Documentación de productos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Conexión a instancias administradas de Amazon WorkSpaces Core

April 7, 2026
Contribución de: 
C C

Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información cubre detalles específicos de las instancias administradas de Amazon WorkSpaces Core.

Definir permisos de IAM

Antes de crear una conexión de host, se debe definir correctamente una política de permisos de IAM para un usuario o rol de IAM que otorgue a Citrix los permisos adecuados para aprovisionar y administrar recursos en tu cuenta de AWS en tu nombre. Usa la información de esta sección para definir los permisos de IAM para Citrix Virtual Apps and Desktops en instancias administradas de Amazon WorkSpaces Core. El servicio IAM de Amazon permite que las cuentas tengan varios usuarios, que pueden organizarse en grupos. Estos usuarios pueden tener diferentes permisos para controlar su capacidad de realizar operaciones asociadas a la cuenta. Para obtener más información sobre los permisos de IAM, consulta la referencia de políticas JSON de IAM.

Nota:

Dado que Citrix aprovisiona y administra recursos y automatización en tu cuenta de AWS en tu nombre, no se admite la configuración de políticas de permisos de IAM basadas en etiquetas específicas o convenciones de nomenclatura de recursos.

Para aplicar la política de permisos de IAM a un nuevo grupo de usuarios:

  1. Inicia sesión en la consola de administración de AWS y selecciona el servicio IAM en la lista desplegable.
  2. Selecciona Crear un nuevo grupo de usuarios.
  3. Escribe un nombre para el nuevo grupo de usuarios y selecciona Continuar.
  4. En la página Permisos, elige Política personalizada.
  5. Escribe un nombre para la política de permisos.
  6. En la sección Documento de política, introduce los permisos relevantes.

Después de introducir la información de la política, selecciona Continuar para completar la aplicación de la política de permisos de IAM al grupo de usuarios. Los usuarios del grupo tienen permisos para realizar solo las acciones necesarias para Citrix Virtual Apps and Desktops.

Importante:

  • Usa el texto de la política proporcionado en el ejemplo de este artículo para enumerar las acciones que utiliza Citrix Virtual Apps and Desktops para realizar acciones dentro de una cuenta de AWS sin restringir esas acciones a recursos específicos. Citrix te recomienda que uses el ejemplo para fines de prueba. Para entornos de producción, puedes optar por agregar más restricciones a los recursos.

Agregar permisos de IAM

Agrega los permisos en la sección IAM de la consola de administración de AWS:

  1. En el panel Resumen, selecciona la ficha Permisos.
    1. Selecciona Agregar permisos.
    1. En la pantalla Agregar permisos a, concede permisos.
  1. En la sección JSON, incluye los permisos de AWS necesarios para tu entorno.

Crear un rol vinculado a servicios

Para cada una de tus cuentas de AWS desde las que Citrix llamará a las API de Core V2, crea un rol vinculado a servicios (SLR).

Los pasos para crear el rol:

  • Abre una interfaz de línea de comandos (CLI) en la consola de administración de AWS.

  • Ejecuta el siguiente comando en la CLI:

     aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com
 <!--NeedCopy-->

También puedes configurar el rol vinculado a servicios mediante la consola de administración de Amazon WorkSpaces Core. Consulta Crear un rol vinculado a servicios (consola).

Crear una conexión

Puedes crear una conexión a instancias administradas de Amazon WorkSpaces Core mediante:

  • Web Studio

  • Comandos de PowerShell

  • Nota:

  • Revisa las restricciones de tu servidor proxy o firewall y asegúrate de que las siguientes direcciones sean contactables: https://*.amazonaws.com y https://*.api.aws. Además, asegúrate de que todas las direcciones mencionadas en Conectividad del servicio Citrix Gateway sean contactables.

  • Si estas no son contactables, podría causar un error al crear o actualizar la conexión de host.

Crear una conexión mediante Web Studio

  1. Navega a la página Alojamiento > Agregar conexión y recursos.

  2. En la página Conexión, sigue estos pasos para configurar la conexión:

    1. Selecciona Crear una nueva conexión.
    2. En Zona, selecciona la ubicación de recursos que has configurado para tu entorno de AWS.
    3. Selecciona Amazon WorkSpaces Core como tipo de conexión.

    4. Selecciona Usar clave de acceso de usuario de IAM o Usar rol de IAM.

      Para la clave de acceso de usuario de IAM, proporciona tu clave de API y clave secreta para el usuario de IAM que tiene la política de permisos de IAM adecuada para que Citrix administre los recursos en tu cuenta de AWS.

