View a markdown version of this page

既知の問題 - Research and Engineering Studio
既知の問題 2024.x

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

既知の問題

既知の問題 2024.x

........................

(2024.12 および 2024.12.01) 新しい Cognito ユーザーを登録する際の正規表現の失敗

バグの説明

などの「.」を含む E メールプレフィックスを持つウェブポータルを介して AWS Cognito ユーザーを登録しようとすると<firstname>.<lastname>@<company>.com、Cognito ユーザー名が定義された正規表現パターンと一致していないことを示すエラーが発生します。

無効なパラメータエラー

このエラーは、ユーザーの E メールプレフィックスから RES 自動生成ユーザー名が原因で発生します。ただし、「.VDIs では有効なユーザーではありません。この修正により、ユーザー名の生成時に E メールプレフィックスの「.VDIs でユーザー名が有効になります。

影響を受けるバージョン

RES バージョン 2024.12 および 2024.12.01

緩和策

  1. バージョン 2024.12 cognito_sign_up_email_fix.patchの場合は patch.py 、バージョン 2024.12.01 cognito_sign_up_email_fix.patchの場合は および をダウンロードするには、次のコマンドを実行します。 <output-directory>をパッチスクリプトとパッチファイルをダウンロードするディレクトリに、 を RES 環境の名前<environment-name>に置き換えます。

    1. パッチは RES 2024.12 および 2024.12.01 に適用されます。

    2. パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    3. RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>
RES_VERSION=<res-version> # either 2024.12 or 2024.12.01

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/cognito_sign_up_email_fix.patch --output ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

  2. パッチスクリプトとパッチファイルがダウンロードされたディレクトリに移動します。次のパッチコマンドを実行します。

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch ${OUTPUT_DIRECTORY}/cognito_sign_up_email_fix.patch

  3. 環境の Cluster Manager インスタンスを再起動します。Amazon EC2 マネジメントコンソールからインスタンスを終了することもできます。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

  4. 名前 で始まる Auto Scaling グループのアクティビティをチェックして、Cluster Manager インスタンスのステータスを確認します<RES-EnvironmentName>-cluster-manager-asg。新しいインスタンスが正常に起動されるまで待ちます。

........................

(2024.12.01 以前) カスタムドメインを使用して VDI に接続するときに無効な不正な証明書エラーが発生する

バグの説明

外部リソースレシピと RES をカスタムポータルドメイン名でデプロイすると、 CertificateRenewalNode は VDI 接続の TLS 証明書の更新に失敗し、 で次のエラーが発生します/var/log/user-data.log

{
  "type": "urn:ietf:params:acme:error:unauthorized",
  "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
  "status": 403
}

その結果、RES ウェブポータルで VDIs に接続すると、 net::ERR_CERT_DATE_INVALID (Chrome) または Error code: SSL_ERROR_BAD_CERT_DOMAIN (FireFox) というエラーが発生します。

影響を受けるバージョン

2024.12.01 以前

緩和策

  1. EC2 コンソールに移動します。という名前のインスタンスがある場合はCertificateRenewalNode-、インスタンスを終了します。

  2. Lambda コンソールに移動します。という名前の Lambda 関数のソースコードを開きます-CertificateRenewalLambda-。で見つめている行を特定し./acme.sh --issue --dns dns_aws --ocsp-must-staple --keylength 4096、引--ocsp-must-staple数を削除します。

  3. デプロイ を選択し、コード変更が有効になるまで待ちます。

  4. Lambda 関数を手動でトリガーするには、テストタブに移動し、テストを選択します。追加の入力は必要ありません。これにより、Secret Manager の Certificate シークレットと PrivateKey シークレットを更新する証明書 EC2 インスタンスが作成されます。シークレットが更新されると、インスタンスは自動的に終了します。

  5. 既存の dcv-gateway インスタンスを終了する: <env-name>-vdc-gatewayと は、自動スケーリンググループが新しいインスタンスを自動的にデプロイするのを待ちます。

エラーの詳細

Let's Encrypt は 2025 年に OCSP サポートを終了します。2025 年 1 月 30 日以降、OCSP Must-Staple リクエストは、リクエスト元のアカウントが OCSP Must Staple 拡張機能を含む証明書を以前に発行していない限り失敗します。詳細については、https://letsencrypt.org/2024/12/05/ending-ocsp/ を参照してください。

........................

