翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 前提条件 **Topics** + [管理ユーザー AWS アカウント を使用して を作成する](#aws-account) + [Amazon EC2 SSH キーペアを作成する](#create-ssh-key-pair) + [サービスクォータを増やす](#increase-service-quotas) + [Cognito ユーザープールを作成する (オプション)](#create-cognito-user-pool) + [カスタムドメインを作成する (オプション)](#create-public-domain) + [ドメインを作成する (GovCloud のみ)](#create-domain-govcloud) + [外部リソースを提供する](#external-resources) + [環境で LDAPS を設定する (オプション)](#configure-ldaps) + [Microsoft Active Directory のサービスアカウントを設定する](#service-account-ms-ad) + [プライベート VPC を設定する (オプション)](#private-vpc) ## 管理ユーザー AWS アカウント を使用して を作成する 管理ユーザー AWS アカウント を持つ が必要です。 1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。 1. オンラインの手順に従います。 サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。 にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。 ## Amazon EC2 SSH キーペアを作成する Amazon EC2 SSH キーペアがない場合は、作成する必要があります。詳細については、[「Amazon EC2 ユーザーガイド」](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html)の*「Amazon EC2 を使用したキーペアの作成」*を参照してください。 ## サービスクォータを増やす ベストプラクティスとして、以下の[サービスクォータを増や](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)します。 + [ Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + NAT ゲートウェイあたりの Elastic IP アドレスクォータを 5 から 8 に増やします。 + アベイラビリティーゾーンあたりの NAT ゲートウェイを 5 から 10 に増やします。 + [ Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + EC2-VPC Elastic IPs。 AWS アカウントには、 AWS サービスごとにデフォルトのクォータがあります。特に明記されていない限り、クォータは地域固有です。一部のクォータについては引き上げをリクエストできますが、その他のクォータについては引き上げることはできません。詳細については、「[この製品の AWS サービスのクォータ](plan-your-deployment.md#quotas-for-aws-services-in-this-product)」を参照してください。 ## Cognito ユーザープールを作成する (オプション) RES のインストール時に、ユーザー認証とクライアント認証のために既存の Cognito ユーザープールをインポートすることもできます。それ以外の場合、RES は新しい Cognito ユーザープールを自動的に作成します。既存のユーザープールには、次のサインアップカスタム属性が必要です。 | 名前 | 型 | 最小値/長さ | 最大値/長さ | Mutable | | --- | --- | --- | --- | --- | | custom:aws\$1region | String | | | TRUE | | custom:cluster\$1name | String | | | TRUE | | custom:password\$1last\$1set | Number | | | TRUE | | custom:password\$1max\$1age | Number | | | TRUE | | custom:uid | Number | 2000200001 | 4294967294 | TRUE | ## カスタムドメインを作成する (オプション) ベストプラクティスとして、わかりやすい URL の製品にカスタムドメインを使用します。カスタムドメインを指定し、*オプション*で証明書を指定できます。 外部リソーススタックには、指定したカスタムドメインの証明書を作成するプロセスがあります。ドメインがあり、外部リソーススタックの証明書生成機能を使用する場合は、ここでステップをスキップできます。 または、以下の手順に従って Amazon Route 53 を使用してドメインを登録し、 を使用してドメインの証明書をインポートします AWS Certificate Manager。 1. 指示に従って、Route 53 に[ドメインを登録](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console)します。確認メールが届きます。 1. ドメインのホストゾーンを取得します。Route 53 はこれを自動的に作成します。 1. Route 53 コンソールを開きます。 1. 