      Para el rol de IAM, asegúrate de haber asignado un rol de IAM a la instancia de Delivery Controller con la política de permisos de IAM adecuada para que Citrix administre los recursos en tu cuenta de AWS. Consulta la guía de autenticación basada en roles para obtener más información.

    5. Introduce un nombre de conexión y haz clic en Siguiente.
  3. En la página Ubicación de la máquina virtual, especifica la ubicación donde se deben aprovisionar las máquinas virtuales. Selecciona la región de la nube, la VPC y la zona de disponibilidad para crear nuevas máquinas virtuales.

  4. En la página Red:

    1. Introduce un nombre para los recursos que seleccionaste anteriormente en la zona de disponibilidad o zona local.
    2. Selecciona una o más subredes en la VPC que configuraste en el menú anterior.
  5. Haz clic en las páginas restantes hasta llegar a la página Resumen.
  6. Haz clic en Finalizar para crear la conexión de host a instancias administradas de Amazon WorkSpaces Core.

Consideraciones importantes

Cuando creas una conexión mediante Web Studio:

  • Define los permisos de IAM adecuados para que Citrix administre tus recursos de AWS.
    • Si usas una clave de acceso de usuario de IAM para que Citrix administre tus recursos de AWS, debes proporcionar los valores de la clave de API y la clave secreta. Puedes exportar el archivo de claves que contiene esos valores desde AWS y luego importarlos. También debes proporcionar la región, la zona de disponibilidad, el nombre de la VPC, las direcciones de subred, el nombre de dominio, los nombres de los grupos de seguridad y las credenciales.
    • Si usas un rol de IAM para que Citrix administre tus recursos de AWS, debes asegurarte de asignar un rol con los permisos de IAM adecuados a todos tus Delivery Controller. Consulta la guía de autenticación basada en roles para obtener más información.
  • El archivo de credenciales para la cuenta raíz de AWS (recuperado de la consola de AWS) no tiene el mismo formato que los archivos de credenciales descargados para usuarios estándar de AWS. Por lo tanto, Citrix Virtual Apps and Desktops no puede usar el archivo para rellenar los campos de clave de API y clave secreta. Asegúrate de usar archivos de credenciales de AWS Identity Access Management (IAM).

  • La zona puede ser una zona de disponibilidad o una zona local.

  • Crear una conexión mediante PowerShell

  1. Abre una ventana de PowerShell.
  2. Ejecuta asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.

  3. Ejecuta los siguientes comandos. A continuación, se muestra un ejemplo:

    ``` $connectionName = “demo-hostingconnection” $cloudRegion = “us-east-1” $apiKey = “aaaaaaaaaaaaaaaaaaaa” $apiSecret = “bbbbb” $secureKey = ConvertTo-SecureString -String $apiSecret $zoneUid = “00000000-0000-0000-0000-000000000000” $connectionPath = “XDHyp:\Connections" + $connectionName

    $connection = New-Item -Path $connectionPath -ConnectionType “AmazonWorkSpacesCoreMachineManagerFactory” -HypervisorAddress “ “https://workspaces-instances.$($cloudRegion).api.aws”” -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid

  • New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid

    $hostingUnitName = “demo-hostingunit” $availabilityzone = “us-east-1a” $vpcName = “Default VPC” $jobGroup = [Guid]::NewGuid() $hostingUnitPath = “XDHyp:\HostingUnits" + $HostingUnitName $rootPath = $connectionPath + “" + $vpcName + “.virtualprivatecloud"

    • $availabilityZonePath = @($rootPath + $availabilityzone + “.availabilityzone”) $networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq “Network”) | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone

    New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths

    ```

Nota:

Para crear una conexión mediante la autenticación basada en roles, especifique apiKey y apiSecret como role_based_auth.

Limitación

Si cambia el nombre de una nube privada virtual (VPC) de AWS en la consola de AWS, la unidad de alojamiento existente en Citrix Cloud™ se interrumpe. Cuando la unidad de alojamiento está interrumpida, no puede crear catálogos ni agregar máquinas a los catálogos existentes. Para resolver el problema, cambie el nombre de la VPC de AWS al nombre original.

Modificar una conexión

Puede modificar una conexión de host existente para:

Modificar las opciones para proporcionar permisos de IAM

  1. Haga clic con el botón derecho en una conexión existente de Amazon WorkSpaces Core.
  2. En la página Propiedades de conexión, haga clic en Modificar configuración.
  3. Seleccione una de las opciones para proporcionar permisos de IAM para que Citrix administre los recursos. Introduzca los detalles necesarios y haga clic en Guardar.

