Connexion à AWS

Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements cloud AWS.

Remarque :

Avant de créer une connexion à AWS, vous devez d’abord terminer la configuration de votre compte AWS en tant qu’emplacement de ressource. Voir Environnements cloud AWS.

Créer une connexion

Lorsque vous créez une connexion à partir de Web Studio :

• Vous devez fournir les valeurs de la clé API et de la clé secrète. Vous pouvez exporter le fichier de clés contenant ces valeurs depuis AWS, puis les importer. Vous devez également fournir la région, la zone de disponibilité, le nom du VPC, les adresses de sous-réseau, le nom de domaine, les noms des groupes de sécurité et les informations d’identification.
• Le fichier d’informations d’identification pour le compte AWS racine (récupéré depuis la console AWS) n’est pas formaté de la même manière que les fichiers d’informations d’identification téléchargés pour les utilisateurs AWS standard. Par conséquent, la gestion de Citrix Virtual Apps and Desktops™ ne peut pas utiliser ce fichier pour renseigner les champs de clé API et de clé secrète. Assurez-vous d’utiliser des fichiers d’informations d’identification AWS Identity Access Management (IAM).

Remarque :

Après avoir créé une connexion, les tentatives de mise à jour de la clé API et de la clé secrète peuvent échouer. Pour résoudre le problème, vérifiez les restrictions de votre serveur proxy ou de votre pare-feu et assurez-vous que l’adresse suivante est joignable : https://*.amazonaws.com.

Valeurs par défaut de la connexion hôte

Lorsque vous créez des connexions hôtes dans des environnements cloud AWS, les valeurs par défaut suivantes s’affichent :

MCS prend en charge 100 opérations de provisionnement concurrentes maximales par défaut.

Provisionnement inter-comptes

Il existe des cas d’utilisation où les Delivery Controllers souhaitent être placés dans un compte AWS principal (compte de services partagés ou compte de composants de site) avec des rôles IAM ayant un accès inter-comptes (rôle IAM inter-comptes) et des catalogues de machines provisionnés par MCS dans un compte AWS secondaire distinct (comptes de charges de travail), sans avoir besoin de Delivery Controllers supplémentaires dans les comptes distincts. Pour prendre en charge de tels scénarios, cette fonctionnalité utilise le peering VPC et l’accès inter-comptes à l’aide de rôles IAM pour permettre le provisionnement entre différents comptes AWS pour les entreprises gérant plusieurs comptes AWS.

Avec le peering VPC, vous pouvez faire en sorte que vos Delivery Controllers et les machines virtuelles provisionnées dans différentes régions et/ou comptes puissent communiquer entre eux.

Avec l’accès inter-comptes à l’aide de rôles IAM, vous autorisez le compte principal (compte Delivery Controller) à assumer un rôle IAM pour accéder aux ressources AWS du compte secondaire (machines virtuelles du catalogue de machines).

Pour permettre aux Delivery Controllers d’accéder aux ressources du compte secondaire, créez une connexion d’hôte après avoir assumé le rôle IAM du compte secondaire.

Prérequis

Configurez les éléments suivants avant de créer une connexion d’hôte pour le provisionnement inter-comptes :

• Configurez le peering VPC et les groupes de sécurité dans les deux régions ou comptes. Consultez Configuration du peering VPC
• Déléguez l’accès inter-comptes à l’aide de rôles IAM. Consultez (lien vers la rubrique ci-dessous).

Configurer le peering de VPC

Supposons que le VPC A se trouve dans le compte principal (Compte A) et qu’il contient les Delivery Controllers et Active Directory. Le VPC B se trouve dans le compte secondaire (Compte B) où vous souhaitez provisionner les VM.

