel riquadro di navigazione a sinistra, scegli **Gestione dell'ambiente**, quindi **Politica di autorizzazione**. In **Limiti ambientali**, seleziona l'**interruttore di accesso SSH**.
![\[Pagina della politica di autorizzazione nella sezione Gestione dell'ambiente nella console di amministrazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. Attendi che l'accesso SSH sia abilitato.
![\[Il banner informativo viene visualizzato nella pagina della politica di autorizzazione in Gestione dell'ambiente nella console di amministrazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-enable-ssh.png)
1. Una volta aggiunto l'host Bastion, l'accesso SSH è abilitato.
![\[Pagina della politica di autorizzazione nella gestione dell'ambiente nella console di amministrazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-enabled.png)
La pagina delle **istruzioni di accesso SSH** è visibile agli utenti dal riquadro di navigazione a sinistra.
![\[Pagina delle istruzioni di accesso SSH che mostra i passaggi per Linux e Windows\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**Per disabilitare l'accesso SSH**
1. Nella console RES, nel riquadro di navigazione a sinistra, scegli **Gestione dell'ambiente**, quindi **Politica di autorizzazione**. In **Limiti ambientali**, seleziona l'**interruttore di accesso SSH**.
![\[Pagina della politica di autorizzazione nella sezione Gestione dell'ambiente nella console di amministrazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. Attendi che l'accesso SSH sia disabilitato.
![\[Un banner mostra che l'accesso SSH è disabilitato nella pagina della politica di autorizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-disable-ssh.png)
1. Una volta completato il processo, l'accesso SSH viene disabilitato.
![\[Pagina della politica di autorizzazione che mostra l'accesso SSH disabilitato\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-ssh-disabled.png)
# Configurazione delle autorizzazioni del desktop
Gli amministratori possono attivare o disattivare le **autorizzazioni del desktop** per gestire a livello globale la funzionalità VDI di tutti i proprietari di sessioni. Tutte queste autorizzazioni, o un sottoinsieme, possono essere utilizzate per creare **profili di condivisione del desktop** che determinano le azioni che gli utenti con cui è condiviso un desktop possono eseguire. Se un'autorizzazione desktop è disabilitata, verranno disattivate automaticamente le autorizzazioni corrispondenti nei profili di condivisione del **desktop**. Queste autorizzazioni saranno etichettate come «Disattivate a livello globale». Anche se l'amministratore abilita nuovamente questa autorizzazione desktop, l'autorizzazione nel profilo di condivisione desktop rimarrà disabilitata finché l'amministratore non la abilita manualmente.
![\[confini dell'ambiente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/permission-policy-environment-boundaries.png)
# profili di condivisione del desktop
Gli amministratori possono creare nuovi profili e personalizzarli. Questi profili sono accessibili a tutti gli utenti e vengono utilizzati quando si condivide una sessione con altri. Le autorizzazioni massime concesse all'interno di questi profili non possono superare le autorizzazioni desktop consentite a livello globale.
**Crea profilo**
Gli amministratori possono scegliere **Crea profilo** per creare un nuovo profilo. Quindi possono inserire un **nome di profilo**, una **descrizione del profilo**, impostare le autorizzazioni desiderate e **salvare le modifiche**.
![\[profili di condivisione del desktop\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/desktop-sharing-profiles.png)
![\[definizione del profilo e autorizzazioni\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-profile-definition.png)
**Modifica profilo**
**Per modificare un profilo:**
1. Seleziona il profilo desiderato.
1. Scegli **Azioni**, quindi seleziona **Modifica** per modificare il profilo.
1. Modifica le autorizzazioni in base alle esigenze.
1. Scegli **Save changes** (Salva modifiche).
Qualsiasi modifica apportata al profilo verrà immediatamente applicata alle sessioni aperte correnti.
