前提条件

https://portal.aws.amazon.com/billing/signup を開きます。

オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

にサインアップすると AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、ルートユーザーアクセスが必要なタスクの実行にはルートユーザーのみを使用するようにしてください。

指示に従って、Route53 にドメインを登録します。確認メールが届きます。

ドメインのホストゾーンを取得します。これは Route53 によって自動的に作成されます。

1. Route53 コンソールを開きます。

2. 左側のナビゲーションからホストゾーンを選択します。

3. ドメイン名用に作成されたホストゾーンを開き、ホストゾーン ID をコピーします。

を開き AWS Certificate Manager 、以下の手順に従ってドメイン証明書をリクエストします。ソリューションをデプロイする予定のリージョンにいることを確認します。

ナビゲーションから証明書を一覧表示を選択し、証明書リクエストを見つけます。リクエストは保留中である必要があります。

証明書 ID を選択してリクエストを開きます。

ドメインセクションから、Route53 でレコードを作成するを選択します。リクエストの処理には約 10 分かかります。

証明書が発行されたら、証明書のステータスセクションから ARN をコピーします。

パブリックホストドメインが作成された商用パーティション AWS アカウントに証明書 AWS CloudFormation スタックをデプロイします。

Certificate CloudFormation 出力から、 と を見つけCertificateARNてメモしますPrivateKeySecretARN。

GovCloud パーティションアカウントで、CertificateARN出力の値を持つシークレットを作成します。新しいシークレット ARN を書き留め、シークレットに 2 つのタグを追加してvdc-gateway、 がシークレット値にアクセスできるようにします。

1. res:ModuleName = virtual-desktop-controller

2. res:EnvironmentName = [environment name] (res-demo である可能性があります）

GovCloud パーティションアカウントで、PrivateKeySecretArn出力の値を持つシークレットを作成します。新しいシークレット ARN を書き留め、シークレットに 2 つのタグを追加してvdc-gateway、 がシークレット値にアクセスできるようにします。

1. res:ModuleName = virtual-desktop-controller

2. res:EnvironmentName = [environment name] (res-demo である可能性があります）

「 のサーバー側の LDAPS を有効にする方法 AWS Managed Microsoft AD」に記載されているステップに従います。LDAPS を既に有効にしている場合は、このステップをスキップできます。

LDAPS が AD に設定されていることを確認したら、AD 証明書をエクスポートします。

1. Active Directory サーバーに移動します。

2. 管理者として PowerShell を開きます。

3. certmgr.msc を実行して証明書リストを開きます。

4. 最初に信頼されたルート認証機関を開き、次に証明書を開いて、証明書リストを開きます。

5. AD サーバーと同じ名前の証明書を選択したまま (または右クリックして）、すべてのタスクを選択してからエクスポートを選択します。

6. Base-64 でエンコードされた X.509 (.CER) を選択し、次へを選択します。

7. ディレクトリを選択し、次へを選択します。

シークレットの作成先 AWS Secrets Manager：

シークレットマネージャーでシークレットを作成する場合は、[シークレットのタイプ] で [その他のシークレット] を選択し、[プレーンテキスト] フィールドに PEM エンコードの証明書を貼り付けます。

作成された ARN をメモし、 の DomainTLSCertificateSecretARNパラメータとして入力しますステップ 1: 製品を起動する。

依存関係をダウンロードします。分離された VPC にデプロイするには、RES インフラストラクチャでパブリックインターネットアクセスなしで依存関係を利用できる必要があります。

Amazon S3 読み取り専用アクセスと Amazon EC2 としての信頼された ID を持つ IAM ロールを作成します。

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ロール から、ロールの作成 を選択します。

3. [信頼されたエンティティを選択] ページで以下を行います。

   • 信頼されたエンティティタイプで、 を選択します AWS のサービス。

   • 「サービス」または「ユースケース」のEC2」を選択し、「次へ」を選択します。

4. アクセス許可の追加で、次のアクセス許可ポリシーを選択し、次へを選択します。

   • AmazonS3ReadOnlyAccess

   • AmazonSSMManagedInstanceCore

   • EC2InstanceProfileForImageBuilder

5. ロール名と説明を追加し、ロールの作成を選択します。

EC2 Image Builder コンポーネントを作成します。

1. で EC2 Image Builder コンソールを開きますhttps://console.aws.amazon.com/imagebuilder。

2. 保存済みリソースで、コンポーネントを選択し、コンポーネントの作成を選択します。

3. コンポーネントの作成ページで、次の詳細を入力します。

   • コンポーネントタイプ で、ビルド を選択します。

   • コンポーネントの詳細については、以下を選択します。

     パラメータ	ユーザーエントリ
     Image operating system (OS)	Linux
     Compatible OS Versions	Amazon Linux 2, RHEL8, RHEL9, or Windows 10 and 11
     Component name	Enter a name such as: <research-and-engineering-studio-infrastructure>
     Component version	We recommend starting with 1.0.0.
     Description	Optional user entry.