左側のナビゲーションから**ホストゾーン**を選択します。 1. ドメイン名用に作成されたホストゾーンを開き、**ホストゾーン ID **をコピーします。 1. を開き AWS Certificate Manager 、以下の手順に従って[ドメイン証明書をリクエスト](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)します。ソリューションをデプロイする予定のリージョンにいることを確認します。 1. ナビゲーションから**証明書を一覧表示**を選択し、証明書リクエストを見つけます。リクエストは保留中である必要があります。 1. **証明書 ID** を選択してリクエストを開きます。 1. **ドメイン**セクションから、**Route 53 でレコードを作成する**を選択します。リクエストの処理には約 10 分かかります。 1. 証明書が発行されたら、**証明書のステータス**セクションから **ARN** をコピーします。 ## ドメインを作成する (GovCloud のみ) AWS GovCloud リージョンにデプロイしていて、Research and Engineering Studio のカスタムドメインを使用している場合は、以下の前提条件のステップを完了する必要があります。 1. パブリックホストドメインが作成された商用パーティション AWS アカウントに [ Certificate CloudFormation スタック](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml)をデプロイします。 1. Certificate ** CloudFormation 出力**から、 と を見つけ`CertificateARN`てメモします`PrivateKeySecretARN`。 1. GovCloud パーティションアカウントで、`CertificateARN`出力の値を持つシークレットを作成します。がシークレット値`vdc-gateway`にアクセスできるように、新しいシークレット ARN を書き留め、シークレットに 2 つのタグを追加します。 1. res:ModuleName = virtual-desktop-controller 1. res:EnvironmentName = [environment name] (res-demo の可能性があります) 1. GovCloud パーティションアカウントで、`PrivateKeySecretARN`出力の値を持つシークレットを作成します。がシークレット値`vdc-gateway`にアクセスできるように、新しいシークレット ARN を書き留め、シークレットに 2 つのタグを追加します。 1. res:ModuleName = virtual-desktop-controller 1. res:EnvironmentName = [environment name] (res-demo の可能性があります) ## 外部リソースを提供する の Research and Engineering Studio では、デプロイ時に次の外部リソースが存在することを AWS 想定しています。 + **ネットワーキング (VPC、パブリックサブネット、プライベートサブネット)** ここでは、RES 環境、Active Directory (AD)、共有ストレージのホストに使用される EC2 インスタンスを実行します。 + **ストレージ (Amazon EFS)** ストレージボリュームには、仮想デスクトップインフラストラクチャ (VDI) に必要なファイルとデータが含まれています。 + **ディレクトリサービス (AWS Directory Service for Microsoft Active Directory) ** ディレクトリサービスは、RES 環境に対してユーザーを認証します。 + **キーと値のペア (ユーザー名、パスワード) としてフォーマットされた Active Directory サービスアカウントのユーザー名とパスワードを含むシークレット** Research and Engineering Studio は、 を使用して、サービスアカウントのパスワードなど、指定した[シークレット](secrets-management.md)にアクセスします[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)。 **警告** 同期するすべての Active Directory (AD) ユーザーに対して有効な E メールアドレスを指定する必要があります。 **ヒント** デモ環境をデプロイしていて、これらの外部リソースが利用できない場合は、 AWS ハイパフォーマンスコンピューティングレシピを使用して外部リソースを生成できます。アカウントにリソースをデプロイするには[外部リソースを作成する](create-external-resources.md)、次のセクション「」を参照してください。 an AWS GovCloud リージョンでのデモデプロイの場合は、「」の前提条件ステップを完了する必要があります[ドメインを作成する (GovCloud のみ)](#create-domain-govcloud)。 ## 環境で LDAPS を設定する (オプション) 環境で LDAPS 通信を使用する場合は、以下の手順を実行して、証明書を作成して AWS Managed Microsoft AD (AD) ドメインコントローラーにアタッチし、AD と RES 間の通信を提供する必要があります。 1. 「 の[サーバー側の LDAPS を有効にする方法 AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)」に記載されているステップに従います。