![\[profili di condivisione del desktop con testprofile_1 selezionato\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[definizione del profilo e autorizzazioni per TestProfile_1\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-profile-definition2.png)
# File system
![\[file system\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/home-file-systems.png)
Dalla pagina File system è possibile:
1. Cercare i file system.
1. Quando è selezionato un file system, utilizzate il menu **Azioni** per:
1. Aggiungere il file system a un progetto.
1. Rimuovere il file system da un progetto
1. Incorpora un nuovo file system.
1. Quando viene selezionato un file system, è possibile espandere il riquadro nella parte inferiore dello schermo per visualizzare i dettagli del file system.
**Topics**
+ [Incorpora un file system](onboard-file-system.md)
# Incorpora un file system
**Nota**
Per eseguire correttamente l'onboard di un file system, è necessario che condivida lo stesso VPC e almeno una delle sottoreti RES. È inoltre necessario assicurarsi di avere il gruppo di sicurezza configurato correttamente in modo da VDIs avere accesso ai contenuti del file system.
1. Scegli **Onboard File System.**
1. Seleziona un file system dal menu a discesa. Il modale si espanderà con ulteriori inserimenti di dettagli.
![\[Seleziona il file system\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-selectfilesystem.jpg)
1. Inserisci i dettagli del file system.
**Nota**
Per impostazione predefinita, gli amministratori e i proprietari del progetto hanno la possibilità di scegliere un file system home quando creano un nuovo progetto, che non può essere modificato in seguito.
**I file system destinati a essere utilizzati come home directory nei progetti devono essere inseriti impostando il relativo percorso Mount Directory su.** `/home` Questo popolerà il filesystem integrato nelle opzioni a discesa del filesystem della home directory. Questa funzionalità aiuta a mantenere i dati isolati tra i progetti poiché solo gli utenti associati al progetto avranno accesso al file system tramite i propri. VDIs VDIs monterà il filesystem nel punto di montaggio selezionato durante l'onboarding di un filesystem.
1. Seleziona **Invia**.
![\[Seleziona il file system\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-filesystemdetails.jpg)
## Più volumi da un unico file system ONTAP
RES supporta l'onboarding di più volumi da un unico file system per NetApp ONTAP. Ciò consente agli amministratori di organizzare i dati su volumi separati all'interno dello stesso file system ONTAP, rendendo ogni volume disponibile in modo indipendente per i progetti.
Per inserire volumi aggiuntivi da un file system ONTAP già integrato:
1. **Scegli Onboard File System.**
1. Seleziona lo stesso file system ONTAP dal menu a discesa.
1. Nel campo **Volume**, seleziona un volume diverso dal file system.
1. Specificate una **directory di montaggio** unica per questo volume.
1. Seleziona **Invia**.
**Nota**
Ogni volume dello stesso file system ONTAP deve essere integrato con una directory di montaggio unica. I volumi possono essere assegnati in modo indipendente a diversi progetti.
# Gestione degli snapshot
La gestione delle istantanee semplifica il processo di salvataggio e migrazione dei dati tra ambienti, garantendo coerenza e precisione. Con le istantanee, è possibile salvare lo stato dell'ambiente e migrare i dati in un nuovo ambiente con lo stesso stato.
![\[Pagina di gestione delle istantanee\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-snapshotmanagement.png)
Dalla pagina di **gestione delle istantanee**, è possibile:
1. Visualizzare tutte le istantanee create e il relativo stato.
1. Crea un'istantanea. Prima di poter creare un'istantanea, è necessario creare un bucket con le autorizzazioni appropriate.
1. Visualizza tutte le istantanee applicate e il relativo stato.
1. Applica un'istantanea.
**Topics**
+ [Creazione di una snapshot](create-snapshot.md)
+ [Applica un'istantanea](apply-snapshot.md)
# Creazione di una snapshot
Prima di poter creare uno snapshot, devi fornire a un bucket Amazon S3 le autorizzazioni necessarie. Per informazioni sulla creazione di un bucket, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Abilita il controllo delle versioni del bucket e la registrazione degli accessi al server. Queste impostazioni possono essere abilitate dalla scheda **Proprietà** del bucket dopo il provisioning.
**Nota**
Il ciclo di vita di questo bucket Amazon S3 non verrà gestito all'interno del prodotto. Dovrai gestire il ciclo di vita del bucket dalla console.
