Amazon WorkSpaces Core マネージドインスタンスへの接続
(/ja-jp/citrix-virtual-apps-desktops/2511/install-configure/connections)では、接続を作成するウィザードについて説明しています。以下の情報は、Amazon WorkSpaces Core マネージドインスタンスに固有の詳細を扱っています。
前提条件
Amazon WorkSpaces Core マネージドインスタンスへの接続を作成する前に、以下を実行してください。
- AWS をリソースの場所として設定を完了します。(/ja-jp/citrix-virtual-apps-desktops/2511/install-configure/install-prepare/aws)を参照してください。
- Citrix® がお客様に代わって AWS リソースを管理するための IAM ユーザーまたはロールの(#define-iam-permissions)ポリシー。
- サービスリンクロールを作成する。
IAM 権限を定義する
ホスト接続を作成する前に、Citrix がお客様に代わって AWS アカウント内のリソースをプロビジョニングおよび管理するための適切な権限を付与する IAM ユーザーまたはロールに対して、IAM 権限ポリシーを適切に定義する必要があります。このセクションの情報を使用して、Amazon WorkSpaces Core マネージドインスタンス上の Citrix Virtual Apps and Desktops の IAM 権限を定義します。Amazon の IAM サービスでは、複数のユーザーを持つアカウントが許可されており、それらのユーザーはさらにグループに編成できます。これらのユーザーは、アカウントに関連する操作を実行する能力を制御するために、異なる権限を持つことができます。IAM 権限の詳細については、IAM JSON ポリシーリファレンスを参照してください。
注:
Citrix はお客様に代わって AWS アカウント内のリソースと自動化をプロビジョニングおよび管理するため、特定のタグやリソース命名規則に基づいた IAM 権限ポリシーの構成はサポートされていません。
新しいユーザーグループに IAM 権限ポリシーを適用するには:
- AWS マネジメントコンソールにログインし、ドロップダウンリストからIAM サービスを選択します。
- 新しいユーザーグループを作成を選択します。
- 新しいユーザーグループの名前を入力し、続行を選択します。
- 「権限」ページで、「カスタムポリシー」を選択します。
- 「権限ポリシー」の名前を入力します。
- 「Policy Document」セクションで、関連する権限を入力します。
ポリシー情報を入力したら、「Continue」を選択して、IAM権限ポリシーをユーザーグループに適用するプロセスを完了します。グループ内のユーザーには、Citrix Virtual Apps and Desktopsに必要なアクションのみを実行する権限が付与されます。
重要:
この記事の例で提供されているポリシーテキストを使用して、Citrix Virtual Apps and DesktopsがAWSアカウント内でアクションを実行するために使用するアクションを、特定のリソースに制限することなくリストします。Citrixは、テスト目的でこの例を使用することをお勧めします。本番環境では、リソースにさらなる制限を追加することを選択できます。
IAM権限を追加する
AWS マネジメントコンソールのIAMセクションで、権限を追加します。
- 「Summary」パネルで、「Permissions」タブを選択します。
- 権限を追加を選択します。
- 「Add Permissions to」画面で、権限を付与します。
- JSONセクションで、環境に必要な必要なAWS権限を含めます。
サービスにリンクされたロールを作成する
CitrixがCore V2 APIを呼び出す各AWSアカウントに対して、サービスにリンクされたロール (SLR)を作成します。
ロールを作成する手順:
- AWS マネジメントコンソールでコマンドラインインターフェイス (CLI) を開きます。
-
CLI で次のコマンドを実行します。
aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com <!--NeedCopy-->
Amazon WorkSpaces Core 管理コンソールを使用して、サービスにリンクされたロールを構成することもできます。サービスにリンクされたロールの作成 (コンソール)を参照してください。
接続を作成する
Amazon WorkSpaces Core マネージドインスタンスへの接続は、次の方法で作成できます。
注:
プロキシサーバーまたはファイアウォールの制限を確認し、次のアドレスに接続できることを確認してください:
https://*.amazonaws.comおよびhttps://*.api.aws。また、Citrix Gateway サービス接続に記載されているすべてのアドレスに接続できることを確認してください。これらに接続できない場合、ホスト接続の作成または更新中に障害が発生する可能性があります。
Web Studio を使用して接続を作成する
- ホスティング > 接続とリソースの追加ページに移動します。
-
接続ページで、次の手順に従って接続を構成します。
- 新しい接続を作成を選択します。
- ゾーンで、AWS 環境用に設定したリソースの場所を選択します。
- 接続の種類として、Amazon WorkSpaces Coreを選択します。
-
IAMユーザーアクセスキーを使用またはIAMロールを使用を選択します。
IAMユーザーアクセスキーの場合、CitrixがAWSアカウントのリソースを管理するために適切なIAM権限ポリシーを持つIAMユーザーのAPIキーとシークレットキーを入力します。
IAMロールの場合、CitrixがAWSアカウントのリソースを管理するために適切なIAM権限ポリシーを持つDelivery ControllerインスタンスにIAMロールを割り当てたことを確認してください。詳細については、ロールベース認証ガイドを参照してください。
- 接続名を入力し、次へをクリックします。
- 仮想マシンの場所ページで、VMをプロビジョニングする場所を指定します。新しいVMを作成するためのクラウドリージョン、VPC、およびアベイラビリティゾーンを選択します。
