翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 管理者ガイド
この管理者ガイドでは、 AWS 製品の Research and Engineering Studio をさらにカスタマイズして統合する方法に関する追加の手順を、技術的な対象者に提供します。
**Topics**
+ [シークレットの管理](secrets-management.md)
+ [コストのモニタリングと制御](cost-management.md)
+ [コスト分析ダッシュボード](cost-analysis-dashboard.md)
+ [セッション管理](evdi.md)
+ [環境管理](environment-management.md)
# シークレットの管理
Research and Engineering Studio は、 を使用して次のシークレットを維持します AWS Secrets Manager。RES は、環境の作成中にシークレットを自動的に作成します。環境の作成中に管理者が入力したシークレットはパラメータとして入力されます。
| シークレット名 | 説明 | 生成された RES | 入力された管理者 |
| --- | --- | --- | --- |
| -sso-client-secret | 環境用のシングルサインオン OAuth2 クライアントシークレット | ✓ | |
| -vdc-client-secret | " ClientSecret | ✓ | |
| -vdc-client-id | " ClientId | ✓ | |
| -vdc-gateway-certificate-private-key | ドメインの自己署名証明書プライベートキー | ✓ | |
| -vdc-gateway-certificate-certificate | ドメインの自己署名証明書 | ✓ | |
| -cluster-manager-client-secret | クラスターマネージャー ClientSecret | ✓ | |
| -cluster-manager-client-id | クラスターマネージャー ClientId | ✓ | |
| -external-private-key | ドメインの自己署名証明書プライベートキー | ✓ | |
| -external-certificate | ドメインの自己署名証明書 | ✓ | |
| -internal-private-key | ドメインの自己署名証明書プライベートキー | ✓ | |
| -internal-certificate | ドメインの自己署名証明書 | ✓ | |
| -directoryservice-ServiceAccountUserDN | ServiceAccount ユーザーの識別名 (DN) 属性。 | ✓ | |
DynamoDB の `-cluster-settings`テーブルには、次のシークレット ARN 値が含まれています。
| キー | ソース |
| --- | --- |
| identity-provider.cognito.sso\$1client\$1secret | |
| vdc.dcv\$1connection\$1gateway.certificate.certificate\$1secret\$1arn | スタック |
| vdc.dcv\$1connection\$1gateway.certificate.private\$1key\$1secret\$1arn | スタック |
| cluster.load\$1balancers.internal\$1alb.certificates.private\$1key\$1secret\$1arn | スタック |
| directoryservice.root\$1username\$1secret\$1arn | |
| vdc.client\$1secret | スタック |
| cluster.load\$1balancers.external\$1alb.certificates.certificate\$1secret\$1arn | スタック |
| cluster.load\$1balancers.internal\$1alb.certificates.certificate\$1secret\$1arn | スタック |
| directoryservice.root\$1password\$1secret\$1arn | |
| cluster.secretsmanager.kms\$1key\$1id | |
| cluster.load\$1balancers.external\$1alb.certificates.private\$1key\$1secret\$1arn | スタック |
| cluster-manager.client\$1secret | |
# コストのモニタリングと制御
**注記**
Research and Engineering Studio プロジェクトの への関連付け AWS Budgets は、 ではサポートされていません AWS GovCloud (US)。
[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) を使用して[予算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)を作成し、コストの管理に役立てます。価格は変更されることがあります。詳細については、各 の料金ウェブページを参照してください[AWS この製品の サービス](architecture-overview.md#aws-services-in-this-product)。
コスト追跡を支援するために、RES プロジェクトを内部で作成された予算に関連付けることができます AWS Budgets。まず、請求コスト配分タグ内で環境タグをアクティブ化する必要があります。
1. AWS マネジメントコンソールにサインインし、[AWS 請求情報とコストマネジメントコンソール](https://console.aws.amazon.com/costmanagement/home)を開きます。
1. **コスト配分タグ**を選択します。
1. `res:Project` および `res:EnvironmentName` タグを検索して選択します。
1. [**アクティブ化**] を選択します。
![\[コスト配分タグをアクティブ化する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-costtags.png)
**注記**
RES タグがデプロイ後に表示されるまでに最大 1 日かかる場合があります。
RES リソースの予算を作成するには:
1. 請求コンソールから、**予算**を選択します。
1. **予算の作成**を選択します。
1. **[Budget setup]** (予算の設定) で、**[Customize (advanced)]** (カスタマイズ (高度)) を選択します。
1. **Budget types** で、**Cost budget - Recommended** を選択します。
1. [**次へ**] を選択します。
![\[予算タイプを選択する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-createbudget1-5.png)
1. **詳細** に、予算のわかりやすい **Budget 名**を入力して、アカウントの他の予算と区別します。例えば、`--`。
1. **「予算額の設定**」に、プロジェクト用に予算された金額を入力します。
1. **Budget scope** で、**Filter specific AWS cost dimensions** を選択します。
1. **[Add filter]** (フィルターを追加) を選択します。
1. **ディメンション** で、**タグ** を選択します。
1. **タグ**で、**res:Project** を選択します。
**注記**
タグと値が使用可能になるまでに最大 2 日かかる場合があります。プロジェクト名が使用可能になったら、予算を作成できます。
1. **値** で、プロジェクト名を選択します。
1. **フィルターを適用** を選択して、プロジェクトフィルターを予算にアタッチします。
1. [**次へ**] を選択します。
![\[予算範囲を設定する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-budgets-04.png)
1. (オプション) アラートしきい値を追加します。
1. [**次へ**] を選択します。
1. (オプション) アラートが設定されている場合は、ア**タッチアクション**を使用して、アラートで目的のアクションを設定します。
1. [**次へ**] を選択します。
1. 予算設定を確認し、**追加の予算パラメータ**で正しいタグが設定されていることを確認します。
1. **[予算を作成]** をクリックします。
予算が作成されたら、プロジェクトの予算を有効にできます。プロジェクトの予算を有効にするには、「」を参照してください[プロジェクトを編集する](edit-project.md)。予算を超えると、仮想デスクトップの起動がブロックされます。デスクトップの起動中に予算を超えた場合、デスクトップは引き続き動作します。
![\[予算超過\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-budgets-exceeded.png)
予算を変更する必要がある場合は、コンソールに戻って予算額を編集します。RES 内で変更が有効になるまでに最大 15 分かかる場合があります。または、プロジェクトを編集して予算を無効にすることもできます。
# コスト分析ダッシュボード
コスト分析ダッシュボードを使用すると、RES 管理者は RES ポータルからプロジェクトの予算とプロジェクトコストを経時的にモニタリングできます。コストはプロジェクトレベルでフィルタリングできます。
**Topics**
+ [前提条件](#cost-analysis-dashboard-prerequisites)
+ [予算割り当てグラフを持つプロジェクト](#cost-analysis-dashboard-projects-chart)
+ [経時的なコスト分析グラフ](#cost-analysis-dashboard-over-time)
+ [CSV をダウンロードする](#cost-analysis-dashboard-download-csv)
## 前提条件
Research and Engineering Studio のコストダッシュボードを使用するには、まず以下を行う必要があります。
+ [プロジェクトの作成](create-project.md).
