As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Guia do administrador
<a name="administrator-guide"></a>

Este guia do administrador fornece instruções adicionais para um público técnico sobre como personalizar e integrar ainda mais o Research and Engineering Studio on AWS product. 

**Topics**
+ [

# Gerenciamento de segredos
](secrets-management.md)
+ [

# Monitoramento e controle de custos
](cost-management.md)
+ [

# Painel de análise de custos
](cost-analysis-dashboard.md)
+ [

# Gerenciamento de sessões
](evdi.md)
+ [

# Gestão ambiental
](environment-management.md)

# Gerenciamento de segredos
<a name="secrets-management"></a>

O Research and Engineering Studio mantém os seguintes segredos usando AWS Secrets Manager. O RES cria segredos automaticamente durante a criação do ambiente. Os segredos inseridos pelo administrador durante a criação do ambiente são inseridos como parâmetros.


| Nome de segredo |  Description  |  RES gerado | Administrador inserido | 
| --- | --- | --- | --- | 
| <envname>-sso-client-secret | Segredo do OAuth2 cliente de login único para o ambiente | ✓ |  | 
| <envname>-vdc-client-secret | VDC ClientSecret | ✓ |  | 
| <envname>-vdc-client-id | VDC ClientId | ✓ |  | 
| <envname>-vdc-gateway-certificate-private-key | Chave privada de certificado autoassinada para domínio | ✓ |  | 
| <envname>-vdc-gateway-certificate-certificate | Certificado autoassinado para domínio | ✓ |  | 
| <envname>-cluster-manager-client-secret | gerenciador de clusters ClientSecret | ✓ |  | 
| <envname>-cluster-manager-client-id | gerenciador de clusters ClientId | ✓ |  | 
| <envname>-external-private-key | Chave privada de certificado autoassinada para domínio | ✓ |  | 
| <envname>-external-certificate | Certificado autoassinado para domínio | ✓ |  | 
| <envname>-internal-private-key | Chave privada de certificado autoassinada para domínio | ✓ |  | 
| <envname>-internal-certificate | Certificado autoassinado para domínio | ✓ |  | 
| <envname>-directoryservice-ServiceAccountUserDN | O atributo Nome Distinto (DN) do ServiceAccount usuário. | ✓ |  | 

Os seguintes valores secretos de ARN estão contidos na `<envname>-cluster-settings` tabela no DynamoDB:


| Chave | Fonte | 
| --- | --- | 
| identity-provider.cognito.sso\$1client\$1secret |  | 
| vdc.dcv\$1connection\$1gateway.certificate.certificate\$1secret\$1arn | pilha | 
| vdc.dcv\$1connection\$1gateway.certificate.private\$1key\$1secret\$1arn | pilha | 
| cluster.load\$1balancers.internal\$1alb.certificates.private\$1key\$1secret\$1arn | pilha | 
| directoryservice.root\$1username\$1secret\$1arn |  | 
| vdc.client\$1secret | pilha | 
| cluster.load\$1balancers.external\$1alb.certificates.certificate\$1secret\$1arn | pilha | 
| cluster.load\$1balancers.internal\$1alb.certificates.certificate\$1secret\$1arn | pilha | 
| directoryservice.root\$1password\$1secret\$1arn |  | 
| cluster.secretsmanager.kms\$1key\$1id |  | 
| cluster.load\$1balancers.external\$1alb.certificates.private\$1key\$1secret\$1arn | pilha | 
| cluster-manager.client\$1secret |  | 

# Monitoramento e controle de custos
<a name="cost-management"></a>

**nota**  
A associação de projetos do Research and Engineering Studio a não AWS Budgets é suportada no AWS GovCloud (US).

Crie um [orçamento](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) por meio do [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) para ajudar a gerenciar custos. Os preços estão sujeitos a alterações. Para obter detalhes completos, consulte a página de preços de cada um dos[AWS serviços neste produto](architecture-overview.md#aws-services-in-this-product). 

Para ajudar no controle de custos, você pode associar projetos de RES aos orçamentos criados em. AWS Budgets Primeiro, você precisará ativar as tags de ambiente dentro das tags de alocação de custos de faturamento.

1. Faça login no AWS Management Console e abra o console [AWS Billing and Cost Management](https://console.aws.amazon.com/costmanagement/home).

1. Escolha **Tags de alocação de custos**. 

1. Pesquise e selecione as `res:Project` `res:EnvironmentName` tags e. 

1. Selecione **Ativar**. 

![\[Ativar tags de alocação de custos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-costtags.png)


**nota**  
Pode levar até um dia para que as tags RES apareçam após a implantação.

Para criar um orçamento para recursos de RES:

1. No console de faturamento, escolha **Orçamentos**. 

1. Escolha **Criar um orçamento**. 

1. Em **Configurar orçamento**, escolha **Personalizar (avançado)**.

1. Em **Tipos de orçamento**, escolha **Orçamento de custo - Recomendado**.

1. Escolha **Próximo**.  
![\[Escolha o tipo de orçamento\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-createbudget1-5.png)

1. Em **Detalhes**, insira um **nome de orçamento** significativo para seu orçamento para diferenciá-lo de outros orçamentos em sua conta. Por exemplo, .`<EnvironmentName>-<ProjectName>-<BudgetName>` 

1. Em **Definir valor do orçamento**, insira o valor orçado para seu projeto. 

1. Em **Escopo do orçamento**, escolha **Filtrar dimensões AWS de custo específicas**. 

1. Escolha **Adicionar filtro**. 

1. Em **Dimensão**, escolha **Tag**. 

1. Em **Tag**, selecione **RES:Project**. 
**nota**  
Pode levar até dois dias para que as tags e os valores fiquem disponíveis. Você pode criar um orçamento quando o nome do projeto estiver disponível.

1. Em **Valores**, selecione o nome do projeto. 

1. Escolha **Aplicar filtro** para anexar o filtro do projeto ao orçamento.

1. Escolha **Próximo**.   
![\[Defina o escopo do orçamento\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-budgets-04.png)

1. (Opcional.) Adicione um limite de alerta.

1. Escolha **Próximo**.

1. (Opcional.) Se um alerta foi configurado, use **Anexar ações** para configurar as ações desejadas com o alerta. 

1. Escolha **Próximo**. 

1. Revise a configuração do orçamento e confirme se a tag correta foi definida em **Parâmetros adicionais de orçamento**. 

1. Escolha **Criar orçamento**. 

Agora que o orçamento foi criado, você pode habilitar o orçamento para projetos. Para ativar os orçamentos de um projeto, consulte. [Editar um projeto](edit-project.md) Os desktops virtuais serão impedidos de serem lançados se o orçamento for excedido. Se o orçamento for excedido durante o lançamento de um desktop, o desktop continuará funcionando.

![\[Orçamento excedido\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-budgets-exceeded.png)


Se você precisar alterar seu orçamento, retorne ao console para editar o valor do orçamento. Pode levar até quinze minutos para que a alteração entre em vigor no RES. Como alternativa, você pode editar um projeto para desativar um orçamento.

# Painel de análise de custos
<a name="cost-analysis-dashboard"></a>

O painel de análise de custos permite que os administradores de RES monitorem os orçamentos e custos do projeto ao longo do tempo a partir do portal RES. Os custos podem ser filtrados no nível do projeto.

**Topics**
+ [

## Pré-requisitos
](#cost-analysis-dashboard-prerequisites)
+ [

## Projetos com gráfico de orçamento atribuído
](#cost-analysis-dashboard-projects-chart)
+ [

## Gráfico de análise de custos ao longo do tempo
](#cost-analysis-dashboard-over-time)
+ [

## Baixar CSV
](#cost-analysis-dashboard-download-csv)

## Pré-requisitos
<a name="cost-analysis-dashboard-prerequisites"></a>

Para usar o painel de custos do Research and Engineering Studio, você deve primeiro:
+ [Criar um projeto](create-project.md).
+ Crie um [orçamento](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) no console [AWS Billing and Cost Management](https://console.aws.amazon.com/costmanagement/home).
+ Anexe o orçamento ao projeto (consulte[Editar um projeto](edit-project.md)).
+ Ative o gráfico de análise de custos para contas com novas implantações de RES. Para isso, siga estas etapas:

  1. Implante uma [VDI](virtual-desktops.md) para o projeto que você criou. Isso provisiona a `res:Project` tag no [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/), o que pode levar até 24 horas. 

  1. Depois que a tag é criada, o botão **Habilitar tags** é ativado. Escolha o botão para ativar as tags no Cost Explorer. Esse processo pode levar mais 24 horas.   
![\[Integração da análise de custos; etapas a serem tomadas\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-onboarding.png)

## Projetos com gráfico de orçamento atribuído
<a name="cost-analysis-dashboard-projects-chart"></a>

O gráfico **Projetos com orçamento atribuído** exibe o status do orçamento dos projetos no ambiente RES que têm orçamentos atribuídos a eles. Por padrão, o gráfico exibe os 5 principais projetos por valor do orçamento. Você pode selecionar projetos específicos na lista suspensa **Filtrar dados exibidos**, que carrega a lista completa de projetos atribuídos ao orçamento.

![\[Gráfico mostrando projetos com status do orçamento atribuído, incluindo valores gastos, excedentes e restantes\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-projects-budget-assigned.png)


O gráfico mostra os valores gastos, restantes e excedentes de cada orçamento em dólares americanos. Passe o mouse sobre uma barra para mostrar os valores exatos em dólares para cada categoria. Você também pode abrir as páginas Projetos e Criar projeto escolhendo os botões **Revisar projetos** e **Criar projeto** no canto superior direito, respectivamente.

![\[Gráfico mostrando projetos com status do orçamento atribuído e detalhes pop-out de um projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-projects-budget-dropdown.png)


## Gráfico de análise de custos ao longo do tempo
<a name="cost-analysis-dashboard-over-time"></a>

O gráfico **Análise de custos ao longo do tempo** exibe a divisão de custos por projeto em um período de tempo especificado. Por padrão, o gráfico exibe dados de cada um dos últimos 6 meses. Ele exibe os 5 principais projetos por custo total no **intervalo de tempo** selecionado com a **granularidade** selecionada. Todos os outros projetos selecionados, além dos 5 primeiros, são agregados em uma categoria **Outros**.

