本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 規劃您的部署
<a name="plan-your-deployment"></a>

本節包含成本、安全性、支援區域和配額的相關資訊，可協助您規劃 Research and Engineering Studio 的部署 AWS。

## Cost
<a name="plan-your-deployment-cost"></a>

上的研究和工程 Studio AWS 可免費使用，您只需為 AWS 執行應用程式所需的資源付費。如需詳細資訊，請參閱[AWS 此產品中的 服務](architecture-overview.md#aws-services-in-this-product)。

**注意**  
您需負責支付執行此產品時所使用的 AWS 服務成本。  
最佳實務是透過 建立[預算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)，以協助管理成本。價格可能變動。如需完整詳細資訊，請參閱此產品中使用的每個 AWS 服務的定價網頁。

## 安全
<a name="plan-your-deployment-security"></a>

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶，您可以受益於資料中心和網路架構，這些架構是為了滿足最安全敏感組織的需求而建置。

安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將此描述為**雲端安全性和**雲端安全性：
+  **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中，第三方稽核人員會定期測試和驗證我們的安全有效性。 若要了解適用於 上的研究和工程 Studio 的合規計劃 AWS，請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。 
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規。

若要了解如何將共同責任模型套用至 Research and Engineering Studio 所使用的 AWS 服務，請參閱 [此產品中 服務的安全考量](#plan-your-deployment-security-links)。如需 AWS 安全性的詳細資訊，請參閱[AWS 雲端 安全性](https://aws.amazon.com/security/)。

### IAM 角色
<a name="plan-your-deployment-iam-roles"></a>

AWS Identity and Access Management (IAM) 角色可讓客戶將精細存取政策和許可指派給 上的服務和使用者 AWS 雲端。此產品會建立 IAM 角色，授予產品的 AWS Lambda 函數和 Amazon EC2 執行個體建立區域資源的存取權。

RES 支援 IAM 中的身分型政策。部署時，RES 會建立政策來定義管理員許可和存取權。實作產品的管理員會在與 RES 整合的現有客戶 Active Directory 中建立和管理最終使用者和專案領導者。如需詳細資訊，請參閱《 *AWS Identity and Access Management 使用者指南*》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

您組織的管理員可以使用作用中目錄管理使用者存取。當最終使用者存取 RES 使用者介面時，RES 會向 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) 進行身分驗證。

### Security groups (安全群組)
<a name="plan-your-deployment-security-groups"></a>

此產品中建立的安全群組旨在控制和隔離 Lambda 函數、Amazon EC2 執行個體、檔案系統和遠端 VPN 端點之間的網路流量。檢閱安全群組，並在部署產品後視需要進一步限制存取。

### 資料加密
<a name="plan-your-deployment-data-encryption"></a>

根據預設，在 AWS (RES) 上的 Research and Engineering Studio 會使用 RES 擁有的金鑰加密靜態和傳輸中的客戶資料。部署 RES 時，您可以指定 AWS KMS key。RES 使用您的登入資料來授予金鑰存取權。如果您提供客戶擁有和管理的 AWS KMS key，則會使用該金鑰加密靜態客戶資料。

RES 使用 SSL/TLS 加密傳輸中的客戶資料。TLS 1.2 是必要的，但建議使用 TLS 1.3。

### 此產品中 服務的安全考量
<a name="plan-your-deployment-security-links"></a>

如需 Research and Engineering Studio 所使用服務之安全性考量的詳細資訊，請遵循下表中的連結：


| AWS 服務安全資訊 | 服務類型 | 服務在 RES 中的使用方式 | 
| --- | --- | --- | 
| [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) | 核心 | 提供基礎運算服務，以使用其所選的作業系統和軟體堆疊建立虛擬桌面。 | 
| [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security.html) | 核心 | 堡壘、叢集管理員和 VDI 主機會在負載平衡器後方的 Auto Scaling 群組中建立。Elastic Load Balancing 會平衡來自 Web 入口網站跨 RES 主機的流量。 | 
| [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html) | 核心 | 所有核心產品元件都會在您的 VPC 中建立。 | 
| [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/security.html) | 核心 | 管理使用者身分和身分驗證。Active Directory 使用者會映射至 Amazon Cognito 使用者和群組，以驗證存取層級。 | 
| [Amazon Elastic File System](https://docs.aws.amazon.com/efs/latest/ug/security-considerations.html) | 核心 | 提供/home檔案瀏覽器和 VDI 主機的檔案系統，以及共用的外部檔案系統。 | 
| [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html) | 核心 | 存放組態資料，例如使用者、群組、專案、檔案系統和元件設定。 | 
| [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/security.html) | 核心 | 存放執行 VDI 工作階段管理命令的文件。 | 
| [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html) | 核心 | 支援產品功能，例如更新 DynamoDB 資料表中的設定、啟動 Active Directory 同步工作流程，以及更新字首清單。 | 
| [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security.html) | 支援 | 提供所有 Amazon EC2 主機和 Lambda 函數的指標和活動日誌。 | 
| [Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security.html) | 支援 | 存放用於主機引導和組態的應用程式二進位檔。 | 
| [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) | 支援 | 用於搭配 Amazon SQS 佇列、DynamoDB 資料表和 Amazon SNS 主題進行靜態加密。 | 
| [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security.html) | 支援 | 將服務帳戶登入資料存放在 Active Directory 和 VDIs 的自我簽署憑證中。 | 
| [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) | 支援 | 提供產品的部署機制。 | 
| [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/security.html) | 支援 | 限制主機的存取層級。 | 
| [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/security.html) | 支援 | 建立私有託管區域以解析內部負載平衡器和堡壘主機網域名稱。 | 
| [Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-security.html) | 支援 | 建立任務佇列以支援非同步執行。 | 
| [Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-security.html) | 支援 | 支援 VDI 元件之間的發佈訂閱模型，例如控制器和主機。 | 
| [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-fargate.html) | 支援 | 使用 Fargate 任務安裝、更新和刪除環境。 | 
| [Amazon FSx File Gateway](https://docs.aws.amazon.com/filegateway/latest/filefsxw/security.html) | 選用 | 提供外部共用檔案系統。 | 
| [Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/security.html) | 選用 | 提供外部共用檔案系統。 | 
| [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/security.html) | 選用 | 為您的自訂網域產生信任的憑證。 | 
| [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) | 選用 | 為 Amazon EC2 主機、檔案系統和 DynamoDB 提供備份功能。 | 

