Connessione alle istanze gestite di Amazon WorkSpaces Core
(/it-it/citrix-virtual-apps-desktops/2511/install-configure/connections) descrive le procedure guidate che creano una connessione. Le seguenti informazioni riguardano i dettagli specifici delle istanze gestite di Amazon WorkSpaces Core.
Prerequisiti
Eseguire le seguenti operazioni prima di creare una connessione alle istanze gestite di Amazon WorkSpaces Core:
- Completare la configurazione di AWS come posizione delle risorse. Vedere (/it-it/citrix-virtual-apps-desktops/2511/install-configure/install-prepare/aws).
- (#define-iam-permissions) dei criteri di un utente o ruolo IAM affinché Citrix® gestisca le risorse AWS per vostro conto.
- Creare un ruolo collegato al servizio.
Definire le autorizzazioni IAM
Prima di creare una connessione host, è necessario definire correttamente un criterio di autorizzazioni IAM per un utente o un ruolo IAM che conceda a Citrix le autorizzazioni appropriate per il provisioning e la gestione delle risorse nel proprio account AWS per proprio conto. Utilizzare le informazioni in questa sezione per definire le autorizzazioni IAM per Citrix Virtual Apps and Desktops sulle istanze gestite di Amazon WorkSpaces Core. Il servizio IAM di Amazon consente agli account di avere più utenti, che possono essere ulteriormente organizzati in gruppi. Questi utenti possono possedere autorizzazioni diverse per controllare la loro capacità di eseguire operazioni associate all’account. Per ulteriori informazioni sulle autorizzazioni IAM, consultare il riferimento alla policy JSON IAM.
Nota:
Poiché Citrix esegue il provisioning e la gestione delle risorse e dell’automazione nel proprio account AWS per proprio conto, la configurazione dei criteri di autorizzazione IAM basati su tag specifici o convenzioni di denominazione delle risorse non è supportata.
Per applicare i criteri di autorizzazione IAM a un nuovo gruppo di utenti:
- Accedere alla console di gestione AWS e selezionare il servizio IAM dall’elenco a discesa.
- Selezionare Crea un nuovo gruppo di utenti.
- Digitare un nome per il nuovo gruppo di utenti e selezionare Continua.
- Nella pagina Autorizzazioni, scegliere Criterio personalizzato.
- Digitare un nome per il criterio di autorizzazioni.
- Nella sezione Documento del criterio, immettere le autorizzazioni pertinenti.
Dopo aver immesso le informazioni sul criterio, selezionare Continua per completare l’applicazione del criterio di autorizzazioni IAM al gruppo di utenti. Agli utenti del gruppo vengono concesse le autorizzazioni per eseguire solo le azioni richieste da Citrix Virtual Apps and Desktops.
Importante:
Utilizzare il testo del criterio fornito nell’esempio presente in questo articolo per elencare le azioni che Citrix Virtual Apps and Desktops utilizza per eseguire azioni all’interno di un account AWS senza limitare tali azioni a risorse specifiche. Citrix consiglia di utilizzare l’esempio a scopo di test. Per gli ambienti di produzione, è possibile scegliere di aggiungere ulteriori restrizioni sulle risorse.
Aggiungere autorizzazioni IAM
Aggiungere le autorizzazioni nella sezione IAM della AWS Management Console:
- Nel pannello Riepilogo, selezionare la scheda Autorizzazioni.
- Selezionare Aggiungi autorizzazioni.
- Nella schermata Aggiungi autorizzazioni a, concedere le autorizzazioni.
- Nella sezione JSON, includere Autorizzazioni AWS richieste per il proprio ambiente.
Creare un ruolo collegato al servizio
Per ciascuno dei propri account AWS da cui Citrix chiamerà le API Core V2, creare un ruolo collegato al servizio (SLR).
I passaggi per creare il ruolo:
- Aprire un’interfaccia a riga di comando (CLI) nella console di gestione AWS.
-
Eseguire il seguente comando nella CLI:
aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com <!--NeedCopy-->
È anche possibile configurare il ruolo collegato al servizio utilizzando la console di gestione di Amazon WorkSpaces Core. Vedere Creazione di un ruolo collegato al servizio (console).
