Citrix DaaS™

Connessione a istanze gestite di Amazon WorkSpaces Core

September 16, 2025

Grazie al contributo di:

Creare e gestire connessioni e risorse descrive le procedure guidate che creano una connessione. Le seguenti informazioni coprono i dettagli specifici per le istanze gestite di Amazon WorkSpaces Core.

Prerequisiti

Eseguire le seguenti operazioni prima di creare una connessione alle istanze gestite di Amazon WorkSpaces Core:

Completare la configurazione di AWS come posizione delle risorse. Vedere Ambienti di virtualizzazione AWS.
Definire la policy delle autorizzazioni IAM dell’utente o del ruolo IAM affinché Citrix® gestisca le risorse AWS per Suo conto.
Creare un ruolo collegato al servizio.

Definire le autorizzazioni IAM

Prima di creare una connessione host, è necessario definire correttamente una policy delle autorizzazioni IAM per un utente o un ruolo IAM che conceda a Citrix le autorizzazioni appropriate per il provisioning e la gestione delle risorse nel Suo account AWS per Suo conto. Utilizzare le informazioni in questa sezione per definire le autorizzazioni IAM per Citrix DaaS sulle istanze gestite di Amazon WorkSpaces Core. Il servizio IAM di Amazon consente agli account di avere più utenti, che possono essere ulteriormente organizzati in gruppi. Questi utenti possono possedere diverse autorizzazioni per controllare la loro capacità di eseguire operazioni associate all’account. Per maggiori informazioni sulle autorizzazioni IAM, consultare il riferimento alla policy JSON IAM.

Nota:

Poiché Citrix esegue il provisioning e la gestione delle risorse e dell’automazione nel Suo account AWS per Suo conto, la configurazione di policy delle autorizzazioni IAM basate su tag specifici o convenzioni di denominazione delle risorse non è supportata.

Per applicare la policy delle autorizzazioni IAM a un nuovo gruppo di utenti:

Accedere alla console di gestione AWS e selezionare il servizio IAM dall’elenco a discesa.
Selezionare Create a New Group of Users (Crea un nuovo gruppo di utenti).
Digitare un nome per il nuovo gruppo di utenti e selezionare Continue (Continua).
Nella pagina Permissions (Autorizzazioni), scegliere Custom Policy (Policy personalizzata).
Digitare un nome per la Permissions policy (Policy delle autorizzazioni).
Nella sezione Policy Document (Documento della policy), inserire le autorizzazioni pertinenti.

Dopo aver inserito le informazioni sulla policy, selezionare Continue (Continua) per completare l’applicazione della policy delle autorizzazioni IAM al gruppo di utenti. Agli utenti del gruppo vengono concesse le autorizzazioni per eseguire solo le azioni richieste per Citrix DaaS.

Importante:

Utilizzare il testo della policy fornito nell’esempio presente in questo articolo per elencare le azioni che un Citrix DaaS utilizza per eseguire azioni all’interno di un account AWS senza limitare tali azioni a risorse specifiche. Citrix consiglia di utilizzare l’esempio a scopo di test. Per gli ambienti di produzione, si potrebbe scegliere di aggiungere ulteriori restrizioni sulle risorse.

Aggiungere autorizzazioni IAM

Aggiungere le autorizzazioni nella sezione IAM della console di gestione AWS:

Nel pannello Summary (Riepilogo), selezionare la scheda Permissions (Autorizzazioni).
Selezionare Add permissions (Aggiungi autorizzazioni).
Nella schermata Add Permissions to (Aggiungi autorizzazioni a), concedere le autorizzazioni.
Nella sezione JSON, includere le autorizzazioni AWS richieste per il Suo ambiente.

Creare un ruolo collegato al servizio

Per ciascuno dei Suoi account AWS da cui Citrix chiamerà le API Core V2, creare un ruolo collegato al servizio (SLR).

I passaggi per creare il ruolo:

Aprire un’interfaccia a riga di comando (CLI) nella console di gestione AWS.

Eseguire il seguente comando nella CLI:

 aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com
 <!--NeedCopy-->

È inoltre possibile configurare il ruolo collegato al servizio utilizzando la console di gestione di Amazon WorkSpaces Core. Vedere Creazione di un ruolo collegato al servizio (console).

