本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

规划您的部署

费用

上 AWS 的 Research and Engineering Studio 不收取额外费用，您只需为运行应用程序所需的 AWS 资源付费。有关更多信息，请参阅 AWS 本产品中的服务。

安全性

当您在 AWS 基础架构上构建系统时，安全责任由您和共同承担 AWS。这种分担责任模式减轻了您的 AWS 运营负担，因为您可以操作、管理和控制包括主机操作系统、虚拟化层和服务运行设施的物理安全在内的组件。有关 AWS 安全的更多信息，请访问AWS 云 安全。

IAM 角色

AWS Identity and Access Management (IAM) 角色允许客户向上的服务和用户分配精细的访问策略和权限。 AWS 云该产品创建 IAM 角色来授予产品的 AWS Lambda 功能和 Amazon EC2 实例创建区域资源的访问权限。

RES 支持 IAM 中基于身份的策略。部署后，RES 会创建策略来定义管理员的权限和访问权限。实施产品的管理员在与 RES 集成的现有客户 Active Directory 中创建和管理最终用户和项目负责人。有关更多信息，请参阅 Identity and A ccess Managem AWS ent 用户指南中的创建 IAM 策略。

贵组织的管理员可以使用活动目录管理用户访问权限。当最终用户访问 RES 用户界面时，RES 会使用 Amazon Cognito 进行身份验证。

安全组

在本产品中创建的安全组旨在控制和隔离 Lambda 函数、 EC2 实例、文件系统 CSR 实例和远程 VPN 终端节点之间的网络流量。我们建议您在部署产品后查看安全组并根据需要进一步限制访问权限。

数据加密

默认情况下，Research and Engineering Studio AWS （RES）使用RES拥有的密钥对静态和传输中的客户数据进行加密。部署 RES 时，可以指定 AWS KMS key。RES 使用您的证书授予密钥访问权限。如果您提供的是客户所有和管理的 AWS KMS key，则将使用该密钥对客户静态数据进行加密。

RES 使用 SSL/TLS 对传输中的客户数据进行加密。我们需要 TLS 1.2，但建议使用 TLS 1.3。

限额

服务限额（也称为限制）是 AWS 账户使用的服务资源或操作的最大数量。

本产品中的 AWS 服务配额

请确保您有足够的配额来使用本产品中实施的每项服务。有关更多信息，请参阅AWS 服务配额。

对于此产品，我们建议提高以下服务的配额：

要请求提高配额，请参阅《Service Quotas 用户指南》中的请求提高配额。如果限额在服务限额中尚不可用，请使用提高限制表格。

AWS CloudFormation 配额

您 AWS 账户 有 AWS CloudFormation 配额，在该产品中启动堆栈时应注意这些配额。通过了解这些配额，您可以避免限制错误，从而使您无法成功部署此产品。有关更多信息，请参阅《AWS CloudFormation 用户指南》中的AWS CloudFormation 配额。

规划恢复能力

该产品部署了默认基础设施，该基础设施具有最小数量和大小的 Amazon EC2 实例来运行系统。为了提高大规模生产环境的弹性，我们建议在基础架构的 Auto Scaling 组 (ASG) 中增加默认的最低容量设置。将值从一个实例增加到两个实例可以获得多个可用区 (AZ) 的好处，并缩短在数据意外丢失时恢复系统功能的时间。

ASG 设置可以在亚马逊 EC2 控制台中自定义，网址为。https://console.aws.amazon.com/ec2/ ASGs 默认情况下，产品会创建四个，每个名称都以-asg。您可以将最小值和所需值更改为适合您的生产环境的数量。选择要修改的群组，然后选择操作和编辑。有关更多信息 ASGs，请参阅 Amazon Auto Scaling 用户指南中的扩展 A EC2 uto Scaling 组的大小。

支持 AWS 区域

本产品使用的服务目前并非全部可用 AWS 区域。您必须在所有服务都可用 AWS 区域 的地方启动此产品。有关按地区划分的最新 AWS 服务可用性，请参阅AWS 区域所有服务列表。

以下内容支持上 AWS 的 “研究与工程工作室” AWS 区域：