4. コンポーネントの作成ページで、ドキュメントコンテンツの定義を選択します。

   1. 定義ドキュメントの内容を入力する前に、tar.gz ファイルのファイル URI が必要です。RES が提供する tar.gz ファイルを Amazon S3 バケットにアップロードし、バケットプロパティからファイルの URI をコピーします。

   2. 次のように入力します。

      注記

      AddEnvironmentVariables はオプションであり、インフラストラクチャホストにカスタム環境変数が必要ない場合は削除できます。

      http_proxy および https_proxy環境変数を設定する場合、インスタンスがプロキシを使用して localhost、インスタンスメタデータ IP アドレス、および VPC エンドポイントをサポートするサービスにクエリを実行できないようにするには、no_proxyパラメータが必要です。

      #  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
      #
      #  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
      #  with the License. A copy of the License is located at
      #
      #      http://www.apache.org/licenses/LICENSE-2.0
      #
      #  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
      #  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
      #  and limitations under the License.
      name: research-and-engineering-studio-infrastructure
      description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts.
      schemaVersion: 1.0
      
      parameters:
        - AWSAccountID:
            type: string
            description: RES Environment AWS Account ID
        - AWSRegion:
            type: string
            description: RES Environment AWS Region
      phases:
        - name: build
          steps:
             - name: DownloadRESInstallScripts
               action: S3Download
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  - source: '<s3 tar.gz file uri>'
                    destination: '/root/bootstrap/res_dependencies/res_dependencies.tar.gz'
                    expectedBucketOwner: '{{ AWSAccountID }}'
             - name: RunInstallScript
               action: ExecuteBash
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  commands:
                      - 'cd /root/bootstrap/res_dependencies'
                      - 'tar -xf res_dependencies.tar.gz'
                      - 'cd all_dependencies'
                      - '/bin/bash install.sh'
             - name: AddEnvironmentVariables
               action: ExecuteBash
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  commands:
                      - |
                        echo -e "
                        http_proxy=http://<ip>:<port>
                        https_proxy=http://<ip>:<port>
                        no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com
                         " > /etc/environment 

5. [コンポーネントを作成] を選択します。

Image Builder イメージレシピを作成します。

1. レシピの作成ページで、次のように入力します。

   セクション	パラメータ	ユーザーエントリ
   レシピ詳細	名前	Enter an appropriate name such as res-recipe-linux-x86.
   	バージョン	Enter a version, typically starting with 1.0.0.
   	説明	Add an optional description.
   基本の イメージ	イメージの選択	Select managed images.
   	OS	Amazon Linux or Red Hat Enterprise Linux (RHEL)
   	イメージオリジン	Quick start (Amazon-managed)
   	[イメージ名]	Amazon Linux 2 x86, Red Hat Enterprise Linux 8 x86, or Red Hat Enterprise Linux 9 x86
   	自動バージョニングオプション	Use latest available OS version.
   インスタンス設定	–	Keep everything in the default settings, and make sure パイプラインの実行後に SSM エージェントを削除する is not selected.
   作業ディレクトリパス	作業ディレクトリパス	/root/bootstrap/res_dependencies
   コンポーネント	コンポーネントの構築	以下を検索して選択します。 Amazon マネージド: aws-cli-version-2-linux Amazon マネージド: amazon-cloudwatch-agent-linux 所有: 以前に作成された Amazon EC2 コンポーネント。フィールドに AWS アカウント ID と現在の AWS リージョン を入力します。
   	テストコンポーネント	以下を検索して選択します。 Amazon マネージド: simple-boot-test-linux