Creare una connessione

È possibile creare una connessione alle istanze gestite di Amazon WorkSpaces Core utilizzando:

Studio
Comandi PowerShell

Nota:

Verificare le restrizioni del server proxy o del firewall e assicurarsi che i seguenti indirizzi siano raggiungibili: https://*.amazonaws.com e https://*.api.aws. Inoltre, assicurarsi che tutti gli indirizzi menzionati in Connettività del servizio Citrix Gateway siano raggiungibili.

Se questi non sono raggiungibili, potrebbe causare un errore durante la creazione o l’aggiornamento della connessione host.

Creare una connessione utilizzando Studio

Passare alla pagina Hosting > Aggiungi connessione e risorse.
Nella pagina Connessione, seguire questi passaggi per configurare la connessione:
1. Selezionare Crea una nuova connessione.
2. In Zona, selezionare la posizione delle risorse che ha configurato per il Suo ambiente AWS.
3. Selezionare Amazon WorkSpaces Core come tipo di connessione.
4. Selezionare Usa chiave di accesso utente IAM o Usa ruolo IAM.
  
  Per la chiave di accesso utente IAM, fornire la Sua chiave API e la chiave segreta per l’utente IAM che dispone della policy di autorizzazioni IAM appropriata affinché Citrix gestisca le risorse nel Suo account AWS.
  
  Per il ruolo IAM, assicurarsi di aver assegnato un ruolo IAM all’istanza di Citrix Cloud Connector con la policy di autorizzazioni IAM appropriata affinché Citrix gestisca le risorse nel Suo account AWS. Vedere la guida all’autenticazione basata sui ruoli per maggiori informazioni.
5. Inserire un nome per la connessione e fare clic su Avanti.
Nella pagina Posizione macchina virtuale, specificare la posizione in cui devono essere sottoposte a provisioning le VM. Selezionare la regione cloud, il VPC e la zona di disponibilità per la creazione di nuove VM.
Nella pagina Rete:
1. Inserire un nome per le risorse che ha selezionato in precedenza nella zona di disponibilità.
2. Selezionare una o più subnet nel VPC che ha configurato nel menu precedente.
Fare clic sulle pagine rimanenti fino alla pagina Riepilogo.
Fare clic su Fine per creare la connessione host alle istanze gestite di Amazon WorkSpaces Core.

Considerazioni importanti

Quando crea una connessione utilizzando Studio:

Definire le autorizzazioni IAM appropriate affinché Citrix gestisca le Sue risorse AWS.
Se utilizza una chiave di accesso utente IAM affinché Citrix gestisca le Sue risorse AWS, deve fornire i valori della chiave API e della chiave segreta. Può esportare il file della chiave contenente tali valori da AWS e quindi importarli. Deve inoltre fornire la regione, la zona di disponibilità, il nome del VPC, gli indirizzi delle subnet, il nome di dominio, i nomi dei gruppi di sicurezza e le credenziali.
Se utilizza un ruolo IAM affinché Citrix gestisca le Sue risorse AWS, deve assicurarsi di assegnare un ruolo con le autorizzazioni IAM appropriate a tutti i Suoi Cloud Connector. Guida all’autenticazione basata sui ruoli per maggiori informazioni.
Il file delle credenziali per l’account AWS root (recuperato dalla console AWS) non è formattato allo stesso modo dei file delle credenziali scaricati per gli utenti AWS standard. Pertanto, Citrix DaaS non può utilizzare il file per popolare i campi della chiave API e della chiave segreta. Assicurarsi di utilizzare i file delle credenziali di AWS Identity Access Management (IAM).

Creare una connessione utilizzando PowerShell

Aprire una finestra PowerShell.
Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.

Eseguire i seguenti comandi. Di seguito è riportato un esempio:

$connectionName = "demo-hostingconnection"
$cloudRegion = "us-east-1"
$apiKey = "aaaaaaaaaaaaaaaaaaaa"
$apiSecret = “bbbbb”
$secureKey = ConvertTo-SecureString -String $apiSecret
$zoneUid = "00000000-0000-0000-0000-000000000000"
$connectionPath = "XDHyp:\Connections\" + $connectionName

$connection = New-Item -Path $connectionPath -ConnectionType "AmazonWorkSpacesCoreMachineManagerFactory" -HypervisorAddress " "https://workspaces-instances.$($cloudRegion).api.aws"" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid

New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid

$hostingUnitName = "demo-hostingunit"
$availabilityzone = "us-east-1a"
$vpcName = "Default VPC"
$jobGroup = [Guid]::NewGuid()
$hostingUnitPath = "XDHyp:\HostingUnits\" + $HostingUnitName
$rootPath = $connectionPath + "\" + $vpcName + ".virtualprivatecloud\"
$availabilityZonePath = @($rootPath + $availabilityzone + ".availabilityzone")
$networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq "Network") | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone

New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths
<!--NeedCopy-->

Nota:

Per creare una connessione utilizzando l’autenticazione basata sui ruoli, specificare apiKey e apiSecret come role_based_auth.

Limitazione

Se si modifica il nome di un AWS Virtual Private Cloud (VPC) nella console AWS, l’unità di hosting esistente in Citrix Cloud™ si interrompe. Quando l’unità di hosting è interrotta, non è possibile creare cataloghi o aggiungere macchine a cataloghi esistenti. Per risolvere il problema, ripristinare il nome originale del VPC AWS.

Creare un ambiente sicuro per il traffico gestito da AWS

Se ha un proxy configurato sui Cloud Connector, deve creare la connessione host per utilizzare il proxy in modo che le chiamate API effettuate da MCS vengano instradate correttamente attraverso il proxy. MCS consente al traffico di rete (chiamate API da Citrix Cloud all’hypervisor AWS) di essere instradato attraverso i Cloud Connector nel Suo ambiente.

La connessione host può leggere il valore del proxy di sistema WinHTTP configurato durante l’installazione del Cloud Connector. Attualmente è possibile configurare il proxy impostando la proprietà personalizzata UseSystemProxyForHypervisorTrafficOnConnectors su True durante la creazione o l’aggiornamento di una connessione host utilizzando PowerShell.

Nota:

Se il Suo ambiente utilizza un proxy, assicurarsi che l’ispezione SSL sia disabilitata o che la connessione SSL rimanga inalterata per https://workspaces-instances.*.api.aws/.

Creare una connessione host configurata con il proxy

Aprire una finestra PowerShell.
Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.

Eseguire i comandi PowerShell per configurare il proxy. Ad esempio:

$connectionName = "demo-hostingconnection"
$cloudRegion = "us-east-1"
$apiKey = "aaaaaaaaaaaaaaaaaaaa"
$zoneUid = "00000000-0000-0000-0000-000000000000"

$securePassword = Read-Host 'Please enter your secret key' -AsSecureString
$connectionPath = "XDHyp:\Connections\" + $connectionName

$customProperties = @"
<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
<Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" />
</CustomProperties>
"@
<!--NeedCopy-->

Creare una connessione di hosting. Ad esempio:

$connection = New-Item -Path $connectionPath `
-ConnectionType "Custom" -PluginId "AmazonWorkSpacesCoreMachineManagerFactory" `
-HypervisorAddress "https://workspaces-instances.$($cloudRegion).api.aws" `
-CustomProperties> $customProperties `
-Persist -Scope @()`
-UserName $apiKey -SecurePassword $securePassword `
-ZoneUid $zoneUid

New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid
<!--NeedCopy-->

Per abilitare il proxy per una connessione host esistente, vedere Abilitare il proxy su una connessione esistente.

Modificare una connessione

È possibile modificare una connessione host esistente per:

Modificare l’opzione per fornire le autorizzazioni IAM affinché Citrix gestisca le risorse
Modificare il numero massimo di azioni simultanee (o macchine concorrenti) per connessione di hosting
Modificare l’ambito.
Configurare il numero massimo di gruppi di sicurezza consentiti per interfaccia di rete elastica (ENI) utilizzando il comando PowerShell
Abilitare il proxy per creare un ambiente sicuro per il traffico gestito da AWS

Modificare le opzioni per fornire le autorizzazioni IAM

Fare clic con il pulsante destro del mouse su una connessione Amazon WorkSpaces Core esistente.
Nella pagina Proprietà connessione, fare clic su Modifica impostazioni.
Selezionare una delle opzioni per fornire le autorizzazioni IAM affinché Citrix gestisca le risorse. Inserire i dettagli richiesti e fare clic su Salva.