Pour configurer une connexion de peering de VPC entre le Compte A et le Compte B, procédez comme suit :

1. Créez une connexion de peering de VPC. Voir :

   • Compte différent, même région
   • Compte différent, région différente
2. Accédez à votre VPC A et à la table de routage associée au sous-réseau public.
3. Cliquez sur Modifier les routes > Ajouter une route. Ajoutez le bloc CIDR du VPC B dans la colonne Destination et ajoutez le peering de VPC que vous avez créé dans la colonne Cible.
4. Répétez les étapes 2 et 3, mais avec les sous-réseaux privés pour le VPC A et le VPC B (ajoutez le bloc CIDR du VPC A). Voir Mettre à jour vos tables de routage pour une connexion de peering de VPC.
5. Accédez au groupe de sécurité privé associé au VPC A.
6. Sélectionnez Actions, puis Modifier les règles de trafic entrant.

7. Sélectionnez Ajouter une règle. Pour le type, sélectionnez Tout le trafic, puis dans la colonne Source, ajoutez :

   • S’il s’agit d’une région différente, le bloc CIDR du VPC B.
   • S’il s’agit d’un compte différent mais de la même région, ajoutez l’ID de compte et l’ID de groupe de sécurité privé du VPC B séparés par une barre oblique (Exemple : 123456789012/sg-1a2b3c4d).
8. Répétez les étapes 5 à 7, mais avec le groupe de sécurité privé pour le VPC B (mais ajoutez le bloc CIDR du VPC A ou l’ID de compte du VPC A et l’ID de groupe de sécurité privé de la même région, mais d’un compte différent). Voir Mettre à jour vos groupes de sécurité pour référencer les groupes de sécurité homologues.

Remarque :

La création d’une connexion d’appairage de VPC est gratuite. Cependant, bien que l’appairage de VPC au sein d’une zone de disponibilité soit gratuit, des frais s’appliquent lorsque le transfert de données via une connexion d’appairage de VPC s’effectue entre plusieurs zones de disponibilité et régions. Consultez Tarification d’une connexion d’appairage de VPC.

Déléguer l’accès inter-comptes à l’aide de rôles IAM

Après avoir configuré l’appairage de VPC entre les comptes, vous déléguez l’accès inter-comptes à l’aide de rôles IAM.

Avec l’accès inter-comptes à l’aide de rôles IAM, vous autorisez le compte principal (compte du Delivery Controller™) à assumer un rôle IAM pour accéder aux ressources AWS du compte secondaire (VMs du catalogue de machines).

Pour accéder aux ressources inter-comptes, procédez comme suit :

Rappel :

Supposons que le VPC A se trouve dans le compte principal (Compte A) et contient le Delivery Controller et Active Directory. Le VPC B se trouve dans le compte secondaire (Compte B) où vous souhaitez provisionner les VM.

1. Configurez l’appairage de VPC entre les comptes en suivant les étapes mentionnées ci-dessus.
2. Créez un rôle et une politique IAM dans le Compte B avec des autorisations IAM Citrix minimales. Consultez Didacticiel IAM : Déléguer l’accès entre les comptes AWS à l’aide de rôles IAM. Supposons que l’ARN de ce rôle soit « arn:aws:iam::5678:role/citrix-role ».
3. Ajoutez la politique d’approbation au rôle « arn:aws:iam::5678:role/citrix-role » afin qu’il puisse être accédé par le rôle du Compte A « arn:aws:iam::1234:role/primary-account-citrix-role » conformément à - Accès aux ressources inter-comptes dans IAM.
4. Créez le rôle et la politique IAM dans le Compte A avec le nom mentionné ci-dessus « primary-account-citrix role » qui a la capacité d’assumer le rôle IAM et de transmettre le rôle IAM du Compte B (arn:aws:iam::5678:role/citrix-role).
5. Attribuez le rôle « arn:aws:iam::1234:role/primary-account-citrix-role » à tous les Delivery Controllers du Compte A.

Le Delivery Controller peut maintenant assumer le rôle du Compte B (« arn:aws:iam::5678:role/citrix-role »).

Créer une connexion d’hôte pour le provisionnement inter-comptes

Créez une connexion d’hôte dans le compte secondaire (Compte B) où vous souhaitez provisionner les machines virtuelles. Cela permet au Delivery Controller du Compte A d’accéder aux ressources du Compte B après avoir assumé le rôle du Compte B.

