Documentation produit
Citrix Virtual Apps and Desktops 7 2203 LTSR
Voir PDF

Environnements cloud AWS

May 31, 2026
Contributeur: 
C C

Cet article vous guide dans la configuration de votre compte AWS en tant qu’emplacement de ressources que vous pouvez utiliser avec Citrix Virtual Apps and Desktops. L’emplacement de ressources comprend un ensemble de composants de base, idéal pour une preuve de concept ou un autre déploiement qui ne nécessite pas de ressources réparties sur plusieurs zones de disponibilité. Une fois ces tâches terminées, vous pouvez installer des VDA, provisionner des machines, créer des catalogues de machines et créer des groupes de mise à disposition.

Lorsque vous avez terminé les tâches de cet article, votre emplacement de ressources comprend les composants suivants :

  • Un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés au sein d’une seule zone de disponibilité.
  • Une instance qui fonctionne à la fois comme contrôleur de domaine Active Directory et serveur DNS, située dans le sous-réseau privé du VPC.
  • Une instance qui agit comme hôte bastion dans le sous-réseau public de votre VPC. Cette instance est utilisée pour initier des connexions RDP aux instances du sous-réseau privé à des fins d’administration. Une fois la configuration de votre emplacement de ressources terminée, vous pouvez arrêter cette instance afin qu’elle ne soit plus facilement accessible. Lorsque vous devez gérer d’autres instances dans le sous-réseau privé, telles que des instances VDA, vous pouvez redémarrer l’instance de l’hôte bastion.

Limitation

À partir de Citrix Virtual Apps and Desktops 2203 LTSR et versions ultérieures, le plug-in MCS AWS effectue un appel d’API AWS DescribeInstanceTypes et si celui-ci réussit, MCS utilise le nom d’inventaire créé à partir de la réponse de l’API.

Par conséquent, lorsque vous effectuez une mise à niveau de CVAD 1912 vers 2203 ou une version ultérieure, désactivez l’autorisation DefineInstanceType sur AWS, puis mettez à jour le catalogue existant à l’aide de la commande Set-ProvScheme pour qu’il corresponde au schéma de nommage AWS. Ensuite, ajoutez à nouveau les autorisations DescribeInstanceType une fois la mise à jour du catalogue terminée et que l’offre de service correspond au schéma de nommage AWS.

Présentation des tâches

Configurer un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés. Lorsque vous terminez cette tâche, AWS déploie une passerelle NAT avec une adresse IP élastique dans le sous-réseau public. Cette action permet aux instances du sous-réseau privé d’accéder à Internet. Les instances du sous-réseau public sont accessibles au trafic public entrant, tandis que les instances du sous-réseau privé ne le sont pas.

Configurer les groupes de sécurité. Les groupes de sécurité agissent comme des pare-feu virtuels qui contrôlent le trafic pour les instances de votre VPC. Vous ajoutez des règles à vos groupes de sécurité qui permettent aux instances de votre sous-réseau public de communiquer avec les instances de votre sous-réseau privé. Vous associez également ces groupes de sécurité à chaque instance de votre VPC.

Créer un ensemble d’options DHCP. Avec un Amazon VPC, les services DHCP et DNS sont fournis par défaut, ce qui affecte la façon dont vous configurez le DNS sur votre contrôleur de domaine Active Directory. Le DHCP d’Amazon ne peut pas être désactivé et le DNS d’Amazon ne peut être utilisé que pour la résolution DNS publique, et non pour la résolution de noms Active Directory. Pour spécifier le domaine et les serveurs de noms attribués aux instances via DHCP, créez un ensemble d’options DHCP. L’ensemble attribue le suffixe de domaine Active Directory et spécifie le serveur DNS pour toutes les instances de votre VPC. Pour garantir que les enregistrements d’hôte (A) et de recherche inversée (PTR) sont automatiquement enregistrés lorsque les instances rejoignent le domaine, vous configurez les propriétés de l’adaptateur réseau pour chaque instance que vous ajoutez au sous-réseau privé.

Ajouter un hôte bastion et un contrôleur de domaine au VPC. Via l’hôte bastion, vous pouvez vous connecter aux instances du sous-réseau privé pour configurer le domaine et joindre les instances au domaine.