+ [AWS Billing and Cost Management コンソール](https://console.aws.amazon.com/costmanagement/home)で[予算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)を作成します。
+ 予算をプロジェクトにアタッチします (「」を参照[プロジェクトを編集する](edit-project.md))。
+ 新しい RES デプロイを持つアカウントのコスト分析チャートを有効にします。これを実行するには、以下の手順を実行します。
1. 作成したプロジェクトに [VDI](virtual-desktops.md) をデプロイします。これにより、[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) に `res:Project` タグがプロビジョニングされます。これには最大 24 時間かかる場合があります。
1. タグが作成されると、**タグを有効にする**ボタンが有効になります。ボタンを選択して、Cost Explorer でタグをアクティブ化します。このプロセスにはさらに 24 時間かかる場合があります。
![\[コスト分析オンボーディング、実行するステップ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-onboarding.png)
## 予算割り当てグラフを持つプロジェクト
**予算が割り当てられているプロジェクト**チャートには、予算が割り当てられている RES 環境のプロジェクトの予算ステータスが表示されます。デフォルトでは、グラフには予算額別に上位 5 つのプロジェクトが表示されます。予算に割り当てられたプロジェクトの完全なリストをロードする**フィルター表示データ**ドロップダウンで、特定のプロジェクトを選択できます。
![\[支出額、超過額、残額など、割り当てられた予算のステータスを持つプロジェクトを示すグラフ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-projects-budget-assigned.png)
グラフには、各予算の支出額、残り額、超過額が米ドル通貨で表示されます。バーにカーソルを合わせると、各カテゴリの正確な USD 金額が表示されます。右上隅にあるプロジェクト**の確認**ボタンとプロジェクトの作成ボタンをそれぞれ選択して、プロジェクトページと**プロジェクトの作成**ページを開くこともできます。
![\[1 つのプロジェクトに割り当てられた予算とポップアップの詳細のステータスを持つプロジェクトを示すグラフ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-projects-budget-dropdown.png)
## 経時的なコスト分析グラフ
**経時的なコスト分析**グラフには、指定した期間におけるプロジェクト別のコスト内訳が表示されます。デフォルトでは、グラフには過去 6 か月間のデータが表示されます。選択した**粒度**を使用して、選択した**時間範囲**の合計コストで上位 5 つのプロジェクトが表示されます。上位 5 つのプロジェクト以外の他のすべての選択したプロジェクトは、**その他の**カテゴリに集約されます。
![\[選択した時間範囲のコスト分析を示すグラフ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-over-time.png)
### フィルター
プロジェクト、時間範囲、粒度でフィルタリングして、**経時的なコスト分析**グラフビューをカスタマイズできます。無効なフィルターの組み合わせが選択されている場合、モーダルウィンドウが表示され、前の設定に戻すか、更新されたフィルターの組み合わせの提案を受け入れるかを選択できます。
**プロジェクト**
Filter **displayed data**ドロップダウンを選択すると、現在の RES 環境のプロジェクトの完全なリストが表示されます。プロジェクト名が表示され、その下にプロジェクトコードが表示されます。
![\[表示対象として選択されたプロジェクトを示すフィルター設定の詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-filter-modal.png)
**時間範囲の指定**
日付範囲を指定するときは、**絶対****範囲または相対**範囲を使用できます。相対範囲を選択すると、日付は完全な時間単位を使用して計算されます。たとえば、2025 年 2 **月に過去 6 か月**のオプションを選択した場合、時間範囲は 8/1/24 ~ 1/31/25 になります。
![\[相対的な時間範囲を選択できるポップアップの詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-time-range1.png)
![\[絶対時間範囲の選択を許可するポップアップの詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-time-range2.png)
**詳細度**
**月単位**、**日**単位、または**時間単位**の粒度でデータを表示するように選択できます。**時間単位**の詳細度は、最大 14 日間の日付範囲のみをサポートします。**日**単位の詳細度は、最大 14 か月の日付範囲のみをサポートします。
![\[時間範囲の詳細度を選択できるポップアップの詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-granularity.png)
## CSV をダウンロードする
現在のコスト分析ビューをエクスポートするには、経**時的なコスト分析**グラフの右上にある**ダウンロード CSV** を選択します。ダウンロードした CSV には、指定された期間に選択した各プロジェクトのコスト情報と、プロジェクト別および期間別のコスト合計が含まれます。
![\[スプレッドシートアプリケーションで開かれたダウンロード済み CSV ファイル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-cost-analysis-download-csv.png)
# セッション管理
セッション管理は、セッションを開発およびテストするための柔軟でインタラクティブな環境を提供します。管理ユーザーとして、プロジェクト環境内でインタラクティブセッションを作成および管理することをユーザーに許可できます。
**Topics**
+ [ダッシュボード](dashboard.md)
+ [セッション](sessions.md)
+ [ソフトウェアスタック (AMIs)](software-stacks.md)
+ [デバッグ](debug.md)
+ [デスクトップ設定](desktop-settings.md)
# ダッシュボード
![\[セッション管理ダッシュボード\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/virtualdesktopdashboard.jpg)
セッション管理ダッシュボードは、管理者に以下に関するクイックビューを提供します。
1. インスタンスのタイプ
1. セッションの状態
1. ベース OS
1. プロジェクト
1. アベイラビリティーゾーン
1. ソフトウェアスタック
さらに、管理者は次のことができます。
1. ダッシュボードを更新して情報を更新します。
1. **セッションの表示**を選択してセッションに移動します。
# セッション
セッションには、Research and Engineering Studio 内で作成されたすべての仮想デスクトップが表示されます。セッションページから、セッション情報をフィルタリングして表示したり、新しいセッションを作成したりできます。
![\[機能を示す番号付き注釈を含む管理コンソールのセッションページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-sessions.jpg)
1. メニューを使用して、指定した期間内に作成または更新されたセッションで結果をフィルタリングします。
1. セッションを選択し、アクションメニューを使用して以下を行います。
1. セッションを再開する (複数可)
1. 停止/休止セッション (複数可)
1. 強制停止/休止セッション (複数可)
1. Reboot Session (s) – 選択したセッションを再起動します。このアクションは、ERROR 状態のセッションでも使用でき、管理者はエラーが発生した VDIs。
1. セッションの終了 (複数可)
1. セッションの強制終了 (複数可)
1. セッションの状態 (複数可)
1. ソフトウェアスタックの作成
1. **セッションの作成**を選択して新しいセッションを作成します。
1. 名前でセッションを検索し、状態とオペレーティングシステムでフィルタリングします。
1. **セッション名**を選択すると、詳細が表示されます。
## セッションを作成する
1. **セッションの作成** を選択します。新しい仮想デスクトップの起動モーダルが開きます。
1. 新しいセッションの詳細を入力します。
1. (オプション) **Show Advanced Options** をオンにして、サブネット ID や DCV セッションタイプなどの追加の詳細を指定します。
1. [**Submit**] を選択してください。
![\[新しい仮想デスクトップを起動するために入力するフィールドを含む管理者コンソールページの詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-createsession.jpg)
## セッションの詳細
**セッション**リストから、**セッション名**を選択してセッションの詳細を表示します。
![\[セッションの詳細を表示する管理者コンソールページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-viewsessiondetails.jpg)
# ソフトウェアスタック (AMIs)
ソフトウェアスタックページから、Amazon マシンイメージ (AMIs) を設定したり、既存のイメージを管理したりできます。
![\[番号付き注釈付きのソフトウェアスタック管理コンソールページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-softwarestackspage-2026.03.png)
1. 既存のソフトウェアスタックを検索するには、オペレーティングシステムのドロップダウンを使用して OS でフィルタリングします。
1. ソフトウェアスタックの名前を選択して、スタックの詳細を表示します。
1. ソフトウェアスタックの横にあるラジオボタンを選択し、**アクション**メニューを使用してスタックを編集し、スタックをプロジェクトに割り当てます。
1. **ソフトウェアスタックの登録**ボタンを選択して、新しいスタックを作成します。
## 新しいソフトウェアスタックを登録する
**ソフトウェアスタックの登録**ボタンを使用すると、新しいスタックを作成できます。
**注記**
暗号化されていない Systems Manager パラメータをソフトウェアスタック ID のエイリアスとして使用できます。
Systems Manager パラメータにアクセスするには、RES に次のタグが必要です。
キー: `res:EnvironmentName`、値: ``
キー: `res:ModuleName`、値: `virtual-desktop-controller`
1. **ソフトウェアスタックの登録**を選択します。
1. 名前、説明、AMI ID、オペレーティングシステムなど、新しいソフトウェアスタックの詳細を入力します。
1. (オプション) **Allowed Instance Types** フィールドを使用して、このソフトウェアスタックで許可されるインスタンスファミリーまたはタイプを指定します。インスタンスファミリー ( など`t3`) または特定のインスタンスサイズ ( など) を入力できます`t3.xlarge`。
1. [**Submit**] を選択してください。
![\[新しいソフトウェアスタックを登録できる管理者コンソールのポップアップページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-register-new-software-stack.png)
## プロジェクトにソフトウェアスタックを割り当てる
新しいソフトウェアスタックを作成するときに、スタックをプロジェクトに割り当てることができます。ただし、最初の作成後にスタックをプロジェクトに追加する必要がある場合は、次の操作を行います。
**注記**
ソフトウェアスタックは、自分がメンバーであるプロジェクトにのみ割り当てることができます。
1. **ソフトウェアスタック**ページで、プロジェクトに追加するソフトウェアスタックのラジオボタンを選択します。
1. **[アクション]** を選択します。
1. **[編集]** を選択します。
1. **プロジェクト**ドロップダウンを使用してプロジェクトを選択します。
![\[プロジェクトのソフトウェアスタックを更新するフィールドを表示する管理者コンソール\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-update-software-stack.png)