**Per aggiungere autorizzazioni al bucket:**
1. **Seleziona il bucket che hai creato dall'elenco dei bucket.**
1. Seleziona la scheda **Autorizzazioni**.
1. In **Policy del bucket**, scegli **Modifica**.
1. Aggiungi la seguente dichiarazione alla policy del bucket. Sostituire questi valori con i propri valori:
+ *111122223333*-> l'ID del tuo AWS account
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> il nome del tuo ambiente RES
+ *amzn-s3-demo-bucket*-> il nome del tuo bucket S3
**Importante**
Esistono stringhe di versione limitate supportate da. AWS Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Per creare l'istantanea:**
1. Selezionare **Create Snapshot (Crea snapshot)**.
1. Inserisci il nome del bucket Amazon S3 che hai creato.
1. Inserisci il percorso in cui desideri che lo snapshot venga archiviato all'interno del bucket. Ad esempio, **october2023/23**.
1. Seleziona **Invia**.
![\[Crea una nuova istantanea\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-createsnapshot.png)
1. Dopo cinque-dieci minuti, scegli **Aggiorna** nella pagina Istantanee per verificare lo stato. Un'istantanea non sarà valida finché lo stato non passerà da IN\$1PROGRESS a COMPLETED.
# Applica un'istantanea
Dopo aver creato un'istantanea di un ambiente, è possibile applicarla a un nuovo ambiente per migrare i dati. Dovrai aggiungere una nuova policy al bucket che consenta all'ambiente di leggere l'istantanea.
L'applicazione di un'istantanea copia dati quali autorizzazioni utente, progetti, stack software, profili di autorizzazione e file system con le relative associazioni in un nuovo ambiente. Le sessioni utente non verranno replicate. Quando viene applicata, l'istantanea controlla le informazioni di base di ogni record di risorse per determinare se esiste già. Per i record duplicati, l'istantanea salta la creazione di risorse nel nuovo ambiente. Per i record simili, ad esempio che condividono un nome o una chiave, ma le altre informazioni di base sulle risorse variano, verrà creato un nuovo record con un nome e una chiave modificati utilizzando la seguente convenzione:. `RecordName_SnapshotRESVersion_ApplySnapshotID` `ApplySnapshotID`Sembra un timestamp e identifica ogni tentativo di applicare un'istantanea.
Durante l'applicazione dello snapshot, l'istantanea verifica la disponibilità delle risorse. La risorsa non disponibile per il nuovo ambiente non verrà creata. Per le risorse con una risorsa dipendente, l'istantanea verifica la disponibilità della risorsa dipendente. Se la risorsa dipendente non è disponibile, creerà la risorsa principale senza la risorsa dipendente.
Se il nuovo ambiente non è come previsto o non funziona, puoi controllare CloudWatch i log trovati nel gruppo di log `/res-/cluster-manager` per i dettagli. Ogni registro avrà il tag [apply snapshot]. Dopo aver applicato un'istantanea, puoi controllarne lo stato dalla [Gestione degli snapshot](snapshots.md) pagina.
**Per aggiungere autorizzazioni al bucket:**
1. **Seleziona il bucket che hai creato dall'elenco dei bucket.**
1. Seleziona la scheda **Autorizzazioni**.
1. In **Policy del bucket**, scegli **Modifica**.
1. Aggiungi la seguente dichiarazione alla policy del bucket. Sostituire questi valori con i propri valori:
+ *111122223333*-> l'ID del tuo AWS account
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> il nome del tuo ambiente RES
+ *amzn-s3-demo-bucket*-> il nome del tuo bucket S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**Per applicare un'istantanea:**
1. Scegli **Applica istantanea**.
1. Inserisci il nome del bucket Amazon S3 contenente lo snapshot.
1. Inserisci il percorso del file dello snapshot all'interno del bucket.
1. Seleziona **Invia**.
![\[Applica un'istantanea\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-applysnapshot.png)