Tâche 1 : Configurer le VPC

  1. Depuis la console de gestion AWS, sélectionnez VPC.
  2. Depuis le tableau de bord VPC, sélectionnez Créer un VPC.
  3. Sélectionnez VPC et plus.
  4. Sous Passerelles NAT ($), sélectionnez Dans 1 AZ ou 1 par AZ.
  5. Sous Options DNS, laissez Activer les noms d’hôte DNS sélectionné.
  6. Sélectionnez Créer un VPC. AWS crée les sous-réseaux publics et privés, la passerelle Internet, les tables de routage et le groupe de sécurité par défaut.

Tâche 2 : Configurer les groupes de sécurité

Cette tâche crée et configure les groupes de sécurité suivants pour votre VPC :

  • Un groupe de sécurité public à associer aux instances de votre sous-réseau public.
  • Un groupe de sécurité privé à associer aux instances de votre sous-réseau privé.

Pour créer les groupes de sécurité :

  1. Dans le tableau de bord VPC, sélectionnez Groupes de sécurité.
  2. Créez un groupe de sécurité pour le groupe de sécurité public. Sélectionnez Créer un groupe de sécurité et saisissez une balise de nom et une description pour le groupe. Dans VPC, sélectionnez le VPC que vous avez créé précédemment. Sélectionnez Oui, créer.

Configurer le groupe de sécurité public

  1. Dans la liste des groupes de sécurité, sélectionnez le groupe de sécurité public.

  2. Sélectionnez l’onglet Règles entrantes et sélectionnez Modifier pour créer les règles suivantes :

    Type Source
    Tout le trafic Sélectionnez le groupe de sécurité privé.
    Tout le trafic Sélectionnez le groupe de sécurité public.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Fiabilité de session) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0

  3. Une fois terminé, sélectionnez Enregistrer.

  4. Sélectionnez l’onglet Règles de trafic sortant, puis sélectionnez Modifier pour créer les règles suivantes :

    Type Destination
    Tout le trafic Sélectionnez le groupe de sécurité privé.
    Tout le trafic 0.0.0.0/0
    ICMP 0.0.0.0/0

  5. Une fois terminé, sélectionnez Enregistrer.

Configurer le groupe de sécurité privé

  1. Dans la liste des groupes de sécurité, sélectionnez le groupe de sécurité privé.

  2. Si vous n’avez pas configuré le trafic depuis le groupe de sécurité public, vous devez définir les ports TCP ; sélectionnez l’onglet Règles entrantes et sélectionnez Modifier pour créer les règles suivantes :

    Type Source
    Tout le trafic Sélectionnez le groupe de sécurité privé.
    Tout le trafic Sélectionnez le groupe de sécurité public.
    ICMP Sélectionnez le groupe de sécurité public.
    TCP 53 (DNS) Sélectionnez le groupe de sécurité public.
    UDP 53 (DNS) Sélectionnez le groupe de sécurité public.
    80 (HTTP) Sélectionnez le groupe de sécurité public.
    TCP 135 Sélectionnez le groupe de sécurité public.
    TCP 389 Sélectionnez le groupe de sécurité public.
    UDP 389 Sélectionnez le groupe de sécurité public.
    443 (HTTPS) Sélectionnez le groupe de sécurité public.
    TCP 1494 (ICA/HDX) Sélectionnez le groupe de sécurité public.
    TCP 2598 (Fiabilité de session) Sélectionnez le groupe de sécurité public.
    3389 (RDP) Sélectionnez le groupe de sécurité public.
    TCP 49152–65535 Sélectionnez le groupe de sécurité public.

  3. Une fois terminé, sélectionnez Enregistrer.

  4. Sélectionnez l’onglet Règles de trafic sortant et sélectionnez Modifier pour créer les règles suivantes :

    Type Destination
    Tout le trafic Sélectionnez le groupe de sécurité privé.
    Tout le trafic 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0

  5. Une fois terminé, sélectionnez Enregistrer.

Tâche 3 : Lancer des instances

Suivez les étapes suivantes pour créer deux instances EC2 et déchiffrer le mot de passe Administrateur par défaut généré par Amazon :

  1. Depuis la console de gestion AWS, sélectionnez EC2.
  2. Depuis le tableau de bord EC2, sélectionnez Lancer une instance.
  3. Sélectionnez une image de machine Windows Server et un type d’instance.
  4. Sur la page Configurer les détails de l’instance, saisissez un nom pour l’instance et sélectionnez le VPC que vous avez configuré précédemment.