1. [**Submit**] を選択してください。
スタックの詳細ページからソフトウェアスタックを編集することもできます。
## ソフトウェアスタックの VDI インスタンスリストを変更する
登録されたソフトウェアスタックごとに、許可されるインスタンスファミリーとタイプを選択できます。各ソフトウェアスタックのオプションのリストは、**デスクトップ設定**で定義されたオプションによってフィルタリングされます。グローバル**の許可されたインスタンスファミリーとタイプを検索して**変更できます。
![\[セッション管理下のデスクトップ設定を示す管理者コンソールページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-vdi-instance-list1.png)
**ソフトウェアスタックの**許可されたインスタンスファミリーとタイプの**属性を編集するには:**
1. **ソフトウェアスタック**ページで、ソフトウェアスタックのラジオボタンを選択します。
1. **アクション**を選択し、**スタックの編集**を選択します。
1. ドロップダウンリストから、許可されたインスタンスファミリーとタイプで**目的のインスタンスファミリーとタイプ**を選択します。
![\[許可されたインスタンスファミリーとタイプを編集できるソフトウェアスタックのポップアップを更新する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-vdi-instance-list2.png)
1. **[送信]** を選択します。
**注記**
**許可されたインスタンスファミリーとタイプの**グローバルセットにインスタンスファミリーとそのファミリー内のインスタンスタイプ ( `t3`や など`t3.large`) が含まれている場合、ソフトウェアスタックの**許可されたインスタンスファミリーとタイプの**属性で使用できるオプションには、インスタンスファミリーのみが含まれます。
**重要**
インスタンスタイプ/ファミリーが環境レベルで許可リストから削除されると、すべてのソフトウェアスタックから自動的に削除されます。
環境レベルで追加されたインスタンスタイプ/ファミリーは、ソフトウェアスタックに自動的に追加されません。
## ソフトウェアスタックの詳細を表示する
**ソフトウェアスタック**ページから、ソフトウェアスタック名を選択して詳細を表示します。ソフトウェアスタックのラジオボタンを選択し、**アクション**を選択し、**編集**を選択してソフトウェアスタックを編集することもできます。
## VDI テナンシーのサポート
新しいソフトウェアスタックを登録するとき、または既存のソフトウェアスタックを編集するときに、このソフトウェアスタックから起動された VDIs のテナンシーを選択できます。次の 3 つのテナンシーがサポートされています。
+ 共有 (デフォルト) - 共有ハードウェアインスタンスで VDIs を実行する
+ 専用インスタンス - 専用インスタンスを使用して VDIs を実行する
+ Dedicated Host - 専用ホストを使用して VDIs を実行する
![\[起動した VDIs のテナンシータイプを選択できる管理者コンソールのポップアップページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-vdi-tenancy-support1.png)
専用ホストテナンシータイプを選択するときは、テナンシーアフィニティとターゲットホストタイプも選択する必要があります。次のターゲットホストタイプがサポートされています。
+ ホストリソースグループ - AWS License Manager で作成されたホストリソースグループ
+ ホスト ID - 特定のホスト ID
![\[起動した VDIs のテナンシーアフィニティを選択できる管理者コンソールのポップアップページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-vdi-tenancy-support2.png)
![\[起動した VDIs のターゲットホストタイプを選択できる管理者コンソールのポップアップページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-vdi-tenancy-support3.png)
専用ホストテナンシーで起動するときに VDIs に必要なセルフマネージドライセンスを指定するには、License *AWS Manager ユーザーガイドの*[セルフマネージドライセンスと AMI の関連付けに従って、ライセンスを AMIs に関連付け](https://docs.aws.amazon.com/license-manager/latest/userguide/license-rules.html#ami-associations)ます。
## Rocky Linux 9 ソフトウェアスタックの追加
RES には Rocky Linux 9 用のデフォルトのソフトウェアスタックがないため、このセクションでは、使用する Rocky AMI とその使用方法に関する推奨事項を提供します。
1. AWS マネジメントコンソールにサインインし、EC2 コンソール内の [AMI Catalog ページ](https://console.aws.amazon.com/ec2/home#AMICatalog)に移動します。
1. Rocky Linux 9 という名前の **AWS Marketplace** タブで AMIs を検索します。 ****
1. **Rocky Linux から Rocky Linux 9 (公式) - x86\$164** という名前**の AMI **を選択します。
![\[AMI Catalog の Rocky Linux 9 AMI 検索結果を示すスクリーンショット\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-rocky-linux9.png)
1. 選択したら、**今すぐサブスクライブ**を選択します。
1. 上にスクロールし、**選択した AMI の AMI ID **をコピーします。
![\[選択した AMI ID を持つ AMI Catalog を示すスクリーンショット\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-ami-catalog.png)
1. RES ポータルに移動し、この AMI を使用して Software **Stacks ページの下に新しい Software Stack** を登録します。
# デバッグ
デバッグパネルには、仮想デスクトップに関連付けられたメッセージトラフィックが表示されます。このパネルを使用して、ホスト間のアクティビティを監視できます。仮想デスクトップホストタブにはインスタンス固有のアクティビティが表示され、仮想デスクトップセッションタブには進行中のセッションアクティビティが表示されます。
![\[デバッグパネル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-evdi-debug-01.png)
# デスクトップ設定
デスクトップ設定ページを使用して、仮想デスクトップに関連付けられたリソースを設定できます。
![\[デスクトップ設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-virtual-desktop-settings.png)
**全般**
**全般**タブでは、次のような設定にアクセスできます。
**QUIC**
すべての仮想デスクトップのデフォルトのストリーミングプロトコルとして TCP を優先して QUIC を有効にします。
**デフォルトの DCV セッションタイプ**
すべての仮想デスクトップに使用されるデフォルトの DCV セッションタイプ。この設定は、以前に作成したデスクトップには適用されません。これは、インスタンスタイプとオペレーティングシステムが仮想セッションタイプまたはコンソールセッションタイプのいずれかをサポートしている場合にのみ適用されます。
**プロジェクトごとにユーザーごとに許可されるデフォルトのセッション**
プロジェクトごとにユーザーごとに許可される VDI セッション数のデフォルト値。
**DCV セッショントークンの有効期限**
DCV セッショントークンが有効である期間。トークンの有効期限が切れると、ユーザーはウェブポータルから DCV 接続ファイルを再ダウンロードして、仮想デスクトップセッションに引き続きアクセスする必要があります。次のオプションを使用できます。
+ 1,440 分 (1 日)
+ 10,080 分 (7 日間)
+ 43,200 分 (30 日)
![\[デスクトップ設定の DCV セッショントークンの有効期限設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/dcv-settings-form.png)
**サーバー**
**サーバー**タブでは、次のような設定にアクセスできます。
**DCV セッションアイドルタイムアウト**
DCV セッションが自動的に切断されるまでの時間。これにより、デスクトップセッションの状態は変更されず、DCV クライアントまたはウェブブラウザからのみセッションが閉じられます。
**アイドルタイムアウトの警告**
アイドル警告がクライアントに提供されるまでの時間。
**CPU 使用率のしきい値**
アイドルと見なされる CPU 使用率。
**最大ルートボリュームサイズ**
仮想デスクトップセッションのルートボリュームのデフォルトサイズ。
**許可されたインスタンスタイプ**
この RES 環境で起動できるインスタンスファミリーとサイズのリスト。インスタンスファミリーとインスタンスサイズの組み合わせの両方が受け入れられます。たとえば、'm7a' を指定すると、m7a ファミリーのすべてのサイズが VDI セッションとして起動できるようになります。'm7a.24xlarge' を指定した場合、VDI セッションとして起動できるのは m7a.24xlarge のみです。このリストは、環境内のすべてのプロジェクトに影響します。
![\[デスクトップ設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-virtual-desktop-settings2.png)
# 環境管理
Research and Engineering Studio の環境管理セクションから、管理ユーザーは研究およびエンジニアリングプロジェクト用に分離された環境を作成および管理できます。これらの環境には、コンピューティングリソース、ストレージ、その他の必要なコンポーネントを含めることができ、すべて安全な環境内にあります。ユーザーは、プロジェクトの特定の要件を満たすようにこれらの環境を設定およびカスタマイズできるため、他のプロジェクトや環境に影響を与えることなく、ソリューションの実験、テスト、反復が容易になります。
**Topics**
+ [環境ステータス](environment-status.md)
+ [環境設定](environment-settings.md)
+ [[ユーザー]](users.md)
+ [グループ](groups.md)
+ [プロジェクト](projects.md)
+ [アクセス許可ポリシー](permission-profiles.md)
+ [ファイルシステム](file-system.md)
+ [スナップショットの管理](snapshots.md)
+ [Amazon S3 バケット](S3-buckets.md)
# 環境ステータス
**環境ステータス**ページには、製品内にデプロイされたソフトウェアとホストが表示されます。これには、ソフトウェアバージョン、モジュール名、その他のシステム情報などの情報が含まれます。
![\[環境ステータスページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-environmentstatus.jpg)
# 環境設定
**環境設定**ページには、次のような製品設定の詳細が表示されます。
+ General
ウェブポータルのタイトルとサブタイトルを編集し、ウェブポータルのログインページにカスタムリンクを追加できます。カスタムリンクを設定するには:
1. **環境管理** > **環境設定**に移動します。
1. General ****タブで、**Edit** を選択します。
1. **「カスタムリンク**」セクションで、**「リンクの追加**」を選択します。
1. ログインページに表示する各リンクの**タイトル**と **URL** を入力します。
1. **[送信]** を選択して変更を保存します。
カスタムリンクはウェブポータルのログインページに表示され、管理者は内部ドキュメント、サポートページ、許容可能な使用ポリシーなどのリソースにユーザーを誘導できます。
![\[環境設定のカスタムリンク設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/web-links-edit-form.png)
+ ID プロバイダー
シングルサインオンステータスなどの情報を表示します。
+ Network
アクセス用の VPC ID、プレフィックスリスト IDsを表示します。