(2024.12 および 2024.12.01) Active Directory ユーザーが踏み台ホストに SSH できない

バグの説明

Active Directory ユーザーは、RES ウェブポータルの指示に従って踏み台ホストに接続すると、アクセス許可拒否エラーを受け取ります。

踏み台ホストで実行される Python アプリケーションは、環境変数がないため、SSSD サービスを起動できません。その結果、AD ユーザーはオペレーティングシステムに対して不明であり、ログインできません。

影響を受けるバージョン

2024 年 12 月 2024.12.01

緩和策

  1. EC2 コンソールから踏み台ホストインスタンスに接続します。

  2. IDEA_CLUSTER_NAME で編集/etc/environmentして新しい行environment_name=<res-environment-name>として追加します。

  3. インスタンスで次のコマンドを実行します。

    source /etc/environment
sudo service supervisord restart
sudo systemctl restart supervisord

  4. RES ウェブポータルの指示に従って、踏み台ホストに再度接続してみてください。

........................

(2024.10) 隔離された VPCs

バグの説明

2024.10 RES リリースでは、一定期間アイドル状態の VDI に VDIs 自動停止が追加されました。この設定は、デスクトップ設定 → サーバー → セッションで設定できます。

VDI 自動停止は現在、分離された VPCs にデプロイされた RES 環境ではサポートされていません。

影響を受けるバージョン

2024 年 10 月

緩和策

現在、今後のリリースに含まれる修正に取り組んでいます。ただし、隔離された VPCs VDIs を手動で停止することは可能です。

........................

(2024.10 以前) Graphic 拡張インスタンスタイプの VDI の起動に失敗しました

バグの説明

Amazon Linux 2 - x86_64、RHEL 8 - x86_64、または RHEL 9 x86_64 VDI がグラフィック拡張インスタンスタイプ (g4、g5) で起動されると、インスタンスはプロビジョニング状態でスタックします。つまり、インスタンスが「準備完了」状態になり、接続可能になることはありません。

これは、X Server がインスタンスで適切にインスタンス化されないために発生します。このパッチを適用したら、グラフィックインスタンスのソフトウェアスタックのルートボリュームサイズを 50 GB に増やして、すべての依存関係をインストールするための十分なスペースを確保することをお勧めします。

影響を受けるバージョン

すべての RES バージョン 2024.10 以前。

緩和策

  1. をパッチスクリプトとパッチファイルをダウンロードするディレクトリ<output-directory>に置き換え、 を以下のコマンドで RES 環境の名前<environment-name>に置き換えて、patch.py graphic_enhanced_instance_types_fix.patch をダウンロードします。

    1. パッチは RES 2024.10 にのみ適用されます。

    2. パッチスクリプトには、 AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    3. RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.10/patch_scripts/patches/graphic_enhanced_instance_types_fix.patch --output ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

  2. パッチスクリプトとパッチファイルがダウンロードされたディレクトリに移動します。次のパッチコマンドを実行します。

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.10 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/graphic_enhanced_instance_types_fix.patch

  3. 環境の Virtual Desktop Controller (vdc-controller) インスタンスを終了するには、以下のコマンドを実行し、表示されている RES 環境の名前を置き換えます。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

  4. 名前で始まるターゲットグループが正常<RES-EnvironmentName>-vdc-extになったら、新しいインスタンスを起動します。グラフィックインスタンスに登録する新しいソフトウェアスタックには、少なくとも 50GB のストレージがあることをお勧めします。

........................

