Produktdokumentation
Citrix Virtual Apps and Desktops 7 2203 LTSR
PDF anzeigen

AWS-Cloud-Umgebungen

June 5, 2026
Beitrag von: 
C

Dieser Artikel führt Sie durch die Einrichtung Ihres AWS-Kontos als Ressourcenstandort, den Sie mit Citrix Virtual Apps and Desktops verwenden können. Der Ressourcenstandort umfasst einen grundlegenden Satz von Komponenten, ideal für einen Machbarkeitsnachweis oder eine andere Bereitstellung, die keine Ressourcen erfordert, die über mehrere Verfügbarkeitszonen verteilt sind. Nachdem Sie diese Aufgaben abgeschlossen haben, können Sie VDAs installieren, Maschinen bereitstellen, Maschinenkataloge erstellen und Bereitstellungsgruppen erstellen.

Wenn Sie die Aufgaben in diesem Artikel abgeschlossen haben, umfasst Ihr Ressourcenstandort die folgenden Komponenten:

  • Eine Virtual Private Cloud (VPC) mit öffentlichen und privaten Subnetzen innerhalb einer einzigen Verfügbarkeitszone.
  • Eine Instanz, die sowohl als Active Directory-Domänencontroller als auch als DNS-Server fungiert und sich im privaten Subnetz der VPC befindet.
  • Eine Instanz, die als Bastion-Host im öffentlichen Subnetz Ihrer VPC fungiert. Diese Instanz wird verwendet, um RDP-Verbindungen zu den Instanzen im privaten Subnetz für Verwaltungszwecke zu initiieren. Nachdem Sie die Einrichtung Ihres Ressourcenstandorts abgeschlossen haben, können Sie diese Instanz herunterfahren, damit sie nicht mehr ohne Weiteres zugänglich ist. Wenn Sie andere Instanzen im privaten Subnetz, z. B. VDA-Instanzen, verwalten müssen, können Sie die Bastion-Host-Instanz neu starten.

Einschränkung

Ab Citrix Virtual Apps and Desktops 2203 LTSR und höher führt das MCS AWS-Plug-in einen DescribeInstanceTypes AWS-API-Aufruf aus, und wenn dieser erfolgreich ist, verwendet MCS den aus der API-Antwort erstellten Bestandsnamen.

Wenn Sie daher von CVAD 1912 auf 2203 oder höher aktualisieren, deaktivieren Sie die DefineInstanceType Berechtigung in AWS und aktualisieren Sie dann den vorhandenen Katalog mit dem Set-ProvScheme Befehl, um dem AWS-Benennungsschema zu entsprechen. Fügen Sie dann die DescribeInstanceType Berechtigungen wieder hinzu, nachdem die Katalogaktualisierung abgeschlossen ist und das Dienstangebot dem AWS-Benennungsschema entspricht.

Aufgabenübersicht

Einrichten einer Virtual Private Cloud (VPC) mit öffentlichen und privaten Subnetzen. Wenn Sie diese Aufgabe abgeschlossen haben, stellt AWS ein NAT-Gateway mit einer Elastic IP-Adresse im öffentlichen Subnetz bereit. Diese Aktion ermöglicht Instanzen im privaten Subnetz den Zugriff auf das Internet. Instanzen im öffentlichen Subnetz sind für eingehenden öffentlichen Datenverkehr zugänglich, während Instanzen im privaten Subnetz dies nicht sind.

Sicherheitsgruppen konfigurieren. Sicherheitsgruppen fungieren als virtuelle Firewalls, die den Datenverkehr für die Instanzen in Ihrer VPC steuern. Sie fügen Ihren Sicherheitsgruppen Regeln hinzu, die es Instanzen in Ihrem öffentlichen Subnetz ermöglichen, mit Instanzen in Ihrem privaten Subnetz zu kommunizieren. Sie ordnen diese Sicherheitsgruppen auch jeder Instanz in Ihrer VPC zu.

DHCP-Optionssatz erstellen. Bei einer Amazon VPC werden DHCP- und DNS-Dienste standardmäßig bereitgestellt, was sich auf die Konfiguration von DNS auf Ihrem Active Directory-Domänencontroller auswirkt. Das DHCP von Amazon kann nicht deaktiviert werden, und das DNS von Amazon kann nur für die öffentliche DNS-Auflösung verwendet werden, nicht für die Active Directory-Namensauflösung. Um die Domäne und die Namensserver anzugeben, die Instanzen über DHCP zugewiesen werden, erstellen Sie einen DHCP-Optionssatz. Der Satz weist das Active Directory-Domänensuffix zu und gibt den DNS-Server für alle Instanzen in Ihrer VPC an. Um sicherzustellen, dass Host (A)- und Reverse-Lookup (PTR)-Einträge automatisch registriert werden, wenn Instanzen der Domäne beitreten, konfigurieren Sie die Netzadaptereigenschaften für jede Instanz, die Sie dem privaten Subnetz hinzufügen.

