Citrix DaaS

适用于 Amazon WorkSpaces 核心的 Citrix DaaS

简介

本文介绍如何使用 Citrix 为 Amazon WorkSpaces Core 准备和创建部署。 Amazon WorkSpaces Core 位于 Amazon Web Services (AWS) 中。

下面是使用 Citrix DaaS 实现 AWS 及其管理的示例:

AWS 体系结构

准备和创建部署

快速部署界面中的部署清单包含指向过程 1-5 的链接。

  1. 在开始之前,请先完成 Citrix Cloud 和 AWS 中的必备条件。
  2. 在 Citrix Cloud 中创建资源位置。 (此过程也作为必备条件包括在内。)
  3. 连接您的 AWS 帐户。 此过程启用权限,这样 Citrix DaaS 就可以连接到 AWS。
  4. 创建目录连接。 此过程配置允许访问您组织的 Active Directory 的连接。
  5. 导入映像。 此过程使您能够为用户创建桌面体验。
  6. 创建部署。 此过程指定了要部署的计算机以及可以通过 Citrix Workspace 访问这些计算机的用户。

开始之前的准备工作

在开始准备和创建部署之前,请确保您已完成以下任务。

有一个例外:在 Citrix Cloud 中创建资源位置被列为必备条件。 这也是部署清单中的第一个程序。 因此,如果您将资源位置创建为必备条件的一部分,请跳过清单序列中的该过程。 同样,如果您之前没有完成该程序,请在清单中完成该程序。

在 Citrix Cloud 中完成的前提条件

在 AWS 中完成的必备条件

  • 创建 AWS 用户帐户。 该帐户必须有:
  • 在 Active Directory 中:
    • 使用 AD 连接器选项存储和管理信息。 有关更多详细信息,请参阅 AD 连接器
    • 创建一个 OU,在其中创建 VM。 该 OU 必须有 Citrix 策略才能与 Cloud Connector 和 Citrix Cloud 进行通信。 有关详细信息,请参阅“参考”部分。
    • 为 Citrix Cloud Connector 配置设置组策略:
      1. Citrix 下载站点下载由 Citrix 提供的最新组策略管理控制台 (CitrixGroupPolicyManagement_64.msi)。
      2. 安装 MSI(该计算机必须安装 Visual Studio 2015 运行时)。 然后创建包含控制器策略设置Citrix 策略。 该设置指定 Cloud Connector 地址。
  • 创建或使用现有的 NAT 网关。 有关更多信息,请参阅 NAT 网关
  • 创建或使用一个或多个现有安全组,允许 Citrix Cloud Connector 与已部署的虚拟机进行通信。 有关更多信息,请参阅使用安全组控制流向 AWS 资源的流量
  • 打开 AWS 支持票证,在您的帐户上启用 BYOL。 要开始使用,请联系您的 AWS 帐户经理或销售代表,或联系 AWS 支持中心。 您的联系人将验证并启用 BYOL。 有关更多信息,请参阅使用 Amazon WorkSpaces 控制台为您的帐户启用 BYOL 的 BYOL

    注意:

    BYOL 目前不支持 Windows 10 N 和 Windows 11 N 版本。

    • 使用 Citrix DaaS for Amazon WorkSpaces Core 功能将自动启用 AWS WorkSpaces Core 中的自带协议 (BYOP) 功能。
    • 为将要创建的桌面拥有足够的 Windows 10 许可证。 有关更多信息,请参阅自带 Windows 桌面许可证

一般准备

在开始之前,请先查看每个程序。 好处:这将有助于轻松完成流程。

创建资源位置

您可以在 Citrix Cloud 中创建资源位置。

  • 资源位置包含两个或更多与 Citrix Cloud 通信的 Cloud Connector。 您安装 Cloud Connector 的服务器必须位于 EC2 VPC 中,已加入域并且具有 Internet 连接。 Cloud Connector 必须与您计划使用的目录位于同一 VPC 中。
  • 有关 Cloud Connector 的更多信息,请参阅 Citrix Cloud Connector 以及如何对其进行配置。
  • 资源位置也可以包含您的 Active Directory 服务器。 有关更多信息,请参阅 将 Active Directory 连接到 Citrix Cloud

连接您的 AWS 帐户

此过程允许 Citrix DaaS 连接到 AWS 的权限。

要为 AWS WorkSpaces Core 创建 AssumeRole,请按照以下步骤操作:

  1. 在 Citrix DaaS 中,在“管理”>“快速部署”>“帐户”下,单击“连接帐户”。
  2. 在“连接 AWS 帐户”页面的“确认前提条件”下,单击“下载 AWS CloudFormation 模板”。 下载模板后,单击“下一步”。

    下载 AWS CloudFormation 模板

  3. 要上载模板,请参阅为 AWS Workspace Core 集成创建 AssumeRole
  4. 身份验证帐户页面中,添加在角色 ID 字段中生成的 Amazon Resource Name (ARN),在名称字段中提供名称,然后单击“下一步”。 “选择区域”页面打开。

    角色 ID 对应角色的 ARN,该角色将授权 Citrix 管理资源。 通过导航到 IAM > 角色,可以在 AWS 管理控制台中找到角色 ID。

    如果您使用的是 CloudFormation 脚本,请导航到 CloudFormation 并单击用于创建角色的相应堆栈。 导航到资源选项卡,然后单击带有 LogicalID CitrixAssumeRole 的资源。

    注意:

    您不能为同一 AWS 帐户连接同一区域的两个帐户。

  5. 选取区域 页面上,选择要部署桌面的区域,然后单击 下一个.