1. Dopo cinque-dieci minuti, scegli **Aggiorna** nella pagina di gestione delle istantanee per verificarne lo stato.
# Bucket Amazon S3
Research and Engineering Studio (RES) supporta il montaggio di [bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) su istanze Linux Virtual Desktop Infrastructure (VDI). **Gli amministratori RES possono inserire i bucket S3 in RES, collegarli ai progetti, modificarne la configurazione e rimuovere i bucket nella scheda S3 bucket in Gestione ambientale.**
La dashboard dei bucket S3 fornisce un elenco di bucket S3 integrati disponibili. Dalla dashboard dei bucket S3, puoi:
1. Usa **Aggiungi bucket per inserire un bucket** S3 in RES.
1. **Seleziona un bucket S3 e usa il menu Azioni per:**
+ Modificare un bucket
+ Rimuovi un secchio
1. Usa il campo di ricerca per cercare in base al nome del bucket e trovare i bucket S3 integrati.
![\[L'elenco dei bucket S3 ti consente di cercare per nome del bucket e di trovare i bucket integrati\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/docs-list-bucket.png)
Le seguenti sezioni descrivono come gestire i bucket Amazon S3 nei tuoi progetti RES.
**Topics**
+ [Prerequisiti del bucket Amazon S3 per distribuzioni VPC isolate](S3-buckets-prereqs.md)
+ [Aggiungi un bucket Amazon S3](S3-buckets-add.md)
+ [Modifica un bucket Amazon S3](S3-buckets-edit.md)
+ [Rimuovere un bucket Amazon S3](S3-buckets-remove.md)
+ [Isolamento dei dati](S3-buckets-data-isolation.md)
+ [Accesso a diversi bucket di account](S3-buckets-cross-account-access.md)
+ [Prevenzione dell'esfiltrazione dei dati in un VPC privato](S3-buckets-preventing-exfiltration.md)
+ [Risoluzione dei problemi](S3-buckets-troubleshooting.md)
+ [Abilitazione CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Prerequisiti del bucket Amazon S3 per distribuzioni VPC isolate
Se stai implementando Research and Engineering Studio in un VPC isolato, segui questi passaggi per aggiornare i parametri di configurazione lambda dopo aver distribuito RES nel tuo account. AWS
1. Accedi alla console Lambda dell' AWS account in cui è distribuito Research and Engineering Studio.
1. Trova e vai alla funzione Lambda denominata. `-vdc-custom-credential-broker-lambda`
1. Seleziona la scheda **Configurazione** della funzione.
![\[variabile di ambiente VPC isolata\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Nel pannello di navigazione, scegli **Variabili di ambiente** per visualizzare quella sezione.
1. Scegliete **Modifica** e aggiungete la seguente nuova variabile di ambiente alla funzione:
+ Chiave: `AWS_STS_REGIONAL_ENDPOINTS`
+ Valore: `regional`
1. Scegli **Save** (Salva).
# Aggiungi un bucket Amazon S3
**Per aggiungere un bucket S3 al tuo ambiente RES:**
1. Scegliere **Add bucket (Aggiungi bucket)**.
1. Inserisci i dettagli del bucket come il nome del bucket, l'ARN e il punto di montaggio.
**Importante**
L'ARN, il punto di montaggio e la modalità del bucket forniti non possono essere modificati dopo la creazione.
L'ARN del bucket può contenere un prefisso che isolerà il bucket S3 integrato in base a quel prefisso.
1. Seleziona una modalità in cui inserire il tuo bucket.
**Importante**
[Isolamento dei dati](S3-buckets-data-isolation.md)Per ulteriori informazioni relative all'isolamento dei dati con modalità specifiche, consulta.
1. In **Opzioni avanzate**, puoi fornire un ruolo IAM ARN per montare i bucket per l'accesso tra account. Segui i passaggi indicati [Accesso a diversi bucket di account](S3-buckets-cross-account-access.md) per creare il ruolo IAM richiesto per l'accesso da più account.
1. (Facoltativo) Associa il bucket ai progetti, che possono essere modificati in seguito. Tuttavia, un bucket S3 non può essere montato nelle sessioni VDI esistenti di un progetto. Solo le sessioni avviate dopo che il progetto è stato associato al bucket monteranno il bucket.
