Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Voir PDF

Connexion aux instances gérées Amazon WorkSpaces Core

April 8, 2026
Contributeur: 
C C

Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux instances gérées Amazon WorkSpaces Core.

Définir les autorisations IAM

Avant de créer une connexion d’hôte, une stratégie d’autorisations IAM doit être correctement définie pour un utilisateur ou un rôle IAM qui accorde à Citrix les autorisations appropriées pour provisionner et gérer les ressources de votre compte AWS en votre nom. Utilisez les informations de cette section pour définir les autorisations IAM pour Citrix Virtual Apps and Desktops sur les instances gérées Amazon WorkSpaces Core. Le service IAM d’Amazon permet aux comptes d’avoir plusieurs utilisateurs, qui peuvent être organisés en groupes. Ces utilisateurs peuvent posséder différentes autorisations pour contrôler leur capacité à effectuer des opérations associées au compte. Pour plus d’informations sur les autorisations IAM, consultez la référence de la stratégie JSON IAM.

Remarque :

Étant donné que Citrix provisionne et gère les ressources et l’automatisation dans votre compte AWS en votre nom, la configuration de stratégies d’autorisations IAM basées sur des balises spécifiques ou des conventions de nommage de ressources n’est pas prise en charge.

Pour appliquer une stratégie d’autorisations IAM à un nouveau groupe d’utilisateurs :

  1. Connectez-vous à la console de gestion AWS et sélectionnez le service IAM dans la liste déroulante.
  2. Sélectionnez Créer un nouveau groupe d’utilisateurs.
  3. Saisissez un nom pour le nouveau groupe d’utilisateurs et sélectionnez Continuer.
  4. Sur la page Autorisations, choisissez Stratégie personnalisée.
  5. Saisissez un nom pour la stratégie d’autorisations.
  6. Dans la section Document de stratégie, saisissez les autorisations pertinentes.

Après avoir saisi les informations de la stratégie, sélectionnez Continuer pour terminer l’application de la stratégie d’autorisations IAM au groupe d’utilisateurs. Les utilisateurs du groupe se voient accorder des autorisations pour effectuer uniquement les actions requises pour Citrix Virtual Apps and Desktops.

Important :

  • Utilisez le texte de la stratégie fourni dans l’exemple de cet article pour répertorier les actions que Citrix Virtual Apps and Desktops utilise pour effectuer des actions au sein d’un compte AWS sans restreindre ces actions à des ressources spécifiques. Citrix vous recommande d’utiliser l’exemple à des fins de test. Pour les environnements de production, vous pouvez choisir d’ajouter d’autres restrictions sur les ressources.

Ajouter des autorisations IAM

Ajoutez les autorisations dans la section IAM de la console de gestion AWS :

  1. Dans le panneau Résumé, sélectionnez l’onglet Autorisations.
    1. Sélectionnez Ajouter des autorisations.
    1. Dans l’écran Ajouter des autorisations à, accordez les autorisations.
  1. Dans la section JSON, incluez les autorisations AWS requises pour votre environnement.

Créer un rôle lié à un service

connection-name <connection-name> Pour chacun de vos comptes AWS à partir desquels Citrix appellera les API Core V2, créez un rôle lié à un service (SLR).

Étapes pour créer le rôle :

  • Ouvrez une interface de ligne de commande (CLI) dans la console de gestion AWS.

  • Exécutez la commande suivante dans la CLI :

     aws iam create-service-linked-role --aws-service-name workspaces-instances.amazonaws.com
 <!--NeedCopy-->

Vous pouvez également configurer le rôle lié à un service à l’aide de la console de gestion Amazon WorkSpaces Core. Consultez Création d’un rôle lié à un service (console).

Créer une connexion

Vous pouvez créer une connexion aux instances gérées Amazon WorkSpaces Core à l’aide de :

  • Web Studio

  • Commandes PowerShell

  • Remarque :

  • Vérifiez les restrictions de votre serveur proxy ou de votre pare-feu et assurez-vous que les adresses suivantes sont joignables : https://*.amazonaws.com et https://*.api.aws. Assurez-vous également que toutes les adresses mentionnées dans Connectivité du service Citrix Gateway sont joignables.

  • Si celles-ci ne sont pas joignables, cela pourrait entraîner un échec lors de la création ou de la mise à jour de la connexion d’hôte.