(2024 年 8 月) インフラストラクチャ AMI 障害の準備

バグの説明

前提条件ドキュメントに記載されている指示に従って EC2 Image Builder を使用して AMIs を準備すると、ビルドプロセスは失敗し、次のエラーメッセージが表示されます。

CmdExecution: [ERROR] Command execution has resulted in an error

これは、 ドキュメントで提供されている依存関係ファイルのエラーが原因です。

影響を受けるバージョン

2024 年 8 月

緩和策

新しい EC2 Image Builder リソースを作成します。

(RES インスタンス用に AMIs を準備したことがない場合は、以下の手順に従います)

  1. 更新された res-installation-scripts.tar.gz ファイルをダウンロードします。

  2. AMIs) の準備プライベート VPC を設定する (オプション)」に記載されているステップに従います。

以前の EC2 Image Builder リソースの再利用:

(RES インスタンス用に AMIs を準備している場合は、以下の手順に従います)

  1. 更新された res-installation-scripts.tar.gz ファイルをダウンロードします。

  2. EC2 Image Builder → コンポーネント → RES AMIs の準備用に作成されたコンポーネントをクリックします。

  3. Content → DownloadRESInstallScripts ステップ → input → source にリストされている S3 の場所を書き留めます。

  4. 上記の S3 の場所には、以前に使用された依存関係ファイルが含まれています。このファイルを最初のステップでダウンロードしたファイルに置き換えます。

........................

(2024.08) 仮想デスクトップがルートバケット ARN とカスタムプレフィックスを使用して Amazon S3 バケットの読み取り/書き込みをマウントできない

バグの説明

Research and Engineering Studio 2024.08 は、ルートバケット ARN (つまり、) とカスタムプレフィックス (プロジェクト名またはプロジェクト名とユーザー名) を使用する場合、仮想デスクトップインフラストラクチャ (VDIarn:aws:s3:::example-bucket) インスタンスへの読み取り/書き込み S3 バケットのマウントに失敗します。

この問題の影響を受けないバケット設定は次のとおりです。

  • 読み取り専用バケット

  • バケット ARN (つまり、arn:aws:s3:::example-bucket/example-folder-prefix) およびカスタムプレフィックス (プロジェクト名またはプロジェクト名とユーザー名) の一部としてプレフィックスを持つバケットの読み取り/書き込み

  • ルートバケット ARN を持つが、カスタムプレフィックスのないバケットの読み取り/書き込み

VDI インスタンスをプロビジョニングした後、その S3 バケットに指定されたマウントディレクトリにはバケットがマウントされません。VDI のマウントディレクトリは存在しますが、ディレクトリは空になり、バケットの現在のコンテンツは含まれません。ターミナルを使用してディレクトリにファイルを書き込むと、エラーPermission denied, unable to write a fileがスローされ、ファイルの内容は対応する S3 バケットにアップロードされません。

影響を受けるバージョン

2024 年 8 月

緩和策

  1. パッチスクリプトとパッチファイル (patch.py および s3_mount_custom_prefix_fix.patch) をダウンロードするには、次のコマンドを実行し、 をパッチスクリプトとパッチファイルをダウンロードするディレクトリ<output-directory>に、 を RES 環境の名前<environment-name>に置き換えます。

    1. パッチは RES 2024.08 にのみ適用されます。

    2. パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    3. RES がデプロイされているアカウントとリージョンの AWS CLI を設定し、RES によって作成されたバケットに書き込むための Amazon S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.08/patch_scripts/patches/s3_mount_custom_prefix_fix.patch --output ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行します。

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.08 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/s3_mount_custom_prefix_fix.patch

  3. 環境の Virtual Desktop Controller (vdc-controller) インスタンスを終了するには、次のコマンドを実行します。(最初のステップで ENVIRONMENT_NAME変数を RES 環境の名前に設定済みです)。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
    注記

    プライベート VPC セットアップの場合、まだ行っていない場合は、<RES-EnvironmentName>-vdc-custom-credential-broker-lambda関数に名前AWS_STS_REGIONAL_ENDPOINTSと値が Environment variableの を追加してくださいregional。詳細については「分離された VPC デプロイの Amazon S3 バケットの前提条件」を参照してください。

  4. 名前で始まるターゲットグループが正常<RES-EnvironmentName>-vdc-extになったら、ルートバケット ARN とカスタムプレフィックスが正しくマウントされた読み取り/書き込み S3 バケットを持つ新しい VDIs を起動する必要があります。

........................