  5. Dans Sous-réseau, effectuez les sélections suivantes pour chaque instance :

    • Hôte bastion : Sélectionnez le sous-réseau public
    • Contrôleur de domaine : Sélectionnez le sous-réseau privé

  6. Dans Attribuer automatiquement une adresse IP publique, effectuez les sélections suivantes pour chaque instance :

    • Hôte bastion : Sélectionnez Activer.
    • Contrôleur de domaine : Sélectionnez Utiliser le paramètre par défaut ou Désactiver.
  7. Dans Interfaces réseau, entrez une adresse IP principale dans la plage d’adresses IP de votre sous-réseau privé pour le Contrôleur de domaine.
  8. Si nécessaire, sur la page Ajouter du stockage, modifiez la taille du disque.
  9. Sur la page Étiqueter l’instance, entrez un nom convivial pour chaque instance.

  10. Sur la page Configurer les groupes de sécurité, sélectionnez Sélectionner un groupe de sécurité existant, puis effectuez les sélections suivantes pour chaque instance :

    • Hôte bastion : Sélectionnez le groupe de sécurité public.
    • Contrôleur de domaine : Sélectionnez le groupe de sécurité privé.
  11. Vérifiez vos sélections, puis sélectionnez Lancer.
  12. Créez une nouvelle paire de clés ou sélectionnez-en une existante. Si vous créez une nouvelle paire de clés, téléchargez votre fichier de clé privée (.pem) et conservez-le en lieu sûr. Vous devez fournir votre clé privée lorsque vous obtenez le mot de passe Administrateur par défaut de l’instance.
  13. Sélectionnez Lancer les instances. Sélectionnez Afficher les instances pour afficher la liste de vos instances. Attendez que l’instance nouvellement lancée ait passé toutes les vérifications d’état avant d’y accéder.

  14. Obtenez le mot de passe Administrateur par défaut pour chaque instance :

    1. Dans la liste des instances, sélectionnez l’instance, puis sélectionnez Connecter.
    2. Accédez à l’onglet Client RDP, sélectionnez Obtenir le mot de passe et téléchargez votre fichier de clé privée (.pem) lorsque vous y êtes invité.
    3. Sélectionnez Décrypter le mot de passe pour obtenir le mot de passe lisible par l’homme. AWS affiche le mot de passe par défaut.

  15. Répétez les étapes à partir de l’étape 2 jusqu’à ce que vous ayez créé deux instances :

    • Une instance d’hôte bastion dans votre sous-réseau public.
    • Une instance dans votre sous-réseau privé qui est destinée à être utilisée comme contrôleur de domaine.

Tâche 4 : Créer un ensemble d’options DHCP

  1. Depuis le tableau de bord VPC, sélectionnez Ensembles d’options DHCP.

  2. Saisissez les informations suivantes :

    • Balise de nom : Saisissez un nom convivial pour l’ensemble.
    • Nom de domaine : Saisissez le nom de domaine complet que vous utilisez lorsque vous configurez l’instance de contrôleur de domaine.
    • Serveurs de noms de domaine : Saisissez l’adresse IP privée que vous avez attribuée à l’instance de contrôleur de domaine et la chaîne AmazonProvidedDNS, séparées par des virgules.
    • Serveurs NTP : Laissez ce champ vide.
    • Serveurs de noms NetBIOS : Saisissez l’adresse IP privée de l’instance de contrôleur de domaine.
    • Type de nœud NetBIOS : Saisissez 2.

  3. Sélectionnez Oui, créer.

  4. Associez le nouvel ensemble à votre VPC :

    1. Depuis le tableau de bord VPC, sélectionnez Vos VPC puis sélectionnez le VPC que vous avez configuré précédemment.
    2. Sélectionnez Actions > Modifier l’ensemble d’options DHCP.
    3. Lorsque vous y êtes invité, sélectionnez le nouvel ensemble que vous avez créé, puis sélectionnez Enregistrer.

Tâche 5 : Configurer les instances

  1. À l’aide d’un client RDP, connectez-vous à l’adresse IP publique de l’instance de l’hôte bastion. Lorsque vous y êtes invité, entrez les informations d’identification du compte Administrateur.