1. Seleziona **Invia**.
![\[Aggiungi la pagina del bucket che mostra i campi di configurazione del bucket disponibili e il pulsante di invio\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/docs-add-bucket.png)
# Modifica un bucket Amazon S3
1. Seleziona un bucket S3 nell'elenco dei bucket S3.
1. **Dal menu **Azioni**, seleziona Modifica.**
1. Inserisci i tuoi aggiornamenti.
**Importante**
L'associazione di un progetto a un bucket S3 **non** comporterà il montaggio del bucket sulle istanze VDI (Virtual Desktop Infrastructure) esistenti di quel progetto. Il bucket verrà montato solo nelle sessioni VDI avviate in un progetto dopo che il bucket sarà stato associato a quel progetto.
La dissociazione di un progetto da un bucket S3 non influirà sui dati contenuti nel bucket S3, ma comporterà la perdita dell'accesso a tali dati da parte degli utenti desktop.
1. **Scegli** Save bucket setup.
![\[La pagina Modifica S3 Bucket con il nome visualizzato e i campi di associazione del progetto inseriti e il pulsante Salva configurazione del bucket evidenziato\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/docs-edit-bucket.png)
# Rimuovere un bucket Amazon S3
1. Seleziona un bucket S3 nell'elenco dei bucket S3.
1. **Dal menu **Azioni**, seleziona Rimuovi.**
**Importante**
È innanzitutto necessario rimuovere tutte le associazioni di progetto dal bucket.
L'operazione di rimozione non ha alcun impatto sui dati nel bucket S3. Rimuove solo l'associazione del bucket S3 con RES.
La rimozione di un bucket farà sì che le sessioni VDI esistenti perderanno l'accesso al contenuto di quel bucket alla scadenza delle credenziali di quella sessione (\$11 ora).
# Isolamento dei dati
Quando aggiungi un bucket S3 a RES, hai la possibilità di isolare i dati all'interno del bucket per progetti e utenti specifici. Nella pagina **Aggiungi Bucket**, puoi selezionare una modalità di sola lettura (R) o Lettura e scrittura (R/W).
**Sola lettura**
Se `Read Only (R)` selezionato, l'isolamento dei dati viene applicato in base al prefisso del bucket ARN (Amazon Resource Name). Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'`arn:aws:s3:::bucket-name/example-data/`ARN e lo associa al Progetto A e al Progetto B, gli utenti che eseguono l' VDIs avvio dall'interno del Progetto A e del Progetto B possono leggere solo i dati che si trovano sotto il percorso. `bucket-name` `/example-data` Non avranno accesso ai dati al di fuori di quel percorso. Se non viene aggiunto alcun prefisso al bucket ARN, l'intero bucket verrà reso disponibile per qualsiasi progetto ad esso associato.
**Leggi e scrivi**
Se `Read and Write (R/W)` è selezionata, l'isolamento dei dati viene comunque applicato in base al prefisso del bucket ARN, come descritto sopra. Questa modalità dispone di opzioni aggiuntive per consentire agli amministratori di fornire prefissi basati su variabili per il bucket S3. Quando `Read and Write (R/W)` è selezionata, diventa disponibile una sezione Prefisso personalizzato che offre un menu a discesa con le seguenti opzioni:
+ Nessun prefisso personalizzato
+ /%p
+ /%p/%u
![\[Aggiungi una pagina bucket con il menu a discesa con prefisso personalizzato visualizzato\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/add-bucket-custom-prefix.png)
**Nessun isolamento dei dati personalizzato **
Quando `No custom prefix` è selezionato per **Prefisso personalizzato**, il bucket viene aggiunto senza alcun isolamento dei dati personalizzato. Ciò consente a tutti i progetti associati al bucket di avere accesso in lettura e scrittura. Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'`arn:aws:s3:::bucket-name`ARN `No custom prefix` con selected e lo associa al Progetto A e al Progetto B, gli utenti che eseguono l' VDIs avvio dall'interno del Progetto A e del Progetto B avranno accesso illimitato in lettura e scrittura al bucket.