(2024.06) AD グループ名にスペースが含まれているとスナップショットの適用が失敗する

問題

AD グループに名前にスペースが含まれている場合、RES 2024.06 は以前のバージョンのスナップショットを適用できません。

クラスターマネージャーの CloudWatch ログ (/<environment-name>/cluster-managerロググループの下) には、AD 同期中に次のエラーが含まれます。

[apply-snapshot] authz.role-assignments/<Group name with spaces>:group#<projectID>:project FAILED_APPLY because: [INVALID_PARAMS] Actor key doesn't match the regex pattern ^[a-zA-Z0-9_.][a-zA-Z0-9_.-]{1,20}:(user|group)$

エラーは、以下の要件を満たすグループ名のみを RES が受け入れることが原因です。

  • 小文字と大文字の ASCII 文字、数字、ダッシュ (-)、ピリオド (.)、アンダースコア (_) のみを含めることができます。

  • ダッシュ (-) は最初の文字として使用できません

  • スペースを含めることはできません。

影響を受けるバージョン

2024 年 6 月

緩和策

  1. パッチスクリプトとパッチファイル (patch.py および groupname_regex.patch) をダウンロードするには、次のコマンドを実行し、 をファイルを配置するディレクトリ<output-directory>に、 を RES 環境の名前<environment-name>に置き換えます。

    1. パッチは RES 2024.06 にのみ適用されます

    2. パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    3. RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

      OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

mkdir -p ${OUTPUT_DIRECTORY}
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py
curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/groupname_regex.patch --output ${OUTPUT_DIRECTORY}/groupname_regex.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行します。

    python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module cluster-manager --patch ${OUTPUT_DIRECTORY}/groupname_regex.patch

  3. 環境の Cluster Manager インスタンスを再起動するには、次のコマンドを実行します。Amazon EC2 マネジメントコンソールからインスタンスを終了することもできます。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
注記

このパッチでは、AD グループ名に小文字と大文字の ASCII 文字、数字、ダッシュ (-)、ピリオド (.)、アンダースコア (_)、および合計長が 1~30 のスペースを含めることができます。

........................

(2024.06 以前) AD 同期中に RES に同期されていないグループメンバー

バグの説明

GroupOU が UserOU と異なる場合、グループメンバーは RES に正しく同期されません。 UserOU

RES は、AD グループからユーザーを同期しようとすると、ldapsearch フィルターを作成します。現在のフィルターは、GroupOU パラメータの代わりに UserOU GroupOU パラメータを誤って使用します。その結果、検索はユーザーを返すことができません。この動作は UsersOU と GroupOU が異なるインスタンスでのみ発生します。

影響を受けるバージョン

すべての RES バージョン 2024.06 以前

緩和策

問題を解決するには、次の手順に従います。

  1. patch.py スクリプトと group_member_sync_bug_fix.patch ファイルをダウンロードするには、次のコマンドを実行し、 をファイルをダウンロードするローカルディレクトリ<output-directory>に置き換え、 をパッチを適用する RES のバージョン<res_version>に置き換えます。

    注記

    • パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    • RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    • パッチは RES バージョン 2024.04.02 と 2024.06 のみをサポートしています。2024.04 または 2024.04.01 を使用している場合は、「」に記載されている手順に従ってマイナーバージョンの更新、パッチを適用する前に環境を 2024.04.02 に更新できます。

    OUTPUT_DIRECTORY=<output-directory>
RES_VERSION=<res_version>
mkdir -p ${OUTPUT_DIRECTORY}

