Conexión a instancias administradas de Amazon WorkSpaces Core
(/es-es/citrix-virtual-apps-desktops/2511/install-configure/connections) describe los asistentes que crean una conexión. La siguiente información cubre detalles específicos de las instancias administradas de Amazon WorkSpaces Core.
Requisitos previos
Haga lo siguiente antes de crear una conexión a instancias administradas de Amazon WorkSpaces Core:
- Complete la configuración de su AWS como ubicación de recursos. Consulte (/es-es/citrix-virtual-apps-desktops/2511/install-configure/install-prepare/aws).
- Política de permisos de IAM (#define-iam-permissions) de usuario o rol de IAM para que Citrix® administre los recursos de AWS en su nombre.
- Crear un rol vinculado a servicios.
Definir permisos de IAM
Antes de crear una conexión de host, se debe definir correctamente una política de permisos de IAM para un usuario o rol de IAM que otorgue a Citrix los permisos adecuados para aprovisionar y administrar recursos en su cuenta de AWS en su nombre. Utilice la información de esta sección para definir los permisos de IAM para Citrix Virtual Apps and Desktops en instancias administradas de Amazon WorkSpaces Core. El servicio IAM de Amazon permite cuentas con varios usuarios, que pueden organizarse en grupos. Estos usuarios pueden tener diferentes permisos para controlar su capacidad de realizar operaciones asociadas a la cuenta. Para obtener más información sobre los permisos de IAM, consulte la referencia de políticas JSON de IAM.
Nota:
Dado que Citrix aprovisiona y administra recursos y automatización en su cuenta de AWS en su nombre, no se admite la configuración de políticas de permisos de IAM basadas en etiquetas específicas o convenciones de nomenclatura de recursos.
Para aplicar la política de permisos de IAM a un nuevo grupo de usuarios:
- Inicie sesión en la consola de administración de AWS y seleccione el servicio IAM en la lista desplegable.
- Seleccione Crear un nuevo grupo de usuarios.
- Escriba un nombre para el nuevo grupo de usuarios y seleccione Continuar.
- En la página Permisos, elija Política personalizada.
- Escriba un nombre para la Política de permisos.
- En la sección Documento de política, introduzca los permisos pertinentes.
Después de introducir la información de la política, seleccione Continuar para completar la aplicación de la política de permisos de IAM al grupo de usuarios. Los usuarios del grupo solo tienen permisos para realizar las acciones necesarias para Citrix Virtual Apps and Desktops.
Importante:
Utilice el texto de la política proporcionado en el ejemplo de este artículo para enumerar las acciones que Citrix Virtual Apps and Desktops utiliza para realizar acciones dentro de una cuenta de AWS sin restringir esas acciones a recursos específicos. Citrix recomienda utilizar el ejemplo con fines de prueba. Para entornos de producción, puede optar por añadir más restricciones a los recursos.
Añadir permisos de IAM
Añada los permisos en la sección IAM de la Consola de administración de AWS:
- En el panel Resumen, seleccione la ficha Permisos.
- Seleccione Añadir permisos.
- En la pantalla Añadir permisos a, conceda permisos.
- En la sección JSON, incluya Permisos de AWS necesarios para su entorno.
Crear un rol vinculado a un servicio
Para cada una de sus cuentas de AWS desde las que Citrix llamará a las API de Core V2, cree un rol vinculado a un servicio (SLR).
Los pasos para crear el rol:
- Abra una interfaz de línea de comandos (CLI) en la consola de administración de AWS.
-
Ejecute el siguiente comando en la CLI:
aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com <!--NeedCopy-->
También puede configurar el rol vinculado a servicios mediante la consola de administración de Amazon WorkSpaces Core. Consulte Crear un rol vinculado a servicios (consola).
Crear una conexión
Puede crear una conexión a instancias administradas de Amazon WorkSpaces Core mediante:
Nota:
Compruebe las restricciones de su servidor proxy o firewall y asegúrese de que las siguientes direcciones sean accesibles:
https://*.amazonaws.comyhttps://*.api.aws. Además, asegúrese de que todas las direcciones mencionadas en Conectividad del servicio Citrix Gateway sean accesibles.Si no son accesibles, podría producirse un error al crear o actualizar la conexión de host.
Crear una conexión mediante Web Studio
- Vaya a la página Alojamiento > Agregar conexión y recursos.
-
En la página Conexión, siga estos pasos para configurar la conexión:
- Seleccione Crear una nueva conexión.
- En Zona, seleccione la ubicación de recursos que haya configurado para su entorno de AWS.
- Seleccione Amazon WorkSpaces Core como tipo de conexión.
-
Seleccione Usar clave de acceso de usuario de IAM o Usar rol de IAM.
