本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS Batch
設定 AWS Batch

如果您已經註冊 Amazon Web Services (AWS) 並使用 Amazon Elastic Compute Cloud (Amazon EC2) 或 Amazon Elastic Container Service (Amazon ECS)，您很快就可以使用 AWS Batch。這些服務的設定程序類似。這是因為 在其運算環境中 AWS Batch 使用 Amazon ECS 容器執行個體。若要 AWS CLI 搭配 使用 AWS Batch，您必須使用支援最新 AWS Batch 功能的 AWS CLI 版本。如果您在 中沒有看到 AWS Batch 功能的支援 AWS CLI，請升級到最新版本。如需詳細資訊，請參閱 https：//[http://aws.amazon.com/cli/](https://aws.amazon.com/cli/)。

**注意**  
由於 AWS Batch 使用 Amazon EC2 的元件，因此您會將 Amazon EC2 主控台用於許多這些步驟。

完成下列任務以設定 AWS Batch。

**Topics**
+ [

# 建立 IAM 帳戶和管理使用者
](create-an-iam-account.md)
+ [

# 為您的運算環境和容器執行個體建立 IAM 角色
](create-an-iam-role.md)
+ [

# 為您的執行個體建立金鑰對
](create-a-key-pair.md)
+ [

# 建立 VPC
](create-a-vpc.md)
+ [

# 建立安全群組
](create-a-base-security-group.md)
+ [

# 安裝 AWS CLI
](install_aws_cli.md)

# 建立 IAM 帳戶和管理使用者


若要開始使用，您需要建立 AWS 帳戶和通常獲得管理權限的單一使用者。若要完成此操作，請完成下列教學課程：

## 註冊 AWS 帳戶


如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者


註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

# 為您的運算環境和容器執行個體建立 IAM 角色
建立 IAM 角色

您的 AWS Batch 運算環境和容器執行個體需要 AWS 帳戶 登入資料，才能代表您呼叫其他 AWS APIs。建立 AWS Identity and Access Management 角色，將這些登入資料提供給運算環境和容器執行個體，然後將該角色與您的運算環境建立關聯。

**注意**  
若要確認您的 AWS 帳戶 具有必要的許可，請參閱[您帳戶的初始 IAM 服務設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。  
在主控台初次執行體驗中，會自動為您建立 AWS Batch 運算環境和容器執行個體角色。因此，如果您想要使用 AWS Batch 主控台，您可以繼續進行下一節。如果您打算 AWS CLI 改用 ，請先完成 [使用 的服務連結角色 AWS Batch](using-service-linked-roles.md)、 和 中的程序[Amazon ECS 執行個體角色](instance_IAM_role.md)，[教學課程：建立 IAM 執行角色](create-execution-role.md)再建立您的第一個運算環境。

# 為您的執行個體建立金鑰對
建立金鑰對

AWS 使用公有金鑰密碼編譯來保護執行個體的登入資訊。Linux 執行個體，例如 AWS Batch 運算環境容器執行個體，沒有用於 SSH 存取的密碼。您需要使用金鑰對，以安全地登入執行個體。當建立運算環境時，您會先指定金鑰對名稱，然後再提供使用 SSH 登入時的私有金鑰。

如果您尚未建立金鑰對，您可以使用 Amazon EC2 主控台建立一個金鑰對。請注意，如果您計劃在多個 中啟動執行個體 AWS 區域，請在每個區域中建立金鑰對。如需區域的詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[區域和可用區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)。

**建立一組金鑰對**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 從導覽列中， AWS 區域 選取金鑰對的 。您可以選取任何可供您使用的區域，無論您的位置為何：不過，金鑰對專屬於區域。例如，如果您計劃在美國西部 （奧勒岡） 區域中啟動執行個體，請為相同區域中的執行個體建立金鑰對。

1. 在導覽窗格中，選擇 **Key Pairs** (金鑰對)、**Create Key Pair** (建立金鑰對)。

1. 在 **Create Key Pair **(建立金鑰對) 對話方塊中，在 ** Key pair name **(金鑰對名稱) 為新的金鑰對輸入名稱，然後選擇 ** Create **(建立)。選擇您可以記住的名稱，例如您的使用者名稱，後面接著 `-key-pair`，加上區域名稱。例如，*me*-key-pair-*uswest2*。