Utilisez les commandes PowerShell pour créer la connexion d’hôte et ajouter les deux propriétés personnalisées suivantes :

• CrossAccountRoleArn : Si vous ne fournissez pas la propriété CrossAccountRoleArn, une connexion d’hôte normale est créée. Dans ce cas, MaximumAssumeRoleDurationInSeconds est ignoré même s’il est fourni.
• MaximumAssumeRoleDurationInSeconds : DurationInSeconds doit être compris entre 900 secondes et 3600 secondes. La valeur par défaut est 900 secondes. Si vous fournissez une valeur supérieure à 3600, alors DurationInSeconds est défini sur 3600.

Exemple :

$connectionName = "cross-account-conn"
$cloudRegion = "us-east-1"
$apiKey = "role_based_auth"
$secretKey = "role_based_auth"
$zoneUid = "xxxxxx"
$secureKey = (ConvertTo-SecureString -String $secretKey -AsPlainText -Force)
$connectionPath = "XDHyp:\Connections\" + $connectionName
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CrossAccountRoleArn" Value="arn:aws:iam::5678:role/citrix-role" /><Property xsi:type="StringProperty" Name="MaximumAssumeRoleDurationInSeconds" Value="3600" />
"</CustomProperties>'

$connection = New-Item -Path $connectionPath -ConnectionType "AWS" -HypervisorAddress "https://ec2.$($cloudRegion).amazonaws.com" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid -CustomProperties $customProperties

New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid
<!--NeedCopy-->

Une fois la connexion d’hôte créée, créez des unités d’hébergement à l’aide de Studio ou de PowerShell. Cependant, sélectionnez le VPC et les réseaux.

URL du point de terminaison de service

URL du point de terminaison de service de zone standard

Lorsque vous utilisez MCS, une nouvelle connexion AWS est ajoutée avec une clé API et un secret API. Avec ces informations, ainsi que le compte authentifié, MCS interroge AWS pour les zones prises en charge à l’aide de l’appel d’API AWS DescribeRegions EC2. La requête est effectuée à l’aide d’une URL générique de point de terminaison de service EC2 https://ec2.amazonaws.com/. Utilisez MCS pour sélectionner la zone de connexion dans la liste des zones prises en charge. L’URL de point de terminaison de service AWS préférée est automatiquement sélectionnée pour la zone. Cependant, après avoir créé l’URL du point de terminaison de service, vous ne pouvez plus définir ou modifier l’URL.

Définir les autorisations IAM

Utilisez les informations de cette section pour définir les autorisations IAM pour Citrix Virtual Apps and Desktops sur AWS. Le service IAM d’Amazon permet aux comptes d’avoir plusieurs utilisateurs, qui peuvent être organisés en groupes. Ces utilisateurs peuvent posséder différentes autorisations pour contrôler leur capacité à effectuer des opérations associées au compte. Pour plus d’informations sur les autorisations IAM, consultez la référence de la politique JSON IAM.

Pour appliquer une politique d’autorisations IAM à un nouveau groupe d’utilisateurs :

1. Connectez-vous à la console de gestion AWS et sélectionnez le service IAM dans la liste déroulante.
2. Sélectionnez Créer un nouveau groupe d’utilisateurs.
3. Saisissez un nom pour le nouveau groupe d’utilisateurs et sélectionnez Continuer.
4. Sur la page Permissions, choisissez Stratégie personnalisée. Sélectionnez Sélectionner.
5. Saisissez un nom pour la stratégie d’autorisations.
6. Dans la section Document de stratégie, saisissez les autorisations pertinentes.

Après avoir saisi les informations de stratégie, sélectionnez Continuer pour compléter le groupe d’utilisateurs. Les utilisateurs du groupe se voient accorder des autorisations pour effectuer uniquement les actions requises pour Citrix Virtual Apps and Desktops.