Bastion-Host und Domänencontroller zur VPC hinzufügen. Über den Bastion-Host können Sie sich bei Instanzen im privaten Subnetz anmelden, um die Domäne einzurichten und Instanzen der Domäne beizutreten.

Aufgabe 1: VPC einrichten

  1. Wählen Sie in der AWS-Verwaltungskonsole VPC aus.
  2. Wählen Sie im VPC-Dashboard VPC erstellen aus.
  3. Wählen Sie VPC und mehr aus.
  4. Wählen Sie unter NAT-Gateways ($) In 1 AZ oder 1 pro AZ aus.
  5. Lassen Sie unter DNS-Optionen die Option DNS-Hostnamen aktivieren ausgewählt.
  6. Wählen Sie VPC erstellen aus. AWS erstellt die öffentlichen und privaten Subnetze, das Internet-Gateway, die Routing-Tabellen und die Standardsicherheitsgruppe.

Aufgabe 2: Sicherheitsgruppen konfigurieren

Diese Aufgabe erstellt und konfiguriert die folgenden Sicherheitsgruppen für Ihre VPC:

  • Eine öffentliche Sicherheitsgruppe zur Zuordnung zu den Instanzen in Ihrem öffentlichen Subnetz.
  • Eine private Sicherheitsgruppe zur Zuordnung zu den Instanzen in Ihrem privaten Subnetz.

So erstellen Sie die Sicherheitsgruppen:

  1. Wählen Sie im VPC-Dashboard Sicherheitsgruppen aus.
  2. Erstellen Sie eine Sicherheitsgruppe für die öffentliche Sicherheitsgruppe. Wählen Sie Sicherheitsgruppe erstellen aus und geben Sie einen Namen und eine Beschreibung für die Gruppe ein. Wählen Sie unter VPC die zuvor erstellte VPC aus. Wählen Sie Ja, erstellen aus.

Öffentliche Sicherheitsgruppe konfigurieren

  1. Wählen Sie aus der Liste der Sicherheitsgruppen die öffentliche Sicherheitsgruppe aus.

  2. Wählen Sie die Registerkarte Eingehende Regeln und wählen Sie Bearbeiten, um die folgenden Regeln zu erstellen:

    Typ Quelle
    Gesamter Datenverkehr Wählen Sie die private Sicherheitsgruppe aus.
    Gesamter Datenverkehr Wählen Sie die öffentliche Sicherheitsgruppe aus.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Sitzungszuverlässigkeit) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0

  3. Wählen Sie nach Abschluss Speichern.

  4. Wählen Sie die Registerkarte Ausgehende Regeln und dann Bearbeiten, um die folgenden Regeln zu erstellen:

    Typ Bestimmungsort
    ALLER Datenverkehr Wählen Sie die private Sicherheitsgruppe aus.
    ALLER Datenverkehr 0.0.0.0/0
    ICMP 0.0.0.0/0

  5. Wenn Sie fertig sind, wählen Sie Speichern.

Konfigurieren der privaten Sicherheitsgruppe

  1. Wählen Sie aus der Liste der Sicherheitsgruppen die private Sicherheitsgruppe aus.

  2. Wenn Sie den Datenverkehr von der öffentlichen Sicherheitsgruppe noch nicht eingerichtet haben, müssen Sie TCP-Ports festlegen; wählen Sie die Registerkarte Eingehende Regeln und dann Bearbeiten, um die folgenden Regeln zu erstellen:

    Typ Quelle
    Gesamter Datenverkehr Wählen Sie die private Sicherheitsgruppe aus.
    Gesamter Datenverkehr Wählen Sie die öffentliche Sicherheitsgruppe aus.
    ICMP Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 53 (DNS) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    UDP 53 (DNS) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    80 (HTTP) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 135 Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 389 Wählen Sie die öffentliche Sicherheitsgruppe aus.
    UDP 389 Wählen Sie die öffentliche Sicherheitsgruppe aus.
    443 (HTTPS) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 1494 (ICA/HDX) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 2598 (Session Reliability) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    3389 (RDP) Wählen Sie die öffentliche Sicherheitsgruppe aus.
    TCP 49152–65535 Wählen Sie die öffentliche Sicherheitsgruppe aus.

