Connexion à AWS
La section Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements de cloud AWS.
Remarque :
Avant de créer une connexion à AWS, vous devez d’abord terminer la configuration de votre compte AWS en tant qu’emplacement de ressources. Voir Environnements de cloud AWS.
Créer une connexion
Lorsque vous créez une connexion à partir de Web Studio :
- Vous devez fournir les valeurs de la clé API et de la clé secrète. Vous pouvez exporter le fichier de clé contenant ces valeurs à partir d’AWS, puis les importer. Vous devez également fournir la région, la zone de disponibilité, le nom du VPC, les adresses de sous-réseau, le nom du domaine, les noms de groupe de sécurité et les informations d’identification.
- Le fichier d’informations d’identification pour le compte AWS de racine, (récupéré à partir de la console AWS) n’est pas au même format que les fichiers d’informations d’identification téléchargés pour les utilisateurs standard AWS. Par conséquent, la gestion de Citrix Virtual Apps and Desktops™ ne peut pas utiliser le fichier pour remplir les champs de clé API et de clé secrète. Vérifiez que vous utilisez les fichiers d’informations d’identification AWS (IAM).
Remarque :
Après avoir créé une connexion, les tentatives de mise à jour de la clé API et de la clé secrète peuvent échouer. Pour résoudre le problème, vérifiez les restrictions de votre serveur proxy ou de votre pare-feu et assurez-vous que l’adresse suivante est joignable :
https://*.amazonaws.com.
Valeurs par défaut des connexions hôtes
Lorsque vous créez des connexions hôtes dans des environnements cloud AWS, les valeurs par défaut suivantes sont affichées :
| Option | Absolu | Pourcentage |
|---|---|---|
| Actions simultanées (tous types) | 125 | 100 |
| Nouvelles actions maximales par minute | 125 |
MCS prend en charge 100 opérations de provisioning simultanées maximum par défaut.
Provisioning inter-comptes
Dans certains cas d’utilisation, les Delivery Controller souhaitent être placés dans un compte AWS principal (compte de services partagés ou compte de composants de site) avec des rôles IAM qui ont un accès inter-comptes (rôle IAM inter-comptes) et des catalogues de machines provisionnés par MCS dans un compte AWS secondaire distinct (comptes de charges de travail), sans avoir besoin de Delivery Controller supplémentaires dans les comptes séparés. Pour prendre en charge de tels scénarios, cette fonctionnalité utilise le peering VPC et l’accès inter-comptes à l’aide des rôles IAM pour permettre le provisioning sur différents comptes AWS pour les entreprises gérant plusieurs comptes AWS.
Le peering VPC vous permet de faire en sorte que vos Delivery Controller et vos machines virtuelles provisionnées dans différentes régions et/ou comptes puissent communiquer entre eux.
L’accès inter-comptes à l’aide des rôles IAM vous permet d’autoriser le compte principal (compte Delivery Controller) à assumer un rôle IAM pour accéder aux ressources AWS dans le compte secondaire (machines virtuelles du catalogue de machines).
Pour permettre aux Delivery Controller d’accéder aux ressources du compte secondaire, créez une connexion hôte après avoir assumé le rôle IAM à partir du compte secondaire.
Configuration requise
Configurez les éléments suivants avant de créer une connexion hôte pour le provisioning inter-comptes :
- Configurez le peering VPC et configurez les groupes de sécurité dans les deux régions ou comptes. Voir Configurer le peering VPC
- Déléguez l’accès inter-comptes à l’aide des rôles IAM. Voir (lien vers le sujet ci-dessous).
Configurer le peering VPC
Supposons que le VPC A se trouve dans le compte principal (compte A) et qu’il dispose des Delivery Controller et d’Active Directory. Le VPC B se trouve dans le compte secondaire (compte B) où vous souhaitez provisionner les machines virtuelles.
