Conexão com o AWS
Criar e gerenciar conexões e recursos descreve os assistentes que criam uma conexão. As informações a seguir abrangem detalhes específicos para ambientes de nuvem AWS.
Nota:
Antes de criar uma conexão com o AWS, você precisa primeiro concluir a configuração da sua conta AWS como um local de recurso. Consulte Ambientes de nuvem AWS.
Criar uma conexão
Ao criar uma conexão a partir do Web Studio:
- Você deve fornecer os valores da chave de API e da chave secreta. Você pode exportar o arquivo de chave contendo esses valores do AWS e depois importá-los. Você também deve fornecer a região, zona de disponibilidade, nome da VPC, endereços de sub-rede, nome de domínio, nomes de grupos de segurança e credenciais.
- O arquivo de credenciais para a conta raiz do AWS (recuperado do console do AWS) não está formatado da mesma forma que os arquivos de credenciais baixados para usuários padrão do AWS. Portanto, o gerenciamento do Citrix Virtual Apps and Desktops™ não pode usar o arquivo para preencher os campos de chave de API e chave secreta. Certifique-se de que você está usando arquivos de credenciais do AWS Identity Access Management (IAM).
Nota:
Depois de criar uma conexão, as tentativas de atualizar a chave de API e a chave secreta podem falhar. Para resolver o problema, verifique as restrições do seu servidor proxy ou firewall e certifique-se de que o seguinte endereço esteja acessível:
https://*.amazonaws.com.
Valores padrão da conexão do host
Ao criar conexões de host em ambientes de nuvem AWS, os seguintes valores padrão são exibidos:
| Opção | Absoluto | Porcentagem |
|---|---|---|
| Ações simultâneas (todos os tipos) | 125 | 100 |
| Máximo de novas ações por minuto | 125 |
O MCS suporta 100 operações de provisionamento simultâneas máximas por padrão.
Provisionamento entre contas
Existem casos de uso em que os Delivery Controllers seriam colocados em uma conta AWS primária (conta de serviços compartilhados ou conta de componentes do site) com funções IAM que têm acesso entre contas (função IAM entre contas) e catálogos de máquinas provisionados pelo MCS em uma conta AWS secundária separada (contas de cargas de trabalho), sem a necessidade de Delivery Controllers adicionais nas contas separadas. Para suportar tais cenários, este recurso usa o emparelhamento de VPC e o acesso entre contas usando funções IAM para tornar o provisionamento entre diferentes contas AWS possível para empresas que gerenciam múltiplas contas AWS.
Com o emparelhamento de VPC, você pode ter seus Delivery Controllers e VMs provisionadas em diferentes regiões e/ou contas capazes de se comunicar entre si.
Com o acesso entre contas usando funções IAM, você permite que a conta primária (conta do Delivery Controller) assuma uma função IAM para acessar recursos AWS na conta secundária (VMs do catálogo de máquinas).
Para permitir que os Delivery Controllers acessem os recursos da conta secundária, crie uma conexão de host após assumir a função IAM da conta secundária.
Pré-requisitos
Configure o seguinte antes de criar uma conexão de host para provisionamento entre contas:
- Configure o emparelhamento de VPC e os grupos de segurança em ambas as regiões ou contas. Consulte Configurar emparelhamento de VPC
- Delegue o acesso entre contas usando funções IAM. Consulte (link para o tópico abaixo).
Configurar emparelhamento de VPC
Vamos assumir que a VPC A está na conta primária (Conta A) e possui os Delivery Controllers e o Active Directory. A VPC B está na conta secundária (Conta B) onde você deseja provisionar as VMs.
Para configurar uma conexão de emparelhamento de VPC entre a Conta A e a Conta B, faça o seguinte:
-
Crie uma conexão de emparelhamento de VPC. Consulte:
- Vá para sua VPC A e para a tabela de rotas associada à sub-rede pública.
- Clique em “Editar Rotas” > “Adicionar rota”. Adicione o bloco CIDR da VPC B na coluna “Destino” e adicione o emparelhamento de VPC que você criou na coluna “Alvo”.
- Repita as Etapas 2 e 3, mas com as sub-redes privadas para VPC A e VPC B (adicione o bloco CIDR da VPC A). Consulte Atualizar suas tabelas de rotas para uma conexão de emparelhamento de VPC.
- Vá para o grupo de segurança privado associado à VPC A.
- Selecione “Ações”, depois “Editar regras de entrada”.
-
Selecione “Adicionar regra”. Para o tipo, selecione “Todo o Tráfego”, então na “Coluna de Origem” adicione:
- Se for uma região diferente, o Bloco CIDR da VPC B.