![\[Gráfico mostrando a análise de custos em um intervalo de tempo selecionado\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-over-time.png)


### Filtros
<a name="cost-analysis-dashboard-over-time-filters"></a>

Você pode filtrar por projeto, intervalo de tempo e granularidade para personalizar a visualização do gráfico **Análise de custos ao longo do tempo**. Se alguma combinação de filtro inválida for selecionada, uma janela modal será exibida, oferecendo a opção de reverter para a configuração anterior ou aceitar uma sugestão para a combinação de filtros atualizada.

**Projeto**

Ao escolher o menu suspenso **Filtrar dados exibidos**, você vê uma lista completa de projetos em seu ambiente RES atual. Você vê o nome do projeto, com o código do projeto exibido abaixo.

![\[Detalhe das configurações de filtro mostrando projetos selecionados para exibição\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-filter-modal.png)


**Especificando o intervalo de tempo**

Você pode optar por usar um **intervalo absoluto** ou um **intervalo relativo** ao especificar um intervalo de datas. Quando você seleciona um intervalo relativo, as datas são calculadas usando unidades de tempo completas. Por exemplo, se você selecionar a opção **Últimos 6 meses** em fevereiro de 2025, isso resultará em um intervalo de tempo de 8/1/24 a 1/31/25.

![\[Detalhe do pop-out que permite a seleção de um intervalo de tempo relativo\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-time-range1.png)


![\[Detalhe do pop-out que permite a seleção de um intervalo de tempo absoluto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-time-range2.png)


**Granularity**

Você pode optar por visualizar os dados com uma granularidade **mensal**, **diária** ou **horária**. **A granularidade horária** suporta apenas um intervalo de datas de até 14 dias. A granularidade **diária** suporta apenas um intervalo de datas de até 14 meses.

![\[Detalhe do pop-out que permite a seleção da granularidade do intervalo de tempo\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-granularity.png)


## Baixar CSV
<a name="cost-analysis-dashboard-download-csv"></a>

Para exportar a visualização atual da análise de custos, escolha **Baixar CSV** no canto superior direito do gráfico **Análise de custos ao longo do tempo**. O CSV baixado contém as informações de custo de cada projeto selecionado para o período especificado, bem como os custos totais por projeto e por período.

![\[Arquivo CSV baixado aberto em um aplicativo de planilha\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-cost-analysis-download-csv.png)


# Gerenciamento de sessões
<a name="evdi"></a>

O gerenciamento de sessões fornece um ambiente flexível e interativo para desenvolver e testar sessões. Como usuário administrativo, você pode permitir que os usuários criem e gerenciem sessões interativas em seus ambientes de projeto. 

**Topics**
+ [

# Painel
](dashboard.md)
+ [

# Sessões
](sessions.md)
+ [

# Pilhas de software () AMIs
](software-stacks.md)
+ [

# Depuração
](debug.md)
+ [

# Configurações da área de trabalho
](desktop-settings.md)

# Painel
<a name="dashboard"></a>

![\[Painel de gerenciamento de sessões\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/virtualdesktopdashboard.jpg)


O Painel de Gerenciamento de Sessões fornece aos administradores uma visão rápida de:

1. Tipos de instância

1. Estados da sessão

1. Sistema operacional básico

1. Projetos

1. Zonas de disponibilidade

1. Pilhas de software

Além disso, os administradores podem: 

1.  Atualize o painel para atualizar as informações.

1. Escolha **Exibir sessões** para navegar até Sessões. 

# Sessões
<a name="sessions"></a>

As sessões exibem todos os desktops virtuais criados no Research and Engineering Studio. Na página Sessões, você pode filtrar e visualizar as informações da sessão ou criar uma nova sessão.

![\[Página de sessões do console de administração com anotações numeradas mostrando a funcionalidade\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-sessions.jpg)


1. Use o menu para filtrar os resultados por sessões criadas ou atualizadas dentro de um período de tempo especificado.

1. Selecione uma sessão e use o menu Ações para:

   1. Retomar sessão (s)

   1.  Stop/Hibernate Sessão (s)

   1.  Stop/Hibernate Sessão (ões) de força

   1. Reinicializar sessão (s) — Reinicia as sessões selecionadas. Essa ação também está disponível para sessões no estado ERROR, permitindo que os administradores recuperem erros VDIs.

   1. Encerrar sessão (s)

   1. Forçar o encerramento da (s) sessão (s)

   1. Sessão (s) Health

   1. Crie uma pilha de software

1.  Escolha **Criar sessão** para criar uma nova sessão.

1. Pesquise uma sessão por nome e filtre por estado e sistema operacional.

1. Selecione o **Nome da sessão** para ver mais detalhes.

## Crie uma sessão.
<a name="create-session"></a>

1. Escolha **Criar sessão**. O modal Launch New Virtual Desktop é aberto. 

1. Insira os detalhes da nova sessão.

1. (Opcional.) Ative **Mostrar opções avançadas** para fornecer detalhes adicionais, como ID da sub-rede e tipo de sessão DCV. 

1. Selecione **Enviar**.   
![\[Detalhes da página do console de administração com campos a serem preenchidos para iniciar um novo desktop virtual\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-createsession.jpg)

## Detalhes da sessão
<a name="session-details"></a>

Na lista **Sessões**, selecione o **Nome da sessão** para ver os detalhes da sessão. 

![\[Página do Admin Console com visualização dos detalhes da sessão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-viewsessiondetails.jpg)


# Pilhas de software () AMIs
<a name="software-stacks"></a>

Na página Software Stacks, você pode configurar Amazon Machine Images (AMIs) ou gerenciar as existentes.

![\[Pilhas de software: página do console de administração com anotações numeradas\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-softwarestackspage-2026.03.png)


1. Para pesquisar uma pilha de software existente, use o menu suspenso do sistema operacional para filtrar por sistema operacional. 

1. Selecione o nome de uma pilha de software para ver detalhes sobre a pilha.

1. Escolha o botão de opção ao lado de uma pilha de software e, em seguida, use o menu **Ações** para editar a pilha e atribuí-la a um projeto. 

1. Escolha o botão **Registrar pilha de software** para criar uma nova pilha.

## Registre uma nova pilha de software
<a name="register-stack-project"></a>

O botão **Registrar pilha de software** permite criar uma nova pilha: 

**nota**  
Você pode usar um parâmetro não criptografado do Systems Manager como um alias para o ID da pilha de software.  
O parâmetro Systems Manager exigirá as seguintes tags para que o RES as acesse:  
chave: `res:EnvironmentName`, valor: `<your RES environment name>`
chave: `res:ModuleName`, valor: `virtual-desktop-controller`

1. Escolha **Registrar pilha de software**. 

1. Insira os detalhes da nova pilha de software, incluindo nome, descrição, ID da AMI e sistema operacional.

1. (Opcional) Use o campo **Tipos de instância permitidos** para especificar as famílias ou os tipos de instâncias permitidos para essa pilha de software. Você pode inserir famílias de instâncias (por exemplo,`t3`) ou tamanhos específicos de instâncias (por exemplo,`t3.xlarge`).

1. Selecione **Enviar**.   
![\[Página pop-out do Admin Console que permite registrar uma nova pilha de software\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-register-new-software-stack.png)

## Atribuir uma pilha de software a um projeto
<a name="assign-stack-project"></a>

Ao criar uma nova pilha de software, você pode atribuir a pilha aos projetos. Mas, se você precisar adicionar a pilha a um projeto após a criação inicial, faça o seguinte: 

**nota**  
Você só pode atribuir pilhas de software a projetos dos quais você é membro.

1. Na página **Pilhas de software**, selecione o botão de opção da pilha de software que você deseja adicionar a um projeto.

1. Escolha **Ações**.

1. Escolha **Editar**. 

1. Use o menu suspenso **Projetos** para selecionar o projeto.  
![\[Admin Console mostrando campos para atualizar uma pilha de software para um projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-update-software-stack.png)

1. Selecione **Enviar**.

Você também pode editar a pilha de software na página de detalhes da pilha.

## Modifique a lista de instâncias de VDI da pilha de software
<a name="software-stack-vdi-instance-list"></a>

Para cada pilha de software registrada, você pode escolher as famílias e os tipos de instâncias permitidos. A lista das opções para cada pilha de software é filtrada pelas opções definidas nas configurações da área de **trabalho**. Você pode encontrar e modificar as **famílias e os tipos de instâncias permitidas** globais lá. 

![\[Página do Admin Console mostrando as configurações da área de trabalho em gerenciamento de sessões\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-vdi-instance-list1.png)


**Para editar o atributo **Allowed Instance Families and Types** de uma pilha de software:**

1. Na página **Pilhas de software**, escolha o botão de opção para a pilha de software.

1. Escolha **Ações** e, em seguida, selecione **Editar pilha**.

1. Escolha as famílias e os tipos de instâncias desejados na lista suspensa em **Famílias e tipos de instâncias permitidos**.  
![\[Atualize o pop-out da pilha de software que permite editar famílias e tipos de instâncias permitidos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-vdi-instance-list2.png)

1. Selecione **Submit (Enviar)**.

**nota**  
Se o conjunto global de **famílias e tipos de instâncias permitidas** incluir uma família de instâncias e um tipo de instância dentro dessa família (por exemplo, `t3` e`t3.large`), as opções disponíveis para o atributo **Allowed Instance Families and Types** de uma pilha de software incluirão somente a família de instâncias. 

**Importante**  
Quando uma instância type/family é excluída da lista de permissões no nível do ambiente, ela deve ser automaticamente removida de todas as pilhas de software.
As instâncias types/families adicionadas no nível do ambiente não são adicionadas automaticamente às pilhas de software.

## Veja os detalhes da pilha de software
<a name="view-stack-details"></a>

Na página **Pilhas de software**, selecione o nome da pilha de software para ver seus detalhes. Você também pode selecionar o botão de opção para uma pilha de software, escolher **Ações** e selecionar **Editar para editar** a pilha de software.