Pour configurer une connexion de peering VPC entre le compte A et le compte B, procédez comme suit :
-
Créez une connexion de peering VPC. Consultez :
- Accédez à votre VPC A et à la table de routage associée au sous-réseau public.
- Cliquez sur Modifier itinéraire > Ajouter un itinéraire. Ajoutez le bloc CIDR du VPC B dans la colonne Destination, puis ajoutez le peering VPC que vous avez créé dans la colonne Cible.
- Répétez les étapes 2 et 3, mais avec les sous-réseaux privés pour VPC A et VPC B (ajoutez le bloc CIDR du VPC A). Voir Mise à jour de vos tables de routage pour une connexion d’appairage de VPC.
- Accédez au groupe de sécurité privé associé au VPC A.
- Sélectionnez Actions, puis Modifier les règles entrantes.
-
Sélectionnez Ajouter une règle. Pour le type, sélectionnez Tout le trafic, puis dans la colonne Source ajoutez :
- S’il s’agit d’une région différente, le bloc CIDR du VPC B.
- S’il s’agit d’un compte différent, mais de la même région, ajoutez l’ID de compte et l’ID du groupe de sécurité privé du VPC B séparés par une barre oblique (exemple : 123456789012/sg-1a2b3c4d)
- Répétez les étapes 5 à 7, mais avec le groupe de sécurité privé pour le VPC B (mais ajoutez le bloc CIDR du VPC A ou l’ID de compte du VPC A et l’ID de groupe de sécurité privé de la même région, mais d’un compte différent). Voir Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs.
Remarque :
La création d’une connexion de peering VPC est gratuite. Cependant, bien que le peering VPC au sein d’une zone de disponibilité soit gratuit, des frais s’appliquent lorsque le transfert de données via une connexion de peering VPC se produit sur plusieurs zones de disponibilité et régions. Voir Tarification d’une connexion d’appairage de VPC.
Déléguer l’accès inter-comptes à l’aide des rôles IAM
Après avoir configuré le peering VPC entre les comptes, vous déléguez l’accès inter-comptes à l’aide des rôles IAM.
Avec l’accès inter-comptes à l’aide des rôles IAM, vous autorisez le compte principal (compte Delivery Controller™) à assumer un rôle IAM pour accéder aux ressources AWS dans le compte secondaire (machines virtuelles du catalogue de machines).
Pour accéder aux ressources inter-comptes, procédez comme suit :
Rappel :
Supposons que le VPC A se trouve dans le compte principal (compte A) et qu’il dispose du Delivery Controller et d’Active Directory. Le VPC B se trouve dans le compte secondaire (compte B) où vous souhaitez provisionner les machines virtuelles
- Configurez le peering VPC entre les comptes en suivant les étapes mentionnées ci-dessus.
- Créez un rôle et une stratégie IAM dans le compte B avec des autorisations IAM Citrix minimales. Voir Didacticiel IAM : déléguer l’accès entre des comptes AWS à l’aide des rôles IAM. Supposons que l’ARN de ce rôle est « arn:aws:iam::5678:role/citrix-role ».
- Ajoutez la stratégie de confiance au rôle « arn:aws:iam::5678:role/citrix-role » afin que le rôle du compte A « arn:aws:iam::1234:role/primary-account-citrix-role » soit autorisé à y accéder, conformément aux directives de la page Accès intercompte aux ressources dans IAM.
- Créez le rôle et la stratégie IAM dans le compte A avec le nom mentionné ci-dessus « primary-account-citrix role » qui a la capacité d’assumer le rôle IAM et de transmettre le rôle IAM du compte B (arn:aws:iam::5678:role/citrix-role).
- Attribuez le rôle « arn:aws:iam::1234:role/primary-account-citrix-role » à tous les Delivery Controller du compte A.
Le Delivery Controller peut désormais assumer le rôle du compte B (« arn:aws:iam::5678:role/citrix-role »).