-
ネットワークページで:
- アベイラビリティゾーンまたはローカルゾーンで以前に選択したリソースの名前を入力します。
- 前のメニューで構成したVPC内の1つ以上のサブネットを選択します。
- 概要ページまで残りのページを進みます。
- 完了をクリックして、Amazon WorkSpaces Core マネージドインスタンスへのホスト接続を作成します。
重要な考慮事項
Web Studioを使用して接続を作成する場合:
- CitrixがAWSリソースを管理するために、適切なIAM権限を定義します。
- CitrixがAWSリソースを管理するためにIAMユーザーアクセスキーを使用する場合、APIキーとシークレットキーの値を指定する必要があります。これらの値を含むキーファイルをAWSからエクスポートし、インポートできます。また、リージョン、アベイラビリティゾーン、VPC名、サブネットアドレス、ドメイン名、セキュリティグループ名、および資格情報も指定する必要があります。
- CitrixがAWSリソースを管理するためにIAMロールを使用する場合、すべてのDelivery Controllerに適切なIAM権限を持つロールを割り当てる必要があります。詳細については、ロールベース認証ガイドを参照してください。
- ルートAWSアカウントの資格情報ファイル(AWSコンソールから取得)は、標準のAWSユーザー用にダウンロードされた資格情報ファイルと同じ形式ではありません。そのため、Citrix Virtual Apps and Desktopsは、このファイルを使用してAPIキーとシークレットキーのフィールドに入力することはできません。AWS Identity Access Management (IAM) 資格情報ファイルを使用していることを確認してください。
- ゾーンは、アベイラビリティゾーンまたはローカルゾーンのいずれかです。
PowerShellを使用して接続を作成する
- PowerShellウィンドウを開きます。
- Citrix固有のPowerShellモジュールをロードするには、
asnp citrix*を実行します。 -
次のコマンドを実行します。以下に例を示します。
$connectionName = "demo-hostingconnection" $cloudRegion = "us-east-1" $apiKey = "aaaaaaaaaaaaaaaaaaaa" $apiSecret = “bbbbb” $secureKey = ConvertTo-SecureString -String $apiSecret $zoneUid = "00000000-0000-0000-0000-000000000000" $connectionPath = "XDHyp:\Connections\" + $connectionName $connection = New-Item -Path $connectionPath -ConnectionType "AmazonWorkSpacesCoreMachineManagerFactory" -HypervisorAddress " "https://workspaces-instances.$($cloudRegion).api.aws"" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid $hostingUnitName = "demo-hostingunit" $availabilityzone = "us-east-1a" $vpcName = "Default VPC" $jobGroup = [Guid]::NewGuid() $hostingUnitPath = "XDHyp:\HostingUnits\" + $HostingUnitName $rootPath = $connectionPath + "\" + $vpcName + ".virtualprivatecloud\" $availabilityZonePath = @($rootPath + $availabilityzone + ".availabilityzone") $networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq "Network") | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths <!--NeedCopy-->
注:
ロールベース認証を使用して接続を作成するには、apiKeyとapiSecretを
role_based_authとして指定します。
制限事項
AWSコンソールでAWS Virtual Private Cloud (VPC) の名前を変更すると、Citrix Cloud™内の既存のホスティングユニットが破損します。ホスティングユニットが破損すると、カタログを作成したり、既存のカタログにマシンを追加したりできなくなります。この問題を解決するには、AWS VPCの名前を元の名前に戻してください。
接続を編集する
既存のホスト接続を編集して、次のことができます。
- Citrixがリソースを管理するためのIAM権限を提供するオプションを変更する
- ホスティング接続あたりの同時アクション(または同時マシン)の最大数を変更する
- スコープを変更します。
- PowerShell コマンドを使用して、エラスティックネットワークインターフェイス (ENI) ごとに許可されるセキュリティグループの最大数を構成します(#configure-security-groups-per-network-interface)
IAM 権限を付与するためのオプションを編集する
- 既存の Amazon WorkSpaces Core 接続を右クリックします。
- [接続プロパティ] ページで、[設定の編集] をクリックします。
- Citrix がリソースを管理するための IAM 権限を付与するオプションのいずれかを選択します。必要な詳細を入力し、[保存] をクリックします。
同時実行アクションの最大数を変更する
Amazon WorkSpaces Core マネージドインスタンスの Studio でホスト接続を作成すると、次のデフォルト値が表示されます。
| オプション | 絶対 | パーセンテージ |
|---|---|---|