## Suporte de locação de VDI
<a name="vdi-tenancy-support"></a>

Ao registrar uma nova pilha de software ou editar uma pilha de software existente, você pode selecionar a locação para o VDIs lançamento a partir dessa pilha de software. As três locações a seguir são suportadas:
+ Compartilhado (padrão) - Execute VDIs com instâncias de hardware compartilhadas 
+ Instância dedicada - Execute VDIs com instâncias dedicadas 
+ Host dedicado - Execute VDIs com um host dedicado 

![\[Página pop-out do Admin Console que permite selecionar o tipo de locação para lançamento VDIs\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-vdi-tenancy-support1.png)


Ao selecionar o tipo de locação de host dedicado, você também deve selecionar a afinidade de locação e o tipo de host de destino. Os seguintes tipos de host de destino são compatíveis: 
+ Grupo de recursos do host - Grupo de recursos do host criado no AWS License Manager 
+ ID do host - Um ID de host específico 

![\[Página pop-out do Admin Console que permite selecionar a afinidade de locação para lançamento VDIs\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-vdi-tenancy-support2.png)


![\[Página pop-out do Admin Console que permite selecionar o tipo de host de destino para lançamento VDIs\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-vdi-tenancy-support3.png)


*Para especificar quaisquer licenças autogerenciadas exigidas por você VDIs ao iniciá-las com a locação de host dedicado, associe as licenças à sua AMI seguindo [Associating self-managed licenses e no AMIs](https://docs.aws.amazon.com/license-manager/latest/userguide/license-rules.html#ami-associations) License Manager User Guide.AWS *

## Adicionando uma pilha de software Rocky Linux 9
<a name="add-rocky-linux9-stack"></a>

O RES não tem uma pilha de software padrão para o Rocky Linux 9, portanto, esta seção oferece uma recomendação sobre qual Rocky AMI usar e como usá-la.

1. Faça login no console AWS de gerenciamento e acesse a [página do catálogo da AMI](https://console.aws.amazon.com/ec2/home#AMICatalog) no console do EC2.

1. Pesquise na AMIs guia **AWS Marketplace** com o nome **Rocky Linux 9**.

1. **Selecione a AMI chamada **Rocky Linux 9 (Oficial) - x86\$164** do Rocky Linux.**  
![\[Captura de tela mostrando os resultados da pesquisa da AMI Rocky Linux 9 no catálogo da AMI\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-rocky-linux9.png)

1. Depois de selecionado, escolha **Inscrever-se agora**.

1. Role para cima e copie o ID da AMI para a **AMI selecionada**.  
![\[Captura de tela mostrando o catálogo da AMI com a ID da AMI selecionada\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ami-catalog.png)

1. Acesse o portal RES e registre uma nova pilha de software na página **Pilhas de software** usando essa AMI.

# Depuração
<a name="debug"></a>

O painel de depuração exibe o tráfego de mensagens associado aos desktops virtuais. Você pode usar esse painel para observar a atividade entre os anfitriões. A guia Virtual Desktop Host exibe a atividade específica da instância, e a guia Virtual Desktop Sessions exibe a atividade da sessão em andamento.

![\[Painel de depuração\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-evdi-debug-01.png)


# Configurações da área de trabalho
<a name="desktop-settings"></a>

Você pode usar a página Configurações da área de trabalho para configurar os recursos associados às áreas de trabalho virtuais.

![\[Configurações da área de trabalho\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-virtual-desktop-settings.png)


**Geral**

A guia **Geral** fornece acesso a configurações como:

**QUIC**  
Ativa o QUIC em favor do TCP como o protocolo de streaming padrão para todos os seus desktops virtuais.

**Tipo de sessão DCV padrão**  
O tipo de sessão DCV padrão usado para todos os desktops virtuais. Essa configuração não se aplicará aos desktops criados anteriormente. Isso só se aplicará nos casos em que o tipo de instância e o sistema operacional suportem os tipos de sessão virtual ou de console.

**Sessões padrão permitidas por usuário por projeto**  
O valor padrão para o número permitido de sessões de VDI por usuário por projeto.

**Expiração do token de sessão DCV**  
A duração pela qual um token de sessão DCV permanece válido. Quando um token expira, os usuários devem baixar novamente o arquivo de conexão DCV do portal da web para continuar acessando sua sessão de desktop virtual. As opções disponíveis são:  
+ 1.440 minutos (1 dia)
+ 10.080 minutos (7 dias)
+ 43.200 minutos (30 dias)

![\[Configuração de expiração do token de sessão DCV em Configurações da área de trabalho\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/dcv-settings-form.png)


**de aplicativos**

A guia **Servidor** fornece acesso a configurações como:

**Tempo limite de inatividade da sessão DCV**  
O tempo após o qual a sessão DCV será automaticamente desconectada. Isso não altera o estado da sessão da área de trabalho, apenas fecha a sessão do cliente DCV ou do navegador da web.

**Aviso de tempo limite de inatividade**  
O tempo após o qual um aviso de inatividade será fornecido ao cliente.

**Limite de utilização de CPU**  
A utilização da CPU deve ser considerada ociosa.

**Tamanho máximo do volume da raiz**  
O tamanho padrão do volume raiz em sessões de desktop virtual.

**Tipos de instância permitidos**  
A lista de famílias e tamanhos de instâncias que podem ser lançados para esse ambiente RES. As combinações de família de instâncias e tamanho de instâncias são aceitas. Por exemplo, se você especificar 'm7a', todos os tamanhos da família m7a estarão disponíveis para serem iniciados como sessões de VDI. Se você especificar 'm7a.24xlarge', somente m7a.24xlarge estará disponível para ser iniciado como uma sessão de VDI. Essa lista afeta todos os projetos no ambiente.

![\[Configurações da área de trabalho\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-virtual-desktop-settings2.png)


# Gestão ambiental
<a name="environment-management"></a>

Na seção Gerenciamento de ambiente do Research and Engineering Studio, os usuários administrativos podem criar e gerenciar ambientes isolados para seus projetos de pesquisa e engenharia. Esses ambientes podem incluir recursos computacionais, armazenamento e outros componentes necessários, tudo dentro de um ambiente seguro. Os usuários podem configurar e personalizar esses ambientes para atender aos requisitos específicos de seus projetos, facilitando a experimentação, o teste e a iteração de suas soluções sem afetar outros projetos ou ambientes.

**Topics**
+ [

# Status do ambiente
](environment-status.md)
+ [

# Configurações do ambiente
](environment-settings.md)
+ [

# Usuários
](users.md)
+ [

# Groups (Grupos)
](groups.md)
+ [

# Projetos
](projects.md)
+ [

# Política de permissão
](permission-profiles.md)
+ [

# Sistemas de arquivos
](file-system.md)
+ [

# Gerenciamento de snapshots
](snapshots.md)
+ [

# Buckets do Amazon S3
](S3-buckets.md)

# Status do ambiente
<a name="environment-status"></a>

A página **Status do ambiente** exibe o software e os hosts implantados no produto. Ele inclui informações como versão do software, nomes de módulos e outras informações do sistema.

![\[Página de status do ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-environmentstatus.jpg)


# Configurações do ambiente
<a name="environment-settings"></a>

A página de **configurações do ambiente** exibe detalhes da configuração do produto, como: 
+ Geral

  Você pode editar o título e o subtítulo do portal da web e adicionar links personalizados à página de login do portal da web. Para configurar links personalizados:

  1. Navegue até **Gerenciamento do ambiente** > **Configurações do ambiente**.

  1. Na guia **Geral**, escolha **Editar**.

  1. Na seção **Links personalizados**, escolha **Adicionar link**.

  1. Insira um **título** e um **URL** para cada link que você deseja exibir na página de login.

  1. Escolha **Enviar** para salvar as alterações.

  Links personalizados aparecem na página de login do portal web, permitindo que os administradores direcionem os usuários para recursos como documentação interna, páginas de suporte ou políticas de uso aceitáveis.  
![\[Configuração de links personalizados em Configurações de ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/web-links-edit-form.png)
+ Provedor de identidades

  Exibe informações como o status do Single Sign-On.
+ Rede

  Exibe o ID da VPC e a lista IDs de prefixos para acesso.
+ Directory Service

  Exibe as configurações do Active Directory e o ARN do gerenciador de segredos da conta de serviço para nome de usuário e senha.

# Usuários
<a name="users"></a>

Todos os usuários sincronizados do seu diretório ativo aparecerão na página Usuários. Os usuários são sincronizados pelo usuário cluster-admin durante a configuração do produto. Para obter mais informações sobre a configuração inicial do usuário, consulte [Guia de configuração](configuration-guide.md) o.

**nota**  
Os administradores só podem criar sessões para usuários ativos. Por padrão, todos os usuários ficarão inativos até entrarem no ambiente do produto. Se um usuário estiver inativo, peça que ele faça login antes de criar uma sessão para ele.

![\[Usuários\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-users.jpg)


Na página **Usuários**, você pode:

1. Pesquisar usuários.

1. Quando um nome de usuário for selecionado, use o menu **Ações** para:

   1. Definir como usuário administrador 

   1. Desativar usuário

# Groups (Grupos)
<a name="groups"></a>

Todos os grupos sincronizados do Active Directory aparecem na página Grupos. Para obter mais informações sobre configuração e gerenciamento de grupos, consulte [Guia de configuração](configuration-guide.md) o.

![\[Groups (Grupos)\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-groups.jpg)


Na página **Grupos**, você pode:

1. Pesquise grupos de usuários.

1. Quando um grupo de usuários é selecionado, use o menu **Ações** para desativar ou ativar um grupo. 

1. Quando um grupo de usuários é selecionado, você pode expandir o painel **Usuários** na parte inferior da tela para visualizar os usuários no grupo. 

# Projetos
<a name="projects"></a>

Os projetos formam um limite para desktops, equipes e orçamentos virtuais. Ao criar um projeto, você define suas configurações, como nome, descrição e configuração do ambiente. Os projetos geralmente incluem um ou mais ambientes, que podem ser personalizados para atender aos requisitos específicos do seu projeto, como o tipo e o tamanho dos recursos computacionais, a pilha de software e a configuração de rede. 

**Topics**
+ [

# Visualizar projetos
](view-projects.md)
+ [

# Criar um projeto
](create-project.md)
+ [

# Editar um projeto
](edit-project.md)
+ [

# Desativar um projeto
](disable-project.md)
+ [

# Excluir um projeto
](delete-project.md)
+ [

# Adicionar ou remover tags de um projeto
](tag-project.md)
+ [

# Exibir sistemas de arquivos associados a um projeto
](view-project-file-systems.md)
+ [

# Adicionar um modelo de lançamento
](project-launch-template.md)

# Visualizar projetos
<a name="view-projects"></a>

![\[Projetos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-projects.jpg)


O painel Projetos fornece uma lista dos projetos disponíveis para você. No painel Projetos, você pode:

1. Você pode usar o campo de pesquisa para encontrar projetos.

1. Quando um projeto é selecionado, você pode usar o menu **Ações** para: 

   1. Editar um projeto

   1. Desativar ou ativar um projeto

   1. Atualizar tags do projeto

   1. Excluir um projeto

1. Você pode escolher **Criar projeto** para criar um novo projeto.

# Criar um projeto
<a name="create-project"></a>

1. Escolha **Criar projeto**.

1. Insira os detalhes do projeto.

   O ID do projeto é uma tag de recurso que pode ser usada para rastrear a alocação de custos em AWS Cost Explorer Service. Para obter mais informações, consulte [Ativação de tags de alocação de custos definidas pelo usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html).
**Importante**  
O ID do projeto não pode ser alterado após a criação.