Créer une connexion hôte pour le provisioning inter-comptes
Créez une connexion hôte dans le compte secondaire (compte B) où vous souhaitez provisionner les machines virtuelles. Cela permet au Delivery Controller du compte A d’accéder aux ressources du compte B après avoir assumé le rôle du compte B.
Utilisez les commandes PowerShell pour créer la connexion hôte et ajoutez les deux propriétés personnalisées suivantes :
-
CrossAccountRoleArn: si vous ne fournissez pas la propriétéCrossAccountRoleArn, la connexion hôte standard est créée. Dans ce cas,MaximumAssumeRoleDurationInSecondsest ignoré même s’il est fourni. -
MaximumAssumeRoleDurationInSeconds:DurationInSecondsdoit être compris entre 900 et 3 600 secondes. La valeur par défaut est de 900 seconde. Si vous fournissez une valeur supérieure à 3 600,DurationInSecondsest défini sur 3 600.
Exemple :
$connectionName = "cross-account-conn"
$cloudRegion = "us-east-1"
$apiKey = "role_based_auth"
$secretKey = "role_based_auth"
$zoneUid = "xxxxxx"
$secureKey = (ConvertTo-SecureString -String $secretKey -AsPlainText -Force)
$connectionPath = "XDHyp:\Connections\" + $connectionName
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CrossAccountRoleArn" Value="arn:aws:iam::5678:role/citrix-role" /><Property xsi:type="StringProperty" Name="MaximumAssumeRoleDurationInSeconds" Value="3600" />
"</CustomProperties>'
$connection = New-Item -Path $connectionPath -ConnectionType "AWS" -HypervisorAddress "https://ec2.$($cloudRegion).amazonaws.com" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid -CustomProperties $customProperties
New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid
<!--NeedCopy-->
Une fois la connexion hôte créée, créez des unités d’hébergement à l’aide de Studio ou de PowerShell. Sélectionnez toutefois le VPC et les réseaux.
URL du point de terminaison de service
URL du point de terminaison de service de zone standard
Lorsque vous utilisez MCS, une nouvelle connexion AWS est ajoutée avec une clé API et un secret API. Avec ces informations, ainsi que le compte authentifié, MCS interroge AWS pour connaître les zones prises en charge à l’aide de l’appel d’API EC2 DescribeRegions AWS. La requête est effectuée à l’aide d’une URL de point de terminaison de service EC2 générique https://ec2.amazonaws.com/. Utilisez MCS pour sélectionner la zone de connexion dans la liste des zones prises en charge. L’URL de point de terminaison de service AWS préférée est automatiquement sélectionnée pour la zone. Toutefois, après avoir créé l’URL du point de terminaison de service, vous ne pouvez plus définir ou modifier l’URL.
Définir les autorisations IAM
Utilisez les informations de cette section pour définir les autorisations IAM pour Citrix Virtual Apps and Desktops sur AWS. Le service IAM d’Amazon autorise les comptes ayant plusieurs utilisateurs, qui peuvent être organisés en groupes. Ces utilisateurs peuvent disposer d’autorisations différentes pour contrôler leur capacité à effectuer des opérations associées au compte. Pour plus d’informations sur les autorisations IAM, consultez la page Référence de stratégie JSON IAM.
Pour appliquer la stratégie d’autorisations IAM à un nouveau groupe d’utilisateurs :
- Connectez-vous à AWS Management Console et sélectionnez le service IAM dans la liste déroulante.
- Sélectionnez Créer un groupe d’utilisateurs.
- Tapez un nom pour le nouveau groupe d’utilisateurs et sélectionnez Continuer.
- Sur la page Autorisations, choisissez Stratégie personnalisée. Sélectionnez Sélectionner.
- Tapez un nom pour la stratégie Autorisations.
- Dans la section Document de stratégie, entrez les autorisations appropriées.
Après avoir saisi les informations de stratégie, sélectionnez Continuer pour compléter le groupe d’utilisateurs. Les utilisateurs du groupe sont autorisés à effectuer uniquement les actions requises pour Citrix Virtual Apps and Desktops.