  3. Wenn Sie fertig sind, wählen Sie Speichern aus.

  4. Wählen Sie die Registerkarte Ausgehende Regeln und dann Bearbeiten, um die folgenden Regeln zu erstellen:

    Typ Bestimmungsort
    Gesamter Datenverkehr Wählen Sie die private Sicherheitsgruppe aus.
    Gesamter Datenverkehr 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0

  5. Wenn Sie fertig sind, wählen Sie Speichern.

Aufgabe 3: Instanzen starten

Führen Sie die folgenden Schritte aus, um zwei EC2-Instanzen zu erstellen und das Standard-Administratorkennwort zu entschlüsseln, das Amazon generiert:

  1. Wählen Sie in der AWS-Verwaltungskonsole EC2.
  2. Wählen Sie im EC2-Dashboard Instanz starten.
  3. Wählen Sie ein Windows Server-Maschinenimage und einen Instanztyp.
  4. Geben Sie auf der Seite Instanzdetails konfigurieren einen Namen für die Instanz ein und wählen Sie die zuvor eingerichtete VPC aus.

  5. Nehmen Sie unter Subnetz die folgenden Auswahlen für jede Instanz vor:

    • Bastion-Host: Wählen Sie das öffentliche Subnetz
    • Domänencontroller: Wählen Sie das private Subnetz

  6. Nehmen Sie unter Öffentliche IP-Adresse automatisch zuweisen die folgenden Auswahlen für jede Instanz vor:

    • Bastion-Host: Wählen Sie Aktivieren.
    • Domänencontroller: Wählen Sie Standardeinstellung verwenden oder Deaktivieren.
  7. Geben Sie unter Netzwerkschnittstellen eine primäre IP-Adresse innerhalb des IP-Bereichs Ihres privaten Subnetzes für den Domänencontroller ein.
  8. Passen Sie bei Bedarf auf der Seite Speicher hinzufügen die Festplattengröße an.
  9. Geben Sie auf der Seite Instanz taggen einen Anzeigenamen für jede Instanz ein.

  10. Wählen Sie auf der Seite Sicherheitsgruppen konfigurieren die Option Vorhandene Sicherheitsgruppe auswählen und treffen Sie dann die folgenden Auswahlen für jede Instanz:

    • Bastion-Host: Wählen Sie die öffentliche Sicherheitsgruppe aus.
    • Domänencontroller: Wählen Sie die private Sicherheitsgruppe aus.
  11. Überprüfen Sie Ihre Auswahl und wählen Sie dann Starten.
  12. Erstellen Sie ein neues Schlüsselpaar oder wählen Sie ein vorhandenes aus. Wenn Sie ein neues Schlüsselpaar erstellen, laden Sie Ihre private Schlüsseldatei (.pem) herunter und bewahren Sie sie an einem sicheren Ort auf. Sie müssen Ihren privaten Schlüssel angeben, wenn Sie das Standard-Administratorkennwort für die Instanz abrufen.
  13. Wählen Sie Instanzen starten. Wählen Sie Instanzen anzeigen, um eine Liste Ihrer Instanzen anzuzeigen. Warten Sie, bis die neu gestartete Instanz alle Statusprüfungen bestanden hat, bevor Sie darauf zugreifen.

  14. Rufen Sie das Standard-Administratorkennwort für jede Instanz ab:

    1. Wählen Sie in der Instanzliste die Instanz aus und wählen Sie dann Verbinden.
    2. Gehen Sie zur Registerkarte RDP-Client, wählen Sie Passwort abrufen, und laden Sie Ihre private Schlüsseldatei (.pem) hoch, wenn Sie dazu aufgefordert werden.
    3. Wählen Sie Passwort entschlüsseln, um das lesbare Passwort zu erhalten. AWS zeigt das Standardpasswort an.

  15. Wiederholen Sie die Schritte ab Schritt 2, bis Sie zwei Instanzen erstellt haben:

    • Eine Bastion-Host-Instanz in Ihrem öffentlichen Subnetz
    • Eine Instanz in Ihrem privaten Subnetz, die als Domänencontroller verwendet werden soll.