Creare una connessione
È possibile creare una connessione alle istanze gestite di Amazon WorkSpaces Core utilizzando:
Nota:
Controllare le restrizioni del server proxy o del firewall e assicurarsi che i seguenti indirizzi siano raggiungibili:
https://*.amazonaws.comehttps://*.api.aws. Inoltre, assicurarsi che tutti gli indirizzi menzionati in Connettività del servizio Citrix Gateway siano raggiungibili.Se questi non sono raggiungibili, potrebbe causare un errore durante la creazione o l’aggiornamento della connessione host.
Creare una connessione utilizzando Web Studio
- Passare alla pagina Hosting > Aggiungi connessione e risorse.
-
Nella pagina Connessione, seguire questi passaggi per configurare la connessione:
- Selezionare Crea una nuova connessione.
- In Zona, selezionare la posizione delle risorse configurata per l’ambiente AWS.
- Selezionare Amazon WorkSpaces Core come tipo di connessione.
-
Selezionare Usa chiave di accesso utente IAM o Usa ruolo IAM.
Per la chiave di accesso utente IAM, fornire la chiave API e la chiave segreta per l’utente IAM che dispone di una policy di autorizzazioni IAM appropriata affinché Citrix possa gestire le risorse nel proprio account AWS.
Per il ruolo IAM, assicurarsi di aver assegnato un ruolo IAM all’istanza del Delivery Controller con una policy di autorizzazioni IAM appropriata affinché Citrix possa gestire le risorse nel proprio account AWS. Per maggiori informazioni, consultare la guida all’autenticazione basata sui ruoli.
- Immettere un nome per la connessione e fare clic su Avanti.
- Nella pagina Posizione macchina virtuale, specificare la posizione in cui devono essere sottoposte a provisioning le VM. Selezionare la regione cloud, il VPC e la zona di disponibilità per la creazione di nuove VM.
-
Nella pagina Rete:
- Immettere un nome per le risorse selezionate in precedenza nella zona di disponibilità o nella zona locale.
- Selezionare una o più sottoreti nel VPC configurato nel menu precedente.
- Fare clic sulle pagine rimanenti fino alla pagina Riepilogo.
- Fare clic su Fine per creare la connessione host alle istanze gestite di Amazon WorkSpaces Core.
Considerazioni importanti
Quando si crea una connessione utilizzando Web Studio:
- Definire le autorizzazioni IAM appropriate affinché Citrix possa gestire le risorse AWS.
- Se si utilizza una chiave di accesso utente IAM affinché Citrix possa gestire le risorse AWS, è necessario fornire i valori della chiave API e della chiave segreta. È possibile esportare il file chiave contenente tali valori da AWS e quindi importarli. È inoltre necessario fornire la regione, la zona di disponibilità, il nome del VPC, gli indirizzi delle sottoreti, il nome di dominio, i nomi dei gruppi di sicurezza e le credenziali.
- Se si utilizza un ruolo IAM per consentire a Citrix di gestire le risorse AWS, è necessario assicurarsi di assegnare un ruolo con le autorizzazioni IAM appropriate a tutti i Delivery Controller. Guida all’autenticazione basata sui ruoli per maggiori informazioni.
- Il file delle credenziali per l’account AWS root (recuperato dalla console AWS) non è formattato allo stesso modo dei file delle credenziali scaricati per gli utenti AWS standard. Pertanto, Citrix Virtual Apps and Desktops non può utilizzare il file per popolare i campi della chiave API e della chiave segreta. Assicurarsi di utilizzare i file delle credenziali di AWS Identity Access Management (IAM).
- La zona può essere una zona di disponibilità o una zona locale.
Creare una connessione utilizzando PowerShell
- Aprire una finestra PowerShell.