Important :
Utilisez le texte de stratégie fourni dans l’exemple plus tôt pour répertorier les actions que Citrix Virtual Apps and Desktops utilise pour effectuer des actions au sein d’un compte AWS sans les restreindre à des ressources spécifiques. Citrix vous recommande d’utiliser cet exemple à des fins de test. Pour les environnements de production, vous pouvez choisir d’ajouter d’autres restrictions sur les ressources.
Définir les autorisations IAM
Définissez les autorisations dans la section IAM d’AWS Management Console :
- Dans le panneau Summary, sélectionnez l’onglet Permissions.
- Sélectionnez Add permissions.
Dans l’écran Add Permissions to, accordez des autorisations :
Utilisez l’exemple suivant dans l’onglet JSON :
Conseil :
L’exemple JSON mentionné peut ne pas inclure toutes les autorisations pour votre environnement. Consultez Comment faire pour définir les autorisations de gestion des identités et des accès en exécutant Citrix Virtual Apps and Desktops sur AWS pour plus d’informations.
Autorisations AWS requises
Cette section contient la liste complète des autorisations AWS.
Remarque :
L’autorisation iam:PassRole n’est requise que pour role_based_auth.
Création d’une connexion hôte
Une nouvelle connexion hôte est ajoutée à l’aide des informations d’AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",,
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
"ec2:DescribeRegions",
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Gestion de l’alimentation des machines virtuelles
Les machines virtuelles sont sous tension ou hors tension.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Création, mise à jour ou suppression de machines virtuelles
Un catalogue de machines est créé, mis à jour ou supprimé avec des machines virtuelles provisionnées en tant qu’instances AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Remarque :
La section EC2 relative aux groupes de sécurité n’est nécessaire que si un groupe de sécurité d’isolement doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette action effectuée, ces autorisations ne sont pas requises.
Chargement et téléchargement directs sur disque
Le chargement direct sur disque élimine le besoin du travailleur de volume pour le provisioning de catalogue de machines et utilise à la place des API publiques fournies par AWS. Cette fonctionnalité réduit le coût associé aux comptes de stockage supplémentaires et la complexité de la gestion des opérations du travailleur de volume.
Remarque :
Le travailleur de volume n’est plus pris en charge. Les autorisations de chargement et de téléchargement direct du disque sont requises pour le provisioning du catalogue de machines.
Les autorisations suivantes doivent être ajoutées à la stratégie :
ebs:StartSnapshotebs:GetSnapshotBlockebs:PutSnapshotBlockebs:CompleteSnapshotebs:ListSnapshotBlocksebs:ListChangedBlocksec2:CreateSnapshotec2:DeleteSnapshotec2:DescribeLaunchTemplates
Important :
- Vous pouvez ajouter une machine virtuelle à des catalogues de machines existants sans aucune opération du travailleur de volume, telle que l’AMI et la machine virtuelle du travailleur de volume.
- Si vous supprimez un catalogue existant qui utilise un travailleur de volume, tous les artefacts, y compris ceux liés au travailleur de volume, sont supprimés.
Cryptage EBS des volumes créés
EBS peut crypter automatiquement les volumes nouvellement créés si l’AMI est cryptée, ou EBS est configuré pour crypter tous les nouveaux volumes. Toutefois, pour implémenter cette fonctionnalité, les autorisations suivantes doivent être incluses dans la stratégie IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Remarque :
Les autorisations peuvent être limitées à des clés spécifiques en incluant un bloc Ressource et Condition à la discrétion de l’utilisateur. Par exemple, Autorisations KMS avec condition :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
<!--NeedCopy-->
La déclaration de stratégie de clé suivante est la stratégie de clé par défaut complète pour les clés KMS qui est requise pour permettre au compte d’utiliser des stratégies IAM afin de déléguer l’autorisation pour toutes les actions (kms: *) sur la clé KMS.
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->
Pour plus d’informations, consultez la documentation officielle d’AWS Key Management Service.