LDAPS を既に有効にしている場合は、このステップをスキップできます。 1. AD で LDAPS が設定されていることを確認したら、AD 証明書をエクスポートします。 1. Active Directory サーバーに移動します。 1. 管理者として PowerShell を開きます。 1. `certmgr.msc` を実行して証明書リストを開きます。 1. 最初に信頼されたルート認証機関を開き、次に証明書を開いて、証明書リストを開きます。 1. AD サーバーと同じ名前の証明書を長押し (または右クリック) し、**すべてのタスク**を選択してから**エクスポート**します。 1. **Base-64 でエンコードされた X.509 (.CER)** を選択し、**次へ**を選択します。 1. ディレクトリを選択し、次**へ**を選択します。 1. シークレットの作成先 AWS Secrets Manager: シークレットマネージャーでシークレットを作成する場合は、**[シークレットのタイプ]** で **[その他のシークレット]** を選択し、**[プレーンテキスト]** フィールドに PEM エンコードの証明書を貼り付けます。 1. 作成された ARN を書き留めて、 の `DomainTLSCertificateSecretARN`パラメータとして入力します[ステップ 1: 製品を起動する](launch-the-product.md)。 ## Microsoft Active Directory のサービスアカウントを設定する RES の ID ソースとして Microsoft Active Directory (AD) を選択した場合、AD にプログラムによるアクセスを許可するサービスアカウントがあります。RES のインストールの一環として、サービスアカウントの認証情報を使用してシークレットを渡す必要があります。シークレットは、ここに示す形式である必要があります。 ![\[ユーザー名とパスワードの形式例\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-secret-value-example.png) また、 `username`フィールドは 形式の NT 形式のログオン名をサポートしていないことに注意してください`DOMAIN\username`。 サービスアカウントは次の機能を担当します。 + AD からユーザーを同期する: RES は AD からユーザーを同期して、ユーザーがウェブポータルにログインできるようにする必要があります。同期プロセスは、サービスアカウントを使用して LDAP (複数可) を使用して AD をクエリし、使用可能なユーザーとグループを決定します。 + AD ドメインに参加する: これは、インスタンスが AD ドメインに参加する Linux 仮想デスクトップとインフラストラクチャホストのオプションオペレーションです。RES では、これは `DisableADJoin`パラメータで制御されます。このパラメータはデフォルトで False に設定されます。つまり、Linux 仮想デスクトップはデフォルト設定で AD ドメインに参加しようとします。 + AD に接続する: Linux 仮想デスクトップとインフラストラクチャホストは、AD ドメインに参加しない場合 (`DisableADJoin` = True)、AD ドメインに接続します。この機能を使用するには、サービスアカウントで `UsersOU`および のユーザーとグループの読み取りアクセスも必要です`GroupsOU`。 サービスアカウントには、次のアクセス許可が必要です。 + ユーザーを同期して AD に接続するには → `UsersOU`および のユーザーとグループの読み取りアクセス`GroupsOU`。 + AD ドメインに参加するには → で`Computer`オブジェクトを作成します`ComputersOU`。 [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) のスクリプトは、適切なサービスアカウントのアクセス許可を付与する方法の例を示しています。独自の AD に基づいて変更できます。 ## プライベート VPC を設定する (オプション) Research and Engineering Studio を分離された VPC にデプロイすると、組織のコンプライアンスとガバナンス要件を満たすためのセキュリティが強化されます。ただし、標準の RES デプロイは、依存関係のインストールにインターネットアクセスに依存しています。プライベート VPC に RES をインストールするには、次の前提条件を満たす必要があります。 **Topics** + [Amazon マシンイメージ (AMIsを準備する](#prep-ami) + [VPC エンドポイントの設定](#private-vpc-endpoints) + [VPC エンドポイントのない サービスに接続する](#connect-services-without-endpoints) + [プライベート VPC デプロイパラメータを設定する](#vpc-deployment-parameters) ### Amazon マシンイメージ (AMIsを準備する 1. [ で依存関係をダウンロードします https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz)。分離された VPC にデプロイするには、RES インフラストラクチャでパブリックインターネットアクセスなしで依存関係を利用できる必要があります。 **重要** RES 環境のバージョンが最新でない場合は、ダウンロード URI **latest**の を正確なバージョン番号 ( など**2025.06**) に置き換えます。 