   Para obter informações sobre **opções avançadas**, consulte[Adicionar um modelo de lançamento](project-launch-template.md).

1. (Opcional) Ative os orçamentos para o projeto. Para obter mais informações sobre orçamentos, consulte. [Monitoramento e controle de custos](cost-management.md) 

1. O sistema de arquivos do diretório inicial pode usar o Sistema de Arquivos Pessoal Compartilhado (padrão), o EFS, FSx para armazenamento em volume Lustre, FSx NetApp ONTAP ou EBS.

   O sistema de arquivos doméstico compartilhado, EFS, FSx for Lustre e FSx NetApp ONTAP, pode ser compartilhado em vários projetos e. VDIs No entanto, a opção de armazenamento em volume do EBS exigirá que cada VDI desse projeto tenha seu próprio diretório inicial que não seja compartilhado entre outros VDIs projetos. Você também pode integrar vários volumes a partir de um único sistema de arquivos FSx NetApp ONTAP.  
![\[Crie um novo projeto com configurações de recursos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-create-new-project.png)

1. Atribua aos usuários, grupos ou ambos a função apropriada (“Membro do projeto” ou “Proprietário do projeto”). Veja [Perfis de permissões padrão](permission-matrix.md) as ações que cada função pode realizar.

1. Selecione **Enviar**. 

# Editar um projeto
<a name="edit-project"></a>

1. Escolha um projeto na lista de projetos.

1. No menu **Ações**, escolha **Editar projeto**.

1. Insira suas atualizações.

   Se você pretende ativar orçamentos, consulte [Monitoramento e controle de custos](cost-management.md) para obter mais informações. Ao escolher um orçamento para o projeto, pode haver alguns segundos de atraso para que as opções suspensas de orçamento sejam carregadas. Se você não vir o orçamento que acabou de criar, escolha o botão de atualização ao lado da lista suspensa.

   Para obter informações sobre **opções avançadas**, consulte[Adicionar um modelo de lançamento](project-launch-template.md).

1. Selecione **Enviar**.   
![\[Editar um projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-editproject.png)

# Desativar um projeto
<a name="disable-project"></a>

Para desativar um projeto:

1. Escolha um projeto na lista de projetos.

1. No menu **Ações**, escolha **Desativar projeto**.  
![\[Página de projetos mostrando as opções suspensas do menu de ações\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-disable-project1.png)

1. Se um projeto for desativado, todas as sessões de VDI associadas a esse projeto serão interrompidas. Essas sessões não podem ser reiniciadas enquanto o projeto estiver desativado.   
![\[Página de projetos mostrando o banner de desativação bem-sucedida do projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-disable-project2.png)

# Excluir um projeto
<a name="delete-project"></a>

Para excluir um projeto:

1. Escolha um projeto na lista de projetos.

1. No menu **Ações**, escolha **Excluir projeto**.  
![\[Página de projetos mostrando as opções suspensas de ações\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-delete-project1.png)

1. Um pop-up de confirmação é exibido. Insira o nome do projeto e escolha **Sim** para excluí-lo.  
![\[Pop-up de confirmação de exclusão de projetos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-delete-project-confirm.png)

1. Se um projeto for excluído, todas as sessões de VDI associadas a esse projeto serão encerradas.  
![\[Página de projetos sob gerenciamento de ambiente com banner mostrando a exclusão bem-sucedida do projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-delete-project3.png)

# Adicionar ou remover tags de um projeto
<a name="tag-project"></a>

As tags do projeto atribuirão tags a todas as instâncias criadas nesse projeto.

1. Escolha um projeto na lista de projetos.

1. No menu **Ações**, escolha **Atualizar tags**.

1. Escolha **Adicionar tags** e insira um valor para **Chave**.

1. Para remover tags, escolha **Remover** ao lado da tag que você deseja remover.

# Exibir sistemas de arquivos associados a um projeto
<a name="view-project-file-systems"></a>

Quando um projeto é selecionado, você pode expandir o painel **Sistemas de arquivos** na parte inferior da tela para visualizar os sistemas de arquivos associados ao projeto.

![\[Exibir sistemas de arquivos associados a um projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-projectfilesystems.jpg)


# Adicionar um modelo de lançamento
<a name="project-launch-template"></a>

Ao criar ou editar um projeto, você pode adicionar modelos de lançamento usando as **Opções avançadas** na configuração do projeto. Os modelos de lançamento fornecem configurações adicionais, como grupos de segurança, políticas do IAM e scripts de lançamento para todas as instâncias de VDI dentro do projeto. 

## Adicionar políticas
<a name="add-policies"></a>

Você pode adicionar uma política do IAM para controlar o acesso à VDI para todas as instâncias implantadas em seu projeto. Para integrar uma política, marque a política com o seguinte par de valores-chave:

```
res:Resource/vdi-host-policy
```

Para obter mais informações sobre as funções do IAM, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).

### Adição de grupos de segurança
<a name="add-security-groups"></a>

Você pode adicionar um grupo de segurança para controlar os dados de entrada e saída de todas as instâncias de VDI em seu projeto. Para integrar um grupo de segurança, marque o grupo de segurança com o seguinte par de valores-chave:

```
res:Resource/vdi-security-group
```

Para obter mais informações sobre grupos de segurança, consulte [Controle o tráfego para seus AWS recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) no Guia do *usuário da Amazon VPC*.

### Adicionar scripts de lançamento
<a name="project-launch-scripts"></a>

Você pode adicionar scripts de lançamento que serão iniciados em todas as sessões de VDI em seu projeto. O RES suporta a iniciação de scripts para Linux e Windows. Para iniciar o script, você pode escolher:

**Executar script quando a VDI é iniciada**  
Essa opção inicia o script no início de uma instância de VDI antes que qualquer configuração ou instalação do RES seja executada.

**Executar script quando o VDI estiver configurado**  
Essa opção inicia o script após a conclusão das configurações do RES.

Os scripts oferecem suporte às seguintes opções:


| Configuração do script | Exemplo | 
| --- | --- | 
| TIPO S3 | s3://bucketname/script.sh | 
| URL de HTTPS | https://sample.samplecontent.com/amostra | 
| Arquivo local | arquivo:///.sh user/scripts/example | 

Todos os scripts personalizados hospedados em buckets do S3 precisam ser provisionados com a seguinte tag:

```
res:EnvironmentName/<res-environment>
```

Para **Argumentos**, forneça quaisquer argumentos separados por uma vírgula.

![\[Exemplo de uma configuração de projeto\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-projectconfigexample.png)


Modelos de exemplo para scripts de lançamento.

------
#### [ Linux ]

```
#  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
#  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
#  with the License. A copy of the License is located at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
#  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
#  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
#  and limitations under the License.

#!/bin/bash

echo "start_script.sh running" >> /test_scripts
echo "All arguments: $@" >> /test_scripts
echo "Argument count: $#" >> /test_scripts
echo "Argument 1, $1" >> /test_scripts
echo "Argument 2, $2" >> /test_scripts
echo "end of start_script.sh" >> /test_scripts
```

------
#### [ Windows ]

```
#  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
#  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
#  with the License. A copy of the License is located at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
#  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
#  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
#  and limitations under the License.

#!pwsh

Write-Output "configure_script.ps1 running" | Out-File -Append -FilePath "/test_scripts"
Write-Output "All arguments: $args" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument count: $($args.Count)" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 1, $($args[0])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "Argument 2, $($args[1])" | Out-File -Append -FilePath "/test_scripts"
Write-Output "end of configure_script.ps1" | Out-File -Append -FilePath "/test_scripts"
```

------

# Política de permissão
<a name="permission-profiles"></a>

O Research and Engineering Studio (RES) permite que um usuário administrativo crie perfis de permissão personalizados que concedem aos usuários selecionados permissões adicionais para gerenciar o projeto do qual fazem parte. Cada projeto vem com dois [perfis de permissão padrão](permission-matrix.md): “Membro do projeto” e “Proprietário do projeto”, que podem ser personalizados após a implantação.

Atualmente, os administradores podem conceder duas coleções de permissões usando um perfil de permissão:

1. Permissões de gerenciamento de projetos que consistem em “Atualizar a associação do projeto”, que permite que um usuário designado adicione outros usuários e grupos ou os remova de um projeto, e “Atualizar o status do projeto”, que permite que um usuário designado ative ou desative um projeto.

1. Permissões de gerenciamento de sessão de VDI que consistem em “Criar sessão”, que permite que um usuário designado crie uma sessão de VDI em seu projeto, e “Criar/encerrar a sessão de outro usuário”, que permite que um usuário designado crie ou encerre as sessões de outros usuários em um projeto.

Dessa forma, os administradores podem delegar permissões baseadas em projetos a não administradores em seu ambiente.

**Topics**
+ [

# Permissões de gerenciamento de projetos
](permission-profiles-permission-project-management.md)
+ [

# Permissões de gerenciamento de sessão VDI
](permission-profiles-permission-vdi-sessions.md)
+ [

# Gerenciando perfis de permissão
](permission-profiles-permission-management.md)
+ [

# Perfis de permissões padrão
](permission-matrix.md)
+ [

# Limites ambientais
](permission-profiles-environment-boundaries.md)
+ [

# Perfis de compartilhamento de desktop
](permission-profiles-desktop-sharing-profiles.md)

# Permissões de gerenciamento de projetos
<a name="permission-profiles-permission-project-management"></a>

**Atualizar a associação ao projeto **  
Essa permissão permite que usuários não administradores que a receberam adicionem e removam usuários ou grupos de um projeto. Também permite que eles definam o perfil de permissão e decidam o nível de acesso para todos os outros usuários e grupos desse projeto.  