Aufgabe 4: Erstellen eines DHCP-Optionssatzes

  1. Wählen Sie im VPC-Dashboard die Option DHCP Options Sets.

  2. Geben Sie die folgenden Informationen ein:

    • Namens-Tag: Geben Sie einen Anzeigenamen für den Satz ein.
    • Domänenname: Geben Sie den vollqualifizierten Domänennamen ein, den Sie bei der Konfiguration der Domänencontroller-Instanz verwenden.
    • Domänennamenserver: Geben Sie die private IP-Adresse, die Sie der Domänencontroller-Instanz zugewiesen haben, und die Zeichenfolge AmazonProvidedDNS durch Kommas getrennt ein.
    • NTP-Server: Lassen Sie dieses Feld leer.
    • NetBIOS-Namensserver: Geben Sie die private IP-Adresse der Domänencontroller-Instanz ein.
    • NetBIOS-Knotentyp: Geben Sie 2 ein.

  3. Wählen Sie Yes, Create.

  4. Verknüpfen Sie den neuen Satz mit Ihrer VPC:

    1. Wählen Sie im VPC-Dashboard Your VPCs und dann die VPC aus, die Sie zuvor eingerichtet haben.
    2. Wählen Sie Actions > Edit DHCP Options Set.
    3. Wenn Sie dazu aufgefordert werden, wählen Sie den neuen Satz aus, den Sie erstellt haben, und wählen Sie dann Save.

Aufgabe 5: Instanzen konfigurieren

  1. Stellen Sie über einen RDP-Client eine Verbindung zur öffentlichen IP-Adresse der Bastion-Host-Instanz her. Geben Sie bei Aufforderung die Anmeldeinformationen für das Administratorkonto ein.

  2. Starten Sie von der Bastion-Host-Instanz aus die Remotedesktopverbindung und stellen Sie eine Verbindung zur privaten IP-Adresse der zu konfigurierenden Instanz her. Geben Sie bei Aufforderung die Administratoranmeldeinformationen für die Instanz ein.

  3. Konfigurieren Sie für alle Instanzen im privaten Subnetz die DNS-Einstellungen:

    1. Wählen Sie Start > Systemsteuerung > Netzwerk und Internet > Netzwerk- und Freigabecenter > Adaptereinstellungen ändern. Doppelklicken Sie auf die angezeigte Netzwerkverbindung.
    2. Wählen Sie Eigenschaften > Internetprotokoll Version 4 (TCP/IPv4) > Eigenschaften.

    3. Wählen Sie Erweitert > DNS. Stellen Sie sicher, dass die folgenden Einstellungen aktiviert sind, und wählen Sie OK:

      • Adressen dieser Verbindung im DNS registrieren
      • DNS-Suffix dieser Verbindung bei der DNS-Registrierung verwenden

  4. So konfigurieren Sie den Domänencontroller:

    1. Fügen Sie mit dem Server-Manager die Rolle „Active Directory-Domänendienste“ mit allen Standardfunktionen hinzu.
    2. Stufen Sie die Instanz zu einem Domänencontroller herauf. Aktivieren Sie während der Heraufstufung DNS und verwenden Sie den Domänennamen, den Sie beim Erstellen des DHCP-Optionssatzes angegeben haben. Starten Sie die Instanz neu, wenn Sie dazu aufgefordert werden.

Verbindung erstellen

Wenn Sie eine Verbindung über Studio erstellen:

  • Sie müssen die API-Schlüssel- und Geheimschlüsselwerte angeben. Sie können die Schlüsseldatei mit diesen Werten aus AWS exportieren und dann importieren. Sie müssen auch die Region, die Verfügbarkeitszone, den VPC-Namen, die Subnetzadressen, den Domänennamen, die Namen der Sicherheitsgruppen und die Anmeldeinformationen angeben.
  • Die Anmeldeinformationsdatei für das AWS-Stammkonto (aus der AWS-Konsole abgerufen) ist nicht im selben Format wie Anmeldeinformationsdateien, die für Standard-AWS-Benutzer heruntergeladen wurden. Daher kann die Citrix Virtual Apps and Desktops-Verwaltung die Datei nicht verwenden, um die Felder für API-Schlüssel und geheimen Schlüssel auszufüllen. Stellen Sie sicher, dass Sie AWS Identity Access Management (IAM)-Anmeldeinformationsdateien verwenden.

Hinweis:

Nachdem Sie eine Verbindung hergestellt haben, können Versuche, den API-Schlüssel und den geheimen Schlüssel zu aktualisieren, fehlschlagen. Um das Problem zu beheben, überprüfen Sie die Einschränkungen Ihres Proxyservers oder Ihrer Firewall und stellen Sie sicher, dass die folgende Adresse erreichbar ist: https://*.amazonaws.com.