+ Directory Service
ユーザー名とパスワードのアクティブディレクトリ設定とサービスアカウントのシークレットマネージャー ARN を表示します。
# [ユーザー]
アクティブディレクトリから同期されたすべてのユーザーがユーザーページに表示されます。ユーザーは、製品の設定中に cluster-admin ユーザーによって同期されます。初期ユーザー設定の詳細については、「」を参照してください[設定ガイド](configuration-guide.md)。
**注記**
管理者は、アクティブなユーザーのセッションのみを作成できます。デフォルトでは、すべてのユーザーは製品環境にサインインするまで非アクティブ状態になります。ユーザーが非アクティブの場合は、セッションを作成する前にサインインするように依頼します。
![\[[ユーザー]\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-users.jpg)
**ユーザー**ページから、次のことができます。
1. ユーザーを検索します。
1. ユーザー名を選択したら、**アクション**メニューを使用して次の操作を行います。
1. 管理者ユーザーとして設定する
1. ユーザーを無効にする
# グループ
アクティブディレクトリから同期されたすべてのグループは、グループページに表示されます。グループの設定と管理の詳細については、「」を参照してください[設定ガイド](configuration-guide.md)。
![\[グループ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-groups.jpg)
**グループ**ページから、次のことができます。
1. ユーザーグループを検索します。
1. ユーザーグループを選択したら、**アクション**メニューを使用してグループを無効または有効にします。
1. ユーザーグループを選択すると、画面の下部にある**ユーザー**ペインを展開して、グループ内のユーザーを表示できます。
# プロジェクト
プロジェクトは、仮想デスクトップ、チーム、予算の境界を形成します。プロジェクトを作成するときは、名前、説明、環境設定などの設定を定義します。プロジェクトには通常、コンピューティングリソースのタイプとサイズ、ソフトウェアスタック、ネットワーク設定など、プロジェクトの特定の要件を満たすようにカスタマイズできる 1 つ以上の環境が含まれます。
**Topics**
+ [プロジェクトを表示する](view-projects.md)
+ [プロジェクトの作成](create-project.md)
+ [プロジェクトを編集する](edit-project.md)
+ [プロジェクトを無効にする](disable-project.md)
+ [プロジェクトを削除します。](delete-project.md)
+ [プロジェクトへのタグの追加または削除](tag-project.md)
+ [プロジェクトに関連付けられたファイルシステムを表示する](view-project-file-systems.md)
+ [起動テンプレートを追加する](project-launch-template.md)
# プロジェクトを表示する
![\[プロジェクト\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-projects.jpg)
プロジェクトダッシュボードには、利用可能なプロジェクトのリストが表示されます。プロジェクトダッシュボードから、次のことができます。
1. 検索フィールドを使用してプロジェクトを検索できます。
1. プロジェクトを選択すると、**アクション**メニューを使用して次のことができます。
1. プロジェクトを編集する
1. プロジェクトの無効化または有効化
1. プロジェクトタグを更新する
1. プロジェクトを削除します。
1. **プロジェクトの作成**を選択して、新しいプロジェクトを作成できます。
# プロジェクトの作成
1. **[プロジェクトを作成]** を選択します。
1. プロジェクトの詳細を入力します。
プロジェクト ID は、 でコスト配分を追跡するために使用できるリソースタグです AWS Cost Explorer Service。詳細については、[「ユーザー定義のコスト配分タグのアクティブ化](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)」を参照してください。
**重要**
作成後にプロジェクト ID を変更することはできません。
**詳細オプション**の詳細については、「」を参照してください[起動テンプレートを追加する](project-launch-template.md)。
1. (オプション) プロジェクトの予算を有効にします。予算の詳細については、「」を参照してください[コストのモニタリングと制御](cost-management.md)。
1. ホームディレクトリファイルシステムは、共有ホームファイルシステム (デフォルト)、EFS、FSx for Lustre、FSx NetApp ONTAP、または EBS ボリュームストレージのいずれかを使用できます。
共有ホームファイルシステム、EFS、FSx for Lustre、および FSx NetApp ONTAP は、複数のプロジェクトと VDIs 間で共有できます。ただし、EBS ボリュームストレージオプションでは、そのプロジェクトのすべての VDI に、他の VDIs またはプロジェクト間で共有されない独自のホームディレクトリが必要です。単一の FSx NetApp ONTAP ファイルシステムから複数のボリュームをオンボードすることもできます。
![\[リソース設定を使用して新しいプロジェクトを作成する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-create-new-project.png)
1. ユーザー、グループ、または適切なロール (「プロジェクトメンバー」または「プロジェクト所有者」) の両方を割り当てます。各ロールが実行できるアクション[デフォルトのアクセス許可プロファイル](permission-matrix.md)については、「」を参照してください。
1. [**Submit**] を選択してください。
# プロジェクトを編集する
1. プロジェクトリストでプロジェクトを選択します。
1. Actions ****メニューから、**Edit Project** を選択します。
1. 更新を入力します。
予算を有効にする場合は、[コストのモニタリングと制御](cost-management.md)「」を参照してください。プロジェクトの予算を選択すると、予算ドロップダウンオプションがロードされるまでに数秒かかることがあります。先ほど作成した予算が表示されない場合は、ドロップダウンの横にある更新ボタンを選択します。
**詳細オプション**の詳細については、「」を参照してください[起動テンプレートを追加する](project-launch-template.md)。
1. [**Submit**] を選択してください。
![\[プロジェクトを編集する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-editproject.png)
# プロジェクトを無効にする
プロジェクトを無効にするには:
1. プロジェクトリストでプロジェクトを選択します。
1. Actions ****メニューから、**Disable Project** を選択します。
![\[アクションメニューのドロップダウンオプションを示すプロジェクトページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-disable-project1.png)
1. プロジェクトが無効になっている場合、そのプロジェクトに関連付けられているすべての VDI セッションが停止します。プロジェクトが無効になっている間は、これらのセッションを再起動することはできません。
![\[プロジェクトバナーの無効化が成功したことを示すプロジェクトページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-disable-project2.png)
# プロジェクトを削除します。
プロジェクトを削除するには:
1. プロジェクトリストでプロジェクトを選択します。
1. **アクション**メニューから、**プロジェクトの削除**を選択します。
![\[アクションのドロップダウンオプションを示すプロジェクトページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-delete-project1.png)
1. 確認ポップアップが表示されます。プロジェクトの名前を入力し、**「はい**」を選択して削除します。
![\[プロジェクトの削除の確認ポップアップ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-delete-project-confirm.png)
1. プロジェクトが削除されると、そのプロジェクトに関連付けられたすべての VDI セッションが終了します。
![\[プロジェクトが正常に削除されたことを示すバナー付きの環境管理のプロジェクトページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-delete-project3.png)
# プロジェクトへのタグの追加または削除
プロジェクトタグは、そのプロジェクトで作成されたすべてのインスタンスにタグを割り当てます。
1. プロジェクトリストでプロジェクトを選択します。
1. Actions ****メニューから、**Update Tags** を選択します。
1. **タグの追加**を選択し、**キー**の値を入力します。
1. タグを削除するには、削除するタグの横にある**「削除**」を選択します。
# プロジェクトに関連付けられたファイルシステムを表示する
プロジェクトを選択すると、画面の下部にある**ファイルシステム**ペインを展開して、プロジェクトに関連付けられたファイルシステムを表示できます。
![\[プロジェクトに関連付けられたファイルシステムを表示する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-projectfilesystems.jpg)
# 起動テンプレートを追加する
プロジェクトを作成または編集するときは、プロジェクト設定内の**アドバンストオプション**を使用して起動テンプレートを追加できます。起動テンプレートは、セキュリティグループ、IAM ポリシー、起動スクリプトなどの追加の設定をプロジェクト内のすべての VDI インスタンスに提供します。
## ポリシーの追加
IAM ポリシーを追加して、プロジェクトの下にデプロイされたすべてのインスタンスの VDI アクセスを制御できます。ポリシーをオンボードするには、ポリシーに次のキーと値のペアをタグ付けします。
```
res:Resource/vdi-host-policy
```
IAM ロールの詳細については、[「IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
### セキュリティグループの追加
セキュリティグループを追加して、プロジェクト内のすべての VDI インスタンスの出力データとイングレスデータを制御できます。セキュリティグループをオンボードするには、セキュリティグループに次のキーと値のペアをタグ付けします。
```
res:Resource/vdi-security-group
```
セキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*[AWS 」の「セキュリティグループを使用してリソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。
### 起動スクリプトを追加する
プロジェクト内のすべての VDI セッションで開始する起動スクリプトを追加できます。RES は Linux および Windows のスクリプト開始をサポートしています。スクリプトを開始するには、次のいずれかを選択できます。
**VDI の開始時にスクリプトを実行する**
このオプションは、RES 設定またはインストールを実行する前に、VDI インスタンスの先頭でスクリプトを開始します。
**VDI が設定されている場合にスクリプトを実行する**
このオプションは、RES 設定の完了後にスクリプトを開始します。
スクリプトは、次のオプションをサポートしています。
| スクリプト設定 | 例 |
| --- | --- |
| S3 URI | s3://bucketname/script.sh |
| HTTPS URL | https://sample.samplecontent.com/sample |
| ローカルファイル | file:///user/scripts/example.sh |
S3 バケットでホストされているすべてのカスタムスクリプトは、次のタグでプロビジョニングする必要があります。
```
res:EnvironmentName/
```
**引数**には、カンマで区切られた引数を指定します。
![\[プロジェクト設定の例\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-projectconfigexample.png)