**Isolamento dei dati a livello di progetto **
Quando `/%p` è selezionato per **Prefisso personalizzato**, i dati nel bucket vengono isolati per ogni progetto specifico ad esso associato. La `%p` variabile rappresenta il codice del progetto. Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'`arn:aws:s3:::bucket-name`ARN `/%p` con selected e **un Mount** Point */bucket* di e associa questo bucket al Progetto A e al Progetto B, l'utente A nel Progetto A può scrivere un file su. */bucket* L'utente B del Progetto A può anche vedere il file in cui ha scritto l'utente A. */bucket* Tuttavia, se l'utente B avvia un VDI nel Progetto B e lo cerca*/bucket*, non vedrà il file scritto dall'utente A, poiché i dati sono isolati dal progetto. Il file scritto dall'utente A si trova nel bucket S3 sotto il prefisso, `/ProjectA` mentre l'utente B può accedervi solo `/ProjectB` quando lo utilizza dal Progetto B. VDIs
**Isolamento dei dati a livello di progetto e utente **
Quando `/%p/%u` è selezionato per **Prefisso personalizzato**, i dati nel bucket vengono isolati per ogni progetto specifico e utente associato a quel progetto. La `%p` variabile rappresenta il codice del progetto e `%u` rappresenta il nome utente. Ad esempio, un amministratore aggiunge un bucket a RES utilizzando l'`arn:aws:s3:::bucket-name`ARN `/%p/%u` con selected e un Mount Point di. */bucket* Questo bucket è associato al Progetto A e al Progetto B. L'utente A del Progetto A può scrivere un file. */bucket* A differenza dello scenario precedente con il solo `%p` isolamento, l'utente B in questo caso non vedrà il file scritto dall'utente A nel Progetto A in*/bucket*, poiché i dati sono isolati sia dal progetto che dall'utente. Il file scritto dall'utente A si trova nel bucket S3 sotto il prefisso, `/ProjectA/UserA` mentre l'utente B può accedervi solo `/ProjectA/UserB` quando lo utilizza nel Progetto A. VDIs
# Accesso a diversi bucket di account
RES ha la capacità di montare bucket da altri AWS account, a condizione che questi bucket abbiano le autorizzazioni giuste. Nello scenario seguente, un ambiente RES nell'Account A desidera montare un bucket S3 nell'Account B.
**Fase 1: Creare un ruolo IAM nell'account in cui viene distribuito RES *(questo ruolo verrà denominato Account A*):**
1. Accedi alla console di AWS gestione per l'account RES che deve accedere al bucket S3 (account A).
1. Apri la console IAM:
1. Passa alla dashboard IAM.
1. Nel riquadro di navigazione, scegli **Policy**.
1. Crea una policy:
1. Scegli **Crea policy**.
1. Seleziona la scheda **JSON**.
1. Incolla la seguente politica JSON (`amzn-s3-demo-bucket`sostituiscila con il nome del bucket S3 situato nell'account B):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Scegli **Next (Successivo)**.
1. Rivedi e crea la politica:
1. Fornisci un nome per la politica (ad esempio, «AccessPolicyS3").
1. Aggiungi una descrizione opzionale per spiegare lo scopo della politica.
1. Rivedi la politica e scegli **Crea politica**.
1. Apri la console IAM:
1. Passa alla dashboard IAM.
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Crea un ruolo:
1. Scegli **Crea ruolo**.
1. Scegli la **politica di fiducia personalizzata** come tipo di entità affidabile.
1. Incolla la seguente politica JSON (`111122223333`sostituiscila con l'ID account effettivo dell'account A e `{RES_ENVIRONMENT_NAME}` con il nome dell'ambiente della distribuzione RES):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Scegli **Next (Successivo)**.