1. 您的瀏覽器會自動下載私有金鑰檔案。基礎檔案名稱為您所指定的金鑰對名稱，副檔名為 `.pem`。將私有金鑰檔案存放在安全的地方。
**重要**  
這是您儲存私有金鑰檔案的唯一機會。當您每次連線到執行個體時，都需要提供金鑰對的名稱，以及對應的私有金鑰。

1. 如果您在 Mac 或 Linux 電腦上使用 SSH 用戶端連線到 Linux 執行個體，請使用下列命令來設定私有金鑰檔案的許可。如此一來，只有您可以讀取它。

   ```
   $ chmod 400 your_user_name-key-pair-region_name.pem
   ```

如需詳細資訊，請參閱《Amazon EC2 使用者指南》**中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。

**使用金鑰對連線至執行個體**  
若要從執行 Mac 或 Linux 的電腦連線至您的 Linux 執行個體，請使用`.pem` 選項與您私有金鑰的路徑，將 `-i` 檔案指定給您的 SSH 用戶端。若要從執行 Windows 的電腦連線至 Linux 執行個體，請使用 MindTerm 或 PuTTY。如果您打算使用 PuTTY，請安裝它並使用下列程序將`.pem`檔案轉換為`.ppk`檔案。<a name="prepare-for-putty"></a>

**（選用） 準備使用 PuTTY 從 Windows 連線至 Linux 執行個體**

1. 從[ http://www.chiark.greenend.org.uk/\$1sgtatham/putty/](http://www.chiark.greenend.org.uk/~sgtatham/putty/) 下載並安裝 PuTTY。務必安裝整個套件。

1. 啟動 PuTTYgen （例如，從**開始**功能表中，選擇**所有程式、PuTTY 和 PuTTYgen**)。

1. 在 **Type of key to generate (要產生的金鑰類型)** 下，選擇 **RSA (SSH-2 RSA)**。如果您使用的是舊版 PuTTYgen，請選擇 **SSH-2 RSA**。  
![\[\]](http://docs.aws.amazon.com/zh_tw/batch/latest/userguide/images/puttygen-key-type.png)

1. 選擇 **Load** (載入)。根據預設，PuTTYgen 只會顯示副檔名為 `.ppk` 的檔案。若要尋找您的 `.pem` 檔案，請選擇顯示所有類型之檔案的選項。  
![\[\]](http://docs.aws.amazon.com/zh_tw/batch/latest/userguide/images/puttygen-load-key.png)

1. 選取您在先前程序中建立的私有金鑰檔案，然後選擇 **Open** (開啟)。選擇 **OK** (確定) 關閉確認對話方塊。

1. 選擇 **Save private key** (儲存私有金鑰)。PuTTYgen 會顯示有關儲存沒有密碼短語之金鑰的警告。選擇 **Yes (是)**。

1. 為您用於金鑰對的金鑰指定相同名稱。PuTTY 會自動新增 `.ppk` 副檔名。

# 建立 VPC


使用 Amazon Virtual Private Cloud (Amazon VPC)，您可以在您定義的虛擬網路中啟動 AWS 資源。我們強烈建議您在 VPC 中啟動容器執行個體。

如果您有預設 VPC，您也可以略過本節並移至下一個任務 [建立安全群組](create-a-base-security-group.md)。若要判斷您是否擁有預設 VPC，請參閱《[Amazon EC2 使用者指南》中的 Amazon EC2 主控台中支援的平台](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html#console-updates) *Amazon EC2 *

如需有關如何建立 Amazon VPC 的資訊，請參閱《Amazon [VPC 使用者指南》中的僅建立](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) *VPC*。請參閱下表以決定要選取的選項。


| 選項 | Value | 
| --- | --- | 
|  要建立的資源  | 僅 VPC | 
| 名稱 |  可以選擇為 VPC 提供名稱。  | 
| IPv4 CIDR 區塊 |  IPv4 CIDR 手動輸入 CIDR 區塊大小必須為介於 /16 和 /28 之間的大小。  | 
|  IPv6 CIDR 區塊  |  無 IPv6 CIDR 區塊  | 
|  租用  |  預設  | 