  2. À partir de l’instance de l’hôte bastion, lancez la Connexion Bureau à distance et connectez-vous à l’adresse IP privée de l’instance que vous souhaitez configurer. Lorsque vous y êtes invité, entrez les informations d’identification de l’administrateur pour l’instance.

  3. Pour toutes les instances du sous-réseau privé, configurez les paramètres DNS :

    1. Sélectionnez Démarrer > Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte. Double-cliquez sur la connexion réseau affichée.
    2. Sélectionnez Propriétés > Protocole Internet version 4 (TCP/IPv4) > Propriétés.

    3. Sélectionnez Avancé > DNS. Assurez-vous que les paramètres suivants sont activés et sélectionnez OK :

      • Enregistrer les adresses de cette connexion dans le DNS
      • Utiliser le suffixe DNS de cette connexion dans l’enregistrement DNS

  4. Pour configurer le contrôleur de domaine :

    1. À l’aide du Gestionnaire de serveur, ajoutez le rôle Services de domaine Active Directory avec toutes les fonctionnalités par défaut.
    2. Promouvez l’instance en contrôleur de domaine. Pendant la promotion, activez le DNS et utilisez le nom de domaine que vous avez spécifié lors de la création de l’ensemble d’options DHCP. Redémarrez l’instance lorsque vous y êtes invité.

Créer une connexion

Lorsque vous créez une connexion depuis Studio :

  • Vous devez fournir les valeurs de la clé API et de la clé secrète. Vous pouvez exporter le fichier de clés contenant ces valeurs depuis AWS, puis les importer. Vous devez également fournir la région, la zone de disponibilité, le nom du VPC, les adresses de sous-réseau, le nom de domaine, les noms des groupes de sécurité et les informations d’identification.
  • Le fichier d’informations d’identification du compte AWS racine (récupéré depuis la console AWS) n’est pas formaté de la même manière que les fichiers d’informations d’identification téléchargés pour les utilisateurs AWS standard. Par conséquent, la gestion de Citrix Virtual Apps and Desktops ne peut pas utiliser le fichier pour renseigner les champs de clé API et de clé secrète. Assurez-vous d’utiliser des fichiers d’informations d’identification AWS Identity Access Management (IAM).

Remarque :

Après avoir créé une connexion, les tentatives de mise à jour de la clé API et de la clé secrète peuvent échouer. Pour résoudre le problème, vérifiez les restrictions de votre serveur proxy ou de votre pare-feu et assurez-vous que l’adresse suivante est joignable : https://*.amazonaws.com.

Valeurs par défaut de la connexion d’hôte

Lorsque vous créez des connexions d’hôte dans les environnements cloud AWS, les valeurs par défaut suivantes s’affichent :

Option Absolu Pourcentage
Actions simultanées (tous types) 125 100
Nombre maximal de nouvelles actions par minute 125  

MCS prend en charge 100 opérations de provisionnement simultanées maximales par défaut.

URL du point de terminaison de service

URL de point de terminaison de service de zone standard

Lorsque vous utilisez MCS, une nouvelle connexion AWS est ajoutée avec une clé API et un secret API. Avec ces informations, ainsi que le compte authentifié, MCS interroge AWS pour les zones prises en charge à l’aide de l’appel d’API AWS DescribeRegions EC2. La requête est effectuée à l’aide d’une URL de point de terminaison de service EC2 générique https://ec2.amazonaws.com/. Utilisez MCS pour sélectionner la zone de la connexion dans la liste des zones prises en charge. L’URL de point de terminaison de service AWS préférée est automatiquement sélectionnée pour la zone. Cependant, après avoir créé l’URL de point de terminaison de service, vous ne pouvez plus définir ou modifier l’URL.

Tenancy AWS

AWS offre les options de tenancy suivantes : tenancy partagée (le type par défaut) et tenancy dédiée. La tenancy partagée signifie que plusieurs instances Amazon EC2 de différents clients peuvent résider sur le même matériel physique. La tenancy dédiée signifie que vos instances EC2 s’exécutent uniquement sur du matériel avec d’autres instances que vous avez déployées. D’autres clients n’utilisent pas le même matériel.

Vous pouvez utiliser MCS pour provisionner des hôtes dédiés AWS à l’aide de PowerShell.

Configurer la tenancy d’hôte dédié AWS à l’aide de PowerShell

Vous pouvez créer un catalogue de machines avec une tenancy d’hôte définie via PowerShell.