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/${RES_VERSION}/patch_scripts/patches/${RES_VERSION}_group_member_sync_bug_fix.patch --output ${OUTPUT_DIRECTORY}/${RES_VERSION}_group_member_sync_bug_fix.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行し、 を RES 環境の名前<environment-name>に置き換えます。

    cd ${OUTPUT_DIRECTORY}
ENVIRONMENT_NAME=<environment-name>

python3 patch.py --environment-name ${ENVIRONMENT_NAME} --res-version ${RES_VERSION} --module cluster-manager --patch $PWD/${RES_VERSION}_group_member_sync_bug_fix.patch

  3. 環境の cluster-manager インスタンスを再起動するには、次のコマンドを実行します。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.06 以前) CVE-2024-6387、RegreSSHion、RHEL9 および Ubuntu VDIs のセキュリティ脆弱性

バグの説明

regreSSHion と呼ばれる CVE-2024-6387 は、OpenSSH サーバーで識別されています。この脆弱性により、リモートの認証されていない攻撃者はターゲットサーバーで任意のコードを実行し、OpenSSH を使用して安全な通信を行うシステムに重大なリスクをもたらします。

RES の場合、標準設定は踏み台ホストを経由し、仮想デスクトップに SSH されます。踏み台ホストはこの脆弱性の影響を受けません。ただし、すべての RES バージョンで RHEL9 および Ubuntu2024 VDIs (仮想デスクトップインフラストラクチャ) に提供するデフォルトの AMI (Amazon マシンイメージ) は、セキュリティの脅威に対して脆弱な OpenSSH バージョンを使用します。

つまり、既存の RHEL9 および Ubuntu2024 VDIs は悪用される可能性がありますが、攻撃者は踏み台ホストへのアクセスが必要になります。

問題の詳細については、こちらを参照してください。

影響を受けるバージョン

すべての RES バージョン 2024.06 以前。

緩和策

RHEL9 と Ubuntu の両方が OpenSSH のパッチをリリースし、セキュリティの脆弱性を修正しました。これらは、プラットフォームのそれぞれのパッケージマネージャーを使用してプルできます。

既存の RHEL9 または Ubuntu VDIsがある場合は、以下の PATCH EXISTING VDIs の手順に従うことをお勧めします。今後の VDIsパッチを適用するには、PATCH FUTURE VDIsの手順に従うことをお勧めします。以下の手順では、スクリプトを実行してプラットフォームの更新を VDIs に適用する方法について説明します。

既存の VDIs

  1. 既存のすべての Ubuntu および RHEL9 VDIs にパッチを適用する次のコマンドを実行します。

    1. パッチスクリプトには AWS CLI v2 が必要です。

    2. RES がデプロイされているアカウントとリージョンの AWS CLI を設定し、 AWS Systems Manager Run Command を送信するための Systems Manager アクセス許可があることを確認します。

      aws ssm send-command \
    --document-name "AWS-RunRemoteScript" \
    --targets "Key=tag:res:NodeType,Values=virtual-desktop-dcv-host" \
    --parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/scripts/patch_openssh.sh\"}"],"commandLine":["bash patch_openssh.sh"]}'

  2. Run Command ページでスクリプトが正常に実行されたことを確認できます。コマンド履歴タブをクリックし、最新のコマンド ID を選択し、すべてのインスタンス IDs に SUCCESS メッセージがあることを確認します。

将来の VDIsパッチを適用する

  1. パッチスクリプトとパッチファイル ( patch.py update_openssh.patch) をダウンロードするには、 をファイルをダウンロードするディレクトリ<output-directory>に、 を RES 環境の名前<environment-name>に置き換えて、次のコマンドを実行します。

    注記

    • パッチは RES 2024.06 にのみ適用されます。

    • パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    • RES がデプロイされているアカウントとリージョンに AWS CLI のコピーを設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>
ENVIRONMENT_NAME=<environment-name>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.06/patch_scripts/patches/update_openssh.patch --output ${OUTPUT_DIRECTORY}/update_openssh.patch