![\[Janela pop-up de configurações da equipe\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-update-project-membership.png)


**Atualizar o status do projeto **  
Essa permissão permite que usuários não administradores que a receberam habilitem ou desabilitem um projeto usando o botão **Ações** na página **Projetos**.  

![\[Janela de projetos do Admin Console em gerenciamento de ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-update-project-status.png)


# Permissões de gerenciamento de sessão VDI
<a name="permission-profiles-permission-vdi-sessions"></a>

**Crie uma sessão.**  
Controla se um usuário tem permissão ou não para iniciar sua própria sessão de VDI na página **Meus desktops virtuais**. Desative isso para negar aos usuários não administradores a capacidade de iniciar suas próprias sessões de VDI. Os usuários sempre podem parar e encerrar suas próprias sessões de VDI.  
Se um usuário não administrador não tiver permissões para criar uma sessão, o botão **Iniciar nova área de trabalho virtual** será desativado para ele, conforme mostrado aqui:  

![\[usuários não administradores sem permissões têm o botão de lançamento da nova área de trabalho virtual desativado\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-nonadmin-vdi-disabled.png)


**Crie ou encerre as sessões de outras pessoas**  
Permite que usuários não administradores acessem a página **Sessões** a partir do painel de navegação esquerdo. Esses usuários poderão iniciar sessões de VDI para outros usuários nos projetos em que receberam essa permissão.  
Se um usuário não administrador tiver permissão para iniciar sessões para outros usuários, o painel de navegação esquerdo exibirá o link **Sessões em Gerenciamento de sessões****, conforme mostrado aqui**:   

![\[Janela pop-out não administrativa para gerenciamento de sessões\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-nonadmin-link-displayed.png)

Se um usuário não administrador não tiver permissão para criar sessões para outras pessoas, seu painel de navegação esquerdo não exibirá o **Gerenciamento de Sessões**, conforme mostrado aqui:   

![\[o link de gerenciamento de sessões está oculto para usuários não administradores sem permissão para criar sessões para outros\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-nonadmin-hidden-link.png)


# Gerenciando perfis de permissão
<a name="permission-profiles-permission-management"></a>

Como administrador do RES, você pode realizar as seguintes ações para gerenciar perfis de permissão.

**Listar perfis de permissão**
+ Na página do console do Research and Engineering Studio, escolha **Política de permissão** no painel de navegação esquerdo. Nessa página, você pode criar, atualizar, listar, visualizar e excluir perfis de permissão.  
![\[administradores podem listar perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/project-roles.png)

**Exibir perfis de permissão**

1. Na página principal de **Perfis de permissão**, selecione o nome do perfil de permissão que você deseja visualizar. Nessa página, você pode editar ou excluir o perfil de permissão selecionado.  
![\[os administradores podem editar ou excluir perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-permission-profiles-view-1.png)

1. Selecione a guia **Projetos afetados** para ver os projetos que atualmente usam o perfil de permissão.  
![\[os administradores podem visualizar os projetos afetados pelos perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-permission-profiles-view-2.png)

**Crie perfis de permissão**

1. Na página principal de **Perfis de permissão**, escolha **Criar perfil** para criar um perfil de permissão.

1. Insira um nome e uma descrição do perfil de permissão e selecione as permissões a serem concedidas aos usuários ou grupos que você atribui a esse perfil.  
![\[administradores podem criar perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-permission-profiles-create.png)

**Editar perfis de permissão**
+ Na página principal de **Perfis** de Permissão, selecione um perfil clicando no círculo ao lado dele, escolha **Ações** e escolha **Editar perfil** para atualizar esse perfil de permissão.  
![\[administradores podem editar perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-permission-profiles-edit.png)

**Excluir perfis de permissão**
+ Na página principal de **Perfis** de Permissão, selecione um perfil clicando no círculo ao lado dele, escolha **Ações** e escolha **Excluir perfil**. Você não pode excluir um perfil de permissão usado por nenhum projeto existente.  
![\[administradores podem excluir perfis de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-permission-profiles-delete.png)

# Perfis de permissões padrão
<a name="permission-matrix"></a>

Cada projeto RES vem com dois perfis de permissão padrão que os administradores globais podem configurar. (Além disso, os administradores globais podem criar e modificar novos perfis de permissão para um projeto.) A tabela a seguir mostra as permissões permitidas para os perfis de permissão padrão: “Membro do projeto” e “Proprietário do projeto”. Os perfis de permissão e as permissões que eles concedem a usuários selecionados de um projeto só se aplicam ao projeto ao qual pertencem; os administradores globais são superusuários que têm todas as permissões abaixo em todos os projetos.


| Permissões | Description | Membro do projeto | Proprietário do projeto | 
| --- | --- | --- | --- | 
| Criar sessão | Crie sua própria sessão. Os usuários sempre podem interromper e encerrar suas próprias sessões com ou sem essa permissão. | X | X | 
| Criar/encerrar sessões de outras pessoas | Crie ou encerre a sessão de outro usuário em um projeto. |  | X | 
| Atualizar associação ao projeto | Atualize usuários e grupos associados a um projeto. |  | X | 
| Atualizar status do projeto | Ative ou desative um projeto. |  | X | 

# Limites ambientais
<a name="permission-profiles-environment-boundaries"></a>

Os limites do ambiente permitem que os administradores do Research and Engineering Studio (RES) configurem permissões que entrarão em vigor globalmente para todos os usuários. Isso inclui permissões como permissões **do Navegador de Arquivos e SSH, Permissões** da **área** de trabalho e **configurações avançadas da área** de trabalho. 

![\[limites do ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-environment-boundaries.png)


# Configurando o acesso ao navegador de arquivos
<a name="configuring-file-browser-access"></a>

Os administradores do RES podem ativar ou desativar os **dados de acesso** em Permissões do navegador de **arquivos**. Se **os dados do Access** estiverem desativados, os usuários não verão a navegação **do Navegador de Arquivos** em seu portal da web e não poderão carregar ou baixar dados anexados ao sistema de arquivos global. Quando **os dados do Access** estão habilitados, os usuários têm acesso à navegação **do Navegador de Arquivos** em seu portal da web, o que lhes permite carregar ou baixar dados anexados ao sistema de arquivos global.

![\[limites do ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-disabled.png)


Quando o recurso de **dados do Access** é ativado e depois desativado, os usuários que já estão conectados ao portal da web não conseguirão carregar ou baixar arquivos, mesmo que estejam na página correspondente. Além disso, o menu de navegação desaparecerá quando eles atualizarem a página.

# Configurando o acesso SSH
<a name="configuring-ssh-access"></a>

Os administradores podem ativar ou desativar o SSH para o ambiente RES na seção **Limites do ambiente**. O acesso SSH ao VDIs é facilitado por meio de um host bastion. Quando você ativa essa opção, o RES implanta um bastion host e torna a página de instruções de acesso SSH visível para os usuários. Quando você desativa a opção, o RES desativa o acesso SSH, encerra o bastion host e remove a página de instruções de acesso SSH para os usuários. Essa opção está desativada por padrão.

**nota**  
Quando o RES implanta um bastion host, ele adiciona uma instância do Amazon `t3.medium` EC2 à sua conta. AWS Você é responsável por todas as cobranças associadas a essa instância. Consulte a [página de preços do Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/) para obter mais informações.

**Para habilitar o acesso SSH**

1. No console RES, no painel de navegação esquerdo, escolha **Gerenciamento de ambiente** e, em seguida, **Política de permissão**. Em **Limites do ambiente**, selecione a opção de **acesso SSH**.  
![\[Página de política de permissão em gerenciamento de ambiente no console de administração\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-disabled.png)

1. Aguarde até que o acesso SSH seja ativado.  
![\[O banner consultivo aparece na página da política de permissões em Gerenciamento de ambiente no console do administrador.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-enable-ssh.png)

1. Depois que o host Bastion é adicionado, o acesso SSH é ativado.  
![\[Página de política de permissão em gerenciamento de ambiente no console de administração\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-enabled.png)

   A página de **instruções de acesso SSH** é visível para os usuários no painel de navegação esquerdo.  
![\[Página de instruções de acesso SSH mostrando as etapas para Linux e Windows\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-enabled2.png)

**Para desativar o acesso SSH**

1. No console RES, no painel de navegação esquerdo, escolha **Gerenciamento de ambiente** e, em seguida, **Política de permissão**. Em **Limites do ambiente**, selecione a opção de **acesso SSH**.  
![\[Página de política de permissão em gerenciamento de ambiente no console de administração\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-enabled.png)

1. Aguarde até que o acesso SSH seja desativado.  
![\[Um banner mostra que o acesso SSH está sendo desativado na página de política de permissão\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-disable-ssh.png)

1. Quando o processo estiver concluído, o acesso SSH será desativado.  
![\[Página de política de permissão mostrando o acesso SSH desativado\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-ssh-disabled.png)

# Configurando as permissões da área de trabalho
<a name="configuring-desktop-permissions"></a>

Os administradores podem ativar ou desativar **as permissões de desktop** para gerenciar globalmente a funcionalidade de VDI de todos os proprietários da sessão. Todas essas permissões, ou um subconjunto, podem ser usadas para criar **perfis de compartilhamento de área** de trabalho que determinam quais ações os usuários com os quais uma área de trabalho é compartilhada podem realizar. Se alguma permissão da área de trabalho estiver desativada, isso desativará automaticamente as permissões correspondentes nos **perfis de compartilhamento da área** de trabalho. Essas permissões serão rotuladas como “Desativadas globalmente”. Mesmo que o administrador habilite essa permissão de desktop novamente, a permissão no perfil de compartilhamento de desktop permanecerá desativada até que o administrador a ative manualmente.

![\[limites do ambiente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/permission-policy-environment-boundaries.png)


# Perfis de compartilhamento de desktop
<a name="permission-profiles-desktop-sharing-profiles"></a>

Os administradores podem criar novos perfis e personalizá-los. Esses perfis podem ser acessados por todos os usuários e são usados ao compartilhar uma sessão com outras pessoas. As permissões máximas concedidas nesses perfis não podem exceder as permissões de desktop permitidas globalmente.

**Criar perfil**

Os administradores podem escolher **Criar perfil** para criar um novo perfil. Em seguida, eles podem inserir um **nome** de **perfil, uma descrição** de perfil, definir as permissões desejadas e **salvar** suas alterações.