2. [レシピを作成する] を選択します。

Image Builder インフラストラクチャ設定を作成します。

1. 「保存されたリソース」で、「インフラストラクチャ設定」を選択します。

2. インフラストラクチャー構成の作成 を選択します。

3. インフラストラクチャ設定の作成ページで、次のように入力します。

   セクション	パラメータ	ユーザーエントリ
   全般	名前	Enter an appropriate name such as res-infra-linux-x86.
   	説明	Add an optional description.
   	IAM ロール	Select the IAM role created previously.
   AWS インフラストラクチャ	インスタンスタイプ	Choose t3.medium.
   	VPC、サブネット、セキュリティグループ	Amazon S3 バケットへのインターネットアクセスとアクセスを許可するオプションを選択します。セキュリティグループを作成する必要がある場合は、次の入力を使用して Amazon EC2 コンソールから作成できます。 VPC: インフラストラクチャ設定に使用されているのと同じ VPC を選択します。この VPC にはインターネットアクセスが必要です。 インバウンドルール： タイプ: SSH [Source]: Custom CIDR ブロック: 0.0.0.0/0

4. インフラストラクチャー構成の作成 を選択します。

新しい EC2 Image Builder パイプラインを作成します。

1. Image pipelines に移動し、Create image pipeline を選択します。

2. パイプラインの詳細を指定ページで、次のように入力し、次へを選択します。

   • パイプライン名とオプションの説明

   • ビルドスケジュールで、スケジュールを設定するか、AMI ベーキングプロセスを手動で開始する場合は手動を選択します。

3. レシピの選択ページで、既存のレシピを使用するを選択し、前に作成したレシピ名を入力します。[次へ] を選択します。

4. 画像プロセスの定義ページで、デフォルトのワークフローを選択し、次へを選択します。

5. 「インフラストラクチャ設定の定義」ページで、「既存のインフラストラクチャ設定を使用する」を選択し、以前に作成したインフラストラクチャ設定の名前を入力します。[次へ] を選択します。

6. ディストリビューション設定の定義ページで、選択について次の点を考慮してください。

   • RES がそこからインフラストラクチャホストインスタンスを適切に起動できるように、出力イメージはデプロイされた RES 環境と同じリージョンに存在する必要があります。サービスのデフォルトを使用すると、EC2 Image Builder サービスが使用されているリージョンに出力イメージが作成されます。

   • RES を複数のリージョンにデプロイする場合は、新しいディストリビューション設定を作成し、そこにリージョンを追加できます。

7. 選択内容を確認し、パイプラインの作成を選択します。

EC2 Image Builder パイプラインを実行します。

1. イメージパイプラインから、作成したパイプラインを見つけて選択します。

2. アクションを選択し、パイプラインの実行を選択します。

   パイプラインは、AMI イメージの作成に約 45 分から 1 時間かかる場合があります。

生成された AMI の AMI ID を書き留め、 の InfrastructureHostAMI パラメータの入力として使用しますステップ 1: 製品を起動する。

エンドポイントが以前に設定されていない場合は、「インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする」に記載されている手順に従ってください。

2 つのアベイラビリティーゾーンのそれぞれで 1 つのプライベートサブネットを選択します。

RES デプロイに使用する VPC のパブリックサブネットで Linux インスタンスを起動します。

インスタンスに接続してプロキシサーバーを設定します。

1. http 接続を開きます。

2. 関連するすべてのサブネットから次のドメインへの接続を許可します。

   • . amazonaws.com://www.www.www.www.www.www.www.www.www.www. AWS www

   • .amazoncognito.com (Amazon Cognito の場合）

   • . awsapps.com://www.https://www.www.www.www.www.www.www.www.

   • .signin.aws (アイデンティティセンター用）

   • . amazonaws-us-gov.com://Gov Cloud の場合）

3. 他のすべての接続を拒否します。

4. プロキシサーバーをアクティブ化して起動します。

5. プロキシサーバーがリッスンする PORT を書き留めます。

プロキシサーバーへのアクセスを許可するようにルートテーブルを設定します。

1. VPC コンソールに移動し、インフラストラクチャホストと VDI ホストに使用するサブネットのルートテーブルを特定します。

2. ルートテーブルを編集して、すべての受信接続が前のステップで作成したプロキシサーバーインスタンスに移動できるようにします。

3. これは、インフラストラクチャ/VDIs に使用するすべてのサブネット (インターネットアクセスなし) のルートテーブルに対して行います。

プロキシサーバー EC2 インスタンスのセキュリティグループを変更し、プロキシサーバーがリッスンしている PORT でインバウンド TCP 接続が許可されていることを確認します。