  2. 次のパッチコマンドを実行します。

    python3 ${OUTPUT_DIRECTORY}/patch.py --environment-name ${ENVIRONMENT_NAME} --res-version 2024.06 --module virtual-desktop-controller --patch ${OUTPUT_DIRECTORY}/update_openssh.patch

  3. 次のコマンドを使用して、環境の " Controller インスタンスを再起動します。

    INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}
重要

将来の VDIs へのパッチ適用は、RES バージョン 2024.06 以降でのみサポートされています。2024.06 より前のバージョンの RES 環境の将来の VDIs にパッチを適用するには、まず の手順を使用して RES 環境を 2024.06 にアップグレードしますメジャーバージョンの更新

........................

(2024.04-2024.04.02) VDI インスタンスのロールにアタッチされていない IAM アクセス許可境界が提供されました

問題

仮想デスクトップセッションがプロジェクトのアクセス許可の境界設定を適切に継承していない。これは、IAMPermissionBoundary パラメータで定義されたアクセス許可の境界が、そのプロジェクトの作成中にプロジェクトに適切に割り当てられていないためです。

影響を受けるバージョン

2024 年 4 月 - 2024.04.02

緩和策

VDIs がプロジェクトに割り当てられたアクセス許可の境界を適切に継承できるようにするには、次の手順に従います。

  1. パッチスクリプトとパッチファイル (patch.py および vdi_host_role_permission_boundary.patch) をダウンロードするには、次のコマンドを実行し、 をファイルを配置するローカルディレクトリ<output-directory>に置き換えます。

    1. パッチは RES 2024.04.02 にのみ適用されます。バージョン 2024.04 または 2024.04.01 を使用している場合は、マイナーバージョンの更新についてパブリックドキュメントに記載されている手順に従って、環境を 2024.04.02 に更新できます。

    2. パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    3. RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_host_role_permission_boundary.patch --output ${OUTPUT_DIRECTORY}/vdi_host_role_permission_boundary.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行し、 を RES 環境の名前<environment-name>に置き換えます。

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch vdi_host_role_permission_boundary.patch

  3. を RES 環境の名前<environment-name>に置き換えて、このコマンドを実行して環境内の cluster-manager インスタンスを再起動します。Amazon EC2 マネジメントコンソールからインスタンスを終了することもできます。

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 以前) ap-southeast-2 (シドニー) の Windows NVIDIA インスタンスが起動に失敗する

問題

Amazon マシンイメージ (AMIs) は、特定の設定で RES で仮想デスクトップ (VDIs) をスピンアップするために使用されます。各 AMI には、リージョンごとに異なる ID が関連付けられています。RES で ap-southeast-2 (シドニー) で Windows Nvidia インスタンスを起動するように設定された AMI ID は現在正しくありません。

このタイプのインスタンス設定ami-0e190f8939a996cafの AMI-ID が ap-southeast-2 (シドニー) に誤ってリストされています。代わりに AMI ID ami-027cf6e71e2e442f4 を使用する必要があります。

デフォルトの AMI ami-0e190f8939a996caf でインスタンスを起動しようとすると、次のエラーが発生します。

An error occured (InvalidAMIID.NotFound) when calling the RunInstances operation: The image id ‘[ami-0e190f8939a996caf]’ does not exist

設定ファイルの例を含む、バグを再現する手順:

  • ap-southeast-2 リージョンに RES をデプロイします。

  • Windows-NVIDIA のデフォルトソフトウェアスタック (AMI ID ) を使用してインスタンスを起動しますami-0e190f8939a996caf

影響を受けるバージョン

すべての RES バージョン 2024.04.02 以前が影響を受けます

緩和策

以下の緩和策は RES バージョン 2024.01.01 でテストされています。

  • 次の設定で新しいソフトウェアスタックを登録する

    • AMI ID: ami-027cf6e71e2e442f4

    • オペレーティングシステム: Windows

    • GPU 製造元: NVIDIA

    • 最小 ストレージサイズ (GB): 30

    • 最小 RAM (GB): 4

  • このソフトウェアスタックを使用して Windows-NVIDIA インスタンスを起動する

........................