Un hôte dédié Amazon [EC2] est un serveur physique avec une capacité d’instance [EC2] entièrement dédiée, vous permettant d’utiliser des licences logicielles existantes par socket ou par VM.

Les hôtes dédiés ont une utilisation prédéfinie basée sur le type d’instance. Par exemple, un seul hôte dédié alloué de types d’instances C4 Large est limité à l’exécution de 16 instances. Consultez le site AWS pour plus d’informations.

Les exigences pour le provisionnement sur des hôtes AWS incluent :

  • Une image BYOL (apportez votre propre licence) importée (AMI). Avec les hôtes dédiés, utilisez et gérez vos licences existantes.
  • Une allocation d’hôtes dédiés avec une utilisation suffisante pour satisfaire les demandes de provisionnement.
  • activer l’auto-placement.

Pour provisionner un hôte dédié dans AWS à l’aide de PowerShell, utilisez l’applet de commande New-ProvScheme avec le paramètre TenancyType défini sur Host.

Reportez-vous à la documentation pour développeurs Citrix pour plus d’informations.

Capture des propriétés d’instance AWS

Lorsque vous créez un catalogue pour provisionner des machines à l’aide de Machine Creation Services (MCS) dans AWS, vous sélectionnez une AMI pour représenter l’image principale/dorée de ce catalogue. À partir de cette AMI, MCS utilise un instantané du disque. Dans les versions précédentes, si vous vouliez des rôles ou des balises sur vos machines, vous utilisiez la console AWS pour les définir individuellement. Cette fonctionnalité est activée par défaut.

Conseil :

Pour utiliser la capture des propriétés d’instance AWS, vous devez disposer d’une VM associée à l’AMI.

Pour améliorer ce processus, MCS lit les propriétés de l’instance à partir de laquelle l’AMI a été prise et applique le rôle IAM (Identity Access Management) et les balises de la machine aux machines provisionnées pour un catalogue donné. Lors de l’utilisation de cette fonctionnalité facultative, le processus de création de catalogue trouve l’instance source AMI sélectionnée, en lisant un ensemble limité de propriétés. Ces propriétés sont ensuite stockées dans un modèle de lancement AWS, qui est utilisé pour provisionner les machines de ce catalogue. Toute machine du catalogue hérite des propriétés d’instance capturées.

Les propriétés capturées incluent :

  • Rôles IAM – appliqués aux instances provisionnées.
  • Balises - appliquées aux instances provisionnées, à leur disque et à leurs cartes réseau. Ces balises sont appliquées aux ressources Citrix® transitoires, notamment : les compartiments et objets S3, les ressources de volume et de travail, ainsi que les AMI, les instantanés et les modèles de lancement.

Conseil :

Le balisage des ressources Citrix transitoires est facultatif et configurable à l’aide de la propriété personnalisée AwsOperationalResourcesTagging.

Capture de la propriété d’instance AWS

Vous pouvez utiliser cette fonctionnalité en spécifiant une propriété personnalisée, AwsCaptureInstanceProperties, lors de la création d’un schéma de provisionnement pour une connexion d’hébergement AWS :

New-ProvScheme -CustomProperties “AwsCaptureInstanceProperties,true” …<standard provscheme parameters

Reportez-vous à la documentation pour les développeurs Citrix pour plus d’informations.

Application des propriétés d’instance AWS et balisage des ressources opérationnelles

Lorsque vous créez un catalogue pour provisionner des machines dans AWS à l’aide de MCS, vous pouvez contrôler si les propriétés de rôle IAM et de balise sont appliquées à ces machines. Vous pouvez également contrôler si les balises de machine sont appliquées aux ressources opérationnelles.

Balises de ressources opérationnelles AWS

Une Amazon Machine Image (AMI) représente un type d’appliance virtuelle utilisée pour créer une machine virtuelle dans l’environnement Amazon Cloud, communément appelé EC2. Vous utilisez une AMI pour déployer des services qui utilisent l’environnement EC2. Lorsque vous créez un catalogue pour provisionner des machines à l’aide de MCS pour AWS, vous sélectionnez l’AMI à utiliser comme image principale pour ce catalogue.

Important :

La création de catalogues en capturant une propriété d’instance et un modèle de lancement est requise pour l’utilisation du balisage des ressources opérationnelles.