## 配額
<a name="plan-your-deployment-quotas"></a>

服務配額 (也稱為限制) 是 AWS 帳戶的服務資源或操作的最大數量。

### 此產品中 AWS 服務的配額
<a name="quotas-for-aws-services-in-this-product"></a>

請確定您對[此產品中實作的每個服務](architecture-overview.md#aws-services-in-this-product)有足夠的配額。如需更多相關資訊，請參閱 [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。

最佳實務是提高下列服務的配額：
+ Amazon Virtual Private Cloud
+ Amazon EC2

若要請求增加配額，請參閱 *Service Quotas 使用者指南*中的[請求提高配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。如果 Service Quotas 中尚未提供配額，請使用[增加服務配額表單](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase)。

### AWS CloudFormation 配額
<a name="aws-cloudformation-quotas"></a>

在此產品中[啟動堆疊](launch-the-product.md)時，您應該注意 AWS 帳戶 的 AWS CloudFormation 配額。透過了解這些配額，您可以避免限制會阻止您成功部署此產品的錯誤。如需詳細資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[AWS CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。

### 規劃彈性
<a name="planning-for-resilience"></a>

產品會部署具有 Amazon EC2 執行個體最小數量和大小的預設基礎設施，以操作系統。為了改善大規模生產環境中的彈性，最佳實務是增加基礎設施 Auto Scaling 群組 (ASG) 內的預設最小容量設定。將值從一個執行個體增加到兩個執行個體可提供多個可用區域 (AZ) 的優點，並縮短在發生意外資料遺失時還原系統功能的時間。

ASG 設定可在 Amazon EC2 主控台中自訂，網址為 https：//[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。產品預設會建立四個 ASGs，每個名稱以 結尾`-asg`。您可以將最小值和所需值變更為適合您生產環境的數量。選取您要修改的群組，然後選擇**動作**，然後選取**編輯**。如需 ASGs的詳細資訊，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的擴展 Auto Scaling 群組的大小](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scale-your-group.html)。 *Amazon EC2 Auto Scaling *

## 支援的 AWS 區域
<a name="plan-your-deployment-supported-aws-regions"></a>

此產品使用目前尚未在所有 中提供的服務 AWS 區域。您必須在可使用 AWS 區域 所有服務的 中啟動此產品。如需 AWS 各區域服務的最新可用性，請參閱 [AWS 區域 al Services List](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

以下 AWS 支援 上的研究和工程 Studio AWS 區域：


| 區域名稱 | 區域 | 舊版本 | 最新版本 (2025 年 12 月） | 
| --- | --- | --- | --- | 
| 美國東部 (維吉尼亞北部)  | us-east-1 | 是 | 是 | 
| 美國東部 (俄亥俄)  | us-east-2 | 是 | 是 | 
| 美國西部 (加利佛尼亞北部)  | us-west-1 | 是 | 是 | 
| 美國西部 (奧勒岡)  | us-west-2 | 是 | 是 | 
| 亞太區域 (東京) | ap-northeast-1 | 是 | 是 | 
| 亞太區域 (首爾) | ap-northeast-2 | 是 | 是 | 
| 亞太區域 (大阪) | ap-northeast-3 | 是 | 是 | 
| 亞太區域 (孟買) | ap-south-1 | 是 | 是 | 
| 亞太區域 (新加坡)  | ap-southeast-1 | 是 | 是 | 
| 亞太區域 (雪梨)  | ap-southeast-2 | 是 | 是 | 
| 亞太地區 (雅加達)  | ap-southeast-3 | 是 | 是 | 
| 加拿大 (中部) | ca-central-1 | 是 | 是 | 
| 歐洲 (法蘭克福) | eu-central-1 | 是 | 是 | 
| 歐洲 (米蘭) | eu-south-1 | 是 | 是 | 
| 歐洲 (愛爾蘭) | eu-west-1 | 是 | 是 | 
| 歐洲 (倫敦)  | eu-west-2 | 是 | 是 | 
| 歐洲 (巴黎)  | eu-west-3 | 是 | 是 | 
| Europe (Stockholm)  | eu-north-1 | 是 | 是 | 
| 以色列 (特拉維夫) | il-central-1 | 是 | 是 | 
| 中東 (阿拉伯聯合大公國) | me-central-1 | 是 | 是 | 
| 南美洲 (聖保羅) | sa-east-1 | 是 | 是 | 
| AWS GovCloud （美國東部） | us-gov-east-1 | 是 | 是 | 
| AWS GovCloud （美國西部） | us-gov-west-1 | 是 | 是 |