Créer une connexion à l’aide de Web Studio

  1. Accédez à la page Hébergement > Ajouter une connexion et des ressources.

  2. Sur la page Connexion, suivez ces étapes pour configurer la connexion :

    1. Sélectionnez Créer une nouvelle connexion.
    2. Dans Zone, sélectionnez l’emplacement de ressources que vous avez configuré pour votre environnement AWS.
    3. Sélectionnez Amazon WorkSpaces Core comme type de connexion.

    4. Sélectionnez Utiliser la clé d’accès de l’utilisateur IAM ou Utiliser le rôle IAM.

      Pour la clé d’accès de l’utilisateur IAM, fournissez votre clé API et votre clé secrète pour l’utilisateur IAM qui dispose de la stratégie d’autorisations IAM appropriée pour que Citrix puisse gérer les ressources de votre compte AWS.

      Pour le rôle IAM, assurez-vous d’avoir attribué un rôle IAM à l’instance du Delivery Controller avec la stratégie d’autorisations IAM appropriée pour que Citrix puisse gérer les ressources de votre compte AWS. Consultez le guide d’authentification basé sur les rôles pour plus d’informations.

    5. Saisissez un nom de connexion et cliquez sur Suivant.
  3. Sur la page Emplacement de la machine virtuelle, spécifiez l’emplacement où les machines virtuelles doivent être provisionnées. Sélectionnez la région cloud, le VPC et la zone de disponibilité pour la création de nouvelles machines virtuelles.

  4. Sur la page Réseau :

    1. Saisissez un nom pour les ressources que vous avez sélectionnées précédemment dans la zone de disponibilité ou la zone locale.
    2. Sélectionnez un ou plusieurs sous-réseaux dans le VPC que vous avez configuré dans le menu précédent.
  5. Parcourez les pages restantes jusqu’à la page Résumé.
  6. Cliquez sur Terminer pour créer la connexion d’hôte aux instances gérées Amazon WorkSpaces Core.

Considérations importantes

Lorsque vous créez une connexion à l’aide de Web Studio :

  • Définissez les autorisations IAM appropriées pour que Citrix puisse gérer vos ressources AWS.
    • Si vous utilisez une clé d’accès d’utilisateur IAM pour que Citrix puisse gérer vos ressources AWS, vous devez fournir les valeurs de la clé API et de la clé secrète. Vous pouvez exporter le fichier de clés contenant ces valeurs depuis AWS, puis les importer. Vous devez également fournir la région, la zone de disponibilité, le nom du VPC, les adresses de sous-réseau, le nom de domaine, les noms des groupes de sécurité et les informations d’identification.
    • Si vous utilisez un rôle IAM pour que Citrix puisse gérer vos ressources AWS, vous devez vous assurer d’attribuer un rôle avec les autorisations IAM appropriées à tous vos Delivery Controller. Consultez le guide d’authentification basé sur les rôles pour plus d’informations.
  • Le fichier d’informations d’identification pour le compte AWS racine (récupéré depuis la console AWS) n’est pas formaté de la même manière que les fichiers d’informations d’identification téléchargés pour les utilisateurs AWS standard. Par conséquent, Citrix Virtual Apps and Desktops ne peut pas utiliser le fichier pour renseigner les champs de clé API et de clé secrète. Assurez-vous d’utiliser des fichiers d’informations d’identification AWS Identity Access Management (IAM).

  • La zone peut être une zone de disponibilité ou une zone locale.

  • Créer une connexion à l’aide de PowerShell

  1. Ouvrez une fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger les modules PowerShell spécifiques à Citrix.

  3. Exécutez les commandes suivantes. Voici un exemple :

    ``` $connectionName = “demo-hostingconnection” $cloudRegion = “us-east-1” $apiKey = “aaaaaaaaaaaaaaaaaaaa” $apiSecret = “bbbbb” $secureKey = ConvertTo-SecureString -String $apiSecret $zoneUid = “00000000-0000-0000-0000-000000000000” $connectionPath = “XDHyp:\Connections" + $connectionName

    $connection = New-Item -Path $connectionPath -ConnectionType “AmazonWorkSpacesCoreMachineManagerFactory” -HypervisorAddress “ “https://workspaces-instances.$($cloudRegion).api.aws”” -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid

  • New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid

    $hostingUnitName = “demo-hostingunit” $availabilityzone = “us-east-1a” $vpcName = “Default VPC” $jobGroup = [Guid]::NewGuid() $hostingUnitPath = “XDHyp:\HostingUnits" + $HostingUnitName $rootPath = $connectionPath + “" + $vpcName + “.virtualprivatecloud"