Pour créer un catalogue AWS, vous devez d’abord créer une AMI pour l’instance que vous souhaitez utiliser comme image principale. MCS lit les balises de cette instance et les intègre dans le modèle de lancement. Les balises du modèle de lancement sont ensuite appliquées à toutes les ressources Citrix créées dans votre environnement AWS, y compris :

  • Machines virtuelles
  • Disques de VM
  • Interfaces réseau de VM
  • Compartiments S3
  • Objets S3
  • Modèles de lancement
  • AMI

Balisage d’une ressource opérationnelle

Pour utiliser PowerShell afin de baliser des ressources :

  1. Ouvrez une fenêtre PowerShell à partir de l’hôte DDC.
  2. Exécutez la commande asnp citrix pour charger les modules PowerShell spécifiques à Citrix.

Pour baliser une ressource pour une VM provisionnée, utilisez la nouvelle propriété personnalisée AwsOperationalResourcesTagging. La syntaxe de cette propriété est la suivante :

New-ProvScheme -CustomProperties “AwsCaptureInstanceProperties,true; AwsOperationalResourcesTagging,true” …<standard provscheme parameters>

Définition des autorisations IAM

Utilisez les informations de cette section pour définir les autorisations IAM pour Citrix DaaS sur AWS. Le service IAM d’Amazon permet aux comptes d’avoir plusieurs utilisateurs, qui peuvent être organisés en groupes. Ces utilisateurs peuvent posséder différentes autorisations pour contrôler leur capacité à effectuer des opérations associées au compte. Pour plus d’informations sur les autorisations IAM, consultez Référence de la politique JSON IAM.

Pour appliquer une politique d’autorisations IAM à un nouveau groupe d’utilisateurs :

  1. Connectez-vous à la console de gestion AWS et sélectionnez le service IAM dans la liste déroulante.
  2. Sélectionnez Créer un nouveau groupe d’utilisateurs.
  3. Saisissez un nom pour le nouveau groupe d’utilisateurs et sélectionnez Continuer.
  4. Sur la page Autorisations, choisissez Politique personnalisée. Sélectionnez Sélectionner.
  5. Saisissez un nom pour la politique d’autorisations.
  6. Dans la section Document de politique, saisissez les autorisations pertinentes.

Après avoir saisi les informations de la politique, sélectionnez Continuer pour finaliser le groupe d’utilisateurs. Les utilisateurs du groupe se voient accorder des autorisations pour effectuer uniquement les actions requises pour Citrix DaaS.

Important :

Utilisez le texte de la politique fourni dans l’exemple ci-dessus pour répertorier les actions qu’un Citrix DaaS utilise pour effectuer des actions au sein d’un compte AWS sans restreindre ces actions à des ressources spécifiques. Citrix vous recommande d’utiliser l’exemple à des fins de test. Pour les environnements de production, vous pouvez choisir d’ajouter d’autres restrictions sur les ressources.

Ajout d’autorisations IAM

Définissez les autorisations dans la section IAM de la console de gestion AWS :

  1. Dans le panneau Résumé, sélectionnez l’onglet Autorisations.
  2. Sélectionnez Ajouter des autorisations.

Gestion des identités et des accès (IAM)

Dans l’écran Ajouter des autorisations à, accordez les autorisations :

Accorder des autorisations pour les politiques IAM

Utilisez l’exemple suivant dans l’onglet JSON :

Exemple JSON

Conseil :

L’exemple JSON mentionné peut ne pas inclure toutes les autorisations pour votre environnement. Consultez Comment définir les autorisations de gestion des identités et des accès exécutant Citrix Virtual Apps and Desktops sur AWS pour plus d’informations.

À propos des autorisations AWS

Cette section contient la liste complète des autorisations AWS.

Remarque :

La permission iam:PassRole est nécessaire uniquement pour role_based_auth.

Création d’une connexion d’hôte

Une nouvelle connexion d’hôte est ajoutée à l’aide des informations obtenues d’AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeSnapshots",
                "ec2:DescribeLaunchTemplates"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Gestion de l’alimentation des VM

Les instances de machine sont mises sous tension ou hors tension.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DetachVolume",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Création, mise à jour ou suppression de VM

Un catalogue de machines est créé, mis à jour ou supprimé avec des VM provisionnées en tant qu’instances AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                “ec2:DescribeIamInstanceProfileAssociations”,
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:PutBucketAcl",
                "s3:PutBucketTagging",
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:PutObjectTagging"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::citrix*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

La section EC2 relative aux SecurityGroups n’est nécessaire que si un groupe de sécurité d’isolation (Isolation Security Group) doit être créé pour la VM de préparation (Preparation VM) lors de la création du catalogue. Une fois cette opération effectuée, ces permissions ne sont plus requises.