- Se for uma conta diferente, mas na mesma região, adicione o ID da conta e o ID do grupo de segurança privado da VPC B separados por uma barra (Exemplo, 123456789012/sg-1a2b3c4d)
- Repita as Etapas 5 a 7, mas com o grupo de segurança privado para a VPC B (mas adicione o Bloco CIDR da VPC A ou o ID da conta da VPC A e o ID do grupo de segurança privado da mesma região, mas de conta diferente). Consulte Atualizar seus grupos de segurança para referenciar grupos de segurança de pares.
Nota:
Não há cobrança para criar uma conexão de emparelhamento de VPC. No entanto, embora o emparelhamento de VPC dentro de uma Zona de Disponibilidade seja gratuito, aplicam-se cobranças quando a transferência de dados por uma conexão de emparelhamento de VPC ocorre em várias Zonas de Disponibilidade e regiões. Consulte Preços para uma conexão de emparelhamento de VPC.
Delegar acesso entre contas usando funções IAM
Após configurar o emparelhamento de VPC entre contas, você delega o acesso entre contas usando funções IAM.
Com o acesso entre contas usando funções IAM, você permite que a conta primária (conta do Delivery Controller™) assuma uma função IAM para acessar recursos AWS na conta secundária (VMs do catálogo de máquinas).
Para acessar recursos entre contas, faça o seguinte:
Lembre-se:
Assumindo que a VPC A está na conta primária (Conta A) e possui o Delivery Controller e o Active Directory. A VPC B está na conta secundária (Conta B) onde você deseja provisionar as VMs
- Configure o emparelhamento de VPC entre contas com as etapas mencionadas acima.
- Crie uma função e política IAM na Conta B com Permissões IAM mínimas do Citrix. Consulte Tutorial IAM: Delegar acesso entre contas AWS usando funções IAM. Digamos que o ARN desta função seja “arn:aws:iam::5678:role/citrix-role”.
- Adicione a política de Confiança à função “arn:aws:iam::5678:role/citrix-role” para que ela possa ser acessada pela função da Conta A “arn:aws:iam::1234:role/primary-account-citrix-role” conforme - Acesso a recursos entre contas no IAM.
- Crie a função e política IAM na Conta A com o nome mencionado acima “primary-account-citrix role” que tem a capacidade de assumir a função IAM e passar a função IAM da Conta B (arn:aws:iam::5678:role/citrix-role).
- Atribua a função “arn:aws:iam::1234:role/primary-account-citrix-role” a todos os Delivery Controllers na Conta A.
O Delivery Controller agora pode assumir a função da Conta B (“arn:aws:iam::5678:role/citrix-role”).
Criar conexão de host para provisionamento entre contas
Crie uma conexão de host na conta secundária (Conta B) onde você deseja provisionar as VMs. Isso permite que o Delivery Controller da Conta A acesse os recursos na Conta B após assumir a função da Conta B.
Use comandos PowerShell para criar a conexão de host e adicionar as duas propriedades personalizadas a seguir:
-
CrossAccountRoleArn: Se você não fornecer a propriedadeCrossAccountRoleArn, a Conexão de Host regular será criada. Neste caso,MaximumAssumeRoleDurationInSecondsé ignorado mesmo que seja fornecido. -
MaximumAssumeRoleDurationInSeconds:DurationInSecondsdeve estar entre 900 segundos e 3600 segundos. O padrão é 900 segundos. Se você fornecer um valor maior que 3600,DurationInSecondsserá definido como 3600.
Exemplo:
$connectionName = "cross-account-conn"
$cloudRegion = "us-east-1"
$apiKey = "role_based_auth"
$secretKey = "role_based_auth"
$zoneUid = "xxxxxx"
$secureKey = (ConvertTo-SecureString -String $secretKey -AsPlainText -Force)
$connectionPath = "XDHyp:\Connections\" + $connectionName
$customProperties = '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CrossAccountRoleArn" Value="arn:aws:iam::5678:role/citrix-role" /><Property xsi:type="StringProperty" Name="MaximumAssumeRoleDurationInSeconds" Value="3600" />
"</CustomProperties>'
$connection = New-Item -Path $connectionPath -ConnectionType "AWS" -HypervisorAddress "https://ec2.$($cloudRegion).amazonaws.com" -Persist -Scope @() -UserName $apiKey -SecurePassword $secureKey -ZoneUid $zoneUid -CustomProperties $customProperties
New-BrokerHypervisorConnection -HypHypervisorConnectionUid $connection.HypervisorConnectionUid
<!--NeedCopy-->
Após a criação da conexão de host, crie unidades de hospedagem usando o Studio ou o PowerShell. No entanto, selecione VPC e Redes.