Modificare il numero massimo di azioni simultanee

Quando crea connessioni host in Studio per le istanze gestite di Amazon WorkSpaces Core, vengono visualizzati i seguenti valori predefiniti:

Opzione	Assoluto	Percentuale
Azioni simultanee (tutti i tipi)	125	100
Numero massimo di nuove azioni al minuto	150	n/d
Numero massimo di operazioni di provisioning concorrenti	150	n/d

MCS supporta per impostazione predefinita un massimo di 150 operazioni di provisioning concorrenti.

È possibile configurare questi valori accedendo alla sezione Avanzate di Citrix Studio nella schermata Modifica connessione:

In alternativa, è possibile utilizzare l’SDK PowerShell remoto per impostare il numero massimo di operazioni concorrenti per ottenere impostazioni ottimali per il Suo ambiente.

Utilizzare la proprietà personalizzata di PowerShell, MaximumConcurrentProvisioningOperations, per specificare il numero massimo di operazioni di provisioning AWS concorrenti.

Prima della configurazione:

Assicurarsi di aver installato l’SDK PowerShell per Cloud.
Comprendere che il valore predefinito per MaximumConcurrentProvisioningOperations è 150.

Eseguire i seguenti passaggi per personalizzare il valore di MaximumConcurrentProvisioningOperations:

Aprire una finestra PowerShell.
Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
Digitare cd xdhyp:\Connections\.
Digitare dir per elencare le connessioni.
Modificare o inizializzare la stringa delle proprietà personalizzate:
- Se la stringa delle proprietà personalizzate ha un valore, copiare le proprietà personalizzate in Blocco note. Quindi, modificare la proprietà MaximumConcurrentProvisioningOperations con il valore preferito. È possibile inserire un valore compreso tra 1 e 1000. Ad esempio, <Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>.
- Se la stringa delle proprietà personalizzate è vuota o nulla, è necessario inizializzare la stringa inserendo la sintassi appropriata sia per lo schema che per la proprietà MaximumConcurrentProvisioningOperations.
Nella finestra PowerShell, incollare le proprietà personalizzate modificate da Blocco note e assegnare una variabile alle proprietà personalizzate modificate. Se ha inizializzato le proprietà personalizzate, aggiungere le seguenti righe dopo la sintassi:
```
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>'

```
Questa stringa imposta la proprietà MaximumConcurrentProvisioningOperations su 100. Nella stringa delle proprietà personalizzate, è necessario impostare la proprietà MaximumConcurrentProvisioningOperations su un valore che si allinei alle Sue esigenze.
Digitare Get-XDAuthentication, che Le chiederà le Sue credenziali.
Eseguire $cred = Get-Credential, che potrebbe chiederLe solo una password (o un nome utente e una password). Potrebbe anche esserLe richiesto l’ID dell’applicazione e il segreto associato. Per le connessioni che utilizzano l’autenticazione basata sui ruoli, role_based_auth è sia il nome utente che la password. Altrimenti, inserire l’ID API AWS e il segreto.
Eseguire set-item -PSPath 'XDHyp:\Connections<connection-name>' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password. È necessario impostare <connection-name> sul nome della connessione.
Digitare dir per verificare la stringa CustomProperties aggiornata.

Configurare i gruppi di sicurezza per interfaccia di rete

Quando si modifica una connessione host, è ora possibile configurare il numero massimo di gruppi di sicurezza consentiti per interfaccia di rete elastica (ENI) utilizzando un comando PowerShell. Per informazioni sui valori di quota dei gruppi di sicurezza AWS, vedere Gruppi di sicurezza.

Per configurare i gruppi di sicurezza per interfaccia di rete:

Aprire una finestra PowerShell.
Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
Eseguire cd xdhyp:\Connections\.
Eseguire dir per elencare le connessioni.
Eseguire il seguente comando PowerShell per configurare i gruppi di sicurezza per interfaccia di rete:
```
Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>"

```
Nota:

Se non si imposta un valore per AwsMaxENISecurityGroupLimit, viene utilizzato il valore predefinito di 5.

Abilitare il proxy su una connessione esistente

Aprire una finestra PowerShell.

Eseguire i seguenti comandi.

Add-PSSnapin citrix*.
cd XDHyp:\Connections\
dir
<!--NeedCopy-->

Copiare le CustomProperties dalla connessione in un blocco note e aggiungere l’impostazione della proprietà <Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" /> alle CustomProperties per abilitare il proxy.