Standardwerte für Hostverbindungen

Wenn Sie Hostverbindungen in AWS-Cloudumgebungen erstellen, werden die folgenden Standardwerte angezeigt:

Option Absolut Prozentsatz
Gleichzeitige Aktionen (alle Typen) 125 100
Maximale neue Aktionen pro Minute 125  

MCS unterstützt standardmäßig 100 maximale gleichzeitige Bereitstellungsvorgänge.

Dienstendpunkt-URL

Standard-Zonen-Service-Endpunkt-URL

Wenn Sie MCS verwenden, wird eine neue AWS-Verbindung mit einem API-Schlüssel und einem API-Geheimnis hinzugefügt. Mit diesen Informationen und dem authentifizierten Konto fragt MCS AWS über den AWS DescribeRegions EC2-API-Aufruf nach den unterstützten Zonen ab. Die Abfrage erfolgt über eine generische EC2-Service-Endpunkt-URL https://ec2.amazonaws.com/. Verwenden Sie MCS, um die Zone für die Verbindung aus der Liste der unterstützten Zonen auszuwählen. Die bevorzugte AWS-Service-Endpunkt-URL wird automatisch für die Zone ausgewählt. Nachdem Sie die Service-Endpunkt-URL erstellt haben, können Sie die URL jedoch nicht mehr festlegen oder ändern.

AWS-Mandantenfähigkeit

AWS bietet die folgenden Mandantenfähigkeitsoptionen: Shared Tenancy (der Standardtyp) und Dedicated Tenancy. Shared Tenancy bedeutet, dass mehrere Amazon EC2-Instanzen von verschiedenen Kunden auf derselben physischen Hardware residieren können. Dedicated Tenancy bedeutet, dass Ihre EC2-Instanzen nur auf Hardware mit anderen von Ihnen bereitgestellten Instanzen ausgeführt werden. Andere Kunden verwenden nicht dieselbe Hardware.

Sie können MCS verwenden, um dedizierte AWS-Hosts mit PowerShell bereitzustellen.

Dedizierte AWS-Host-Mandantenfähigkeit mit PowerShell konfigurieren

Sie können einen Maschinenkatalog mit über PowerShell definierter Host-Mandantenfähigkeit erstellen.

Ein dedizierter Amazon-Host [EC2] ist ein physischer Server mit [EC2] Instanzkapazität, der vollständig dediziert ist, sodass Sie vorhandene Pro-Socket- oder Pro-VM-Softwarelizenzen verwenden können.

Dedizierte Hosts haben eine voreingestellte Auslastung basierend auf dem Instanztyp. Beispielsweise ist ein einzelner zugewiesener dedizierter Host vom Typ C4 Large auf die Ausführung von 16 Instanzen beschränkt. Weitere Informationen finden Sie auf der AWS-Website.

Die Anforderungen für die Bereitstellung auf AWS-Hosts umfassen:

  • Ein importiertes BYOL-Image (Bring Your Own License) (AMI). Bei dedizierten Hosts verwenden und verwalten Sie Ihre vorhandenen Lizenzen.
  • Eine Zuweisung dedizierter Hosts mit ausreichender Auslastung, um Bereitstellungsanforderungen zu erfüllen.
  • auto-placement aktivieren.

Um einen dedizierten Host in AWS mit PowerShell bereitzustellen, verwenden Sie das Cmdlet New-ProvScheme mit dem Parameter TenancyType, der auf Host gesetzt ist.

Weitere Informationen finden Sie in der Citrix Developer Documentation.

Erfassung von AWS-Instanzeigenschaften

Wenn Sie einen Katalog erstellen, um Maschinen mithilfe von Machine Creation Services (MCS) in AWS bereitzustellen, wählen Sie ein AMI aus, das das Master-/Golden Image dieses Katalogs darstellt. Aus diesem AMI verwendet MCS einen Snapshot des Datenträgers. In früheren Versionen mussten Sie, wenn Sie Rollen oder Tags auf Ihren Maschinen haben wollten, die AWS-Konsole verwenden, um diese einzeln festzulegen. Diese Funktionalität ist standardmäßig aktiviert.

Tipp:

Um die Erfassung von AWS-Instanzeigenschaften zu verwenden, muss eine VM mit dem AMI verknüpft sein.