    • $availabilityZonePath = @($rootPath + $availabilityzone + “.availabilityzone”) $networkPaths = (Get-ChildItem $availabilityZonePath[0] | Where ObjectType -eq “Network”) | Select-Object -ExpandProperty FullPath # will select all the networks in the availability zone

    New-Item -Path $hostingUnitPath -AvailabilityZonePath $availabilityZonePath -HypervisorConnectionName $connectionName -JobGroup $jobGroup -PersonalvDiskStoragePath @() -RootPath $rootPath -NetworkPath $networkPaths

    ```

Remarque :

Pour créer une connexion à l’aide de l’authentification basée sur les rôles, spécifiez apiKey et apiSecret comme role_based_auth.

Limitation

Si vous modifiez le nom d’un AWS Virtual Private Cloud (VPC) dans la console AWS, l’unité d’hébergement existante dans Citrix Cloud™ est interrompue. Lorsque l’unité d’hébergement est interrompue, vous ne pouvez pas créer de catalogues ni ajouter de machines aux catalogues existants. Pour résoudre le problème, rétablissez le nom d’origine du VPC AWS.

Modifier une connexion

Vous pouvez modifier une connexion d’hôte existante pour :

Modifier les options pour fournir des autorisations IAM

  1. Cliquez avec le bouton droit sur une connexion Amazon WorkSpaces Core existante.
  2. Sur la page Propriétés de la connexion, cliquez sur Modifier les paramètres.
  3. Sélectionnez l’une des options pour fournir des autorisations IAM à Citrix afin de gérer les ressources. Saisissez les détails requis et cliquez sur Enregistrer.

Modifier le nombre maximal d’actions simultanées

Lorsque vous créez des connexions d’hôte dans Studio pour les instances gérées Amazon WorkSpaces Core, les valeurs par défaut suivantes s’affichent :

Option Absolu Pourcentage
Actions simultanées (tous types) 125 100
Nombre maximal de nouvelles actions par minute 150 s/o
Nombre maximal d’opérations de provisionnement concurrentes 150 s/o

MCS prend en charge 150 opérations de provisionnement concurrentes maximales par défaut.

Vous pouvez configurer ces valeurs en accédant à la section Avancé de Citrix Studio sur l’écran Modifier la connexion :

Vous pouvez également utiliser le SDK PowerShell distant pour définir le nombre maximal d’opérations concurrentes afin d’obtenir des paramètres optimaux pour votre environnement.

Utilisez la propriété personnalisée PowerShell, MaximumConcurrentProvisioningOperations, pour spécifier le nombre maximal d’opérations de provisionnement AWS concurrentes.

Avant la configuration :

  • Assurez-vous d’avoir installé le SDK PowerShell pour le Cloud.
  • Comprenez que la valeur par défaut de MaximumConcurrentProvisioningOperations est 150.

Effectuez les étapes suivantes pour personnaliser la valeur MaximumConcurrentProvisioningOperations :

  1. Ouvrez une fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger les modules PowerShell spécifiques à Citrix.
  3. Saisissez cd xdhyp:\Connections\.
  4. Saisissez dir pour lister les connexions.

  5. Modifiez ou initialisez la chaîne de propriétés personnalisées :

    • Si la chaîne de propriétés personnalisées a une valeur, copiez les propriétés personnalisées dans le Bloc-notes. Ensuite, modifiez la propriété MaximumConcurrentProvisioningOperations à la valeur souhaitée. Vous pouvez saisir une valeur comprise entre 1 et 1000. Par exemple, <Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="xyz"/>.

    • Si la chaîne de propriétés personnalisées est vide ou nulle, vous devez initialiser la chaîne en saisissant la syntaxe appropriée pour le schéma et la propriété MaximumConcurrentProvisioningOperations.

  6. Dans la fenêtre PowerShell, collez les propriétés personnalisées modifiées du Bloc-notes et attribuez une variable aux propriétés personnalisées modifiées. Si vous avez initialisé les propriétés personnalisées, ajoutez les lignes suivantes après la syntaxe :

    $customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="IntProperty" Name="MaximumConcurrentProvisioningOperations" Value="100"/></CustomProperties>'
<!--NeedCopy-->

    Cette chaîne définit la propriété MaximumConcurrentProvisioningOperations à 100. Dans la chaîne de propriétés personnalisées, vous devez définir la propriété MaximumConcurrentProvisioningOperations à une valeur qui correspond à vos besoins.