| 同時実行アクション (すべてのタイプ) | 125 | 100 |
| 1 分あたりの新規アクションの最大数 | 150 | 該当なし |
| 同時プロビジョニング操作の最大数 | 150 | 該当なし |
MCSは、デフォルトで最大150の同時プロビジョニング操作をサポートします。
これらの値は、Edit Connection画面のCitrix StudioのAdvancedセクションにアクセスして構成できます。
または、Remote PowerShell SDKを使用して、環境に最適な設定のために同時操作の最大数を設定することもできます。
PowerShellカスタムプロパティMaximumConcurrentProvisioningOperationsを使用して、同時AWSプロビジョニング操作の最大数を指定します。
設定を行う前に:
- Cloud用PowerShell SDKがインストールされていることを確認してください。
-
MaximumConcurrentProvisioningOperationsのデフォルト値が150であることを理解してください。
MaximumConcurrentProvisioningOperationsの値をカスタマイズするには、次の手順を実行します。
- PowerShellウィンドウを開きます。
- Citrix固有のPowerShellモジュールをロードするには、
asnp citrix*を実行します。 -
cd xdhyp:\Connections\を入力します。 - 接続を一覧表示するには、
dirを入力します。 -
カスタムプロパティ文字列を変更または初期化します。
-
カスタムプロパティ文字列に値がある場合は、カスタムプロパティをメモ帳にコピーします。次に、
MaximumConcurrentProvisioningOperationsプロパティを希望の値に変更します。1~1000の範囲の値を入力できます。 例:<Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>。 -
カスタムプロパティ文字列が空またはnullの場合、スキーマと
MaximumConcurrentProvisioningOperationsプロパティの両方に適切な構文を入力して文字列を初期化する必要があります。
-
-
PowerShell ウィンドウで、メモ帳から変更したカスタムプロパティを貼り付け、変更したカスタムプロパティに変数を割り当てます。カスタムプロパティを初期化した場合は、構文の後に次の行を追加します。
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>' <!--NeedCopy-->この文字列は、
MaximumConcurrentProvisioningOperationsプロパティを100に設定します。カスタムプロパティ文字列では、MaximumConcurrentProvisioningOperationsプロパティをニーズに合った値に設定する必要があります。 - 資格情報の入力を求める
Get-XDAuthenticationを入力します。 -
$cred = Get-Credentialを実行します。これにより、パスワードのみ (または名前とパスワード) の入力を求められる場合があります。アプリケーションIDと関連するシークレットの入力を求められる場合もあります。ロールベース認証を使用する接続の場合、role_based_auth は名前とパスワードの両方です。それ以外の場合は、AWS API IDとシークレットを入力します。 -
set-item -PSPath 'XDHyp:\Connections<connection-name>' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.passwordを実行します。<connection-name> を接続の名前に設定する必要があります。 - 更新されたCustomProperties文字列を確認するには、
dirを入力します。
ネットワークインターフェイスごとのセキュリティグループを構成する
ホスト接続を編集する際、PowerShellコマンドを使用して、エラスティックネットワークインターフェイス (ENI) ごとに許可されるセキュリティグループの最大数を構成できるようになりました。AWSセキュリティグループのクォータ値については、セキュリティグループ を参照してください。
ネットワークインターフェイスごとにセキュリティグループを構成するには:
- PowerShellウィンドウを開きます。
- Citrix固有のPowerShellモジュールをロードするには、
asnp citrix*を実行します。 -
cd xdhyp:\Connections\を実行します。 - 接続を一覧表示するには、
dirを実行します。 -
ネットワークインターフェースごとにセキュリティグループを構成するには、次のPowerShellコマンドを実行します。
Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>" <!--NeedCopy-->注:
AwsMaxENISecurityGroupLimitに値を設定しない場合、デフォルト値の5が使用されます。
サービスエンドポイントURL
標準ゾーンサービスエンドポイントURL
MCSを使用すると、APIキーとAPIシークレットを持つ新しいAmazon WokrSpaces Core Managed Instances接続が追加されます。認証済みアカウントとこの情報を使用して、MCSはAWS EC2およびAmazon WokrSpaces Core Managed Instances API呼び出しを通じて、サポートされているリージョンとゾーンをAWSに照会します。この照会は、ワークスペースインスタンスサービスエンドポイントURL https://workspaces-instances.us-east-1.api.aws/とEC2サービスエンドポイント https:/ec2.us-east-1.api.aws/を使用して行われます。
注:
https://workspaces-instances.us-east-1.api.aws/に接続できることを確認してください。
必要なAWS権限
このセクションには、AWS権限の完全なリストが含まれています。機能が正しく動作するように、このセクションに記載されている権限の完全なセットを使用してください。