起動スクリプトのサンプルテンプレート。
------
#### [ Linux ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!/bin/bash
echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```
------
#### [ Windows ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
# with the License. A copy of the License is located at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
# OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
# and limitations under the License.
#!pwsh
Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```
------
# アクセス許可ポリシー
Research and Engineering Studio (RES) を使用すると、管理ユーザーは、選択したユーザーに、自分が属するプロジェクトを管理するための追加のアクセス許可を付与するカスタムアクセス許可プロファイルを作成できます。各プロジェクトには、デプロイ後にカスタマイズできる「プロジェクトメンバー」と「プロジェクト所有者」の 2 つの[デフォルトのアクセス許可プロファイル](permission-matrix.md)があります。
現在、管理者はアクセス許可プロファイルを使用して 2 つのアクセス許可のコレクションを付与できます。
1. 指定されたユーザーがプロジェクトに他のユーザーやグループを追加または削除できるようにする「プロジェクトメンバーシップの更新」と、指定されたユーザーがプロジェクトを有効または無効にできるようにする「プロジェクトステータスの更新」で構成されるプロジェクト管理アクセス許可。
1. 指定されたユーザーがプロジェクト内に VDI セッションを作成できるようにする「セッションの作成」と、指定されたユーザーがプロジェクト内の他のユーザーのセッションを作成または終了できるようにする「別のユーザーのセッションの作成/終了」で構成される VDI セッション管理アクセス許可。
これにより、管理者は 環境内の管理者以外のユーザーにプロジェクトベースのアクセス許可を委任できます。
**Topics**
+ [プロジェクト管理のアクセス許可](permission-profiles-permission-project-management.md)
+ [VDI セッション管理のアクセス許可](permission-profiles-permission-vdi-sessions.md)
+ [アクセス許可プロファイルの管理](permission-profiles-permission-management.md)
+ [デフォルトのアクセス許可プロファイル](permission-matrix.md)
+ [環境の境界](permission-profiles-environment-boundaries.md)
+ [デスクトップ共有プロファイル](permission-profiles-desktop-sharing-profiles.md)
# プロジェクト管理のアクセス許可
**プロジェクトメンバーシップを更新する **
このアクセス許可により、付与された管理者以外のユーザーは、プロジェクトからユーザーまたはグループを追加および削除できます。また、アクセス許可プロファイルを設定し、そのプロジェクトの他のすべてのユーザーとグループのアクセスレベルを決定することもできます。
![\[チーム設定のポップアップウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-update-project-membership.png)
**プロジェクトのステータスを更新する **
このアクセス許可により、付与された管理者以外のユーザーは、プロジェクトページの**アクション**ボタンを使用して**プロジェクト**を有効または無効にできます。
![\[環境管理の管理者コンソールプロジェクトウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-update-project-status.png)
# VDI セッション管理のアクセス許可
**セッションを作成する**
ユーザーが **My Virtual Desktops** ページから独自の VDI セッションを起動できるかどうかを制御します。これを無効にして、管理者以外のユーザーが独自の VDI セッションを起動できないようにします。ユーザーはいつでも独自の VDI セッションを停止および終了できます。
管理者以外のユーザーにセッションを作成するアクセス許可がない場合、次のように**、新しい仮想デスクトップの起動**ボタンが無効になります。
![\[アクセス許可のない管理者以外のユーザーの場合、新しい仮想デスクトップの起動ボタンは無効になっています。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-vdi-disabled.png)
**他のユーザーのセッションを作成または終了する**
管理者以外のユーザーが左側のナビゲーションペインから**セッション**ページにアクセスできるようにします。これらのユーザーは、このアクセス許可が付与されているプロジェクトで他のユーザーの VDI セッションを起動できます。
管理者以外のユーザーが他のユーザーのセッションを起動するアクセス許可を持っている場合、左側のナビゲーションペインには、次に示すように**セッション****管理の下のセッション**リンクが表示されます。
![\[セッション管理用の管理者以外のポップアップウィンドウ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-link-displayed.png)
管理者以外のユーザーに他のユーザーのセッションを作成するアクセス許可がない場合、左側のナビゲーションペインには、次に示すように**セッション管理**は表示されません。
![\[セッション管理リンクは、他のユーザーのセッションを作成するアクセス許可のない管理者以外のユーザーには非表示になります。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-nonadmin-hidden-link.png)
# アクセス許可プロファイルの管理
RES 管理者は、次のアクションを実行してアクセス許可プロファイルを管理できます。
**アクセス許可プロファイルを一覧表示する**
+ Research and Engineering Studio コンソールページで、左側のナビゲーションペインでアクセス**許可ポリシー**を選択します。このページから、アクセス許可プロファイルを作成、更新、一覧表示、表示、削除できます。
![\[管理者はアクセス許可プロファイルを一覧表示できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/project-roles.png)
**アクセス許可プロファイルを表示する**
1. メインのアクセス**許可プロファイル**ページで、表示するアクセス許可プロファイルの名前を選択します。このページから、選択したアクセス許可プロファイルを編集または削除できます。
![\[管理者はアクセス許可プロファイルを編集または削除できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-view-1.png)
1. アクセス許可プロファイルを現在使用しているプロジェクトを表示するには、**影響を受けるプロジェクト**タブを選択します。
![\[管理者は、アクセス許可プロファイルの影響を受けるプロジェクトを表示できます。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-view-2.png)
**アクセス許可プロファイルを作成する**
1. メインのアクセス**許可プロファイル**ページで、**プロファイルの作成**を選択してアクセス許可プロファイルを作成します。
1. アクセス許可プロファイルの名前と説明を入力し、このプロファイルに割り当てるユーザーまたはグループに付与するアクセス許可を選択します。
![\[管理者はアクセス許可プロファイルを作成できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-create.png)
**アクセス許可プロファイルを編集する**
+ メインのアクセス**許可プロファイル**ページで、プロファイルの横にある円をクリックしてプロファイルを選択し、**アクション**を選択し、**プロファイルの編集**を選択してそのアクセス許可プロファイルを更新します。
![\[管理者はアクセス許可プロファイルを編集できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-edit.png)
**アクセス許可プロファイルを削除する**
+ メインのアクセス**許可プロファイル**ページで、プロファイルの横にある円をクリックしてプロファイルを選択し、**アクション**を選択し、**プロファイルの削除**を選択します。既存のプロジェクトで使用されているアクセス許可プロファイルは削除できません。
![\[管理者はアクセス許可プロファイルを削除できます\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-permission-profiles-delete.png)
# デフォルトのアクセス許可プロファイル
すべての RES プロジェクトには、グローバル管理者が設定できる 2 つのデフォルトのアクセス許可プロファイルが付属しています。(さらに、グローバル管理者はプロジェクトの新しいアクセス許可プロファイルを作成および変更できます)。次の表は、「プロジェクトメンバー」と「プロジェクト所有者」というデフォルトのアクセス許可プロファイルで許可されるアクセス許可を示しています。アクセス許可プロファイル、およびプロジェクトの特定のユーザーに付与するアクセス許可は、自分が属するプロジェクトにのみ適用されます。グローバル管理者は、すべてのプロジェクトで以下のすべてのアクセス許可を持つスーパーユーザーです。
| アクセス許可 | 説明 | プロジェクトメンバー | プロジェクト所有者 |
| --- | --- | --- | --- |
| セッションの作成 | 独自のセッションを作成します。ユーザーは、このアクセス許可の有無にかかわらず、いつでも独自のセッションを停止および終了できます。 | X | X |
| 他のユーザーのセッションを作成/終了する | プロジェクト内で別のユーザーのセッションを作成または終了します。 | | X |
| プロジェクトメンバーシップの更新 | プロジェクトに関連付けられたユーザーとグループを更新します。 | | X |
| プロジェクトステータスの更新 | プロジェクトを有効または無効にします。 | | X |
# 環境の境界
環境の境界により、Research and Engineering Studio (RES) 管理者は、すべてのユーザーに対してグローバルに有効になるアクセス許可を設定できます。これには、**ファイルブラウザと SSH アクセス許可、デスクトップアクセス許可、デスクトップの詳細設定などのアクセス許可**が含まれます。 **** ****
![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-environment-boundaries.png)
# ファイルブラウザアクセスの設定
RES 管理者は、**ファイルブラウザ****のアクセス許可でアクセスデータの**オンとオフを切り替えることができます。**アクセスデータが**オフになっている場合、ユーザーはウェブポータルに**ファイルブラウザ**ナビゲーションを表示せず、グローバルファイルシステムにアタッチされたデータをアップロードまたはダウンロードできません。**アクセスデータ**を有効にすると、ユーザーはウェブポータルの**ファイルブラウザ**ナビゲーションにアクセスして、グローバルファイルシステムにアタッチされたデータをアップロードまたはダウンロードできます。
![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)
**アクセスデータ**機能がオンになってから後でオフにすると、ウェブポータルに既にログインしているユーザーは、対応するページにある場合でも、ファイルをアップロードまたはダウンロードできなくなります。さらに、ページを更新するとナビゲーションメニューは表示されなくなります。
# SSH アクセスの設定
管理者は、**環境境界**セクションから RES 環境の SSH を有効または無効にできます。VDIs への SSH アクセスは、踏み台ホストを介して容易になります。このトグルを有効にすると、RES は踏み台ホストをデプロイし、SSH アクセス手順ページがユーザーに表示されます。トグルを無効にすると、RES は SSH アクセスを無効にし、踏み台ホストを終了して、ユーザーの SSH アクセス手順ページを削除します。このトグルはデフォルトで無効になっています。
**注記**
RES が踏み台ホストをデプロイすると、 AWS アカウントに `t3.medium` Amazon EC2 インスタンスが追加されます。このインスタンスに関連するすべての料金はお客様の負担となります。詳細については、[Amazon EC2 の料金ページ](https://aws.amazon.com/ec2/pricing/on-demand/)を参照してください。