1. Allega politiche di autorizzazione:
1. Cerca e seleziona la politica che hai creato in precedenza.
1. Scegli **Next (Successivo)**.
1. Etichetta, rivedi e crea il ruolo:
1. Inserisci il nome di un ruolo (ad esempio, «AccessRoleS3").
1. Nel passaggio 3, scegli **Aggiungi tag**, quindi inserisci la chiave e il valore seguenti:
+ Chiave: `res:Resource`
+ Valore: `s3-bucket-iam-role`
1. Rivedi il ruolo e scegli **Crea ruolo**.
1. Usa il ruolo IAM in RES:
1. Copia l'ARN del ruolo IAM che hai creato.
1. Accedi alla console RES.
1. Nel riquadro di navigazione a sinistra, scegli **S3 Bucket**.
1. Scegli **Aggiungi bucket** e compila il modulo con l'ARN del bucket S3 multiaccount.
1. Scegli le impostazioni **avanzate** (menu a discesa opzionale).
1. Inserisci il ruolo ARN nel campo ARN del ruolo IAM.
1. Scegli **Aggiungi secchio**.
**Passaggio 2: modifica la politica del bucket nell'account B**
1. Accedi alla console di AWS gestione per l'account B.
1. Apri la console S3:
1. Vai alla dashboard di S3.
1. Seleziona il bucket a cui vuoi concedere l'accesso.
1. Modifica la politica del bucket:
1. Seleziona la scheda **Autorizzazioni** e scegli la politica **Bucket**.
1. Aggiungi la seguente policy per concedere al ruolo IAM dell'Account A l'accesso al bucket (sostituiscilo *111122223333* con l'ID account effettivo dell'Account A e *amzn-s3-demo-bucket* con il nome del bucket S3):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Scegli **Save** (Salva).
# Prevenzione dell'esfiltrazione dei dati in un VPC privato
Per impedire agli utenti di esfiltrare i dati dai bucket S3 sicuri nei propri bucket S3 del proprio account, puoi collegare un endpoint VPC per proteggere il tuo VPC privato. I passaggi seguenti mostrano come creare un endpoint VPC per il servizio S3 che supporti l'accesso ai bucket S3 all'interno del tuo account, nonché a qualsiasi account aggiuntivo con bucket tra account.
1. Apri la console Amazon VPC:
1. Accedi alla console di AWS gestione.
1. Apri la console Amazon VPC all'indirizzo. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Crea un endpoint VPC per S3:
1. Nel riquadro di navigazione a sinistra, scegli **Endpoints** (Endpoint).
1. Scegliere **Create Endpoint** (Crea endpoint).
1. In **Categoria servizio**, assicurati che **Servizi AWS ** sia selezionato.
1. Nel campo **Service Name**, inserisci `com.amazonaws..s3` (sostituisci `` con la tua AWS regione) o cerca «S3".
1. Seleziona il servizio S3 dall'elenco.
1. Configura le impostazioni degli endpoint:
1. Per **VPC**, seleziona il VPC in cui desideri creare l'endpoint.
1. Per le **sottoreti**, seleziona entrambe le sottoreti private utilizzate per le sottoreti VDI durante la distribuzione.
1. Per **Abilita nome DNS**, assicurati che l'opzione sia selezionata. Ciò consente di risolvere il nome host DNS privato nelle interfacce di rete degli endpoint.
1. Configura la politica per limitare l'accesso:
1. In **Policy**, scegli **Personalizzato**.
1. Nell'editor delle politiche, inserisci una politica che limiti l'accesso alle risorse all'interno del tuo account o di un account specifico. Ecco un esempio di politica (sostituiscila *amzn-s3-demo-bucket* con il nome del tuo bucket S3 *111122223333* e *444455556666* con l' AWS account appropriato a IDs cui desideri avere accesso):
**Nota**
Questa policy di esempio utilizza `s3:*` e non limita le operazioni del piano di controllo S3, come la configurazione della notifica degli eventi, la replica o l'inventario. Queste operazioni potrebbero consentire l'invio di metadati degli oggetti (come i nomi dei bucket e le chiavi degli oggetti) a destinazioni tra più account. Se questo è un problema, aggiungi dichiarazioni Deny esplicite per le azioni pertinenti del piano di controllo S3 nella policy degli endpoint VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Crea l'endpoint:
1. Verificare le impostazioni.
1. Seleziona **Crea endpoint**.
1. Verifica l'endpoint:
1. Una volta creato l'endpoint, vai alla sezione **Endpoints** nella console VPC.
1. Seleziona l'endpoint appena creato.
1. Verifica che lo **stato** sia **disponibile.**
Seguendo questi passaggi, crei un endpoint VPC che consente l'accesso a S3 limitato alle risorse all'interno del tuo account o a un ID account specificato.