Um diesen Prozess zu verbessern, liest MCS Eigenschaften von der Instanz, von der das AMI erstellt wurde, und wendet die IAM-Rolle (Identity Access Management) und die Tags der Maschine auf die für einen bestimmten Katalog bereitgestellten Maschinen an. Bei Verwendung dieser optionalen Funktion findet der Katalogerstellungsprozess die ausgewählte AMI-Quellinstanz und liest eine begrenzte Anzahl von Eigenschaften. Diese Eigenschaften werden dann in einer AWS-Startvorlage gespeichert, die zum Bereitstellen von Maschinen für diesen Katalog verwendet wird. Jede Maschine im Katalog erbt die erfassten Instanzeigenschaften.

Erfasste Eigenschaften umfassen:

  • IAM-Rollen – werden auf bereitgestellte Instanzen angewendet.
  • Tags – werden auf bereitgestellte Instanzen, deren Datenträger und NICs angewendet. Diese Tags werden auf temporäre Citrix®-Ressourcen angewendet, einschließlich: S3-Buckets und -Objekte, Volume- und Worker-Ressourcen sowie AMIs, Snapshots und Startvorlagen.

Tipp:

Die Kennzeichnung temporärer Citrix-Ressourcen ist optional und kann über die benutzerdefinierte Eigenschaft AwsOperationalResourcesTagging konfiguriert werden.

Erfassen der AWS-Instanzeigenschaft

Sie können diese Funktion verwenden, indem Sie beim Erstellen eines Bereitstellungsschemas für eine AWS-Hostingverbindung eine benutzerdefinierte Eigenschaft, AwsCaptureInstanceProperties, angeben:

New-ProvScheme -CustomProperties “AwsCaptureInstanceProperties,true” …<standard provscheme parameters

Weitere Informationen finden Sie in der Citrix Developer Documentation.

Anwenden von AWS-Instanzeigenschaften und Kennzeichnen von Betriebsressourcen

Beim Erstellen eines Katalogs zur Bereitstellung von Maschinen in AWS mithilfe von MCS können Sie steuern, ob die IAM-Rolle und die Tag-Eigenschaften auf diese Maschinen angewendet werden sollen. Sie können auch steuern, ob Maschinentags auf Betriebsressourcen angewendet werden sollen.

Tagging von AWS-Betriebsressourcen

Ein Amazon Machine Image (AMI) stellt eine Art virtueller Appliance dar, die zum Erstellen einer virtuellen Maschine in der Amazon Cloud-Umgebung, allgemein als EC2 bezeichnet, verwendet wird. Sie verwenden ein AMI, um Dienste bereitzustellen, die die EC2-Umgebung nutzen. Wenn Sie einen Katalog zur Bereitstellung von Maschinen mit MCS für AWS erstellen, wählen Sie das AMI als Golden Image für diesen Katalog aus.

Wichtig:

Das Erstellen von Katalogen durch Erfassen einer Instanzeigenschaft und einer Startvorlage ist für die Verwendung des Tagging von Betriebsressourcen erforderlich.

Um einen AWS-Katalog zu erstellen, müssen Sie zuerst ein AMI für die Instanz erstellen, die das Golden Image sein soll. MCS liest die Tags von dieser Instanz und integriert sie in die Startvorlage. Die Tags der Startvorlage werden dann auf alle in Ihrer AWS-Umgebung erstellten Citrix-Ressourcen angewendet, einschließlich:

  • Virtuelle Maschinen
  • VM-Datenträger
  • VM-Netzwerkschnittstellen
  • S3-Buckets
  • S3-Objekte
  • Startvorlagen
  • AMIs

Tagging einer Betriebsressource

So taggen Sie Ressourcen mit PowerShell:

  1. Öffnen Sie ein PowerShell-Fenster vom DDC-Host.
  2. Führen Sie den Befehl asnp citrix aus, um Citrix-spezifische PowerShell-Module zu laden.

Um eine Ressource für eine bereitgestellte VM zu kennzeichnen, verwenden Sie die neue benutzerdefinierte Eigenschaft AwsOperationalResourcesTagging. Die Syntax für diese Eigenschaft lautet:

New-ProvScheme -CustomProperties “AwsCaptureInstanceProperties,true; AwsOperationalResourcesTagging,true” …<standard provscheme parameters>

Definieren von IAM-Berechtigungen

Verwenden Sie die Informationen in diesem Abschnitt, um IAM-Berechtigungen für Citrix DaaS unter AWS zu definieren. Der IAM-Dienst von Amazon ermöglicht Konten mit mehreren Benutzern, die weiter in Gruppen organisiert werden können. Diese Benutzer können unterschiedliche Berechtigungen besitzen, um ihre Fähigkeit zur Durchführung von Vorgängen im Zusammenhang mit dem Konto zu steuern. Weitere Informationen zu IAM-Berechtigungen finden Sie unter IAM JSON policy reference.