  7. Saisissez Get-XDAuthentication, ce qui vous invite à entrer vos informations d’identification.
  8. Exécutez $cred = Get-Credential, ce qui peut vous demander uniquement un mot de passe (ou un nom d’utilisateur et un mot de passe). Vous pouvez également être invité à saisir l’ID de l’application et le secret associé. Pour les connexions utilisant l’authentification basée sur les rôles, role_based_auth est à la fois le nom d’utilisateur et le mot de passe. Sinon, saisissez l’ID et le secret de l’API AWS.
  9. Exécutez set-item -PSPath 'XDHyp:\Connectionsconnection-name' -CustomProperties $customProperties -username $cred.username -Securepassword $cred.password. Vous devez définir <connection-name> sur le nom de la connexion.
  10. Saisissez dir pour vérifier la chaîne CustomProperties mise à jour.

Configurer les groupes de sécurité par interface réseau

Lors de la modification d’une connexion d’hôte, vous pouvez désormais configurer le nombre maximal de groupes de sécurité autorisés par interface réseau élastique (ENI) à l’aide d’une commande PowerShell. Pour plus d’informations sur les valeurs de quota des groupes de sécurité AWS, consultez Groupes de sécurité.

Pour configurer les groupes de sécurité par interface réseau :

  1. Ouvrez une fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger les modules PowerShell spécifiques à Citrix.
  3. Exécutez cd xdhyp:\Connections\.
  4. Exécutez dir pour lister les connexions.

  5. Exécutez la commande PowerShell suivante pour configurer les groupes de sécurité par interface réseau :

    Set-HypHypervisorConnectionMetadata -HypervisorConnectionName aws -Name "Citrix_MachineManagement_Options" -Value " AwsMaxENISecurityGroupLimit=<number>"
<!--NeedCopy-->

    Remarque :

    Si vous ne définissez pas de valeur pour AwsMaxENISecurityGroupLimit, la valeur par défaut de 5 est utilisée.

URL du point de terminaison de service

URL du point de terminaison de service de zone standard

Lorsque vous utilisez MCS, une nouvelle connexion d’instances gérées Amazon WorkSpaces Core est ajoutée avec une clé API et un secret API. Avec ces informations, ainsi que le compte authentifié, MCS interroge AWS pour les régions et zones prises en charge à l’aide des appels d’API AWS EC2 et Amazon WorkSpaces Core Managed Instances. La requête est effectuée à l’aide d’une URL de point de terminaison de service d’instances Workspace https://workspaces-instances.us-east-1.api.aws/ et d’un point de terminaison de service EC2 https:/ec2.us-east-1.api.aws/.

Remarque :

Assurez-vous que https://workspaces-instances.us-east-1.api.aws/ est joignable.

Autorisations AWS requises

Cette section contient la liste complète des autorisations AWS. Utilisez l’ensemble complet d’autorisations tel qu’indiqué dans la section pour que la fonctionnalité fonctionne correctement.

Remarque :

L’autorisation iam:PassRole est nécessaire uniquement pour l’utilisation des rôles IAM par Citrix afin de gérer les ressources.

Création d’une connexion d’hôte

Une nouvelle connexion d’hôte est ajoutée à l’aide des informations obtenues auprès d’AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Gestion de l’alimentation des machines virtuelles

Les machines virtuelles sont mises sous tension ou hors tension.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",,
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:DescribeInstanceStatus"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
           "Action": [
               "workspaces-instances:*"
           ],
           "Effect": "Allow",
            "Resource": "*"
       }

    ]

}
<!--NeedCopy-->

  • Création, mise à jour ou suppression de machines virtuelles

  • Un catalogue de machines est créé, mis à jour ou supprimé avec des machines virtuelles provisionnées en tant qu’instances AWS.
-  {
-  "Version": "2012-10-17",
-  "Statement": [
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteVolume",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "workspaces-instances:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Remarque :

  • La section EC2 relative aux groupes de sécurité n’est nécessaire que si un groupe de sécurité d’isolation doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette opération effectuée, ces autorisations ne sont plus requises.