如需有關 Amazon VPC 的詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/)。

# 建立安全群組


安全群組就像是防火牆，用於關聯的運算環境容器執行個體，可在容器執行個體層級控制傳入及傳出流量。安全群組只能在建立該群組的 VPC 中使用。

您可以新增規則至安全群組，讓您從您的 IP 地址使用 SSH 連接到您的容器執行個體。您也可以新增允許任何位置之傳入和傳出 HTTP 和 HTTPS 存取的規則。依您的任務所需在開放連接埠新增任何規則。

請注意，如果您計劃在多個區域中啟動容器執行個體，則需要在每個區域中建立安全群組。如需詳細資訊，請參閱《Amazon EC2 使用者指南》**中的[區域與可用區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)。

**注意**  
您需要本機電腦的公有 IP 地址 (可以使用服務來取得)。例如，我們提供下列服務：[http://checkip.amazonaws.com/](http://checkip.amazonaws.com/) 或 [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)。若要尋找其他能夠提供您 IP 地址的服務，請使用搜尋片語 "what is my IP address" (我的 IP 地址為何)。如果您是透過網際網路服務供應商 (ISP) 或從沒有靜態 IP 地址的防火牆後方連線，請了解用戶端電腦使用的 IP 地址範圍。

**使用主控台建立安全群組**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Security Groups** (安全群組)。

1. 選擇 **Create Security Group** (建立安全群組)。

1. 輸入安全群組的名稱和說明。您無法在建立安全群組之後變更安全群組的名稱和說明。

1. 從 **VPC** 中選擇 VPC。

1. （選用） 根據預設，新的安全群組只會從允許所有流量離開資源的傳出規則開始。您必須新增規則啟用任何傳入流量，或是限制傳出流量。

   AWS Batch 容器執行個體不需要開啟任何傳入連接埠。不過，您可能想要新增 SSH 規則。如此一來，您就可以登入容器執行個體，並使用 Docker 命令檢查任務中的容器。如果您希望容器執行個體託管執行 Web 伺服器的任務，您也可以新增 HTTP 的規則。完成下列步驟，以新增這些選用的安全群組規則。

   在 **Inbound** (內送) 標籤，建立以下規則然後選擇 **Create** (建立)：
   + 選擇 **Add Rule** (新增規則)。針對 **Type** (類型)，選擇 **HTTP**。針對 **Source** (來源)，選擇 **Anywhere** (隨處) (`0.0.0.0/0`)。
   + 選擇 **Add Rule** (新增規則)。針對 **Type** (類型)，選擇 **SSH**。針對**來源**，選擇**自訂 IP**，並以無類別網域間路由 (CIDR) 表示法指定電腦或網路的公有 IP 地址。如果您的公司會分配某個範圍的地址，請指定整個範圍 (例如 `203.0.113.0/24`)。若要在 CIDR 表示法中指定個別 IP 地址，請選擇**我的 IP**。這會將路由字首新增至公`/32`有 IP 地址。
**注意**  
基於安全考量，我們不建議您允許從所有 IP 地址 (`0.0.0.0/0`) 到執行個體的 SSH 存取，但僅用於測試目的，且僅限於短時間內。

1. 您可以立即新增標籤，也可以稍後再新增。若要新增標籤，請選擇 **Add new tag (新增標籤)**，然後輸入標籤的索引鍵和值。

1. 選擇 **Create Security Group (建立安全群組)**。

若要使用命令列建立安全群組，請參閱 [ >create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html) (AWS CLI)

如需安全群組的詳細資訊，請參閱[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)。

# 安裝 AWS CLI


若要 AWS CLI 搭配 使用 AWS Batch，請安裝 AWS CLI 最新版本。如需安裝 AWS CLI 或將其升級至最新版本的詳細資訊，請參閱*AWS Command Line Interface 《 使用者指南*》中的[安裝 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)。