(2024.04 および 2024.04.01) GovCloud での RES 削除の失敗

問題

RES 削除ワークフロー中、UnprotectCognitoUserPoolLambda は後で削除される Cognito ユーザープールの削除保護を無効にします。Lambda の実行は、 によって開始されますInstallerStateMachine

商用リージョンと GovCloud リージョンでデフォルトの AWS CLI バージョンが異なるため、Lambda のupdate_user_pool呼び出しは GovCloud リージョンで失敗します。

GovCloud リージョンで RES を削除しようとすると、次のエラーが表示されます。

Parameter validation failed: Unknown parameter in input: \"DeletionProtection\", must be one of: UserPoolId, Policies, LambdaConfig, AutoVerifiedAttributes, SmsVerificationMessage, EmailVerificationMessage, EmailVerificationSubject, VerificationMessageTemplate, SmsAuthenticationMessage, MfaConfiguration, DeviceConfiguration, EmailConfiguration, SmsConfiguration, UserPoolTags, AdminCreateUserConfig, UserPoolAddOns, AccountRecoverySetting

バグを再現する手順:

  • GovCloud リージョンに RES をデプロイする

  • RES スタックを削除する

影響を受けるバージョン

RES バージョン 2024.04 および 2024.04.01

緩和策

RES バージョン 2024.04 では、次の緩和策がテストされています。

  • UnprotectCognitoUserPool Lambda を開く

    • 命名規則: <env-name>-InstallerTasksUnprotectCognitoUserPool-...

  • ランタイム設定 -> 編集 -> ランタイム -> 保存Python 3.11を選択します。

  • CloudFormation を開きます。

  • Delete RES stack -> leave Retain Installer Resource UNCHECKED -> Delete

........................

(2024.04 - 2024.04.02) Linux 仮想デスクトップは再起動時に「RESUMING」ステータスのままになる可能性があります

問題

Linux 仮想デスクトップは、手動またはスケジュールされた停止後に再起動すると、「RESUMING」ステータスで停止する可能性があります。

インスタンスを再起動した後、 AWS Systems Manager は新しい DCV セッションを作成するためのリモートコマンドを実行せず、次のログメッセージが vdc-controller CloudWatch ログ (/<environment-name>/vdc/controllerCloudWatch ロググループの下) に欠落しています。

Handling message of type DCV_HOST_REBOOT_COMPLETE_EVENT

影響を受けるバージョン

2024 年 4 月 - 2024.04.02

緩和策

「RESUMING」状態でスタックしている仮想デスクトップを復旧するには:

  1. EC2 コンソールから問題インスタンスに SSH 接続します。

  2. インスタンスで次のコマンドを実行します。

    sudo su -
/bin/bash /root/bootstrap/latest/virtual-desktop-host-linux/configure_post_reboot.sh
sudo reboot

  3. インスタンスが再起動するのを待ちます。

新しい仮想デスクトップが同じ問題に陥らないようにするには:

  1. パッチスクリプトとパッチファイル (patch.py および vdi_stuck_in_resuming_status.patch) をダウンロードするには、次のコマンドを実行し、 をファイルを配置するディレクトリ<output-directory>に置き換えます。

    注記

    • パッチは RES 2024.04.02 にのみ適用されます。

    • パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    • RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/vdi_stuck_in_resuming_status.patch --output ${OUTPUT_DIRECTORY}/vdi_stuck_in_resuming_status.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行し、 を RES 環境の名前<environment-name>に、 を RES がデプロイされているリージョン<aws-region>に置き換えます。

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module virtual-desktop-controller --patch vdi_stuck_in_resuming_status.patch --region <aws-region>

  3. 環境の " Controller インスタンスを再起動するには、次のコマンドを実行し、 を RES 環境の名前<environment-name>に置き換えます。