**SSH アクセスを有効にするには**
1. RES コンソールの左側のナビゲーションペインで、**環境管理**、アクセス**許可ポリシー**を選択します。**環境の境界**で、**SSH アクセス**トグルを選択します。
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)
1. SSH アクセスが有効になるまで待ちます。
![\[管理者コンソールの環境管理のアクセス許可ポリシーページにアドバイザリバナーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-enable-ssh.png)
1. 踏み台ホストが追加されると、SSH アクセスが有効になります。
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled.png)
**SSH アクセス手順**ページは、左側のナビゲーションペインからユーザーに表示されます。
![\[Linux と Windows のステップを示す SSH アクセス手順ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled2.png)
**SSH アクセスを無効にするには**
1. RES コンソールの左側のナビゲーションペインで、**環境管理**を選択し、アクセス**許可ポリシー**を選択します。**環境の境界**で、**SSH アクセス**トグルを選択します。
![\[管理コンソールの環境管理のアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-enabled.png)
1. SSH アクセスが無効になるまで待ちます。
![\[アクセス許可ポリシーページで SSH アクセスが無効になっていることを示すバナー\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-disable-ssh.png)
1. プロセスが完了すると、SSH アクセスは無効になります。
![\[SSH アクセスが無効になっていることを示すアクセス許可ポリシーページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-ssh-disabled.png)
# デスクトップアクセス許可の設定
管理者は**デスクトップのアクセス許可**をオンまたはオフに切り替えて、すべてのセッション所有者の VDI 機能をグローバルに管理できます。これらのアクセス許可のすべて、またはサブセットを使用して、**デスクトップを共有しているユーザーが実行できるアクションを決定するデスクトップ共有プロファイル**を作成できます。デスクトップアクセス許可が無効になっている場合、**デスクトップ共有プロファイル**の対応するアクセス許可は自動的に無効になります。これらのアクセス許可には「グローバルに無効」というラベルが付けられます。管理者がこのデスクトップアクセス許可を再度有効にしても、管理者が手動で有効にするまで、デスクトップ共有プロファイルのアクセス許可は無効のままになります。
![\[環境の境界\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/permission-policy-environment-boundaries.png)
# デスクトップ共有プロファイル
管理者は新しいプロファイルを作成してカスタマイズできます。これらのプロファイルにはすべてのユーザーがアクセスでき、セッションを他のユーザーと共有するときに使用されます。これらのプロファイル内で付与されるアクセス許可の最大数は、グローバルに許可されるデスクトップアクセス許可を超えることはできません。
**プロファイルの作成**
管理者は、**プロファイルの作成**を選択して新しいプロファイルを作成できます。次に、**プロファイル名**、**プロファイルの説明**を入力し、必要なアクセス許可を設定し、変更**を保存**できます。
![\[デスクトップ共有プロファイル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/desktop-sharing-profiles.png)
![\[プロファイル定義とアクセス許可\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-profile-definition.png)
**プロファイルの編集**
**プロファイルを編集するには:**
1. 目的のプロファイルを選択します。
1. **アクション**を選択し、**編集**を選択してプロファイルを変更します。
1. 必要に応じてアクセス許可を調整します。
1. **[Save changes]** (変更の保存) をクリックします。
プロファイルに加えられた変更は、現在のオープンセッションにすぐに適用されます。
![\[testprofile_1 が選択されたデスクトップ共有プロファイル\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-desktop-sharing-profiles2.png)
![\[testProfile_1 のプロファイル定義とアクセス許可\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-profile-definition2.png)
# ファイルシステム
![\[ファイルシステム\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/home-file-systems.png)
ファイルシステムページから、次のことができます。
1. ファイルシステムを検索します。
1. ファイルシステムを選択したら、**アクション**メニューを使用して次の操作を行います。
1. ファイルシステムをプロジェクトに追加します。
1. プロジェクトからファイルシステムを削除する
1. 新しいファイルシステムをオンボードします。
1. ファイルシステムを選択すると、画面の下部にあるペインを展開してファイルシステムの詳細を表示できます。
**Topics**
+ [ファイルシステムのオンボード](onboard-file-system.md)
# ファイルシステムのオンボード
**注記**
ファイルシステムを正常にオンボードするには、同じ VPC と少なくとも 1 つの RES サブネットを共有する必要があります。また、VDIs がファイルシステムの内容にアクセスできるように、セキュリティグループが適切に設定されていることを確認する必要があります。
1. **ファイルシステムのオンボード**を選択します。
1. ドロップダウンからファイルシステムを選択します。モーダルは、追加の詳細エントリで展開されます。
![\[ファイルシステムを選択する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-selectfilesystem.jpg)
1. ファイルシステムの詳細を入力します。
**注記**
デフォルトでは、管理者とプロジェクト所有者は、新しいプロジェクトの作成時にホームファイルシステムを選択できます。これは後で編集することはできません。
プロジェクトでホームディレクトリとして使用するファイルシステムは、**マウントディレクトリ**パスを に設定してオンボードする必要があります`/home`。これにより、オンボードされたファイルシステムがホームディレクトリのファイルシステムのドロップダウンオプションに入力されます。この機能は、プロジェクトに関連付けられたユーザーのみが VDIs を介してファイルシステムにアクセスできるため、プロジェクト間でデータを分離するのに役立ちます。VDIsは、ファイルシステムのオンボーディング中に選択されたマウントポイントにファイルシステムをマウントします。
1. [**Submit**] を選択してください。
![\[ファイルシステムを選択する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-filesystemdetails.jpg)
## 1 つの ONTAP ファイルシステムからの複数のボリューム
RES は、NetApp ONTAP ファイルシステムの 1 つの から複数のボリュームのオンボーディングをサポートしています。これにより、管理者は同じ ONTAP ファイルシステム内の別々のボリューム間でデータを整理しながら、各ボリュームをプロジェクトで個別に利用できるようになります。
既にオンボードされている ONTAP ファイルシステムから追加のボリュームをオンボードするには:
1. **ファイルシステムのオンボード**を選択します。
1. ドロップダウンから同じ ONTAP ファイルシステムを選択します。
1. **ボリューム** フィールドで、ファイルシステムとは異なるボリュームを選択します。
1. このボリュームに一意の**マウントディレクトリ**を指定します。
1. [**Submit**] を選択してください。
**注記**
同じ ONTAP ファイルシステムの各ボリュームには、一意のマウントディレクトリをオンボードする必要があります。ボリュームは、異なるプロジェクトに個別に割り当てることができます。
# スナップショットの管理
スナップショット管理は、環境間でデータを保存および移行するプロセスを簡素化し、一貫性と正確性を確保します。スナップショットを使用すると、環境の状態を保存し、同じ状態の新しい環境にデータを移行できます。
![\[スナップショット管理ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-snapshotmanagement.png)
**スナップショット管理**ページから、次のことができます。
1. 作成されたすべてのスナップショットとそのステータスを表示します。
1. スナップショットを作成します。スナップショットを作成する前に、適切なアクセス許可を持つバケットを作成する必要があります。
1. 適用されたすべてのスナップショットとそのステータスを表示します。
1. スナップショットを適用します。
**Topics**
+ [スナップショットを作成する](create-snapshot.md)
+ [スナップショットを適用する](apply-snapshot.md)
# スナップショットを作成する
スナップショットを作成する前に、必要なアクセス許可を Amazon S3 バケットに提供する必要があります。 バケットの作成については、「[バケットを作成する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。バケットのバージョニングとサーバーアクセスのログ記録を有効にします。これらの設定は、プロビジョニング後にバケットの**プロパティ**タブから有効にできます。
**注記**
この Amazon S3 バケットのライフサイクルは、製品内で管理されません。コンソールからバケットのライフサイクルを管理する必要があります。
**バケットにアクセス許可を追加するには:**
1. バケットリストから作成した**バケット**を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[バケットポリシー]** で **[編集]** を選択します。
1. バケットポリシーに次のステートメントを追加します。以下の値を自分の値に置き換えてください。
+ *111122223333* -> AWS アカウント ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> RES 環境名
+ *amzn-s3-demo-bucket* -> S3 バケット名
**重要**
でサポートされている限定バージョンの文字列があります AWS。詳細については、「[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**スナップショットを作成するには:**
1. [**スナップショットの作成**] を選択します。
1. 作成した Amazon S3 バケットの名前を入力します。
1. バケット内にスナップショットを保存するパスを入力します。例えば、**october2023/23**。
1. [**Submit**] を選択してください。
![\[新しいスナップショットを作成する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-createsnapshot.png)
1. 5~10 分後、スナップショットページで**更新**を選択してステータスを確認します。スナップショットは、ステータスが IN\$1PROGRESS から COMPLETED に変わるまで有効ではありません。
# スナップショットを適用する
環境のスナップショットを作成したら、そのスナップショットを新しい環境に適用してデータを移行できます。環境がスナップショットを読み取れるように、バケットに新しいポリシーを追加する必要があります。
スナップショットを適用すると、ユーザーアクセス許可、プロジェクト、ソフトウェアスタック、アクセス許可プロファイル、ファイルシステムなどのデータが新しい環境に関連付けられてコピーされます。ユーザーセッションはレプリケートされません。スナップショットが適用されると、各リソースレコードの基本情報をチェックして、既に存在するかどうかを確認します。重複レコードの場合、スナップショットは新しい環境でのリソース作成をスキップします。名前やキーを共有するなど、似たようなレコードの場合、他の基本的なリソース情報は異なりますが、次の規則を使用して、変更された名前とキーを持つ新しいレコードを作成します: `RecordName_SnapshotRESVersion_ApplySnapshotID`。はタイムスタンプの`ApplySnapshotID`ように見えるため、スナップショットを適用しようとするたびに識別されます。