So wenden Sie die IAM-Berechtigungsrichtlinie auf eine neue Benutzergruppe an:

  1. Melden Sie sich bei der AWS-Verwaltungskonsole an und wählen Sie den IAM-Dienst aus der Dropdown-Liste.
  2. Wählen Sie Neue Benutzergruppe erstellen.
  3. Geben Sie einen Namen für die neue Benutzergruppe ein und wählen Sie Weiter.
  4. Wählen Sie auf der Seite Berechtigungen die Option Benutzerdefinierte Richtlinie. Wählen Sie Auswählen.
  5. Geben Sie einen Namen für die Berechtigungsrichtlinie ein.
  6. Geben Sie im Abschnitt Richtliniendokument die relevanten Berechtigungen ein.

Nachdem Sie die Richtlinieninformationen eingegeben haben, wählen Sie Weiter, um die Benutzergruppe zu vervollständigen. Benutzern in der Gruppe werden Berechtigungen erteilt, nur die Aktionen auszuführen, die für Citrix DaaS erforderlich sind.

Wichtig:

Verwenden Sie den im obigen Beispiel bereitgestellten Richtlinientext, um die Aktionen aufzulisten, die ein Citrix DaaS verwendet, um Aktionen innerhalb eines AWS-Kontos auszuführen, ohne diese Aktionen auf bestimmte Ressourcen zu beschränken. Citrix empfiehlt, das Beispiel zu Testzwecken zu verwenden. Für Produktionsumgebungen können Sie weitere Einschränkungen für Ressourcen hinzufügen.

Hinzufügen von IAM-Berechtigungen

Legen Sie die Berechtigungen im Abschnitt IAM der AWS Management Console fest:

  1. Wählen Sie im Bereich Summary die Registerkarte Permissions aus.
  2. Wählen Sie Add permissions.

Identitäts- und Zugriffsverwaltung (IAM)(/de-de/citrix-virtual-apps-desktops/2203-ltsr/media/aws-iam-users.png)

Erteilen Sie im Bildschirm Add Permissions to Berechtigungen:

Berechtigungen für IAM-Richtlinien erteilen(/de-de/citrix-virtual-apps-desktops/2203-ltsr/media/aws-iam-grant-permissions.png)

Verwenden Sie Folgendes als Beispiel auf der Registerkarte JSON:

JSON-Beispiel(/de-de/citrix-virtual-apps-desktops/2203-ltsr/media/aws-iam-json-example.png)

Tipp:

Das angegebene JSON-Beispiel enthält möglicherweise nicht alle Berechtigungen für Ihre Umgebung. Weitere Informationen finden Sie unter How to Define Identity Access Management Permissions Running Citrix Virtual Apps and Desktops on AWS.

Über AWS-Berechtigungen

Dieser Abschnitt enthält die vollständige Liste der AWS-Berechtigungen.

Hinweis:

Die iam:PassRole-Berechtigung wird nur für role_based_auth benötigt.

Erstellen einer Hostverbindung

Eine neue Hostverbindung wird unter Verwendung der von AWS erhaltenen Informationen hinzugefügt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeLaunchTemplates"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Energieverwaltung von VMs

Maschineninstanzen werden ein- oder ausgeschaltet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DetachVolume",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Erstellen, Aktualisieren oder Löschen von VMs

Ein Maschinenkatalog wird erstellt, aktualisiert oder gelöscht, wobei VMs als AWS-Instanzen bereitgestellt werden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                “ec2:DescribeIamInstanceProfileAssociations”,
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:PutBucketAcl",
                "s3:PutBucketTagging",
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:PutObjectTagging"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::citrix*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Hinweis:

Der EC2-Abschnitt bezüglich SecurityGroups wird nur benötigt, wenn während der Katalogerstellung eine Isolation Security Group für die Vorbereitungs-VM erstellt werden muss. Sobald dies geschehen ist, sind diese Berechtigungen nicht mehr erforderlich.

Direkter Festplatten-Upload und -Download

Der direkte Festplatten-Upload eliminiert die Anforderung an Volume Worker für die Bereitstellung von Maschinenkatalogen und verwendet stattdessen öffentliche APIs, die von AWS bereitgestellt werden. Diese Funktionalität reduziert die Kosten, die mit zusätzlichen Speicherkonten verbunden sind, und die Komplexität der Wartung von Volume Worker-Operationen.