1. Amazon S3 読み取り専用アクセスと Amazon EC2 としての信頼できる ID を持つ IAM ロールを作成します。 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。 1. **ロール** から、**ロールの作成** を選択します。 1. **[信頼されたエンティティを選択]** ページで以下を行います。 + **信頼されたエンティティタイプ**で、 を選択します AWS のサービス。 + **** **「サービス」または「ユースケース**」の**EC2**」を選択し、**「次へ**」を選択します。 1. アクセス**許可の追加**で、次のアクセス許可ポリシーを選択し、次**へ**を選択します。 + AmazonS3ReadOnlyAccess + AmazonSSMManagedInstanceCore + EC2InstanceProfileForImageBuilder 1. **ロール名**と**説明**を追加し、**ロールの作成**を選択します。 1. EC2 Image Builder コンポーネントを作成します。 1. で EC2 Image Builder コンソールを開きます[https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder)。 1. **「保存されたリソース**」で、**「コンポーネント**」を選択し、**「コンポーネントの作成**」を選択します。 1. **コンポーネントの作成**ページで、次の詳細を入力します。 + **コンポーネントタイプ** で、**ビルド** を選択します。 + **コンポーネントの詳細については**、以下を選択します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/prerequisites.html) 1. **コンポーネントの作成**ページで、**ドキュメントコンテンツの定義**を選択します。 1. 定義ドキュメントの内容を入力する前に、tar.gz ファイルのファイル URI が必要です。RES が提供する tar.gz ファイルを Amazon S3 バケットにアップロードし、バケットプロパティからファイルの URI をコピーします。 1. 次のように入力します。 **注記** `AddEnvironmentVariables` はオプションであり、インフラストラクチャホストにカスタム環境変数が必要ない場合は削除できます。 `http_proxy` および `https_proxy`環境変数を設定する場合、インスタンスがプロキシを使用して localhost、インスタンスメタデータ IP アドレス、および VPC エンドポイントをサポートするサービスをクエリしないようにするには、`no_proxy`パラメータが必要です。 ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. **[コンポーネントを作成]** を選択します。 1. Image Builder イメージレシピを作成します。 1. **レシピの作成**ページで、次のように入力します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/prerequisites.html) 1. **[レシピを作成する]** を選択します。 1. Image Builder インフラストラクチャ設定を作成します。 1. **保存済みリソース**で、**インフラストラクチャ設定**を選択します。 1. **インフラストラクチャー構成の作成** を選択します。 1. **インフラストラクチャ設定の作成**ページで、次のように入力します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/prerequisites.html) 1. **インフラストラクチャー構成の作成** を選択します。 1. 新しい EC2 Image Builder パイプラインを作成します。 1. Image **pipelines に移動し**、Create **image pipeline **を選択します。 1. **パイプラインの詳細を指定**ページで、次のように入力し、**次へ**を選択します。 + パイプライン名とオプションの説明 + **ビルドスケジュール**で、スケジュールを設定するか、AMI ベーキングプロセスを手動で開始する場合は**手動**を選択します。 1. **レシピの選択**ページで、**既存のレシピを使用**を選択し、前に作成した**レシピ名**を入力します。[**次へ**] を選択します。 1. **画像プロセスの定義**ページで、デフォルトのワークフローを選択し、**次へ**を選択します。 1. **「インフラストラクチャ設定の定義**」ページで、**「既存のインフラストラクチャ設定を使用する**」を選択し、以前に作成したインフラストラクチャ設定の名前を入力します。[**次へ**] を選択します。 1. **ディストリビューション設定の定義**ページで、選択について次の点を考慮してください。 + RES がそこからインフラストラクチャホストインスタンスを適切に起動できるように、出力イメージはデプロイされた RES 環境と同じリージョンに存在する必要があります。サービスのデフォルトを使用すると、EC2 Image Builder サービスが使用されているリージョンに出力イメージが作成されます。 + RES を複数のリージョンにデプロイする場合は、**新しいディストリビューション設定を作成し**、そこにリージョンを追加できます。 1. 選択内容を確認し、**パイプラインの作成**を選択します。 