Important :

Utilisez le texte de stratégie fourni dans l’exemple précédent pour répertorier les actions que Citrix Virtual Apps and Desktops utilise pour effectuer des actions au sein d’un compte AWS sans restreindre ces actions à des ressources spécifiques. Citrix vous recommande d’utiliser l’exemple à des fins de test. Pour les environnements de production, vous pouvez choisir d’ajouter d’autres restrictions sur les ressources.

Définir les autorisations IAM

Définissez les autorisations dans la section IAM de la console de gestion AWS :

1. Dans le panneau Résumé, sélectionnez l’onglet Autorisations.
2. Sélectionnez Ajouter des autorisations.

Dans l’écran Ajouter des autorisations à, accordez les autorisations :

Utilisez l’exemple suivant dans l’onglet JSON :

Conseil :

L’exemple JSON mentionné peut ne pas inclure toutes les autorisations pour votre environnement. Consultez How to Define Identity Access Management Permissions Running Citrix Virtual Apps and Desktops on AWS pour plus d’informations.

Autorisations AWS requises

Cette section contient la liste complète des autorisations AWS.

Remarque :

L’autorisation iam:PassRole n’est nécessaire que pour role_based_auth.

Création d’une connexion d’hôte

Une nouvelle connexion d’hôte est ajoutée à l’aide des informations d’AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Gestion de l’alimentation des machines virtuelles

Les machines virtuelles sont mises sous tension ou hors tension.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:DescribeInstanceStatus"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Création, mise à jour ou suppression de machines virtuelles

Un catalogue de machines est créé, mis à jour ou supprimé avec des machines virtuelles provisionnées en tant qu’instances AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",

                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

La section EC2 relative aux groupes de sécurité n’est nécessaire que si un groupe de sécurité d’isolation doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette opération effectuée, ces autorisations ne sont plus requises.

Chargement et téléchargement directs de disques

Le téléversement direct de disque supprime la nécessité d’un travailleur de volume pour le provisionnement de catalogues de machines et utilise à la place les API publiques fournies par AWS. Cette fonctionnalité réduit le coût associé aux comptes de stockage supplémentaires et la complexité de la maintenance des opérations du travailleur de volume.

Remarque :

La prise en charge du travailleur de volume est supprimée. Les autorisations de téléversement et de téléchargement direct de disque sont requises pour le provisionnement de catalogues de machines.

Les autorisations suivantes doivent être ajoutées à la stratégie :

• ebs:StartSnapshot
• ebs:GetSnapshotBlock
• ebs:PutSnapshotBlock
• ebs:CompleteSnapshot
• ebs:ListSnapshotBlocks
• ebs:ListChangedBlocks
• ec2:CreateSnapshot
• ec2:DeleteSnapshot
• ec2:DescribeLaunchTemplates

Important :

• Vous pouvez ajouter une VM à des catalogues de machines existants sans aucune opération de travailleur de volume, telle qu’une AMI de travailleur de volume et une VM de travailleur de volume.
• Si vous supprimez un catalogue existant qui utilisait auparavant un travailleur de volume, tous les artefacts, y compris ceux liés au travailleur de volume, sont supprimés.

Chiffrement EBS des volumes créés

EBS peut chiffrer automatiquement les volumes nouvellement créés si l’AMI est chiffrée, ou si EBS est configuré pour chiffrer tous les nouveaux volumes. Cependant, pour implémenter cette fonctionnalité, les autorisations suivantes doivent être incluses dans la politique IAM.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

Les autorisations peuvent être limitées à des clés spécifiques en incluant un bloc Ressource et Condition, à la discrétion de l’utilisateur. Par exemple, Autorisations KMS avec condition :

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

L’instruction de politique de clé suivante est l’intégralité de la politique de clé par défaut pour les clés KMS qui est requise pour permettre au compte d’utiliser les politiques IAM afin de déléguer l’autorisation pour toutes les actions (kms:*) sur la clé KMS.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Pour plus d’informations, consultez la documentation officielle d’AWS Key Management Service.