スナップショットアプリケーション中に、スナップショットはリソースの可用性をチェックします。新しい環境で使用できないリソースは作成されません。依存リソースを持つリソースの場合、スナップショットは依存リソースの可用性をチェックします。依存リソースが使用できない場合、依存リソースなしでメインリソースが作成されます。
新しい環境が想定どおりにない場合、または失敗する場合は、ロググループにある CloudWatch ログで`/res-/cluster-manager`詳細を確認できます。各ログには [apply snapshot] タグがあります。スナップショットを適用したら、[スナップショットの管理](snapshots.md)ページからそのステータスを確認できます。
**バケットにアクセス許可を追加するには:**
1. バケットリストから作成した**バケット**を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[バケットポリシー]** で **[編集]** を選択します。
1. バケットポリシーに次のステートメントを追加します。以下の値を自分の値に置き換えてください。
+ *111122223333* -> AWS アカウント ID
+ *\$1RES\$1ENVIRONMENT\$1NAME\$1* -> RES 環境名
+ *amzn-s3-demo-bucket* -> S3 バケット名
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Export-Snapshot-Policy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
**スナップショットを適用するには:**
1. **スナップショットの適用** を選択します。
1. スナップショットを含む Amazon S3 バケットの名前を入力します。
1. バケット内のスナップショットへのファイルパスを入力します。
1. [**Submit**] を選択してください。
![\[スナップショットを適用する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-applysnapshot.png)
1. 5~10 分後、スナップショット管理ページで**更新**を選択してステータスを確認します。
# Amazon S3 バケット
Research and Engineering Studio (RES) は、Linux Virtual Desktop Infrastructure (VDI) インスタンスへの [Amazon S3 バケット](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)のマウントをサポートしています。RES 管理者は、**環境管理**の S3 バケットタブで、S3 バケットを RES にオンボードしたり、プロジェクトにアタッチしたり、設定を編集したり、バケットを削除したりできます。
S3 バケットダッシュボードには、利用可能なオンボード S3 バケットのリストが表示されます。S3 バケットダッシュボードから、次のことができます。
1. **バケットの追加**を使用して、S3 バケットを RES にオンボードします。
1. S3 バケットを選択し、**アクション**メニューを使用して次の操作を行います。
+ バケットを編集する
+ バケットを削除する
1. 検索フィールドを使用してバケット名で検索し、オンボードされた S3 バケットを検索します。
![\[S3 バケットリストでは、バケット名で検索し、オンボードされたバケットを検索できます。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/docs-list-bucket.png)
以下のセクションでは、RES プロジェクトで Amazon S3 バケットを管理する方法について説明します。
**Topics**
+ [分離された VPC デプロイの Amazon S3 バケットの前提条件](S3-buckets-prereqs.md)
+ [Amazon S3 バケットを追加する](S3-buckets-add.md)
+ [Amazon S3 バケットを編集する](S3-buckets-edit.md)
+ [Amazon S3 バケットを削除する](S3-buckets-remove.md)
+ [データ分離](S3-buckets-data-isolation.md)
+ [クロスアカウントバケットアクセス](S3-buckets-cross-account-access.md)
+ [プライベート VPC でのデータ流出の防止](S3-buckets-preventing-exfiltration.md)
+ [トラブルシューティング](S3-buckets-troubleshooting.md)
+ [CloudTrail の有効化](S3-buckets-enabling-cloudtrail.md)
# 分離された VPC デプロイの Amazon S3 バケットの前提条件
Research and Engineering Studio を分離された VPC にデプロイする場合は、以下の手順に従って、 AWS アカウントに RES をデプロイした後に Lambda 設定パラメータを更新します。
1. Research and Engineering Studio がデプロイされている AWS アカウントの Lambda コンソールにサインインします。
1. という名前の Lambda 関数を見つけて移動します`-vdc-custom-credential-broker-lambda`。
1. 関数**の設定**タブを選択します。
![\[分離された VPC 環境変数\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. ナビゲーションペインで、**環境変数**を選択してそのセクションを表示します。
1. **編集**を選択し、次の新しい環境変数を関数に追加します。
+ キー: `AWS_STS_REGIONAL_ENDPOINTS`
+ 値: `regional`
1. **[保存]** を選択します。
# Amazon S3 バケットを追加する
**RES 環境に S3 バケットを追加するには:**
1. [**Add bucket (バケットの追加)**] を選択します。
1. バケット名、ARN、マウントポイントなどのバケットの詳細を入力します。
**重要**
指定されたバケット ARN、マウントポイント、モードは、作成後に変更することはできません。
バケット ARN には、オンボードされた S3 バケットをそのプレフィックスに分離するプレフィックスを含めることができます。
1. バケットをオンボードするモードを選択します。
**重要**
特定のモードによるデータ分離の詳細については、[データ分離](S3-buckets-data-isolation.md)「」を参照してください。
1. **詳細オプション**では、クロスアカウントアクセス用にバケットをマウントするための IAM ロール ARN を指定できます。の手順に従って[クロスアカウントバケットアクセス](S3-buckets-cross-account-access.md)、クロスアカウントアクセスに必要な IAM ロールを作成します。
1. (オプション) バケットをプロジェクトに関連付けます。プロジェクトは後で変更できます。ただし、S3 バケットをプロジェクトの既存の VDI セッションにマウントすることはできません。プロジェクトがバケットに関連付けられた後に起動されたセッションのみがバケットをマウントします。
1. [**Submit**] を選択してください。
![\[使用可能なバケット設定フィールドと送信ボタンを示すバケットページを追加する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/docs-add-bucket.png)
# Amazon S3 バケットを編集する
1. S3 バケットリストで S3 バケットを選択します。
1. **アクション**メニューから、**編集** を選択します。
1. 更新を入力します。
**重要**
プロジェクトを S3 バケットに関連付けると、そのプロジェクトの既存の仮想デスクトップインフラストラクチャ (VDI) インスタンスにバケットがマウント**されません**。バケットは、バケットがそのプロジェクトに関連付けられた後に、プロジェクトで起動された VDI セッションにのみマウントされます。
S3 バケットからプロジェクトの関連付けを解除しても、S3 バケット内のデータには影響しませんが、デスクトップユーザーはそのデータにアクセスできなくなります。
1. **バケット設定の保存** を選択します。
![\[表示名とプロジェクトの関連付けフィールドが入力され、バケット設定を保存ボタンが強調表示された S3 バケットの編集ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/docs-edit-bucket.png)
# Amazon S3 バケットを削除する
1. S3 バケットリストで S3 バケットを選択します。
1. **アクション**メニューから、**削除**を選択します。
**重要**
まず、バケットからすべてのプロジェクトの関連付けを削除する必要があります。
削除オペレーションは、S3 バケット内のデータには影響しません。S3 バケットと RES の関連付けのみが削除されます。
バケットを削除すると、そのセッションの認証情報の有効期限 (約 1 時間) に、既存の VDI セッションがそのバケットの内容にアクセスできなくなります。
# データ分離
RES に S3 バケットを追加すると、バケット内のデータを特定のプロジェクトとユーザーに分離するオプションがあります。**バケットの追加**ページで、読み取り専用 (R) または読み取りと書き込み (R/W) のモードを選択できます。
**読み取り専用**
`Read Only (R)` を選択した場合、バケット ARN (Amazon リソースネーム) のプレフィックスに基づいてデータ分離が適用されます。たとえば、管理者が ARN を使用して RES にバケットを追加`arn:aws:s3:::bucket-name/example-data/`し、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A とプロジェクト B 内から VDIs を起動するユーザーは、パス の `bucket-name` にあるデータのみを読み取ることができます`/example-data`。そのパス外のデータにはアクセスできません。バケット ARN にプレフィックスが追加されていない場合、バケット全体がそれに関連付けられたプロジェクトで利用可能になります。
**読み取りと書き込み**
`Read and Write (R/W)` を選択した場合でも、上記のように、バケット ARN のプレフィックスに基づいてデータ分離が適用されます。このモードには、管理者が S3 バケットに変数ベースのプレフィックスを提供できるようにする追加オプションがあります。`Read and Write (R/W)` を選択すると、カスタムプレフィックスセクションが利用可能になり、次のオプションを含むドロップダウンメニューが表示されます。
+ カスタムプレフィックスなし
+ /%p
+ /%p/%u
![\[カスタムプレフィックスドロップダウンを表示してバケットページを追加する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/add-bucket-custom-prefix.png)
**カスタムデータ分離なし **
**カスタムプレフィックス**に `No custom prefix`を選択すると、バケットはカスタムデータ分離なしで追加されます。これにより、バケットに関連付けられたすべてのプロジェクトに読み取りおよび書き込みアクセスが許可されます。例えば、管理者が`arn:aws:s3:::bucket-name``No custom prefix`選択した ARN を使用して RES にバケットを追加し、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A とプロジェクト B 内から VDIs を起動するユーザーは、バケットへの無制限の読み取りおよび書き込みアクセス権を持ちます。
**プロジェクトレベルごとのデータ分離 **
**カスタムプレフィックス**に `/%p`を選択すると、バケット内のデータはそれに関連付けられた特定のプロジェクトごとに分離されます。`%p` 変数はプロジェクトコードを表します。例えば、管理者が`arn:aws:s3:::bucket-name``/%p`選択した と */bucket* の**マウントポイント**を使用して RES にバケットを追加し、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A のユーザー A は */bucket* にファイルを書き込むことができます。プロジェクト A のユーザー B は、ユーザー A が */bucket* で書き込んだファイルを表示することもできます。ただし、ユーザー B がプロジェクト B で VDI を起動し、*/bucket* を検索すると、データがプロジェクトによって分離されるため、ユーザー A が作成したファイルが表示されません。ユーザー A が書き込んだファイルは、プレフィックスの下の S3 バケットにあります`/ProjectA`が、ユーザー B はプロジェクト B から VDIs を使用する`/ProjectB`場合にのみアクセスできます。
**プロジェクトごと、ユーザーごとのデータ分離 **
**カスタムプレフィックス**に `/%p/%u`を選択すると、バケット内のデータは、そのプロジェクトに関連付けられた特定のプロジェクトとユーザーに分離されます。`%p` 変数はプロジェクトコードを表し、ユーザー名`%u`を表します。たとえば、管理者は`/%p/%u`、選択した と */bucket* のマウントポイント`arn:aws:s3:::bucket-name`の ARN を使用して RES にバケットを追加します。このバケットはプロジェクト A とプロジェクト B に関連付けられています。プロジェクト A のユーザー A は */bucket* にファイルを書き込むことができます。`%p` 分離のみの以前のシナリオとは異なり、この場合のユーザー B には、/*bucket* のプロジェクト A で書き込まれたファイルが表示されません。これは、データがプロジェクトとユーザーの両方によって分離されるためです。ユーザー A が書き込んだファイルは、プレフィックスの S3 バケットにあります`/ProjectA/UserA`が、ユーザー B はプロジェクト A で VDIs を使用する`/ProjectA/UserB`場合にのみ にアクセスできます。
# クロスアカウントバケットアクセス
RES は、これらのバケットに適切なアクセス許可がある場合、他の AWS アカウントからバケットをマウントできます。次のシナリオでは、アカウント A の RES 環境がアカウント B に S3 バケットをマウントしたいと考えています。