URL do endpoint de serviço
URL do endpoint de serviço da zona padrão
Ao usar o MCS, uma nova conexão AWS é adicionada com uma chave de API e um segredo de API. Com essas informações, juntamente com a conta autenticada, o MCS consulta o AWS para as zonas suportadas usando a chamada de API AWS DescribeRegions EC2. A consulta é feita usando uma URL de Endpoint de Serviço EC2 genérica https://ec2.amazonaws.com/. Use o MCS para selecionar a zona para a conexão na lista de zonas suportadas. A URL de endpoint de serviço AWS preferida é selecionada automaticamente para a zona. No entanto, depois de criar a URL do endpoint de serviço, você não pode mais definir ou modificar a URL.
Definir permissões IAM
Use as informações nesta seção para definir permissões IAM para o Citrix Virtual Apps and Desktops no AWS. O serviço IAM da Amazon permite contas com múltiplos usuários, que podem ser organizados em grupos. Esses usuários podem possuir diferentes permissões para controlar sua capacidade de realizar operações associadas à conta. Para mais informações sobre permissões IAM, consulte a referência de política JSON do IAM.
Para aplicar a política de permissões IAM a um novo grupo de usuários:
- Faça login no console de gerenciamento do AWS e selecione o “serviço IAM” na lista suspensa.
- Selecione “Criar um Novo Grupo de Usuários”.
- Digite um nome para o novo grupo de usuários e selecione “Continuar”.
- Na página “Permissões”, escolha “Política Personalizada”. Selecione “Selecionar”.
- Digite um nome para a “Política de permissões”.
- Na seção “Documento da Política”, insira as permissões relevantes.
Após inserir as informações da política, selecione “Continuar” para concluir o grupo de usuários. Os usuários do grupo recebem permissões para realizar apenas as ações necessárias para o Citrix Virtual Apps and Desktops.
Importante:
Use o texto da política fornecido no exemplo anterior para listar as ações que o Citrix Virtual Apps and Desktops usa para realizar ações em uma conta AWS sem restringir essas ações a recursos específicos. A Citrix recomenda que você use o exemplo para fins de teste. Para ambientes de produção, você pode optar por adicionar mais restrições aos recursos.
Definir permissões IAM
Defina as permissões na seção “IAM” do Console de Gerenciamento do AWS:
- No painel “Resumo”, selecione a guia “Permissões”.
Na tela “Adicionar Permissões a”, conceda permissões:
Use o seguinte como exemplo na guia “JSON”:
Dica:
O exemplo JSON mencionado pode não incluir todas as permissões para o seu ambiente. Consulte Como Definir Permissões de Gerenciamento de Acesso de Identidade para Executar o Citrix Virtual Apps and Desktops no AWS para obter mais informações.
Permissões AWS necessárias
Esta seção contém a lista completa de permissões AWS.
Nota:
A permissão iam:PassRole é necessária apenas para role_based_auth.
Criando uma conexão de host
Uma nova conexão de host é adicionada usando as informações do AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Gerenciamento de energia de VMs
As VMs são ligadas ou desligadas.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Criando, atualizando ou excluindo VMs
Um catálogo de máquinas é criado, atualizado ou excluído com VMs provisionadas como instâncias AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
A seção EC2 relacionada a grupos de segurança é necessária apenas se um grupo de segurança de isolamento precisar ser criado para a VM de preparação durante a criação do catálogo. Uma vez feito isso, essas permissões não são mais necessárias.
Upload e download direto de disco
O upload direto de disco elimina a necessidade de um volume worker para o provisionamento do catálogo de máquinas e, em vez disso, usa APIs públicas fornecidas pelo AWS. Essa funcionalidade reduz o custo associado a contas de armazenamento extras e a complexidade de manter as operações do volume worker.
Nota:
O suporte para volume worker foi removido. As permissões de upload e download direto de disco são necessárias para o provisionamento do catálogo de máquinas.
As seguintes permissões devem ser adicionadas à política:
ebs:StartSnapshotebs:GetSnapshotBlockebs:PutSnapshotBlockebs:CompleteSnapshotebs:ListSnapshotBlocksebs:ListChangedBlocksec2:CreateSnapshotec2:DeleteSnapshotec2:DescribeLaunchTemplates
Importante:
- Você pode adicionar uma VM a catálogos de máquinas existentes sem qualquer operação de volume worker, como AMI de volume worker e VM de volume worker.
- Se você excluir um catálogo existente que usava volume worker antes, todos os artefatos, incluindo os relacionados ao volume worker, serão excluídos.