- Eseguire
asnp citrix*per caricare i moduli PowerShell specifici di Citrix. -
Eseguire i seguenti comandi. Di seguito è riportato un esempio:
$connectionName = "demo-hostingconnection" $cloudRegion = "us-east-1" $apiKey = "aaaaaaaaaaaaaaaaaaaa" $apiSecret = “bbbbb” $secureKey = ConvertTo-SecureString -String $apiSecret $zoneUid = "00000000-0000-0000-0000-000000000000" $connectionPath = "XDHyp:\Connections\" + $connectionName $connection = New-Item -Path $connectionPath -ConnectionType "AmazonWorkSpacesCoreMachineManagerFactory" -HypervisorAddress " "https://workspaces-instances.$($cloudRegion).api.aws"" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid $hostingUnitName = "demo-hostingunit" $availabilityzone = "us-east-1a" $vpcName = "Default VPC" $jobGroup = [Guid]::NewGuid() $hostingUnitPath = "XDHyp:\HostingUnits\" + $HostingUnitName $rootPath = $connectionPath + "\" + $vpcName + ".virtualprivatecloud\" $availabilityZonePath = @($rootPath + $availabilityzone + ".availabilityzone") $networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq "Network") | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths <!--NeedCopy-->
Nota:
Per creare una connessione utilizzando l’autenticazione basata sui ruoli, specificare apiKey e apiSecret come
role_based_auth.
Limitazione
Se si modifica il nome di un AWS Virtual Private Cloud (VPC) nella console AWS, l’unità di hosting esistente in Citrix Cloud™ si interrompe. Quando l’unità di hosting è interrotta, non è possibile creare cataloghi o aggiungere macchine a cataloghi esistenti. Per risolvere il problema, ripristinare il nome originale del VPC AWS.
Modificare una connessione
È possibile modificare una connessione host esistente per:
- Modificare l’opzione per fornire le autorizzazioni IAM a Citrix per la gestione delle risorse
- Modificare il numero massimo di azioni simultanee (o macchine concorrenti) per connessione di hosting
- Modificare l’ambito.
- Configurare il numero massimo di gruppi di sicurezza consentiti per interfaccia di rete elastica (ENI) utilizzando il comando PowerShell (#configure-security-groups-per-network-interface)
Modificare le opzioni per fornire le autorizzazioni IAM
- Fare clic con il pulsante destro del mouse su una connessione Amazon WorkSpaces Core esistente.
- Nella pagina Proprietà connessione, fare clic su Modifica impostazioni.
- Selezionare una delle opzioni per fornire le autorizzazioni IAM affinché Citrix possa gestire le risorse. Immettere i dettagli richiesti e fare clic su Salva.
Modificare il numero massimo di azioni simultanee
Quando si creano connessioni host in Studio per le istanze gestite di Amazon WorkSpaces Core, vengono visualizzati i seguenti valori predefiniti:
| Opzione | Assoluto | Percentuale |
|---|---|---|
| Azioni simultanee (tutti i tipi) | 125 | 100 |
| Numero massimo di nuove azioni al minuto | 150 | n/d |
| Numero massimo di operazioni di provisioning simultanee | 150 | n/d |
Per impostazione predefinita, MCS supporta un massimo di 150 operazioni di provisioning simultanee.
È possibile configurare questi valori accedendo alla sezione Avanzate di Citrix Studio nella schermata Modifica connessione:
In alternativa, è possibile utilizzare l’SDK di PowerShell remoto per impostare il numero massimo di operazioni simultanee per ottenere impostazioni ottimali per il proprio ambiente.
Utilizzare la proprietà personalizzata di PowerShell, MaximumConcurrentProvisioningOperations, per specificare il numero massimo di operazioni di provisioning AWS simultanee.
Prima della configurazione:
- Assicurarsi di aver installato l’SDK di PowerShell per il cloud.
- Comprendere che il valore predefinito per
MaximumConcurrentProvisioningOperationsè 150.
Eseguire i seguenti passaggi per personalizzare il valore MaximumConcurrentProvisioningOperations:
- Aprire una finestra di PowerShell.