Nella finestra PowerShell, assegnare una variabile alle proprietà personalizzate modificate. Ad esempio:

$customProperty = '<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
<Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" />
</CustomProperties>'
<!--NeedCopy-->

Digitare Get-XDAuthentication, che Le chiederà le Sue credenziali.
Eseguire $cred = Get-Credential, che potrebbe chiederLe solo una password (o un nome utente e una password). Potrebbe anche esserLe richiesto l’ID dell’applicazione e il segreto associato. Per le connessioni che utilizzano l’autenticazione basata sui ruoli, role_based_auth è sia il nome utente che la password. Altrimenti, inserire l’ID API AWS e il segreto.
Eseguire set-item -PSPath 'XDHyp:\Connections<connection-name>' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password. È necessario impostare <connection-name> sul nome della connessione.
Digitare dir per verificare la stringa CustomProperties aggiornata.

URL dell’endpoint del servizio

URL dell’endpoint del servizio della zona standard

Quando si utilizza MCS, viene aggiunta una nuova connessione alle istanze gestite di Amazon WorkSpaces Core con una chiave API e un segreto API. Con queste informazioni, insieme all’account autenticato, MCS interroga AWS per le zone supportate utilizzando la chiamata API AWS DescribeRegions EC2. La query viene effettuata utilizzando un URL dell’endpoint del servizio delle istanze di Workspace https://workspaces-instances.us-east-1.api.aws. Utilizzare MCS per selezionare la zona per la connessione dall’elenco delle zone supportate. L’URL dell’endpoint del servizio AWS preferito viene selezionato automaticamente per la zona. Tuttavia, dopo aver creato l’URL dell’endpoint del servizio, non è più possibile impostare o modificare l’URL.

URL dell’endpoint del servizio non standard

Possono esserci situazioni in cui potrebbe non essere necessario l’URL dell’endpoint del servizio AWS scelto automaticamente per la connessione. In questi casi, è possibile utilizzare Citrix Cloud SDK e PowerShell per creare una connessione con un URL dell’endpoint del servizio non standard. Ad esempio, per creare una connessione utilizzando l’URL dell’endpoint del servizio https://ec2.cn-north-1.amazonaws.com.cn:

Configurare il Cloud Connector ospitato su AWS e assicurarsi che abbia connettività.

Eseguire i seguenti comandi PowerShell per visualizzare l’elenco dei Cloud Connector.

 PS C:\> asnp citrix.*
 PS C:\> Get-XDAuthentication
 PS C:\> Get-ConfigEdgeServer
<!--NeedCopy-->

Trovare il ZoneUid dal Cloud Connector appena creato e inserirlo nei seguenti comandi PowerShell. Sostituire gli elementi in corsivo con i rispettivi valori.

PS C:\> $hyp= New-Item -Path xdhyp:\Connections -ZoneUid ZoneUid -Name “My New Connection” -ConnectionType "Custom" -HypervisorAddress @("https://workspaces-instances.$($cloudRegion).api.aws")-PluginId "AmazonWorkSpacesCoreMachineManagerFactory" -UserName “APIkey” -Password “API Secret” -Persist 

PS C:\> New-BrokerHypervisorConnection -HypHypervisorConnectionUid $hyp. HypervisorConnectionUid
<!--NeedCopy-->

Aggiornare la scheda Hosting per verificare che la connessione EC2 sia stata creata.
Aggiungere una posizione delle risorse utilizzando la nuova connessione.

Autorizzazioni AWS richieste

Questa sezione contiene l’elenco completo delle autorizzazioni AWS. Utilizzare il set completo di autorizzazioni come indicato nella sezione affinché la funzionalità funzioni correttamente.

Nota:

L’autorizzazione iam:PassRole è necessaria solo per l’utilizzo di ruoli IAM affinché Citrix gestisca le risorse.

Creazione di una connessione host

Una nuova connessione host viene aggiunta utilizzando le informazioni ottenute da AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Gestione dell’alimentazione delle VM

Le VM vengono accese o spente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",,
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:DescribeInstanceStatus"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
           "Action": [
               "workspaces-instances:*"
           ],
           "Effect": "Allow",
            "Resource": "*"
       }

    ]

}
<!--NeedCopy-->

Creazione, aggiornamento o eliminazione di VM

Un catalogo macchine viene creato, aggiornato o eliminato con VM sottoposte a provisioning come istanze AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Nota:

La sezione EC2 relativa ai SecurityGroups è necessaria solo se deve essere creato un gruppo di sicurezza di isolamento per la VM di preparazione durante la creazione del catalogo. Una volta fatto ciò, queste autorizzazioni non sono più richieste.