Para la clave de acceso de usuario de IAM, proporcione su clave de API y clave secreta para el usuario de IAM que tenga la política de permisos de IAM adecuada para que Citrix administre los recursos en su cuenta de AWS.
Para el rol de IAM, asegúrese de haber asignado un rol de IAM a la instancia de Delivery Controller con la política de permisos de IAM adecuada para que Citrix administre los recursos en su cuenta de AWS. Consulte la guía de autenticación basada en roles para obtener más información.
- Introduzca un nombre de conexión y haga clic en Siguiente.
- En la página Ubicación de la máquina virtual, especifique la ubicación donde se deben aprovisionar las máquinas virtuales. Seleccione la región de la nube, la VPC y la zona de disponibilidad para crear nuevas máquinas virtuales.
-
En la página Red:
- Introduzca un nombre para los recursos que seleccionó anteriormente en la zona de disponibilidad o zona local.
- Seleccione una o varias subredes en la VPC que configuró en el menú anterior.
- Haga clic en las páginas restantes hasta llegar a la página Resumen.
- Haga clic en Finalizar para crear la conexión de host a las instancias administradas de Amazon WorkSpaces Core.
Consideraciones importantes
Al crear una conexión mediante Web Studio:
- Defina los permisos de IAM adecuados para que Citrix administre sus recursos de AWS.
- Si utiliza una clave de acceso de usuario de IAM para que Citrix administre sus recursos de AWS, debe proporcionar los valores de la clave de API y la clave secreta. Puede exportar el archivo de claves que contiene esos valores desde AWS y luego importarlos. También debe proporcionar la región, la zona de disponibilidad, el nombre de la VPC, las direcciones de subred, el nombre de dominio, los nombres de los grupos de seguridad y las credenciales.
- Si utiliza un rol de IAM para que Citrix administre sus recursos de AWS, debe asegurarse de asignar un rol con los permisos de IAM adecuados a todos sus Delivery Controllers. Guía de autenticación basada en roles para obtener más información.
- El archivo de credenciales de la cuenta raíz de AWS (recuperado de la consola de AWS) no tiene el mismo formato que los archivos de credenciales descargados para los usuarios estándar de AWS. Por lo tanto, Citrix Virtual Apps and Desktops no puede usar el archivo para rellenar los campos de clave de API y clave secreta. Asegúrese de utilizar archivos de credenciales de AWS Identity Access Management (IAM).
- La zona puede ser una zona de disponibilidad o una zona local.
Crear una conexión mediante PowerShell
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*para cargar los módulos de PowerShell específicos de Citrix. -
Ejecute los siguientes comandos. A continuación, se muestra un ejemplo:
$connectionName = "demo-hostingconnection" $cloudRegion = "us-east-1" $apiKey = "aaaaaaaaaaaaaaaaaaaa" $apiSecret = “bbbbb” $secureKey = ConvertTo-SecureString -String $apiSecret $zoneUid = "00000000-0000-0000-0000-000000000000" $connectionPath = "XDHyp:\Connections\" + $connectionName $connection = New-Item -Path $connectionPath -ConnectionType "AmazonWorkSpacesCoreMachineManagerFactory" -HypervisorAddress " "https://workspaces-instances.$($cloudRegion).api.aws"" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid $hostingUnitName = "demo-hostingunit" $availabilityzone = "us-east-1a" $vpcName = "Default VPC" $jobGroup = [Guid]::NewGuid() $hostingUnitPath = "XDHyp:\HostingUnits\" + $HostingUnitName $rootPath = $connectionPath + "\" + $vpcName + ".virtualprivatecloud\" $availabilityZonePath = @($rootPath + $availabilityzone + ".availabilityzone") $networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq "Network") | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths <!--NeedCopy-->
Nota:
Para crear una conexión mediante la autenticación basada en roles, especifique apiKey y apiSecret como
role_based_auth.
Limitación
Si cambia el nombre de una nube privada virtual (VPC) de AWS en la consola de AWS, la unidad de alojamiento existente en Citrix Cloud™ se interrumpe. Cuando la unidad de alojamiento está rota, no puede crear catálogos ni agregar máquinas a los catálogos existentes. Para resolver el problema, cambie el nombre de la VPC de AWS al nombre original.
Editar una conexión
Puede editar una conexión de host existente para:
- Modificar la opción para proporcionar permisos de IAM para que Citrix administre los recursos
- Modificar el número máximo de acciones simultáneas (o máquinas simultáneas) por conexión de alojamiento
- Modificar el ámbito.
- Configure el número máximo de grupos de seguridad permitidos por interfaz de red elástica (ENI) mediante el comando de PowerShell
Editar opciones para proporcionar permisos de IAM
- Haga clic con el botón derecho en una conexión de Amazon WorkSpaces Core existente.