Chargement et téléchargement direct de disque

Le chargement direct de disque élimine l’exigence de volume worker pour le provisionnement de catalogues de machines, et utilise plutôt les API publiques fournies par AWS. Cette fonctionnalité réduit les coûts associés aux comptes de stockage supplémentaires et la complexité de la maintenance des opérations de volume worker.

Les permissions suivantes doivent être ajoutées à la stratégie :

  • ebs:StartSnapshot
  • ebs:GetSnapshotBlock
  • ebs:PutSnapshotBlock
  • ebs:CompleteSnapshot
  • ebs:ListSnapshotBlocks
  • ebs:ListChangedBlocks
  • ec2:CreateSnapshot
  • ec2:DeleteSnapshot
  • ec2:DescribeLaunchTemplates

Important :

  • Vous pouvez ajouter une nouvelle VM à des catalogues de machines existants sans aucune opération de travailleur de volume, telle qu’une AMI de travailleur de volume et une VM de travailleur de volume.
  • Si vous supprimez un catalogue existant qui utilisait un travailleur de volume auparavant, tous les artefacts, y compris ceux liés au travailleur de volume, sont supprimés.

Chiffrement EBS des volumes créés

EBS peut chiffrer automatiquement les volumes nouvellement créés si l’AMI est chiffrée, ou si EBS est configuré pour chiffrer tous les nouveaux volumes. Cependant, pour implémenter cette fonctionnalité, les autorisations suivantes doivent être incluses dans la politique IAM.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

Les autorisations peuvent être limitées à des clés spécifiques en incluant un bloc Ressource et Condition à la discrétion de l’utilisateur. Par exemple, Autorisations KMS avec condition :

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

La déclaration de politique de clé suivante est l’intégralité de la politique de clé par défaut pour les clés KMS qui est requise pour permettre au compte d’utiliser les politiques IAM afin de déléguer l’autorisation pour toutes les actions (kms:*) sur la clé KMS.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Pour plus d’informations, consultez la documentation officielle d’AWS Key Management Service.

Authentification basée sur les rôles IAM

Les autorisations suivantes sont ajoutées pour prendre en charge l’authentification basée sur les rôles.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Stratégie d’autorisations IAM minimale

Le JSON suivant peut être utilisé pour toutes les fonctionnalités actuellement prises en charge. Vous pouvez créer des connexions d’hôte, créer, mettre à jour ou supprimer des machines virtuelles, et effectuer la gestion de l’alimentation à l’aide de cette stratégie. La stratégie peut être appliquée aux utilisateurs comme expliqué dans les sections Définition des autorisations IAM ou vous pouvez également utiliser l’authentification basée sur les rôles à l’aide de la clé de sécurité et de la clé secrète role_based_auth.

Important :

Pour utiliser role_based_auth, configurez d’abord le rôle IAM souhaité sur l’instance EC2 du connecteur cloud lors de la configuration du connecteur cloud. À l’aide de Citrix Studio, ajoutez la connexion d’hébergement et fournissez le role_based_auth pour la clé d’authentification et le secret. Une connexion d’hébergement avec ces paramètres utilise alors l’authentification basée sur les rôles.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutBucketAcl",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutObjectTagging"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::citrix*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

  • La section EC2 relative aux SecurityGroups n’est nécessaire que si un groupe de sécurité d’isolation doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette opération effectuée, ces autorisations ne sont plus requises.
  • La section KMS n’est requise que lors de l’utilisation du chiffrement de volume EBS.
  • La section d’autorisation iam:PassRole n’est nécessaire que pour role_based_auth.
  • Des autorisations spécifiques au niveau des ressources peuvent être ajoutées au lieu d’un accès complet, en fonction de vos exigences et de votre environnement. Reportez-vous aux documents AWS Démystifier les autorisations au niveau des ressources EC2 et Gestion des accès pour les ressources AWS pour plus de détails.

Plus d’informations

Environnements cloud AWS
May 31, 2026
Contributeur: 
C C
May 31, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.