- Eseguire
asnp citrix*per caricare i moduli PowerShell specifici di Citrix. - Immettere
cd xdhyp:\Connections\. - Immettere
dirper elencare le connessioni. -
Modificare o inizializzare la stringa delle proprietà personalizzate:
-
Se la stringa delle proprietà personalizzate ha un valore, copiare le proprietà personalizzate in Blocco note. Quindi, modificare la proprietà
MaximumConcurrentProvisioningOperationscon il valore preferito. È possibile immettere un valore compreso tra 1 e 1000. Ad esempio,<Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>. -
Se la stringa delle proprietà personalizzate è vuota o null, è necessario inizializzare la stringa immettendo la sintassi corretta sia per lo schema che per la proprietà
MaximumConcurrentProvisioningOperations.
-
-
Nella finestra PowerShell, incollare le proprietà personalizzate modificate dal Blocco note e assegnare una variabile alle proprietà personalizzate modificate. Se sono state inizializzate le proprietà personalizzate, aggiungere le seguenti righe dopo la sintassi:
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>' <!--NeedCopy-->Questa stringa imposta la proprietà
MaximumConcurrentProvisioningOperationssu 100. Nella stringa delle proprietà personalizzate, è necessario impostare la proprietàMaximumConcurrentProvisioningOperationssu un valore che si allinei alle proprie esigenze. - Immettere
Get-XDAuthentication, che richiede le credenziali. - Eseguire
$cred = Get-Credential, che potrebbe richiedere solo una password (o un nome utente e una password). Potrebbe anche essere richiesto l’ID dell’applicazione e il segreto associato. Per le connessioni che utilizzano l’autenticazione basata sui ruoli, role_based_auth è sia il nome utente che la password. In caso contrario, immettere l’ID API AWS e il segreto. - Eseguire
set-item -PSPath 'XDHyp:\Connections<connection-name>' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password. È necessario impostare <connection-name> sul nome della connessione. - Immettere
dirper verificare la stringa CustomProperties aggiornata.
Configurare i gruppi di sicurezza per interfaccia di rete
Quando si modifica una connessione host, è ora possibile configurare il numero massimo di gruppi di sicurezza consentiti per interfaccia di rete elastica (ENI) utilizzando un comando PowerShell. Per informazioni sui valori di quota dei gruppi di sicurezza AWS, vedere Gruppi di sicurezza.
Per configurare i gruppi di sicurezza per interfaccia di rete:
- Aprire una finestra PowerShell.
- Eseguire
asnp citrix*per caricare i moduli PowerShell specifici di Citrix. - Eseguire
cd xdhyp:\Connections\. - Eseguire
dirper elencare le connessioni. -
Eseguire il seguente comando PowerShell per configurare i gruppi di sicurezza per interfaccia di rete:
Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>" <!--NeedCopy-->Nota:
Se non si imposta un valore per
AwsMaxENISecurityGroupLimit, verrà utilizzato il valore predefinito di 5.
URL dell’endpoint del servizio
URL dell’endpoint del servizio della zona standard
Quando si utilizza MCS, viene aggiunta una nuova connessione Amazon WorkSpaces Core Managed Instances con una chiave API e un segreto API. Con queste informazioni, insieme all’account autenticato, MCS interroga AWS per le regioni e le zone supportate utilizzando le chiamate API di AWS EC2 e Amazon WokrSpaces Core Managed Instances. La query viene eseguita utilizzando un URL dell’endpoint del servizio delle istanze Workspace https://workspaces-instances.us-east-1.api.aws/ e un endpoint del servizio EC2 https:/ec2.us-east-1.api.aws/.
Nota:
Assicurarsi che https://workspaces-instances.us-east-1.api.aws/ sia contattabile.
Autorizzazioni AWS richieste
Questa sezione contiene l’elenco completo delle autorizzazioni AWS. Utilizzare il set completo di autorizzazioni come indicato nella sezione affinché la funzionalità funzioni correttamente.
Nota:
L’autorizzazione
iam:PassRoleè necessaria solo per l’utilizzo dei ruoli IAM affinché Citrix possa gestire le risorse.
Creazione di una connessione host
Viene aggiunta una nuova connessione host utilizzando le informazioni ottenute da AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Gestione dell’alimentazione delle VM
Le VM vengono accese o spente.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",,
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances",
"ec2:DescribeInstanceStatus"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Creazione, aggiornamento o eliminazione di VM
Un catalogo di macchine viene creato, aggiornato o eliminato con VM fornite come istanze AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
- La sezione EC2 relativa ai SecurityGroups è necessaria solo se è necessario creare un gruppo di sicurezza di isolamento per la VM di preparazione durante la creazione del catalogo. Una volta fatto ciò, queste autorizzazioni non sono più richieste.