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-vdc-controller \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 以前) SAMAccountName 属性に大文字または特殊文字が含まれている AD ユーザーの同期に失敗しました

問題

SSO が少なくとも 2 時間 (2 つの AD 同期サイクル) セットアップされると、RES は AD ユーザーの同期に失敗します。クラスターマネージャーの CloudWatch ログ (/<environment-name>/cluster-managerロググループの下) には、AD 同期中に次のエラーが含まれます。

Error: [INVALID_PARAMS] Invalid params: user.username must match regex: ^(?=.{3,20}$)(?![_.])(?!.*[_.]{2})[a-z0-9._]+(?<![_.])$

エラーは、以下の要件を満たす SAMAccount ユーザー名のみを RES が受け入れることが原因です。

  • 小文字の ASCII 文字、数字、ピリオド (.)、アンダースコア (_) のみを含めることができます。

  • ピリオドまたはアンダースコアは、最初または最後の文字として使用できません。

  • 2 つの連続したピリオドまたはアンダースコア (..、__、._、_ など) を含めることはできません。

影響を受けるバージョン

2024.04.02 以前

緩和策

  1. パッチスクリプトとパッチファイル (patch.py samaccountname_regex.patch) をダウンロードするには、次のコマンドを実行し、 をファイルを配置するディレクトリ<output-directory>に置き換えます。

    注記

    • パッチは RES 2024.04.02 にのみ適用されます。

    • パッチスクリプトには、AWS CLI v2、Python 3.9.16 以降、および Boto3 が必要です。

    • RES AWS がデプロイされているアカウントとリージョンの CLI を設定し、RES によって作成されたバケットに書き込む S3 アクセス許可があることを確認します。

    OUTPUT_DIRECTORY=<output-directory>

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patch.py --output ${OUTPUT_DIRECTORY}/patch.py

curl https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/2024.04.02/patch_scripts/patches/samaccountname_regex.patch --output ${OUTPUT_DIRECTORY}/samaccountname_regex.patch

  2. パッチスクリプトとパッチファイルがダウンロードされるディレクトリに移動します。次のパッチコマンドを実行し、 を RES 環境の名前<environment-name>に置き換えます。

    python3 patch.py --environment-name <environment-name> --res-version 2024.04.02 --module cluster-manager --patch samaccountname_regex.patch

  3. 環境の Cluster Manager インスタンスを再起動するには、次のコマンドを実行し、 を RES 環境の名前<environment-name>に置き換えます。Amazon EC2 マネジメントコンソールからインスタンスを終了することもできます。

    ENVIRONMENT_NAME=<environment-name>

INSTANCE_ID=$(aws ec2 describe-instances \
    --filters \
    Name=tag:Name,Values=${ENVIRONMENT_NAME}-cluster-manager \
    Name=tag:res:EnvironmentName,Values=${ENVIRONMENT_NAME}\
    --query "Reservations[0].Instances[0].InstanceId" \
    --output text)
 
aws ec2 terminate-instances --instance-ids ${INSTANCE_ID}

........................

(2024.04.02 以前) 踏み台ホストにアクセスするためのプライベートキーが無効です

問題

ユーザーがプライベートキーをダウンロードして RES ウェブポータルから踏み台ホストにアクセスすると、キーの形式が正しくありません。複数の行が 1 行としてダウンロードされるため、キーが無効になります。ダウンロードしたキーを使用して踏み台ホストにアクセスしようとすると、次のエラーが表示されます。

Load key "<downloaded-ssh-key-path>": error in libcrypto
<user-name>@<bastion-host-public-ip>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

影響を受けるバージョン

2024.04.02 以前

緩和策

このブラウザは影響を受けないため、Chrome を使用してキーをダウンロードすることをお勧めします。

または、 の後に新しい行を作成し、 の直前に別の行を作成して-----BEGIN PRIVATE KEY-----、キーファイルを再フォーマットすることもできます-----END PRIVATE KEY-----

........................