![\[perfis de compartilhamento de desktop\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/desktop-sharing-profiles.png)


![\[definição de perfil e permissões\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-profile-definition.png)


**Editar perfil**

**Para editar um perfil:**

1. Selecione o perfil desejado.

1. Escolha **Ações** e, em seguida, selecione **Editar** para modificar o perfil.

1. Ajuste as permissões conforme necessário.

1. Escolha **Salvar alterações**.

Quaisquer alterações feitas no perfil serão aplicadas imediatamente às sessões abertas atuais.

![\[perfis de compartilhamento de desktop com testprofile_1 selecionado\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-desktop-sharing-profiles2.png)


![\[definição de perfil e permissões para TestProfile_1\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-profile-definition2.png)


# Sistemas de arquivos
<a name="file-system"></a>

![\[Sistemas de arquivos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/home-file-systems.png)


Na página Sistemas de arquivos, você pode:

1. Pesquise sistemas de arquivos.

1. Quando um sistema de arquivos for selecionado, use o menu **Ações** para:

   1. Adicione o sistema de arquivos a um projeto.

   1. Remover o sistema de arquivos de um projeto

1. Integre um novo sistema de arquivos.

1. Quando um sistema de arquivos é selecionado, você pode expandir o painel na parte inferior da tela para visualizar os detalhes do sistema de arquivos.

**Topics**
+ [

# Integrar um sistema de arquivos
](onboard-file-system.md)

# Integrar um sistema de arquivos
<a name="onboard-file-system"></a>

**nota**  
Para integrar com sucesso um sistema de arquivos, ele deve compartilhar a mesma VPC e pelo menos uma de suas sub-redes RES. Você também deve garantir que o grupo de segurança esteja configurado corretamente para VDIs ter acesso ao conteúdo do sistema de arquivos.

1.  Escolha Sistema **de arquivos integrado.** 

1. Selecione um sistema de arquivos no menu suspenso. O modal se expandirá com entradas adicionais de detalhes.  
![\[Selecione o sistema de arquivos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-selectfilesystem.jpg)

1. Insira os detalhes do sistema de arquivos.
**nota**  
Por padrão, administradores e proprietários de projetos podem escolher um sistema de arquivos doméstico ao criar um novo projeto, que não pode ser editado posteriormente.  
Os sistemas de arquivos destinados a serem usados como diretórios base em projetos devem ser integrados definindo o caminho do **Mount Directory** como. `/home` Isso preencherá o sistema de arquivos integrado nas opções suspensas do sistema de arquivos do diretório inicial. Esse recurso ajuda a manter os dados isolados entre os projetos, pois somente os usuários associados ao projeto terão acesso ao sistema de arquivos por meio de seus. VDIs VDIs montará o sistema de arquivos no ponto de montagem selecionado durante a integração de um sistema de arquivos.

1. Selecione **Enviar**.   
![\[Selecione o sistema de arquivos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-filesystemdetails.jpg)

## Vários volumes de um único sistema de arquivos ONTAP
<a name="onboard-multiple-ontap-volumes"></a>

O RES suporta a integração de vários volumes a partir de um único sistema de arquivos NetApp ONTAP. Isso permite que os administradores organizem os dados em volumes separados dentro do mesmo sistema de arquivos ONTAP e, ao mesmo tempo, disponibilizem cada volume de forma independente para os projetos.

Para integrar volumes adicionais de um sistema de arquivos ONTAP que já esteja integrado:

1. Escolha Sistema **de arquivos integrado.**

1. Selecione o mesmo sistema de arquivos ONTAP no menu suspenso.

1. No campo **Volume**, selecione um volume diferente do sistema de arquivos.

1. Especifique um **diretório de montagem** exclusivo para esse volume.

1. Selecione **Enviar**.

**nota**  
Cada volume do mesmo sistema de arquivos ONTAP deve ser integrado com um diretório de montagem exclusivo. Os volumes podem ser atribuídos de forma independente a diferentes projetos.

# Gerenciamento de snapshots
<a name="snapshots"></a>

O gerenciamento de instantâneos simplifica o processo de salvar e migrar dados entre ambientes, garantindo consistência e precisão. Com os instantâneos, você pode salvar o estado do seu ambiente e migrar dados para um novo ambiente com o mesmo estado.

![\[Página de gerenciamento de instantâneos\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-snapshotmanagement.png)


Na página de **gerenciamento de snapshots**, você pode: 

1. Veja todos os instantâneos criados e seus status.

1. Crie um instantâneo. Antes de criar um snapshot, você precisará criar um bucket com as permissões apropriadas.

1. Visualize todos os instantâneos aplicados e seu status.

1. Aplique um instantâneo.

**Topics**
+ [

# Criar um snapshot
](create-snapshot.md)
+ [

# Aplicar um instantâneo
](apply-snapshot.md)

# Criar um snapshot
<a name="create-snapshot"></a>

Antes de criar um snapshot, você deve fornecer um bucket do Amazon S3 com as permissões necessárias. Para obter informações sobre como criar um bucket, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Ative o controle de versão do bucket e o registro de acesso ao servidor. Essas configurações podem ser ativadas na guia **Propriedades** do bucket após o provisionamento. 

**nota**  
O ciclo de vida desse bucket do Amazon S3 não será gerenciado dentro do produto. Você precisará gerenciar o ciclo de vida do bucket a partir do console.

**Para adicionar permissões ao bucket:**

1. Selecione o bucket que você criou na lista **Buckets**.

1. Selecione a guia **Permissões**. 

1. Em **Bucket policy** (Política de bucket), escolha **Edit** (Editar). 

1. Adicione a seguinte declaração à política do bucket. Substitua estes valores pelos seus próprios: 
   + *111122223333*-> seu ID AWS da conta
   + *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> nome do seu ambiente RES
   + *amzn-s3-demo-bucket*-> o nome do seu bucket S3
**Importante**  
Existem strings de versões limitadas suportadas pelo AWS. Para obter mais informações, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Export-Snapshot-Policy",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
               },
               "Action": [
                   "s3:GetObject",
                   "s3:ListBucket",
                   "s3:AbortMultipartUpload",
                   "s3:PutObject",
                   "s3:PutObjectAcl"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"
               ]
           },
           {
               "Sid": "AllowSSLRequestsOnly",
               "Action": "s3:*",
               "Effect": "Deny",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"
               ],
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               },
               "Principal": "*"
           }
       ]
   }
   ```

------

**Para criar o instantâneo:**

1. Escolha **Create Snapshot (Criar snapshot)**. 

1. Insira o nome do bucket do Amazon S3 que você criou. 

1. Insira o caminho em que você gostaria que o instantâneo fosse armazenado no bucket. Por exemplo, .**october2023/23** 

1. Selecione **Enviar**.   
![\[Crie um novo instantâneo\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-createsnapshot.png)

1. Depois de cinco a dez minutos, escolha **Atualizar** na página Snapshots para verificar o status. Um snapshot não será válido até que o status mude de IN\$1PROGRESS para COMPLETED.

# Aplicar um instantâneo
<a name="apply-snapshot"></a>

Depois de criar um instantâneo de um ambiente, você pode aplicar esse instantâneo a um novo ambiente para migrar dados. Você precisará adicionar uma nova política ao bucket, permitindo que o ambiente leia o snapshot.

A aplicação de um snapshot copia dados como permissões de usuário, projetos, pilhas de software, perfis de permissão e sistemas de arquivos com suas associações em um novo ambiente. As sessões do usuário não serão replicadas. Quando o instantâneo é aplicado, ele verifica as informações básicas de cada registro de recurso para determinar se ele já existe. Para registros duplicados, o instantâneo ignora a criação de recursos no novo ambiente. Para registros semelhantes, como compartilhar um nome ou chave, mas outras informações básicas de recursos variam, ele criará um novo registro com um nome e uma chave modificados usando a seguinte convenção:`RecordName_SnapshotRESVersion_ApplySnapshotID`. `ApplySnapshotID`Parece um carimbo de data/hora e identifica cada tentativa de aplicar um instantâneo.

Durante a aplicação do snapshot, o snapshot verifica a disponibilidade dos recursos. O recurso não disponível para o novo ambiente não será criado. Para recursos com um recurso dependente, o snapshot verifica a disponibilidade do recurso dependente. Se o recurso dependente não estiver disponível, ele criará o recurso principal sem o recurso dependente.

Se o novo ambiente não for o esperado ou falhar, você poderá verificar os CloudWatch registros encontrados no grupo de registros `/res-<env-name>/cluster-manager` para obter detalhes. Cada registro terá a tag [aplicar instantâneo]. Depois de aplicar um snapshot, você pode verificar seu status na [Gerenciamento de snapshots](snapshots.md) página.

**Para adicionar permissões ao bucket:**

1. Selecione o bucket que você criou na lista **Buckets**.

1. Selecione a guia **Permissões**.

1. Em **Bucket policy** (Política de bucket), escolha **Edit** (Editar).

1. Adicione a seguinte declaração à política do bucket. Substitua estes valores pelos seus próprios: 
   + *111122223333*-> seu ID AWS da conta
   + *\$1RES\$1ENVIRONMENT\$1NAME\$1*-> nome do seu ambiente RES
   + *amzn-s3-demo-bucket*-> o nome do seu bucket S3

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Export-Snapshot-Policy",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/{RES_ENVIRONMENT_NAME}-cluster-manager-role"
               },
               "Action": [
                   "s3:GetObject",
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"
               ]
           },
           {
               "Sid": "AllowSSLRequestsOnly",
               "Action": "s3:*",
               "Effect": "Deny",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"
               ],
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               },
               "Principal": "*"
           }
       ]
   }
   ```

------

**Para aplicar um instantâneo:**

1. Escolha **Aplicar instantâneo.** 

1. Insira o nome do bucket do Amazon S3 que contém o snapshot.

1. Insira o caminho do arquivo para o snapshot dentro do bucket.

1. Selecione **Enviar**.   
![\[Aplicar um instantâneo\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-applysnapshot.png)

1. Depois de cinco a dez minutos, escolha **Atualizar** na página de gerenciamento do Snapshot para verificar o status.

# Buckets do Amazon S3
<a name="S3-buckets"></a>

O Research and Engineering Studio (RES) suporta a montagem de [buckets do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) em instâncias de infraestrutura de desktop virtual (VDI) Linux. **Os administradores do RES podem integrar buckets do S3 ao RES, anexá-los aos projetos, editar suas configurações e remover buckets na guia buckets do S3 em Gerenciamento do ambiente.**

O painel de buckets do S3 fornece uma lista dos buckets do S3 integrados disponíveis para você. No painel de buckets do S3, você pode:

1. Use **Adicionar bucket** para integrar um bucket S3 ao RES. 

1. Selecione um bucket do S3 e use o menu **Ações** para: 
   + Editar um bucket
   + Remova um balde

1. Use o campo de pesquisa para pesquisar pelo nome do bucket e encontrar buckets S3 integrados.  
![\[A lista de buckets do S3 permite pesquisar por nome de bucket e encontrar buckets integrados\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/docs-list-bucket.png)

As seções a seguir descrevem como gerenciar buckets do Amazon S3 em seus projetos RES.