Modificar el número máximo de acciones simultáneas

Al crear conexiones de host en Studio para instancias administradas de Amazon WorkSpaces Core, se muestran los siguientes valores predeterminados:

Opción Absoluto Porcentaje
Acciones simultáneas (todos los tipos) 125 100
Número máximo de acciones nuevas por minuto 150 n/d
Número máximo de operaciones de aprovisionamiento simultáneas 150 n/d

MCS admite 150 operaciones de aprovisionamiento simultáneas máximas de forma predeterminada.

Puede configurar estos valores accediendo a la sección Avanzado de Citrix Studio en la pantalla Modificar conexión:

Alternativamente, puede usar el SDK de PowerShell remoto para establecer el número máximo de operaciones simultáneas para una configuración óptima según su entorno.

Utilice la propiedad personalizada de PowerShell, MaximumConcurrentProvisioningOperations, para especificar el número máximo de operaciones de aprovisionamiento de AWS simultáneas.

Antes de la configuración:

  • Asegúrese de haber instalado el SDK de PowerShell para la nube.
  • Tenga en cuenta que el valor predeterminado de MaximumConcurrentProvisioningOperations es 150.

Realice los siguientes pasos para personalizar el valor de MaximumConcurrentProvisioningOperations:

  1. Abra una ventana de PowerShell.
  2. Ejecute asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
  3. Introduzca cd xdhyp:\Connections\.
  4. Introduzca dir para enumerar las conexiones.

  5. Cambie o inicialice la cadena de propiedades personalizadas:

    • Si la cadena de propiedades personalizadas tiene un valor, copie las propiedades personalizadas en el Bloc de notas. A continuación, cambie la propiedad MaximumConcurrentProvisioningOperations a su valor preferido. Puede introducir un valor que oscile entre 1 y 1000. Por ejemplo, <Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>.

    • Si la cadena de propiedades personalizadas está vacía o es nula, debe inicializar la cadena introduciendo la sintaxis adecuada tanto para el esquema como para la propiedad MaximumConcurrentProvisioningOperations.

  6. En la ventana de PowerShell, pegue las propiedades personalizadas modificadas del Bloc de notas y asigne una variable a las propiedades personalizadas modificadas. Si inicializó las propiedades personalizadas, agregue las siguientes líneas después de la sintaxis:

    $customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>'
<!--NeedCopy-->

    Esta cadena establece la propiedad MaximumConcurrentProvisioningOperations en 100. En la cadena de propiedades personalizadas, debe establecer la propiedad MaximumConcurrentProvisioningOperations en un valor que se ajuste a sus necesidades.

  7. Introduzca Get-XDAuthentication, que le pedirá sus credenciales.
  8. Ejecute $cred = Get-Credential, que podría pedirle solo una contraseña (o un nombre y una contraseña). También se le podría pedir el ID de la aplicación y el secreto asociado. Para las conexiones que utilizan la autenticación basada en roles, role_based_auth es tanto el nombre como la contraseña. De lo contrario, introduzca el ID de la API de AWS y el secreto.
  9. Ejecute set-item -PSPath 'XDHyp:\Connections<connection-name>’ -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password`. Debe establecer <connection-name> en el nombre de la conexión.
  10. Introduzca dir para verificar la cadena de propiedades personalizadas actualizada.

Configurar grupos de seguridad por interfaz de red

Al modificar una conexión de host, ahora puede configurar el número máximo de grupos de seguridad permitidos por interfaz de red elástica (ENI) mediante un comando de PowerShell. Para obtener información sobre los valores de cuota de los grupos de seguridad de AWS, consulte Grupos de seguridad.

Para configurar grupos de seguridad por interfaz de red:

  1. Abra una ventana de PowerShell.
  2. Ejecute asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
  3. Ejecute cd xdhyp:\Connections\.
  4. Ejecute dir para enumerar las conexiones.

  5. Ejecute el siguiente comando de PowerShell para configurar grupos de seguridad por interfaz de red:

    Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>"
<!--NeedCopy-->

    Nota:

    Si no establece un valor para AwsMaxENISecurityGroupLimit, se toma el valor predeterminado de 5.

URL del punto final del servicio

URL del punto final del servicio de zona estándar

Cuando utiliza MCS, se agrega una nueva conexión de instancias administradas de Amazon WorkSpaces Core con una clave de API y un secreto de API. Con esta información, junto con la cuenta autenticada, MCS consulta a AWS las regiones y zonas admitidas mediante llamadas a la API de AWS EC2 y a la API de instancias administradas de Amazon WorkSpaces Core. La consulta se realiza utilizando una URL de punto final del servicio de instancias de Workspace https://workspaces-instances.us-east-1.api.aws/ y un punto final del servicio EC2 https:/ec2.us-east-1.api.aws/.