Caricamento e download diretto del disco
Le seguenti autorizzazioni devono essere aggiunte alla policy:
ebs:StartSnapshotebs:GetSnapshotBlockebs:PutSnapshotBlockebs:CompleteSnapshotebs:ListSnapshotBlocksebs:ListChangedBlocksec2:CreateSnapshotec2:DeleteSnapshotec2:DescribeLaunchTemplates
Crittografia EBS dei volumi creati
EBS può crittografare automaticamente i volumi appena creati se l’AMI è crittografata o se EBS è configurato per crittografare tutti i nuovi volumi. Tuttavia, per implementare la funzionalità, le seguenti autorizzazioni devono essere incluse nella policy IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
Le autorizzazioni possono essere limitate a chiavi specifiche includendo un blocco Resource e Condition a discrezione dell’utente. Ad esempio, Autorizzazioni KMS con condizione:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
<!--NeedCopy-->
La seguente istruzione di policy chiave è l’intera policy chiave predefinita per le chiavi KMS necessaria per consentire all’account di utilizzare le policy IAM per delegare l’autorizzazione per tutte le azioni (kms:*) sulla chiave KMS.
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->
Per maggiori informazioni, consultare la documentazione ufficiale di AWS Key Management Service.
Autenticazione basata su ruolo IAM
Le seguenti autorizzazioni vengono aggiunte per supportare l’autenticazione basata su ruolo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Policy di autorizzazioni IAM minime
Il seguente JSON può essere utilizzato per tutte le funzionalità attualmente supportate. È possibile creare connessioni host, creare, aggiornare o eliminare VM ed eseguire la gestione dell’alimentazione utilizzando questa policy. La policy può essere applicata agli utenti come spiegato nelle sezioni Definire le autorizzazioni IAM oppure è possibile utilizzare l’autenticazione basata su ruolo selezionando Usa ruolo IAM durante la configurazione di una connessione host.
Importante:
Per utilizzare i ruoli IAM per la gestione delle risorse da parte di Citrix, configurare prima il ruolo IAM desiderato sull’istanza ec2 del Delivery Controller durante la configurazione dei Delivery Controller. Utilizzando Citrix Studio, aggiungere la connessione di hosting e selezionare l’opzione Usa ruolo IAM. Una connessione di hosting con queste impostazioni utilizzerà quindi l’autenticazione basata sui ruoli.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstanceStatus",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Effect": "Allow",
"Action": [
"workspaces-instances:*"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
- La sezione EC2 relativa ai SecurityGroups è necessaria solo se è necessario creare un Isolation Security Group per la VM di preparazione durante la creazione del catalogo. Una volta fatto ciò, queste autorizzazioni non sono più richieste.
- La sezione KMS è richiesta solo quando si utilizza la crittografia del volume EBS.
- La sezione delle autorizzazioni
iam:PassRoleè necessaria solo per l’utilizzo dei ruoli IAM per la gestione delle risorse da parte di Citrix.- È possibile aggiungere autorizzazioni specifiche a livello di risorsa anziché l’accesso completo, in base ai requisiti e all’ambiente. Per maggiori dettagli, fare riferimento ai documenti AWS Demystifying EC2 Resource-Level Permissions e Access management for AWS resources.
- Utilizzare le autorizzazioni
ec2:CreateNetworkInterfaceeec2:DeleteNetworkInterfacesolo se si utilizza il metodo del volume worker.
Dove andare dopo
- Per la creazione di immagini preparate, vedere Creare un’immagine preparata per le istanze gestite di Amazon WorkSpaces Core
Ulteriori informazioni
- Creare e gestire connessioni e risorse
- Ambienti di virtualizzazione AWS
- Per esempi di PowerShell di Amazon WorkSpaces Core GitHub, vedere citrix-mcs-sdk-samples-Amazon WorkSpaces Core.