- En la página Propiedades de la conexión, haga clic en Modificar configuración.
- Seleccione una de las opciones para proporcionar permisos de IAM para que Citrix administre los recursos. Introduzca los detalles necesarios y haga clic en Guardar.
Modificar el número máximo de acciones simultáneas
Al crear conexiones de host en Studio para instancias administradas de Amazon WorkSpaces Core, se muestran los siguientes valores predeterminados:
| Opción | Absoluto | Porcentaje |
|---|---|---|
| Acciones simultáneas (todos los tipos) | 125 | 100 |
| Número máximo de acciones nuevas por minuto | 150 | n/d |
| Número máximo de operaciones de aprovisionamiento simultáneas | 150 | n/d |
MCS admite 150 operaciones de aprovisionamiento simultáneas como máximo de forma predeterminada.
Puede configurar estos valores accediendo a la sección Avanzado de Citrix Studio en la pantalla Modificar conexión:
Alternativamente, puede usar el SDK de PowerShell remoto para establecer el número máximo de operaciones simultáneas para una configuración óptima según su entorno.
Utilice la propiedad personalizada de PowerShell, MaximumConcurrentProvisioningOperations, para especificar el número máximo de operaciones de aprovisionamiento simultáneas de AWS.
Antes de la configuración:
- Asegúrese de haber instalado el SDK de PowerShell para la nube.
- Tenga en cuenta que el valor predeterminado para
MaximumConcurrentProvisioningOperationses 150.
Siga estos pasos para personalizar el valor de MaximumConcurrentProvisioningOperations:
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*para cargar los módulos de PowerShell específicos de Citrix. - Introduzca
cd xdhyp:\Connections\. - Introduzca
dirpara enumerar las conexiones. -
Cambie o inicialice la cadena de propiedades personalizadas:
-
Si la cadena de propiedades personalizadas tiene un valor, copie las propiedades personalizadas en el Bloc de notas. A continuación, cambie la propiedad
MaximumConcurrentProvisioningOperationsa su valor preferido. Puede introducir un valor que oscile entre 1 y 1000. Por ejemplo,<Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>. -
Si la cadena de propiedades personalizadas está vacía o es nula, debe inicializar la cadena introduciendo la sintaxis adecuada tanto para el esquema como para la propiedad
MaximumConcurrentProvisioningOperations.
-
-
En la ventana de PowerShell, pegue las propiedades personalizadas modificadas del Bloc de notas y asigne una variable a las propiedades personalizadas modificadas. Si ha inicializado las propiedades personalizadas, añada las siguientes líneas después de la sintaxis:
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>' <!--NeedCopy-->Esta cadena establece la propiedad
MaximumConcurrentProvisioningOperationsen 100. En la cadena de propiedades personalizadas, debe establecer la propiedadMaximumConcurrentProvisioningOperationsen un valor que se ajuste a sus necesidades. - Introduzca
Get-XDAuthentication, que le pedirá sus credenciales. - Ejecute
$cred = Get-Credential, que podría pedirle solo una contraseña (o un nombre y una contraseña). También se le podría pedir el ID de la aplicación y el secreto asociado. Para las conexiones que utilizan autenticación basada en roles, role_based_auth es tanto el nombre como la contraseña. De lo contrario, introduzca el ID y el secreto de la API de AWS. - Ejecute
set-item -PSPath 'XDHyp:\Connections<connection-name>' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password. Debe establecer <connection-name> en el nombre de la conexión. - Introduzca
dirpara verificar la cadena CustomProperties actualizada.
Configurar grupos de seguridad por interfaz de red
Al editar una conexión de host, ahora puede configurar el número máximo de grupos de seguridad permitidos por interfaz de red elástica (ENI) mediante un comando de PowerShell. Para obtener información sobre los valores de cuota de los grupos de seguridad de AWS, consulte Grupos de seguridad.
Para configurar grupos de seguridad por interfaz de red:
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*para cargar los módulos de PowerShell específicos de Citrix. - Ejecute
cd xdhyp:\Connections\. - Ejecute
dirpara enumerar las conexiones. -
Ejecute el siguiente comando de PowerShell para configurar los grupos de seguridad por interfaz de red:
Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>" <!--NeedCopy-->Nota:
Si no establece un valor para
AwsMaxENISecurityGroupLimit, tomará el valor predeterminado de 5.
URL del punto final del servicio
URL del punto final del servicio de zona estándar
Cuando utiliza MCS, se agrega una nueva conexión de Amazon WorkSpaces Core Managed Instances con una clave de API y un secreto de API. Con esta información, junto con la cuenta autenticada, MCS consulta AWS para conocer las regiones y zonas admitidas mediante llamadas a la API de AWS EC2 y Amazon WorkSpaces Core Managed Instances. La consulta se realiza utilizando una URL de punto final de servicio de instancias de Workspace https://workspaces-instances.us-east-1.api.aws/ y un punto final de servicio de EC2 https:/ec2.us-east-1.api.aws/.