Folgende Berechtigungen müssen der Richtlinie hinzugefügt werden:

  • ebs:StartSnapshot
  • ebs:GetSnapshotBlock
  • ebs:PutSnapshotBlock
  • ebs:CompleteSnapshot
  • ebs:ListSnapshotBlocks
  • ebs:ListChangedBlocks
  • ec2:CreateSnapshot
  • ec2:DeleteSnapshot
  • ec2:DescribeLaunchTemplates

Wichtig:

  • Sie können eine neue VM zu bestehenden Maschinenkatalogen hinzufügen, ohne jegliche Volume-Worker-Operation wie Volume-Worker-AMI und Volume-Worker-VM.
  • Wenn Sie einen bestehenden Katalog löschen, der zuvor einen Volume-Worker verwendet hat, werden alle Artefakte, einschließlich der Volume-Worker-bezogenen, gelöscht.

EBS-Verschlüsselung erstellter Volumes

EBS kann neu erstellte Volumes automatisch verschlüsseln, wenn das AMI verschlüsselt ist oder EBS so konfiguriert ist, dass alle neuen Volumes verschlüsselt werden. Um die Funktionalität zu implementieren, müssen jedoch die folgenden Berechtigungen in der IAM-Richtlinie enthalten sein.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Hinweis:

Die Berechtigungen können nach Ermessen des Benutzers auf bestimmte Schlüssel beschränkt werden, indem ein Ressourcen- und Bedingungsblock hinzugefügt wird. Zum Beispiel: KMS-Berechtigungen mit Bedingung:

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

Die folgende Schlüsselrichtlinienanweisung ist die gesamte Standardschlüsselrichtlinie für KMS-Schlüssel, die erforderlich ist, um dem Konto die Verwendung von IAM-Richtlinien zur Delegierung von Berechtigungen für alle Aktionen (kms:*) auf dem KMS-Schlüssel zu ermöglichen.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Weitere Informationen finden Sie in der offiziellen Dokumentation des AWS Key Management Service.

IAM-rollenbasierte Authentifizierung

Die folgenden Berechtigungen werden zur Unterstützung der rollenbasierten Authentifizierung hinzugefügt.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Minimale IAM-Berechtigungsrichtlinie

Das folgende JSON kann für alle derzeit unterstützten Funktionen verwendet werden. Mit dieser Richtlinie können Sie Hostverbindungen erstellen, VMs erstellen, aktualisieren oder löschen und die Energieverwaltung durchführen. Die Richtlinie kann auf die Benutzer angewendet werden, wie in den Abschnitten Definieren von IAM-Berechtigungen erläutert, oder Sie können auch die rollenbasierte Authentifizierung mit dem Sicherheitsschlüssel und geheimen Schlüssel role_based_auth verwenden.

Wichtig:

Um role_based_auth zu verwenden, konfigurieren Sie zuerst die gewünschte IAM-Rolle auf der Cloud Connector EC2-Instanz, wenn Sie den Cloud Connector einrichten. Fügen Sie mit Citrix Studio die Hosting-Verbindung hinzu und geben Sie role_based_auth für den Authentifizierungsschlüssel und das Geheimnis an. Eine Hosting-Verbindung mit diesen Einstellungen verwendet dann die rollenbasierte Authentifizierung.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutBucketAcl",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutObjectTagging"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::citrix*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Hinweis:

  • Der EC2-Abschnitt bezüglich SecurityGroups wird nur benötigt, wenn eine Isolation Security Group für die Vorbereitungs-VM während der Katalogerstellung erstellt werden muss. Sobald dies geschehen ist, sind diese Berechtigungen nicht mehr erforderlich.
  • Der KMS-Abschnitt ist nur erforderlich, wenn die EBS-Volume-Verschlüsselung verwendet wird.
  • Der Berechtigungsabschnitt iam:PassRole wird nur für role_based_auth benötigt.
  • Spezifische Berechtigungen auf Ressourcenebene können anstelle des vollständigen Zugriffs hinzugefügt werden, basierend auf Ihren Anforderungen und Ihrer Umgebung. Weitere Informationen finden Sie in den AWS-Dokumenten Demystifying EC2 Resource-Level Permissions und Access management for AWS resources.

Weitere Informationen

AWS-Cloud-Umgebungen
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.