Nota:

Asegúrese de que se pueda contactar con https://workspaces-instances.us-east-1.api.aws/.

Permisos de AWS necesarios

Esta sección contiene la lista completa de permisos de AWS. Usa el conjunto completo de permisos que se indica en la sección para que la funcionalidad funcione correctamente.

Nota:

El permiso iam:PassRole solo es necesario para usar roles de IAM para que Citrix administre los recursos.

Crear una conexión de host

Se agrega una nueva conexión de host usando la información obtenida de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Administración de energía de las máquinas virtuales

Las máquinas virtuales se encienden o apagan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",,
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:DescribeInstanceStatus"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
           "Action": [
               "workspaces-instances:*"
           ],
           "Effect": "Allow",
            "Resource": "*"
       }

    ]

}
<!--NeedCopy-->

  • Crear, actualizar o eliminar máquinas virtuales

  • Se crea, actualiza o elimina un catálogo de máquinas con máquinas virtuales aprovisionadas como instancias de AWS.
-  {
-  "Version": "2012-10-17",
-  "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Nota:

  • La sección de EC2 relacionada con SecurityGroups solo es necesaria si se debe crear un grupo de seguridad de aislamiento para la máquina virtual de preparación durante la creación del catálogo. Una vez hecho esto, estos permisos no son necesarios.

Carga y descarga directa de discos

Los siguientes permisos deben agregarse a la directiva:

  • ebs:StartSnapshot
  • ebs:GetSnapshotBlock
  • ebs:PutSnapshotBlock
  • ebs:CompleteSnapshot
  • ebs:ListSnapshotBlocks
  • ebs:ListChangedBlocks
  • ec2:CreateSnapshot
  • ec2:DeleteSnapshot
  • ec2:DescribeLaunchTemplates

Cifrado de EBS de los volúmenes creados

EBS puede cifrar automáticamente los volúmenes recién creados si la AMI está cifrada, o si EBS está configurado para cifrar todos los volúmenes nuevos. Sin embargo, para implementar la funcionalidad, los siguientes permisos deben incluirse en la directiva de IAM.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Nota:

Los permisos se pueden limitar a claves específicas incluyendo un bloque de recursos y condiciones a discreción del usuario. Por ejemplo, Permisos de KMS con condición:

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

La siguiente declaración de directiva de clave es la directiva de clave predeterminada completa para las claves de KMS que se requiere para permitir que la cuenta use directivas de IAM para delegar permisos para todas las acciones (kms:*) en la clave de KMS.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Para obtener más información, consulta la documentación oficial de AWS Key Management Service.

Autenticación basada en roles de IAM

Se agregan los siguientes permisos para admitir la autenticación basada en roles.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Directiva de permisos mínimos de IAM

El siguiente JSON se puede usar para todas las funciones actualmente compatibles. Puedes crear conexiones de host, crear, actualizar o eliminar máquinas virtuales y administrar la energía usando esta directiva. La directiva se puede aplicar a los usuarios como se explica en las secciones Definir permisos de IAM o también puedes usar la autenticación basada en roles seleccionando Usar rol de IAM al configurar una conexión de host.

Importante:

Para usar roles de IAM para que Citrix administre los recursos, primero configura el rol de IAM deseado en la instancia ec2 de Delivery Controller al configurar los Delivery Controllers. Con Citrix Studio, agrega la conexión de alojamiento y selecciona la opción Usar rol de IAM. Una conexión de alojamiento con esta configuración usa entonces la autenticación basada en roles.

{
    "Version": "2012-10-17",
-  "Statement": [
        {
-  "Action": [
-  "ec2:AttachVolume",
-  "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "workspaces-instances:*"
            ],
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Nota:

  • La sección de EC2 relacionada con SecurityGroups solo es necesaria si se debe crear un grupo de seguridad de aislamiento para la máquina virtual de preparación durante la creación del catálogo. Una vez hecho esto, estos permisos no son necesarios.
  • La sección de KMS solo es necesaria cuando se usa el cifrado de volumen de EBS.
  • La sección de permisos iam:PassRole solo es necesaria para usar roles de IAM para que Citrix administre los recursos.
  • Se pueden agregar permisos específicos a nivel de recurso en lugar de acceso completo según tus requisitos y entorno. Consulta los documentos de AWS Demystifying EC2 Resource-Level Permissions y Access management for AWS resources para obtener más detalles.
  • Usa los permisos ec2:CreateNetworkInterface y ec2:DeleteNetworkInterface solo si estás usando el método de trabajador de volumen.

Qué hacer a continuación

Más información

Conexión a instancias administradas de Amazon WorkSpaces Core
April 7, 2026
Contribución de: 
C C
April 7, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.