Nota:
Asegúrese de que https://workspaces-instances.us-east-1.api.aws/ sea contactable.
Permisos de AWS necesarios
Esta sección contiene la lista completa de permisos de AWS. Utilice el conjunto completo de permisos que se indica en la sección para que la funcionalidad funcione correctamente.
Nota:
El permiso
iam:PassRolesolo es necesario para usar roles de IAM para que Citrix administre los recursos.
Creación de una conexión de host
Se añade una nueva conexión de host utilizando la información obtenida de AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Administración de energía de las máquinas virtuales
Las máquinas virtuales se encienden o apagan.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",,
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances",
"ec2:DescribeInstanceStatus"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Creación, actualización o eliminación de máquinas virtuales
Se crea, actualiza o elimina un catálogo de máquinas con máquinas virtuales aprovisionadas como instancias de AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
- La sección de EC2 relacionada con SecurityGroups solo es necesaria si se debe crear un grupo de seguridad de aislamiento para la máquina virtual de preparación durante la creación del catálogo. Una vez hecho esto, estos permisos no son necesarios.
Carga y descarga directa de discos
Los siguientes permisos deben añadirse a la directiva:
ebs:StartSnapshotebs:GetSnapshotBlockebs:PutSnapshotBlockebs:CompleteSnapshotebs:ListSnapshotBlocksebs:ListChangedBlocksec2:CreateSnapshotec2:DeleteSnapshotec2:DescribeLaunchTemplates
Cifrado EBS de volúmenes creados
EBS puede cifrar automáticamente los volúmenes recién creados si la AMI está cifrada, o si EBS está configurado para cifrar todos los volúmenes nuevos. Sin embargo, para implementar la funcionalidad, los siguientes permisos deben incluirse en la política de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
Los permisos se pueden limitar a claves específicas incluyendo un bloque de Recursos y Condición a discreción del usuario. Por ejemplo, Permisos de KMS con condición:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
<!--NeedCopy-->
La siguiente declaración de política de clave es la política de clave predeterminada completa para las claves de KMS que se requiere para permitir que la cuenta use políticas de IAM para delegar permisos para todas las acciones (kms:*) en la clave de KMS.
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->
Para obtener más información, consulte la documentación oficial de AWS Key Management Service.
Autenticación basada en roles de IAM
Se añaden los siguientes permisos para admitir la autenticación basada en roles.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Política de permisos de IAM mínima
El siguiente JSON se puede utilizar para todas las funciones actualmente compatibles. Puede crear conexiones de host, crear, actualizar o eliminar máquinas virtuales y realizar la administración de energía con esta política. La política se puede aplicar a los usuarios como se explica en las secciones Definir permisos de IAM o también puede usar la autenticación basada en roles seleccionando Usar rol de IAM al configurar una conexión de host.
Importante:
Para usar roles de IAM para que Citrix administre recursos, primero configure el rol de IAM deseado en la instancia ec2 de Delivery Controller al configurar los Delivery Controllers. Con Citrix Studio, agregue la conexión de alojamiento y seleccione la opción Usar rol de IAM. Una conexión de alojamiento con esta configuración utiliza la autenticación basada en roles.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstanceStatus",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Effect": "Allow",
"Action": [
"workspaces-instances:*"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
- La sección EC2 relacionada con SecurityGroups solo es necesaria si se debe crear un grupo de seguridad de aislamiento para la VM de preparación durante la creación del catálogo. Una vez hecho esto, estos permisos no son necesarios.
- La sección KMS solo es necesaria cuando se utiliza el cifrado de volumen EBS.
- La sección de permisos
iam:PassRolesolo es necesaria para usar roles de IAM para que Citrix administre recursos.- Se pueden agregar permisos específicos a nivel de recurso en lugar de acceso completo, según sus requisitos y entorno. Consulte los documentos de AWS Demystifying EC2 Resource-Level Permissions y Access management for AWS resources para obtener más detalles.
- Utilice los permisos
ec2:CreateNetworkInterfaceyec2:DeleteNetworkInterfacesolo si está utilizando el método de trabajador de volumen.
Próximos pasos
- Para crear imágenes preparadas, consulte Crear una imagen preparada para instancias administradas de Amazon WorkSpaces Core
Más información
- Crear y administrar conexiones y recursos
- Entornos de virtualización de AWS
- Para ver ejemplos de PowerShell de GitHub de Amazon WorkSpaces Core, consulte citrix-mcs-sdk-samples-Amazon WorkSpaces Core.