注:
Citrixがリソースを管理するためにIAMロールを使用する場合にのみ、
iam:PassRole権限が必要です。
ホスト接続の作成
AWSから取得した情報を使用して、新しいホスト接続が追加されます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
VMの電源管理
VMの電源はオンまたはオフになります。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",,
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances",
"ec2:DescribeInstanceStatus"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
VMの作成、更新、または削除
AWSインスタンスとしてプロビジョニングされたVMを使用して、マシンカタログが作成、更新、または削除されます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"workspaces-instances:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
注:
- SecurityGroupsに関連するEC2セクションは、カタログ作成時に準備VM用に分離セキュリティグループを作成する必要がある場合にのみ必要です。これが完了すると、これらの権限は不要になります。
ディスクの直接アップロードとダウンロード
次の権限をポリシーに追加する必要があります。
ebs:StartSnapshotebs:GetSnapshotBlockebs:PutSnapshotBlockebs:CompleteSnapshotebs:ListSnapshotBlocksebs:ListChangedBlocksec2:CreateSnapshotec2:DeleteSnapshotec2:DescribeLaunchTemplates
作成されたボリュームのEBS暗号化
AMIが暗号化されている場合、またはEBSがすべての新しいボリュームを暗号化するように構成されている場合、EBSは新しく作成されたボリュームを自動的に暗号化できます。ただし、この機能を実装するには、IAMポリシーに以下の権限を含める必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
注:
ユーザーの判断で、リソースと条件ブロックを含めることで、権限を特定のキーに制限できます。例:条件付きKMS権限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
<!--NeedCopy-->
以下のキーポリシーステートメントは、アカウントがIAMポリシーを使用してKMSキーに対するすべてのアクション (kms:*) の権限を委任できるようにするために必要な、KMSキーのデフォルトキーポリシー全体です。
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->
詳細については、AWS Key Management Service公式ドキュメントを参照してください。
IAMロールベース認証
ロールベース認証をサポートするために、以下の権限が追加されます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
最小限のIAM権限ポリシー
以下のJSONは、現在サポートされているすべての機能に使用できます。このポリシーを使用して、ホスト接続の作成、VMの作成、更新、削除、および電源管理を行うことができます。 ポリシーは、IAM権限の定義セクションで説明されているようにユーザーに適用することも、ホスト接続を構成する際にIAMロールを使用を選択してロールベース認証を使用することもできます。
重要:
Citrixがリソースを管理するためのIAMロールを使用するには、まずDelivery Controllerをセットアップする際に、Delivery Controller EC2インスタンスで目的のIAMロールを構成します。Citrix Studioを使用して、ホスティング接続を追加し、IAMロールを使用オプションを選択します。これらの設定を持つホスティング接続は、ロールベース認証を使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstanceStatus",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Effect": "Allow",
"Action": [
"workspaces-instances:*"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
注:
- SecurityGroupsに関連するEC2セクションは、カタログ作成時に準備用VMの分離セキュリティグループを作成する必要がある場合にのみ必要です。これが完了すると、これらの権限は不要になります。
- KMSセクションは、EBSボリューム暗号化を使用する場合にのみ必要です。
iam:PassRole権限セクションは、Citrixがリソースを管理するためのIAMロールを使用する場合にのみ必要です。- 要件と環境に基づいて、フルアクセスではなく特定のリソースレベルの権限を追加できます。詳細については、AWSドキュメントのEC2リソースレベルの権限を解き明かすおよびAWSリソースのアクセス管理を参照してください。
- ボリュームワーカー方式を使用している場合にのみ、
ec2:CreateNetworkInterfaceおよびec2:DeleteNetworkInterface権限を使用してください。
次のステップ
- 準備済みイメージの作成については、Amazon WorkSpaces Coreマネージドインスタンス用の準備済みイメージを作成するを参照してください。
詳細情報
- 接続とリソースの作成および管理
- AWS仮想化環境
- アマゾン ワークスペース コア の ギットハブ パワーシェル の 使用例については、citrix-mcs-sdk-samples-Amazon WorkSpaces Coreを参照してください。