Chargement et téléchargement direct de disque

Les autorisations suivantes doivent être ajoutées à la stratégie :

  • ebs:StartSnapshot
  • ebs:GetSnapshotBlock
  • ebs:PutSnapshotBlock
  • ebs:CompleteSnapshot
  • ebs:ListSnapshotBlocks
  • ebs:ListChangedBlocks
  • ec2:CreateSnapshot
  • ec2:DeleteSnapshot
  • ec2:DescribeLaunchTemplates

Chiffrement EBS des volumes créés

EBS peut chiffrer automatiquement les volumes nouvellement créés si l’AMI est chiffrée, ou si EBS est configuré pour chiffrer tous les nouveaux volumes. Cependant, pour implémenter la fonctionnalité, les autorisations suivantes doivent être incluses dans la stratégie IAM.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        }
    ]
}
<!--NeedCopy-->

Remarque :

Les autorisations peuvent être limitées à des clés spécifiques en incluant un bloc Resource et Condition, à la discrétion de l’utilisateur. Par exemple, Autorisations KMS avec condition :

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
<!--NeedCopy-->

L’instruction de stratégie de clé suivante est l’intégralité de la stratégie de clé par défaut pour les clés KMS qui est requise pour permettre au compte d’utiliser les stratégies IAM afin de déléguer l’autorisation pour toutes les actions (kms:*) sur la clé KMS.

{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->

Pour plus d’informations, consultez la documentation officielle d’AWS Key Management Service.

Authentification basée sur les rôles IAM

Les autorisations suivantes sont ajoutées pour prendre en charge l’authentification basée sur les rôles.

{
     "Version": "2012-10-17",
     "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        }
    ]
}
<!--NeedCopy-->

Stratégie d’autorisations IAM minimale

Le JSON suivant peut être utilisé pour toutes les fonctionnalités actuellement prises en charge. Vous pouvez créer des connexions d’hôte, créer, mettre à jour ou supprimer des machines virtuelles, et gérer l’alimentation à l’aide de cette stratégie. La stratégie peut être appliquée aux utilisateurs comme expliqué dans les sections Définir les autorisations IAM ou vous pouvez également utiliser l’authentification basée sur les rôles en sélectionnant Utiliser le rôle IAM lors de la configuration d’une connexion d’hôte.

Important :

Pour utiliser les rôles IAM pour que Citrix gère les ressources, configurez d’abord le rôle IAM souhaité sur l’instance EC2 du Delivery Controller lors de la configuration des Delivery Controllers. À l’aide de Citrix Studio, ajoutez la connexion d’hébergement et sélectionnez l’option Utiliser le rôle IAM. Une connexion d’hébergement avec ces paramètres utilise alors l’authentification basée sur les rôles.

{
    "Version": "2012-10-17",
-  "Statement": [
        {
-  "Action": [
-  "ec2:AttachVolume",
-  "ec2:AssociateIamInstanceProfile",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateLaunchTemplate",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteVolume",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:DescribeInstanceCreditSpecifications",
                "ec2:DescribeInstanceAttribute",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeVolumes",
                "ec2:DescribeVpcs",
                "ec2:DetachVolume",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:RebootInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ebs:StartSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot",
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ec2:CreateSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "kms:CreateGrant",
                 "kms:Decrypt",
                 "kms:DescribeKey",
                 "kms:GenerateDataKeyWithoutPlainText",
                 "kms:GenerateDataKey",
                 "kms:ReEncryptTo",
                 "kms:ReEncryptFrom"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "workspaces-instances:*"
            ],
            "Resource": "*"
        }

    ]
}
<!--NeedCopy-->

Remarque :

  • La section EC2 relative aux groupes de sécurité n’est nécessaire que si un groupe de sécurité d’isolation doit être créé pour la machine virtuelle de préparation lors de la création du catalogue. Une fois cette opération effectuée, ces autorisations ne sont plus requises.
  • La section KMS n’est requise que lors de l’utilisation du chiffrement de volume EBS.
  • La section d’autorisation iam:PassRole n’est nécessaire que pour l’utilisation des rôles IAM par Citrix afin de gérer les ressources.
  • Des autorisations spécifiques au niveau des ressources peuvent être ajoutées au lieu d’un accès complet, en fonction de vos exigences et de votre environnement. Reportez-vous aux documents AWS Demystifying EC2 Resource-Level Permissions et Access management for AWS resources pour plus de détails.
  • Utilisez les autorisations ec2:CreateNetworkInterface et ec2:DeleteNetworkInterface uniquement si vous utilisez la méthode du volume worker.

Étapes suivantes

Plus d’informations

Connexion aux instances gérées Amazon WorkSpaces Core
April 8, 2026
Contributeur: 
C C
April 8, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.