1. EC2 Image Builder パイプラインを実行します。 1. **イメージパイプライン**から、作成したパイプラインを見つけて選択します。 1. **アクション**を選択し、**パイプラインの実行**を選択します。 パイプラインは、AMI イメージの作成に約 45 分から 1 時間かかる場合があります。 1. 生成された AMI の AMI ID を書き留め、 の InfrastructureHostAMI パラメータの入力として使用します[ステップ 1: 製品を起動する](launch-the-product.md)。 ### VPC エンドポイントの設定 RES をデプロイして仮想デスクトップを起動するには、プライベートサブネットへのアクセス AWS のサービス が必要です。必要なアクセスを提供するように VPC エンドポイントを設定する必要があります。また、エンドポイントごとにこれらのステップを繰り返す必要があります。 1. エンドポイントが以前に設定されていない場合は、[「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」に記載されている手順に従ってください。 1. 2 つのアベイラビリティーゾーンのそれぞれで 1 つのプライベートサブネットを選択します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/prerequisites.html) ### VPC エンドポイントのない サービスに接続する VPC エンドポイントをサポートしていないサービスと統合するには、VPC のパブリックサブネットにプロキシサーバーを設定できます。ID プロバイダーとして AWS Identity Center を使用して、Research and Engineering Studio デプロイに必要な最小限のアクセス権を持つプロキシサーバーを作成するには、次の手順に従います。 1. RES デプロイに使用する VPC のパブリックサブネットで Linux インスタンスを起動します。 + Linux ファミリー – Amazon Linux 2 または Amazon Linux 3 + アーキテクチャ – x86 + インスタンスタイプ – t2.micro 以上 + セキュリティグループ – 0.0.0.0/0 からのポート 3128 での TCP 1. インスタンスに接続してプロキシサーバーを設定します。 1. http 接続を開きます。 1. 関連するすべてのサブネットから次のドメインへの接続を許可します。 + .amazonaws.com (汎用 AWS サービスの場合) + .amazoncognito.com (Amazon Cognito の場合) + .awsapps.com (アイデンティティセンター用) + .signin.aws (アイデンティティセンター用) + .amazonaws-us-gov.com ( Gov Cloud の場合) 1. 他のすべての接続を拒否します。 1. プロキシサーバーをアクティブ化して起動します。 1. プロキシサーバーがリッスンする PORT を書き留めます。 1. プロキシサーバーへのアクセスを許可するようにルートテーブルを設定します。 1. VPC コンソールに移動し、インフラストラクチャホストと VDI ホストに使用するサブネットのルートテーブルを特定します。 1. ルートテーブルを編集して、すべての着信接続が前のステップで作成したプロキシサーバーインスタンスに移動できるようにします。 1. これは、インフラストラクチャ/VDIs に使用するすべてのサブネット (インターネットアクセスなし) のルートテーブルに対して行います。 1. プロキシサーバー EC2 インスタンスのセキュリティグループを変更し、プロキシサーバーがリッスンしている PORT でインバウンド TCP 接続が許可されていることを確認します。 ### プライベート VPC デプロイパラメータを設定する では[ステップ 1: 製品を起動する](launch-the-product.md)、 CloudFormation テンプレートに特定のパラメータを入力することが期待されます。先ほど設定したプライベート VPC に正常にデプロイするには、次のパラメータを必ず設定してください。 | パラメータ | Input | | --- |--- | | InfrastructureHostAMI | Use the infrastructure AMI ID created in [Amazon マシンイメージ (AMIsを準備する](#prep-ami). | | IsLoadBalancerInternetFacing | Set to false. | | LoadBalancerSubnets | Choose private subnets without internet access. | | InfrastructureHostSubnets | Choose private subnets without internet access. | | VdiSubnets | Choose private subnets without internet access. | | ClientIP | You can choose your VPC CIDR to allow access for all VPC IP addresses. | | HttpProxy | Example: http://10.1.2.3:123 | | HttpsProxy | Example: http://10.1.2.3:123 | | NoProxy | 例: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
|