**ステップ 1: RES がデプロイされているアカウントに IAM ロールを作成します *(これはアカウント A と呼ばれます)*。**
1. S3 バケット (アカウント A) へのアクセスを必要とする RES アカウントの AWS マネジメントコンソールにサインインします。
1. IAM コンソールを開きます。
1. IAM ダッシュボードに移動します。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. ポリシーを作成する:
1. [**Create policy**] (ポリシーの作成) を選択します。
1. [**JSON**] タブを選択します。
1. 次の JSON ポリシーを貼り付けます ( をアカウント B にある S3 バケットの名前`amzn-s3-demo-bucket`に置き換えます)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. [**次へ**] を選択します。
1. ポリシーを確認して作成します。
1. ポリシーの名前を指定します (例: "S3AccessPolicy")。
1. ポリシーの目的を説明するオプションの説明を追加します。
1. ポリシーを確認し、**ポリシーの作成**を選択します。
1. IAM コンソールを開きます。
1. IAM ダッシュボードに移動します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. ロールを作成する:
1. [**ロールの作成**] を選択してください。
1. 信頼されたエンティティのタイプとして**カスタム信頼ポリシー**を選択します。
1. 次の JSON ポリシーを貼り付けます ( をアカウント A の実際のアカウント ID `111122223333`に置き換え、 を RES デプロイの環境名`{RES_ENVIRONMENT_NAME}`に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. [**次へ**] を選択します。
1. アクセス許可ポリシーをアタッチする:
1. 前に作成したポリシーを検索して選択します。
1. [**次へ**] を選択します。
1. ロールのタグ付け、確認、作成:
1. ロール名 (S3AccessRole」など) を入力します。
1. ステップ 3 で、**タグの追加**を選択し、次のキーと値を入力します。
+ キー: `res:Resource`
+ 値: `s3-bucket-iam-role`
1. ロールを確認し、**ロールの作成**を選択します。
1. RES で IAM ロールを使用します。
1. 作成した IAM ロール ARN をコピーします。
1. RES コンソールにサインインします。
1. 左側のナビゲーションペインで、**S3 バケット**を選択します。
1. **バケットの追加**を選択し、フォームにクロスアカウントの S3 バケット ARN を入力します。
1. **詳細設定 - オプションの**ドロップダウンを選択します。
1. IAM ロール ARN フィールドにロール ARN を入力します。
1. **バケットの追加** を選択します。
**ステップ 2: アカウント B でバケットポリシーを変更する**
1. アカウント B の AWS マネジメントコンソールにサインインします。
1. S3 コンソールを開きます。
1. S3 ダッシュボードに移動します。
1. アクセスを許可するバケットを選択します。
1. バケットポリシーを編集します。
1. アクセス**許可**タブを選択し、**バケットポリシー**を選択します。
1. 次のポリシーを追加して、アカウント A の IAM ロールにバケットへのアクセスを許可します (*111122223333* をアカウント A の実際のアカウント ID に置き換え、*amzn-s3-demo-bucket* を S3 バケットの名前に置き換えます)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. **[保存]** を選択します。
# プライベート VPC でのデータ流出の防止
ユーザーが安全な S3 バケットからアカウント内の独自の S3 バケットにデータを流出しないようにするには、VPC エンドポイントをアタッチしてプライベート VPC を保護します。次の手順は、アカウント内の S3 バケットへのアクセスをサポートする S3 サービスの VPC エンドポイントと、クロスアカウントバケットを持つ追加のアカウントを作成する方法を示しています。
1. Amazon VPC コンソールを開きます。
1. AWS マネジメントコンソールにサインインします。
1. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole) で Amazon VPC コンソールを開きます。
1. S3 の VPC エンドポイントを作成する:
1. 左のナビゲーションペインで [**エンドポイント**] を選択してください。
1. **[Create Endpoint]** (エンドポイントの作成) を選択します。
1. [**Service category**] (サービスカテゴリ) で、[**AWS services**] (AWS のサービス) が選択されていることを確認します。
1. **サービス名**フィールドに「」と入力するか `com.amazonaws..s3` ( AWS リージョン``に置き換える)、「S3」を検索します。
1. リストから S3 サービスを選択します。
1. エンドポイント設定の構成:
1. **[VPC]** で、エンドポイントを作成する VPC を選択します。
1. **サブネット**の場合は、デプロイ中に VDI サブネットに使用されるプライベートサブネットの両方を選択します。
1. **DNS 名を有効にする** で、 オプションがオンになっていることを確認します。これにより、プライベート DNS ホスト名をエンドポイントネットワークインターフェイスに解決できます。
1. アクセスを制限するように ポリシーを設定します。
1. Policy で****、**Custom** を選択します。
1. ポリシーエディタで、アカウントまたは特定のアカウント内のリソースへのアクセスを制限するポリシーを入力します。ポリシーの例を次に示します (*amzn-s3-demo-bucket* を S3 バケット名に置き換え、*111122223333* と *444455556666* をアクセスする適切な AWS アカウント IDsに置き換えます)。
**注記**
このポリシー例では`s3:*`、 を使用し、イベント通知設定、レプリケーション、インベントリなどの S3 コントロールプレーンオペレーションを制限しません。これらのオペレーションにより、オブジェクトメタデータ (バケット名やオブジェクトキーなど) をクロスアカウントの送信先に送信できます。これが懸念される場合は、VPC エンドポイントポリシーの関連する S3 コントロールプレーンアクションに明示的な拒否ステートメントを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. エンドポイントを作成します。
1. 設定を確認します。
1. **エンドポイントの作成** を選択します。
1. エンドポイントを検証する:
1. エンドポイントが作成されたら、**VPC コンソールのエンドポイント**セクションに移動します。
1. 新しく作成したエンドポイントを選択します。
1. **状態**が**使用可能**であることを確認します。
これらのステップに従って、アカウントまたは指定されたアカウント ID 内のリソースに制限された S3 アクセスを許可する VPC エンドポイントを作成します。
# トラブルシューティング
**バケットが VDI へのマウントに失敗したかどうかを確認する方法**
バケットが VDI へのマウントに失敗した場合、エラーをチェックできる場所がいくつかあります。以下のステップに従います。
1. VDI ログを確認します。
1. AWS マネジメントコンソールにサインインします。
1. EC2 コンソールを開き、**インスタンス**に移動します。
1. 起動した VDI インスタンスを選択します。
1. Session Manager を介して VDI に接続します。
1. 以下の コマンドを実行します。
```
sudo su
cd ~/bootstrap/logs
```
ここでは、ブートストラップログを確認できます。障害の詳細は `configure.log.{time}` ファイルにあります。
さらに、ログ`/etc/message`で詳細を確認してください。
1. カスタム認証情報ブローカーの Lambda CloudWatch Logs を確認する:
1. AWS マネジメントコンソールにサインインします。
1. CloudWatch コンソールを開き、**ロググループ**に移動します。
1. ロググループ を検索します`/aws/lambda/-vdc-custom-credential-broker-lambda`。
1. 最初に使用可能なロググループを調べ、ログ内のエラーを見つけます。これらのログには、S3 バケットをマウントするための一時的なカスタム認証情報を提供する潜在的な問題に関する詳細が含まれます。
1. カスタム認証情報ブローカー API Gateway CloudWatch Logs を確認します。
1. AWS マネジメントコンソールにサインインします。
1. CloudWatch コンソールを開き、**ロググループ**に移動します。
1. ロググループ を検索します`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`。
1. 最初に使用可能なロググループを調べ、ログ内のエラーを見つけます。これらのログには、S3 バケットのマウントに必要なカスタム認証情報の API Gateway へのリクエストとレスポンスに関する詳細が含まれます。
**オンボーディング後にバケットの IAM ロール設定を編集する方法**
1. [AWS DynamoDB コンソール](https://console.aws.amazon.com/dynamodbv2/home)にサインインします。
1. テーブルを選択します。
1. 左のナビゲーションペインで、**[テーブル]** を選択します。
1. を検索して選択します`.cluster-settings`。
1. テーブルをスキャンします。
1. **[テーブルアイテムの探索]** を選択します。
1. **スキャン**が選択されていることを確認します。
1. フィルターを追加する:
1. **フィルター**を選択してフィルターエントリセクションを開きます。
1. キーと一致するようにフィルターを設定します。
+ **属性**: キーを入力します。
+ **条件**: 「 **で始まる**」を選択します。
+ **値**: `shared-storage..s3_bucket.iam_role_arn` ** を変更する必要があるファイルシステムの値に置き換えます。
1. スキャンを実行します。
**Run** を選択して、フィルターを使用してスキャンを実行します。
1. 値を確認します。
エントリが存在する場合は、適切な IAM ロール ARN で値が正しく設定されていることを確認します。
エントリが存在しない場合:
1. **[項目を作成]** を選択します。
1. 項目の詳細を入力します。
+ key 属性には、 と入力します`shared-storage..s3_bucket.iam_role_arn`。
+ 正しい IAM ロール ARN を追加します。
1. **保存**を選択して項目を追加します。
1. VDI インスタンスを再起動します。
インスタンスを再起動して、誤った IAM ロール ARN の影響を受ける VDIs が再度マウントされるようにします。
# CloudTrail の有効化
CloudTrail コンソールを使用してアカウントで CloudTrail を有効にするには、「CloudTrail ユーザーガイド」の[CloudTrail コンソールを使用した証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」に記載されている手順に従ってください。 *AWS CloudTrail * CloudTrail は、S3 バケットにアクセスした IAM ロールを記録することで、S3 バケットへのアクセスを記録します。これは、プロジェクトまたはユーザーにリンクされたインスタンス ID にリンクできます。