Authentification basée sur les rôles IAM

Les autorisations suivantes sont ajoutées pour prendre en charge l’authentification basée sur les rôles.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Politique d’autorisations IAM minimale

Le JSON suivant peut être utilisé pour toutes les fonctionnalités actuellement prises en charge. Vous pouvez créer des connexions d’hôte, créer, mettre à jour ou supprimer des machines virtuelles, et effectuer la gestion de l’alimentation à l’aide de cette politique. La politique peut être appliquée aux utilisateurs comme expliqué dans les sections (#define-iam-permissions) [Définir les autorisations IAM] ou vous pouvez également utiliser l’authentification basée sur les rôles à l’aide de la clé de sécurité et de la clé secrète role_based_auth.

Important :

Pour utiliser role_based_auth, configurez d’abord le rôle IAM souhaité sur tous les Delivery Controllers de notre site. À l’aide de Web Studio, ajoutez la connexion d’hébergement et fournissez le role_based_auth pour la clé d’authentification et le secret. Une connexion d’hébergement avec ces paramètres utilise alors l’authentification basée sur les rôles.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

• La section EC2 relative aux SecurityGroups n’est nécessaire que si un groupe de sécurité d’isolation doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cela fait, ces autorisations ne sont plus requises.
• La section KMS n’est requise que lors de l’utilisation du chiffrement de volume EBS.
• La section d’autorisation iam:PassRole n’est nécessaire que pour role_based_auth.
• Des autorisations spécifiques au niveau des ressources peuvent être ajoutées au lieu d’un accès complet, en fonction de vos exigences et de votre environnement. Reportez-vous aux documents AWS Démystifier les autorisations au niveau des ressources EC2 et Gestion des accès pour les ressources AWS pour plus de détails.

Valider les autorisations sur la connexion hôte

Vous pouvez valider les autorisations sur une connexion hôte pour effectuer des tâches liées à la création et à la gestion de catalogues de machines MCS. Cette implémentation vous aide à identifier à l’avance les autorisations manquantes requises pour différents scénarios, tels que la création, la suppression et la mise à jour de machines virtuelles, la gestion de l’alimentation des machines virtuelles et le chiffrement EBS, afin d’éviter d’être bloqué à des moments critiques.

Vous pouvez valider les autorisations sur une connexion hôte à l’aide de la commande PowerShell Test-HypHypervisorConnection. Le résultat de la commande est capturé sous forme de liste, où chaque élément de la liste est divisé en trois sections.

• Catégorie : L’action ou la tâche qu’un utilisateur peut effectuer pour créer et gérer un catalogue de machines MCS.
• Action corrective : L’étape qu’un administrateur doit effectuer pour résoudre une divergence d’autorisations manquantes d’un utilisateur.
• Autorisation manquante : La liste des autorisations manquantes pour une catégorie.

Pour valider les autorisations, procédez comme suit :

1. Créez une connexion hôte à AWS.
2. Ouvrez une fenêtre PowerShell à partir de l’hôte du Delivery Controller.
3. Exécutez asnp citrix* pour charger les modules PowerShell spécifiques à Citrix.

4. Exécutez la commande suivante pour vérifier si vous disposez des autorisations requises pour consulter vos autorisations.

   Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon"
   <!--NeedCopy-->
   

5. Après avoir ajouté les autorisations manquantes requises pour consulter vos autorisations, exécutez la commande suivante pour vérifier si vous disposez d’autorisations dans les catégories suivantes :

   • Créer Mettre à jour Supprimer
   • Gestion de l’alimentation
   • Chiffrement EBS

   Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon" [-SecurePassword -Password] "password" -UserName "" -CustomProperties ""
   <!--NeedCopy-->
   

Pour plus d’informations sur l’ajout d’autorisations, consultez Définir les autorisations IAM.

Étapes suivantes

• Si vous êtes dans le processus de déploiement initial, consultez Créer des catalogues de machines
• Pour des informations spécifiques à AWS, consultez Créer un catalogue AWS

Plus d’informations

• Connexions et ressources
• Créer des catalogues de machines