**Topics**
+ [

# Pré-requisitos do bucket Amazon S3 para implantações isoladas de VPC
](S3-buckets-prereqs.md)
+ [

# Adicionar um bucket Amazon S3
](S3-buckets-add.md)
+ [

# Editar um bucket do Amazon S3
](S3-buckets-edit.md)
+ [

# Remover um bucket do Amazon S3
](S3-buckets-remove.md)
+ [

# Isolamento de dados
](S3-buckets-data-isolation.md)
+ [

# Acesso ao bucket entre contas
](S3-buckets-cross-account-access.md)
+ [

# Evitando a exfiltração de dados em uma VPC privada
](S3-buckets-preventing-exfiltration.md)
+ [

# Solução de problemas
](S3-buckets-troubleshooting.md)
+ [

# Habilitando CloudTrail
](S3-buckets-enabling-cloudtrail.md)

# Pré-requisitos do bucket Amazon S3 para implantações isoladas de VPC
<a name="S3-buckets-prereqs"></a>

Se você estiver implantando o Research and Engineering Studio em uma VPC isolada, siga estas etapas para atualizar os parâmetros de configuração lambda depois de implantar o RES em sua conta. AWS 

1. Faça login no console Lambda da AWS conta em que o Research and Engineering Studio está implantado.

1. Encontre e navegue até a função Lambda chamada. `<RES-EnvironmentName>-vdc-custom-credential-broker-lambda` 

1. Selecione a guia **Configuração** da função.  
![\[variável de ambiente VPC isolada\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/Isolated-VPC-Env-Variable.png)

1. No painel de navegação, escolha **Variáveis de ambiente** para visualizar essa seção.

1. Escolha **Editar** e adicione a seguinte nova variável de ambiente à função: 
   + Chave: `AWS_STS_REGIONAL_ENDPOINTS` 
   + Valor: `regional` 

1. Escolha **Salvar**.

# Adicionar um bucket Amazon S3
<a name="S3-buckets-add"></a>

**Para adicionar um bucket S3 ao seu ambiente RES:**

1. Escolha **Add bucket (Adicionar bucket)**.

1. Insira os detalhes do bucket, como nome do bucket, ARN e ponto de montagem.
**Importante**  
O ARN do bucket, o ponto de montagem e o modo fornecidos não podem ser alterados após a criação. 
O ARN do bucket pode conter um prefixo que isolará o bucket S3 integrado desse prefixo.

1. Selecione um modo para integrar seu bucket.
**Importante**  
Consulte [Isolamento de dados](S3-buckets-data-isolation.md) para obter mais informações relacionadas ao isolamento de dados com modos específicos.

1. Em **Opções avançadas**, você pode fornecer um ARN de função do IAM para montar os buckets para acesso entre contas. Siga as etapas [Acesso ao bucket entre contas](S3-buckets-cross-account-access.md) para criar a função do IAM necessária para acesso entre contas.

1. (Opcional) Associe o bucket aos projetos, que podem ser alterados posteriormente. No entanto, um bucket do S3 não pode ser montado nas sessões de VDI existentes de um projeto. Somente as sessões iniciadas após o projeto ter sido associado ao bucket montarão o bucket.

1. Selecione **Enviar**.  
![\[Adicione a página do bucket mostrando os campos de configuração do bucket disponíveis e o botão de envio\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/docs-add-bucket.png)

# Editar um bucket do Amazon S3
<a name="S3-buckets-edit"></a>

1. Selecione um bucket do S3 na lista de buckets do S3.

1. No menu **Ações**, selecione **Editar**.

1. Insira suas atualizações.
**Importante**  
Associar um projeto a um bucket S3 **não** montará o bucket nas instâncias existentes da infraestrutura de desktop virtual (VDI) desse projeto. O bucket só será montado em sessões de VDI iniciadas em um projeto após o bucket ter sido associado a esse projeto.
Desassociar um projeto de um bucket do S3 não afetará os dados no bucket do S3, mas fará com que os usuários de desktop percam o acesso a esses dados.

1. Escolha **Salvar configuração do bucket**.  
![\[A página Editar S3 Bucket com os campos de nome de exibição e associação do projeto inseridos e o botão Salvar configuração do bucket destacado\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/docs-edit-bucket.png)

# Remover um bucket do Amazon S3
<a name="S3-buckets-remove"></a>

1. Selecione um bucket do S3 na lista de buckets do S3.

1. No menu **Ações**, selecione **Remover**.
**Importante**  
Primeiro, você deve remover todas as associações de projetos do bucket.
A operação de remoção não afeta os dados no bucket do S3. Ele remove apenas a associação do bucket do S3 com o RES.
A remoção de um bucket fará com que as sessões de VDI existentes percam o acesso ao conteúdo desse bucket quando as credenciais da sessão expirarem (aproximadamente 1 hora).

# Isolamento de dados
<a name="S3-buckets-data-isolation"></a>

Ao adicionar um bucket do S3 ao RES, você tem opções para isolar os dados dentro do bucket para projetos e usuários específicos. Na página **Adicionar bucket**, você pode selecionar um modo de Somente leitura (R) ou Leitura e gravação (R/W).

**Somente leitura**

Se `Read Only (R)` for selecionado, o isolamento de dados será imposto com base no prefixo do ARN do bucket (Amazon Resource Name). Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN `arn:aws:s3:::bucket-name/example-data/` e associar esse bucket ao Projeto A e ao Projeto B, os usuários que iniciam a VDIs partir do Projeto A e do Projeto B só poderão ler os dados localizados `bucket-name` abaixo do caminho. `/example-data` Eles não terão acesso aos dados fora desse caminho. Se não houver prefixo anexado ao ARN do bucket, todo o bucket será disponibilizado para qualquer projeto associado a ele.

**Ler e escrever**

Se `Read and Write (R/W)` for selecionado, o isolamento de dados ainda será aplicado com base no prefixo do ARN do bucket, conforme descrito acima. Esse modo tem opções adicionais para permitir que os administradores forneçam prefixos baseados em variáveis para o bucket do S3. Quando `Read and Write (R/W)` selecionada, fica disponível uma seção de prefixo personalizado que oferece um menu suspenso com as seguintes opções:
+ Sem prefixo personalizado
+ /%p
+ /%p/%u

![\[Adicionar página de bucket com o menu suspenso de prefixo personalizado exibido\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/add-bucket-custom-prefix.png)


**Sem isolamento de dados personalizado **  
Quando `No custom prefix` selecionado para **Prefixo personalizado**, o bucket é adicionado sem nenhum isolamento de dados personalizado. Isso permite que qualquer projeto associado ao bucket tenha acesso de leitura e gravação. Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN `arn:aws:s3:::bucket-name` `No custom prefix` selecionado e associar esse bucket ao Projeto A e ao Projeto B, os usuários que iniciarem a VDIs partir do Projeto A e do Projeto B terão acesso irrestrito de leitura e gravação ao bucket.

**Isolamento de dados em um nível por projeto **  
Quando `/%p` selecionado para **Prefixo personalizado**, os dados no bucket são isolados para cada projeto específico associado a ele. A `%p` variável representa o código do projeto. Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN `arn:aws:s3:::bucket-name` com `/%p` selecionado e um **ponto de montagem** de*/bucket*, e associar esse bucket ao Projeto A e ao Projeto B, o usuário A no Projeto A poderá gravar um arquivo no. */bucket* O usuário B no Projeto A também pode ver o arquivo no qual o usuário A escreveu*/bucket*. No entanto, se o usuário B iniciar uma VDI no Projeto B e examinar*/bucket*, ele não verá o arquivo que o usuário A escreveu, pois os dados são isolados por projeto. O arquivo que o usuário A escreveu é encontrado no bucket do S3 sob o prefixo, `/ProjectA` enquanto o usuário B só pode acessar usando `/ProjectB` o arquivo VDIs do Projeto B.

**Isolamento de dados em nível por projeto e por usuário **  
Quando `/%p/%u` selecionado para **Prefixo personalizado**, os dados no bucket são isolados para cada projeto específico e usuário associado a esse projeto. A `%p` variável representa o código do projeto e `%u` representa o nome de usuário. Por exemplo, um administrador adiciona um bucket ao RES usando o ARN `arn:aws:s3:::bucket-name` com `/%p/%u` selecionado e um ponto de montagem de. */bucket* Esse bucket está associado ao Projeto A e ao Projeto B. O usuário A no Projeto A pode gravar um arquivo no*/bucket*. Ao contrário do cenário anterior, com apenas `%p` isolamento, o usuário B, nesse caso, não verá o arquivo que o usuário A escreveu no Projeto A*/bucket*, pois os dados são isolados pelo projeto e pelo usuário. O arquivo que o usuário A escreveu é encontrado no bucket do S3 sob o prefixo, `/ProjectA/UserA` enquanto o usuário B só pode acessá-lo `/ProjectA/UserB` ao usá-lo VDIs no Projeto A.

# Acesso ao bucket entre contas
<a name="S3-buckets-cross-account-access"></a>

O RES tem a capacidade de montar compartimentos a partir de outras AWS contas, desde que esses compartimentos tenham as permissões corretas. No cenário a seguir, um ambiente RES na Conta A deseja montar um bucket S3 na Conta B.