Authentification basée sur les rôles IAM
Les autorisations suivantes sont ajoutées pour prendre en charge l’authentification basée sur les rôles.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Stratégie d’autorisations IAM minimales
Le code JSON suivant peut être utilisé pour toutes les fonctionnalités actuellement prises en charge. Vous pouvez créer des connexions hôtes, créer, mettre à jour ou supprimer des machines virtuelles et gérer l’alimentation à l’aide de cette stratégie. La stratégie peut être appliquée aux utilisateurs comme expliqué dans les sections Définition des autorisations IAM. Vous pouvez également utiliser l’authentification basée sur les rôles à l’aide de la clé de sécurité et de la clé secrète role_based_auth.
Important :
Pour utiliser role_based_auth, configurez d’abord le rôle IAM souhaité sur tous les composants Delivery Controller de notre site. À l’aide de Web Studio, ajoutez la connexion d’hébergement et fournissez l’élément role_based_auth pour la clé d’authentification et le secret. Une connexion d’hébergement avec ces paramètres utilise ensuite l’authentification basée sur les rôles.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Remarque :
- La section EC2 relative aux groupes de sécurité n’est nécessaire que si un groupe de sécurité d’isolement doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette action effectuée, ces autorisations ne sont pas requises.
- La section KMS n’est requise que lors de l’utilisation du cryptage de volume EBS.
- La section d’autorisation iam:PassRole n’est requise que pour role_based_auth.
- En fonction de vos besoins et de votre environnement, vous pouvez ajouter des autorisations spécifiques au niveau des ressources au lieu d’un accès complet. Consultez les documents AWS Demystifying EC2 Resource-Level Permissions et Gestion de l’accès pour les ressources AWS pour plus de détails.
Valider les autorisations sur une connexion hôte
Vous pouvez valider les autorisations sur une connexion hôte pour effectuer des tâches liées à la création et à la gestion de catalogues de machines MCS. Cette mise en œuvre permet d’identifier les autorisations manquantes requises pour différents scénarios tels que la création, la suppression et la mise à jour de machines virtuelles, la gestion de l’alimentation des machines virtuelles et le cryptage EBS à l’avance, afin d’éviter d’être bloqué à des moments critiques.
Vous pouvez valider les autorisations sur une connexion hôte à l’aide de la commande PowerShell Test-HyphyPervisorConnection. Le résultat de la commande est capturé sous forme de liste où chaque élément de la liste est divisé en trois sections.
- Catégorie : action ou tâche qu’un utilisateur peut effectuer pour créer et gérer un catalogue de machines MCS.
- Action corrective : étape qu’un administrateur doit suivre pour corriger les différences d’autorisations manquantes d’un utilisateur.
- Autorisation manquante : liste des autorisations manquantes pour une catégorie.
Pour valider les autorisations, procédez comme suit :
- Créez une connexion hôte à AWS.
- Ouvrez une fenêtre PowerShell depuis l’hôte Delivery Controller.
- Exécutez
asnp citrix* pour charger des modules PowerShell spécifiques à Citrix. -
Exécutez la commande suivante pour vérifier si vous disposez des autorisations requises pour consulter vos autorisations.
Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon" <!--NeedCopy--> -
Après avoir ajouté les autorisations manquantes requises pour consulter vos autorisations, exécutez la commande suivante pour vérifier si vous disposez d’autorisations dans les catégories suivantes :
- Création, mise à jour, suppression
- Gestion de l’alimentation
- Cryptage EBS
Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon" [-SecurePassword -Password] "password" -UserName "" -CustomProperties "" <!--NeedCopy-->
Pour plus d’informations sur l’ajout d’autorisations, consultez la section Définir les autorisations IAM.
Autres ressources
- Si vous êtes dans le processus de déploiement initial, consultez la section Créer des catalogues de machines.
- Pour obtenir des informations spécifiques à AWS, consultez la section Créer un catalogue AWS.