Caricamento e download diretto del disco

Le seguenti autorizzazioni devono essere aggiunte alla policy:

ebs:StartSnapshot
ebs:GetSnapshotBlock
ebs:PutSnapshotBlock
ebs:CompleteSnapshot
ebs:ListSnapshotBlocks
ebs:ListChangedBlocks
ec2:CreateSnapshot
ec2:DeleteSnapshot
ec2:DescribeLaunchTemplates

Crittografia EBS dei volumi creati

EBS può crittografare automaticamente i volumi appena creati se l’AMI è crittografata o se EBS è configurato per crittografare tutti i nuovi volumi. Tuttavia, per implementare la funzionalità, le seguenti autorizzazioni devono essere incluse nella policy IAM.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Nota:

Le autorizzazioni possono essere limitate a chiavi specifiche includendo un blocco Resource e Condition a discrezione dell’utente. Ad esempio, Autorizzazioni KMS con condizione:

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

La seguente dichiarazione di policy della chiave è l’intera policy della chiave predefinita per le chiavi KMS che è richiesta per consentire all’account di utilizzare le policy IAM per delegare l’autorizzazione per tutte le azioni (kms:*) sulla chiave KMS.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Per maggiori informazioni, consultare la documentazione ufficiale di AWS Key Management Service.

Autenticazione basata sui ruoli IAM

Le seguenti autorizzazioni vengono aggiunte per supportare l’autenticazione basata sui ruoli.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Policy minima delle autorizzazioni IAM

Il seguente JSON può essere utilizzato per tutte le funzionalità attualmente supportate. È possibile creare connessioni host, creare, aggiornare o eliminare VM ed eseguire la gestione dell’alimentazione utilizzando questa policy.

La policy può essere applicata agli utenti come spiegato nelle sezioni Definire le autorizzazioni IAM oppure è possibile utilizzare l’autenticazione basata sui ruoli selezionando Usa ruolo IAM durante la configurazione di una connessione host.

Importante:

Per utilizzare i ruoli IAM affinché Citrix gestisca le risorse, configurare prima il ruolo IAM desiderato sull’istanza ec2 del connettore cloud durante la configurazione del connettore cloud. Utilizzando Citrix Studio, aggiungere la connessione di hosting e selezionare l’opzione Usa ruolo IAM. Una connessione di hosting con queste impostazioni utilizzerà quindi l’autenticazione basata sui ruoli.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "workspaces-instances:*"
            ],
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Nota:

La sezione EC2 relativa ai SecurityGroups è necessaria solo se deve essere creato un gruppo di sicurezza di isolamento per la VM di preparazione durante la creazione del catalogo. Una volta fatto ciò, queste autorizzazioni non sono più richieste.

La sezione KMS è richiesta solo quando si utilizza la crittografia del volume EBS.

La sezione delle autorizzazioni iam:PassRole è necessaria solo per l’utilizzo di ruoli IAM affinché Citrix gestisca le risorse.

È possibile aggiungere autorizzazioni specifiche a livello di risorsa anziché l’accesso completo in base alle proprie esigenze e all’ambiente. Fare riferimento ai documenti AWS Demystifying EC2 Resource-Level Permissions e Access management for AWS resources per maggiori dettagli.

Utilizzare le autorizzazioni ec2:CreateNetworkInterface e ec2:DeleteNetworkInterface solo se si utilizza il metodo del worker di volume.

Prossimi passi

Per la creazione di immagini preparate, vedere Creare un’immagine preparata per le istanze gestite di Amazon WorkSpaces Core

Maggiori informazioni

Creare e gestire connessioni e risorse
Ambienti di virtualizzazione AWS
Per esempi PowerShell di Amazon WorkSpaces Core su GitHub, vedere citrix-mcs-sdk-samples-Amazon WorkSpaces Core.

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Connessione a istanze gestite di Amazon WorkSpaces Core

September 16, 2025

Grazie al contributo di:

September 16, 2025

Grazie al contributo di:

È stato utile?