# Risoluzione dei problemi
**Come verificare se un bucket non riesce a montarsi su un VDI**
Se un bucket non riesce a montarsi su un VDI, esistono alcune posizioni in cui è possibile verificare la presenza di errori. Segui i passaggi seguenti.
1. Controlla i registri VDI:
1. Accedere alla console di AWS gestione.
1. Apri la console EC2 e vai a **Istanze**.
1. Seleziona l'istanza VDI che hai lanciato.
1. Connect al VDI tramite Session Manager.
1. Esegui i comandi seguenti:
```
sudo su
cd ~/bootstrap/logs
```
Qui troverai i log di bootstrap. I dettagli di ogni errore si troveranno nel `configure.log.{time}` file.
Inoltre, controlla il `/etc/message` registro per maggiori dettagli.
1. Controlla i log CloudWatch Lambda di Custom Credential Broker:
1. Accedi alla console di gestione. AWS
1. Apri la CloudWatch console e vai a **Gruppi di log**.
1. Cerca il gruppo di log`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Esamina il primo gruppo di log disponibile e individua eventuali errori all'interno dei log. Questi registri conterranno dettagli sui potenziali problemi relativi alla fornitura di credenziali personalizzate temporanee per il montaggio dei bucket S3.
1. Controlla i CloudWatch log del gateway API di Custom Credential Broker:
1. Accedi alla console di AWS gestione.
1. Apri la CloudWatch console e vai a **Gruppi di log**.
1. Cerca il gruppo di log`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Esamina il primo gruppo di log disponibile e individua eventuali errori all'interno dei log. Questi log conterranno dettagli riguardanti eventuali richieste e risposte all'API Gateway per le credenziali personalizzate necessarie per montare i bucket S3.
**Come modificare la configurazione del ruolo IAM di un bucket dopo l'onboarding**
1. Accedi alla console [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Seleziona la tabella:
1. Nel riquadro di navigazione a sinistra, selezionare **Tables (Tabelle)**.
1. Trova e seleziona`.cluster-settings`.
1. Scansiona la tabella:
1. Scegli **Explore table items** (Esplora elementi della tabella).
1. Assicurati che sia selezionata l'opzione **Scan**.
1. Aggiungi un filtro:
1. Scegli **Filtri** per aprire la sezione di immissione del filtro.
1. Imposta il filtro in modo che corrisponda alla tua chiave-
+ **Attributo**: inserisci la chiave.
+ **Condizione**: Seleziona **Inizia con**.
+ **Valore**: `shared-storage..s3_bucket.iam_role_arn` Inserire sostituendolo ** con il valore del filesystem che deve essere modificato.
1. Esegui la scansione:
Scegli **Esegui** per eseguire la scansione con il filtro.
1. Controlla il valore:
Se la voce esiste, assicurati che il valore sia impostato correttamente con l'ARN del ruolo IAM corretto.
Se la voce non esiste:
1. Scegli **Crea elemento**.
1. Inserisci i dettagli dell'articolo:
+ Per l'attributo chiave, inserisci`shared-storage..s3_bucket.iam_role_arn`.
+ Aggiungi l'ARN del ruolo IAM corretto.
1. Scegli **Salva** per aggiungere l'articolo.
1. Riavvia le istanze VDI:
Riavvia l'istanza per assicurarti VDIs che gli ARN interessati dal ruolo IAM errato vengano montati nuovamente.
# Abilitazione CloudTrail
Per abilitare CloudTrail il tuo account utilizzando la CloudTrail console, segui le istruzioni fornite nella sezione [Creazione di un percorso con la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida per l'AWS CloudTrail utente*. CloudTrail registrerà l'accesso ai bucket S3 registrando il ruolo IAM che vi ha effettuato l'accesso. Questo può essere ricollegato a un ID di istanza, che è collegato a un progetto o a un utente.