**Etapa 1: Crie uma função do IAM na conta na qual o RES está implantado *(isso será chamado de Conta A)*:**

1. Faça login no console AWS de gerenciamento da conta RES que precisa acessar o bucket do S3 (Conta A).

1. Abra o console do IAM:

   1. Navegue até o painel do IAM.

   1. No painel de navegação, selecione **Políticas**.

1. Crie uma política: 

   1. Escolha **Criar política**.

   1. Selecione a guia **JSON**.

   1. Cole a seguinte política JSON (`amzn-s3-demo-bucket`substitua pelo nome do bucket do S3 localizado na Conta B): 

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "s3:GetObject",
                      "s3:PutObject",
                      "s3:ListBucket",
                      "s3:DeleteObject",
                      "s3:AbortMultipartUpload"
                  ],
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ]
              }
          ]
      }
      ```

------

   1. Escolha **Próximo**.

1. Revise e crie a política: 

   1. Forneça um nome para a política (por exemplo, “S3 AccessPolicy “).

   1. Adicione uma descrição opcional para explicar a finalidade da política.

   1. Revise a política e escolha **Criar política**.

1. Abra o console do IAM:

   1. Navegue até o painel do IAM.

   1. No painel de navegação, escolha **Perfis**.

1. Crie uma função:

   1. Selecione **Criar perfil**.

   1. Escolha **Política de confiança personalizada** como o tipo de entidade confiável.

   1. Cole a seguinte política JSON (`111122223333`substitua pelo ID da conta real da Conta A e `{RES_ENVIRONMENT_NAME}` pelo nome do ambiente da implantação do RES): 

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:role/<ENVIRONMENT_NAME>-vdc-custom-credential-broker-lambda-role"
                  },
                  "Action": "sts:AssumeRole"
              }
          ]
      }
      ```

------

   1. Escolha **Próximo**.

1. Anexe políticas de permissões:

   1. Pesquise e selecione a política que você criou anteriormente.

   1. Escolha **Próximo**.

1. Marque, revise e crie a função: 

   1. Insira um nome de função (por exemplo, “S3 AccessRole “).

   1. Na Etapa 3, escolha **Adicionar tag** e, em seguida, insira a chave e o valor a seguir:
      + Chave: `res:Resource` 
      + Valor: `s3-bucket-iam-role` 

   1. Revise a função e escolha **Criar função**.

1. Use a função do IAM no RES:

   1. Copie o ARN da função do IAM que você criou. 

   1. Faça login no console RES.

   1. No painel de navegação esquerdo, escolha **S3** Bucket. 

   1. Escolha **Adicionar bucket** e preencha o formulário com o ARN do bucket S3 entre contas.

   1. Escolha o menu suspenso **Configurações avançadas - opcional**.

   1. Insira o ARN da função no campo ARN da função do IAM.

   1. Escolha **Adicionar bucket**.

**Etapa 2: modificar a política de bucket na Conta B**

1. Faça login no console AWS de gerenciamento da conta B.

1. Abra o console S3: 

   1. Navegue até o painel do S3.

   1. Selecione o bucket ao qual você deseja conceder acesso.

1. Edite a política do bucket:

   1. Selecione a guia **Permissões** e escolha **Política de bucket**.

   1. Adicione a política a seguir para conceder à função do IAM da Conta A acesso ao bucket (*111122223333*substitua pelo ID real da conta A e *amzn-s3-demo-bucket* pelo nome do bucket S3): 

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
                  },
                  "Action": [
                      "s3:GetObject",
                      "s3:PutObject",
                      "s3:ListBucket",
                      "s3:DeleteObject",
                      "s3:AbortMultipartUpload"
                  ],
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ]
              }
          ]
      }
      ```

------

   1. Escolha **Salvar**.

# Evitando a exfiltração de dados em uma VPC privada
<a name="S3-buckets-preventing-exfiltration"></a>

Para evitar que os usuários extraiam dados de buckets S3 seguros para seus próprios buckets S3 em suas contas, você pode anexar um VPC endpoint para proteger sua VPC privada. As etapas a seguir mostram como criar um VPC endpoint para o serviço S3 que ofereça suporte ao acesso aos buckets do S3 em sua conta, bem como a quaisquer contas adicionais que tenham buckets entre contas. 

1. Abra o console da Amazon VPC:

   1. Faça login no AWS Management Console. 

   1. Abra o console da Amazon VPC em. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)

1. Crie um VPC Endpoint para S3:

   1. No painel de navegação à esquerda, escolha **Endpoints**.

   1. Escolha **Criar endpoint**.

   1. Em **Service category** (Categoria de serviços), certifique-se de que a opção **serviços AWS ** esteja selecionada. 

   1. No campo **Nome do serviço**, insira `com.amazonaws.<region>.s3` (`<region>`substitua pela sua AWS região) ou pesquise por “S3".

   1. Selecione o serviço S3 na lista.

1. Defina as configurações do endpoint: 

   1. Em **VPC**, selecione a VPC na qual você deseja criar o endpoint.

   1. Para **sub-redes**, selecione as duas sub-redes privadas usadas para as sub-redes VDI durante a implantação.

   1. Em **Habilitar nome DNS**, verifique se a opção está marcada. Isso permite que o nome do host DNS privado seja resolvido nas interfaces de rede do endpoint.

1. Configure a política para restringir o acesso: 

   1. Em **Política**, escolha **Personalizado**.

   1. No editor de políticas, insira uma política que restrinja o acesso aos recursos em sua conta ou em uma conta específica. Aqui está um exemplo de política (*amzn-s3-demo-bucket*substitua pelo nome do bucket do S3 *111122223333* e *444455556666* pela AWS conta apropriada IDs que você deseja acessar): 
**nota**  
Este exemplo de política usa `s3:*` e não restringe as operações do plano de controle do S3, como configuração de notificação de eventos, replicação ou inventário. Essas operações podem permitir que metadados de objetos (como nomes de buckets e chaves de objetos) sejam enviados para destinos entre contas. Se isso for uma preocupação, adicione declarações de negação explícitas para as ações relevantes do plano de controle do S3 na política de endpoint da VPC.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": "*",
                  "Action": "s3:*",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-bucket",
                      "arn:aws:s3:::amzn-s3-demo-bucket/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalAccount": [
                              "111122223333",
                              "444455556666"
                          ]
                      }
                  }
              }
          ]
      }
      ```

------

1. Crie o endpoint:

   1. Examine suas configurações.

   1. Escolha **Criar endpoint**.

1. Verifique o endpoint:

   1. Depois que o endpoint for criado, navegue até a seção **Endpoints** no console da VPC.

   1. Selecione o endpoint recém-criado.

   1. Verifique se o **estado** está **disponível**.

Seguindo essas etapas, você cria um VPC endpoint que permite acesso ao S3 restrito aos recursos da sua conta ou a um ID de conta especificado.

# Solução de problemas
<a name="S3-buckets-troubleshooting"></a>

**Como verificar se um bucket não consegue ser montado em uma VDI** 

Se um bucket não for montado em uma VDI, há alguns locais onde você pode verificar se há erros. Siga as etapas abaixo.

1. Verifique os registros do VDI:

   1. Faça login no AWS Management Console. 

   1. Abra o console do EC2 e navegue até **Instâncias**.

   1. Selecione a instância de VDI que você executou.

   1. Conecte-se à VDI por meio do Gerenciador de Sessões.

   1. Execute os seguintes comandos :

      ```
      sudo su
      cd ~/bootstrap/logs
      ```

      Aqui, você encontrará os registros do bootstrap. Os detalhes de qualquer falha estarão localizados no `configure.log.{time}` arquivo.

      Além disso, verifique o `/etc/message` registro para obter mais detalhes.

1. Verifique os registros personalizados do CloudWatch Lambda do Credential Broker:

   1. Faça login no AWS Management Console.

   1. Abra o CloudWatch console e navegue até **Grupos de registros**.

   1. Pesquise o grupo de registros`/aws/lambda/<stack-name>-vdc-custom-credential-broker-lambda`. 

   1. Examine o primeiro grupo de registros disponível e localize quaisquer erros nos registros. Esses registros conterão detalhes sobre possíveis problemas, fornecendo credenciais personalizadas temporárias para montagem de buckets do S3. 

1. Verifique os CloudWatch registros personalizados do API Gateway do Credential Broker:

   1. Faça login no AWS Management Console.

   1. Abra o CloudWatch console e navegue até **Grupos de registros**.

   1. Pesquise o grupo de registros`<stack-name>-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs<nonce>`. 

   1. Examine o primeiro grupo de registros disponível e localize quaisquer erros nos registros. Esses registros conterão detalhes sobre todas as solicitações e respostas ao API Gateway para obter as credenciais personalizadas necessárias para montar os buckets do S3.

**Como editar a configuração da função do IAM de um bucket após a integração** 

1. Faça login no [AWS DynamoDB Console](https://console.aws.amazon.com/dynamodbv2/home).

1. Selecione a tabela: 

   1. No painel de navegação à esquerda, selecione **Tables (Tabelas)**.

   1. Encontre e selecione`<stack-name>.cluster-settings`. 

1. Digitalize a tabela: 

   1. Escolha **Explore table items** (Explorar itens da tabela).

   1. Verifique se a opção **Escanear** está selecionada.

1. Adicionar um filtro:

   1. Escolha **Filtros** para abrir a seção de entrada do filtro.

   1. Defina o filtro para corresponder à sua chave-
      + **Atributo**: insira a chave.
      + **Condição**: Selecione **Começa com**.
      + **Valor**: insira `shared-storage.<filesystem_id>.s3_bucket.iam_role_arn` *<filesystem\$1id>* substituindo pelo valor do sistema de arquivos que precisa ser modificado.

1. Execute a verificação:

   Escolha **Executar** para executar o escaneamento com o filtro.

1. Confira o valor: 

   Se a entrada existir, verifique se o valor está definido corretamente com o ARN correto da função do IAM.

   Se a entrada não existir:

   1. Selecione **Create Item** (Criar item).

   1. Insira os detalhes do item:
      + Para o atributo-chave, insira`shared-storage.<filesystem_id>.s3_bucket.iam_role_arn`. 
      + Adicione o ARN correto da função do IAM.

   1. Escolha **Salvar** para adicionar o item.

1. Reinicie as instâncias de VDI: 

   Reinicialize a instância para garantir VDIs que os ARN afetados pela função incorreta do IAM sejam montados novamente.

# Habilitando CloudTrail
<a name="S3-buckets-enabling-cloudtrail"></a>

Para ativar CloudTrail sua conta usando o CloudTrail console, siga as instruções fornecidas em [Criação de uma trilha com o CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do AWS CloudTrail usuário*. CloudTrail registrará o acesso aos buckets do S3 registrando a função do IAM que os acessou. Isso pode ser vinculado a um ID de instância, que está vinculado a um projeto ou usuário.