Criptografia EBS de volumes criados
O EBS pode criptografar automaticamente volumes recém-criados se a AMI for criptografada, ou se o EBS estiver configurado para criptografar todos os novos volumes. No entanto, para implementar a funcionalidade, as seguintes permissões devem ser incluídas na política IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->
Nota:
As permissões podem ser limitadas a chaves específicas, incluindo um bloco de Recurso e Condição, a critério do usuário. Por exemplo, Permissões KMS com Condição:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
<!--NeedCopy-->
A seguinte declaração de política de chave é a política de chave padrão completa para chaves KMS que é necessária para permitir que a conta use políticas IAM para delegar permissão para todas as ações (kms:*) na chave KMS.
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:",
"Resource": ""
}
<!--NeedCopy-->
Para mais informações, consulte a documentação oficial do AWS Key Management Service.
Autenticação baseada em função IAM
As seguintes permissões são adicionadas para suportar a autenticação baseada em função.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Política de permissões IAM mínima
O JSON a seguir pode ser usado para todos os recursos atualmente suportados. Você pode criar conexões de host, criar, atualizar ou excluir VMs e fazer o gerenciamento de energia usando esta política.
A política pode ser aplicada aos usuários conforme explicado nas seções Definir permissões IAM ou você também pode usar a autenticação baseada em função usando a chave de segurança e a chave secreta role_based_auth.
Importante:
Para usar role_based_auth, primeiro configure a função IAM desejada em todos os Delivery Controllers em nosso site. Usando o Web Studio, adicione a conexão de hospedagem e forneça o role_based_auth para a chave de autenticação e o segredo. Uma conexão de hospedagem com essas configurações usa então a autenticação baseada em função.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AssociateIamInstanceProfile",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateLaunchTemplate",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstanceAttribute",
"ec2:GetLaunchTemplateData",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ebs:StartSnapshot",
"ebs:GetSnapshotBlock",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot",
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*"
}
]
}
<!--NeedCopy-->
Nota:
- A seção EC2 relacionada a SecurityGroups é necessária apenas se um Grupo de Segurança de Isolamento precisar ser criado para a VM de Preparação durante a criação do catálogo. Uma vez feito isso, essas permissões não são mais necessárias.
- A seção KMS é necessária apenas ao usar a criptografia de volume EBS.
- A seção de permissão iam:PassRole é necessária apenas para role_based_auth.
- Permissões específicas em nível de recurso podem ser adicionadas em vez de acesso total, com base em seus requisitos e ambiente. Consulte os documentos da AWS Desmistificando as Permissões em Nível de Recurso do EC2 e Gerenciamento de acesso para recursos da AWS para mais detalhes.
Validar permissões na conexão do host
Você pode validar permissões em uma conexão de host para realizar tarefas relacionadas à criação e gerenciamento de catálogos de máquinas MCS. Esta implementação ajuda você a descobrir as permissões ausentes necessárias para diferentes cenários, como criação, exclusão e atualização de VMs, gerenciamento de energia de VMs e criptografia EBS, com antecedência, para que você possa evitar ser bloqueado em momentos críticos.
Você pode validar as permissões em uma conexão de host usando o comando PowerShell Test-HypHypervisorConnection. O resultado do comando é capturado como uma lista onde cada item da lista é dividido em três seções.
- Categoria: A ação ou tarefa que um usuário pode fazer para criar e gerenciar um catálogo de máquinas MCS.
- Ação Corretiva: A etapa que um administrador deve fazer para resolver uma discrepância de permissões ausentes dos usuários.
- Permissão ausente: A lista de permissões ausentes para uma categoria.
Para validar as permissões, faça o seguinte:
- Crie uma conexão de host com o AWS.
- Abra uma janela do PowerShell a partir do host do Delivery Controller.
- Execute
asnp citrix*para carregar os módulos PowerShell específicos da Citrix. -
Execute o seguinte comando para verificar se você tem as permissões necessárias para consultar suas permissões.
Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon" <!--NeedCopy--> -
Depois de adicionar as permissões ausentes necessárias para consultar suas permissões, execute o seguinte comando para verificar se você tem permissões nas seguintes categorias:
- Criar, atualizar, excluir
- Gerenciamento de energia
- Criptografia EBS
Test-HypHypervisorConnection -LiteralPath "XDHyp:\Connections\AWSCon" [-SecurePassword -Password] "password" -UserName "" -CustomProperties "" <!--NeedCopy-->
Para mais informações sobre como adicionar permissões, consulte Definir permissões IAM.
Onde ir em seguida
- Se você estiver no processo de implantação inicial, consulte Criar catálogos de máquinas
- Para informações específicas do AWS, consulte Criar um catálogo AWS