    注意:

    如果您选择未设置 BYOL 的区域,则您的账户只能访问默认租赁映像和共享目录连接租赁。 在此区域中设置 BYOL 后,您的账户将获得从 EC2 环境和专用目录连接租赁访问映像的权限。

  6. (仅当选择启用了 BYOL 的区域时,才会显示该步骤)在 配置 BYOL 支持 页面上,要配置 BYOL 支持,需要连接到安全 Amazon 网络的管理网络接口。 选择要搜索的 IP 地址范围用作该接口。 然后选择“显示可用的 CIDR 块”。 如果 CIDR 区块在所选搜索范围内可用,请选择一个可用的 CIDR 块。 当您成功选择搜索地址范围和可用的 CIDR 块时,将显示一条确认消息。 在“等效 CLI 命令”中,查看命令并单击“下一步”。
  7. 在“摘要”页面中,查看您指定的信息。 您可以返回到之前的页面。 完成后,单击“完成”。 连接过程可能需要几个小时才能完成。

为 AWS Workspace Core 集成创建 AssumeRole

  1. 在浏览器窗口中,打开 Amazon Web Services Web 站点并登录。
  2. 在“搜索”字段中,键入 cloudformation 并按 EnterCloudFormation 服务
  3. 服务下选择 CloudFormation堆栈窗口打开。 堆栈
  4. 单击右上角的创建堆栈 > 使用新资源(标准)创建堆栈窗口打开。
    1. 在“必备条件-准备模板”下,选择“模板准备就绪”。
    2. 在“指定模板”下,单击“上载模板文件”>“选择文件”,然后单击“下一步”。 将打开“指定堆栈详细信息”窗格。
  5. 指定堆栈详细信息窗格中,提供堆栈名称AssumeRoleName,然后单击下一步配置堆栈选项 窗格打开。 指定堆栈详细信息

注意:

  • 配置堆栈选项窗格中,选择保留成功配置的资源选项。 此选项保留成功配置资源的状态。 下次堆栈操作时,将删除没有上次已知稳定状态的资源。 堆栈故障选项

  • 在“功能”弹出窗口中,选中“我确认 AWS CloudFormation 可能会使用自定义名称创建 IAM 资源”复选框,然后单击“创建堆栈”。 capabilities 堆栈创建可能会在最后失败,因为 workspace_DefaultRole 已创建。 这不会影响 AssumeRole 的创建。

  1. 事件选项卡显示创建的堆栈的状态。
  2. 资源选项卡中,选择与创建的 AssumeRole 对应的物理 ID。 资源
  3. 摘要窗格显示生成的 Amazon Resource Name (ARN)。 摘要
  4. 继续执行“连接 AWS 帐户”中第 4 步中的过程

创建目录连接

注意:

在此步骤开始时注销您的 AWS 目录。 创建与 Citrix DaaS 的目录连接后,所选目录将注册为使用 Citrix DaaS 创建 Amazon WorkSpaces。

此过程创建了一个允许访问您组织的 Active Directory 的连接。

必备条件:

  • 包含两个 Cloud Connector 的资源位置。
  • 一个安全组。
  • 您的 Active Directory 中的一个 OU。

有关必备条件的详细信息,请参阅在开始之前

您可以从以下两个位置之一开始此过程:

  • “入门”清单上的链接。
  • 从 Studio 中,选择 快速部署 在左侧窗格中, 目录连接Amazon WorkSpaces 核心 部分。 然后选择“创建目录连接”。

按照创建目录连接顺序进行操作:

  1. 连接目录: 从下拉列表中选择帐户。 为租户选择“专用”或“共享”。
  2. 资源位置: 选择帐户和目录。 (所选帐户必须至少有一个目录。)
    • 选择要在其中部署台式机的两个子网。 子网必须位于相应的可用区内。
    • 为此连接指定一个友好名称。
    • 完成后,单击“下一步”。
  3. 虚拟机设置: 您选择的设置适用于使用此目录连接的所有虚拟机。
    • 所选的 OU 必须与 Citrix 组策略所针对的 OU 相匹配。
    • 选择一个安全组。
    • 指明是否要向分配给 VM 的每位用户授予管理员权限。

导入映像

此过程使您能够为用户创建桌面体验。 您现在可以导入两种类型的图像:

  • EC2 映像 - 要导入此映像,先决条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。 映像还必须为 BYOL 做好准备。 BYOL 脚本可在以下位置获得:BYOLChecker.zip
  • 工作区映像 - 要导入此映像,先决条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。

要导入映像,请按照以下步骤操作:

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心点击 图像.
  2. 在“我的映像”中,单击“导入映像”。
    1. 先决条件: 提供 EC2 映像和 Workspace 映像的先决条件详细信息。 点击 下一篇: 选择图片.
    2. 选择映像

      • 为映像提供一个友好名称。
      • 选择一个帐户。
      • 图像 下拉列表中,您可以选择 EC2 或 WSI 类型的图像。
        • 如果您选择 EC2,然后从 应用 下拉列表并单击 Next: 总结. EC2 类型映像仅支持单个会话。
        • 如果您选择 WSI,然后确保会话支持和摄取过程与映像设置一致。 虽然,不匹配不会覆盖映像的设置,但可能会因不兼容而导致部署失败。 选择会话支持作为单会话或多会话。
      • 提供描述,然后单击 Next: 总结.
      • 在“等效 CLI 命令”中,查看命令并单击“下一步”。 “摘要”页面打开。
  3. 总结 页面检查您提供的信息,然后点击 导入图像.

    注意:

    导入映像可能需要几个小时。

  4. 选择任何图像,然后单击 查看详情. 详细信息页面显示在创建映像时选择的选项,例如 Account、Session support、Tenancy、Applications 等。

注意:

创建部署时,在 图像和性能 页:

  • 如果 目录连接 selected 具有专用租赁,则列出的映像仅为单会话。 在 桌面 页面上,您可以选择创建带或不带分配用户的桌面。
  • 如果所选的 Directory 连接具有共享租赁,则列出的映像既是单会话,也是多会话。 如果您选择具有多会话的图像,则在 桌面 页面,仅限 创建桌面而不分配用户 选项已启用。

专用租赁映像的要求

  • 图像必须是 Windows 10 专业版或 Windows 11 专业版。
  • 在映像准备期间运行 BYOLChecker 脚本。
  • 只能在单会话支持中设置映像。
  • 在 EC2 中创建 AMI 映像时,快照应未加密。
  • 图像导入期间的默认摄取协议是常规的。 但是,客户可以选择图形化 G4DN 摄取协议,该协议会安装额外的驱动程序并需要更高级别的计算机。
  • 在映像导入期间,客户可以添加要安装的 Office 应用程序。 这会将工作区创建限制为预分配的用户部署。
  • 映像要求将目录连接设置为 dedicated。
  • 您可以创建预分配的单会话部署或分离(池化)单会话部署。

默认或共享租户映像的要求

  • 选择 Windows Server BYOP 捆绑包以创建工作区。
  • 工作区必须未加密,并且只有 始终开启 模式。
  • 通过 RDP 使用专用 IP 地址从连接器连接到工作区,并使用工作区分配到的相同用户凭据登录。 如果计算机上有多个用户配置文件,则无法保存图像。
  • 安装 VDA 并运行图像检查器应用程序。
  • VDA 可以配置为单会话或多会话。
  • 重新启动工作区并将其保存为映像。
  • 保存图像后,可以将其导入 Citrix 环境。
  • 图像导入期间的默认摄取协议是常规的。 但是,如果基本捆绑包基于 G4DN,则可以选择图形 G4DN 摄取协议。
  • 映像需要将目录连接设置为 shared。
  • 如果将映像设置并保存为单会话,则可以创建预分配的单会话部署或分离(池化)单会话部署。
  • 如果将映像设置并保存为多会话,则只能创建分离(池化)多会话部署。

操作系统、目录类型和会话支持兼容性

映像 会话支持 AWS Directory 租赁 部署类型 持久性
Windows 桌面 11 专业版 单会话 专用 专用或共用 持续
Windows 桌面 10 专业版 单会话 专用 专用或共用 持续
Windows Server 2022 多会话 共享虚拟机 汇集 持续
Windows Server 2022 单会话 共享虚拟机 专用或共用 持续
Windows Server 2019 多会话 共享虚拟机 汇集 持续
Windows Server 2019 单会话 共享虚拟机 专用或共用 持续

注意:

所有实例都是持久性的,并且使用池功能,实例在首次使用的基础上分配。 实例将保持预置状态,无需分配用户。 当用户首次登录时,该实例将分配给该用户,以供将来的所有登录使用。

导入映像时集成 Microsoft Office 2019 映像

要在导入映像时集成 Microsoft Office 2019 映像,请执行以下操作:

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心点击 图像.
  2. 在“我的映像”中,单击“导入映像”。
  3. 在“导入映像”>“必备条件”中,单击“下一步:选择映像”。
  4. 在“导入映像”>“选择映像”中:
    • 从“帐户”下拉列表中选择一个帐户。
    • AMI 下拉列表中选择一个 AMI。
    • 在“名称”字段中输入映像的名称。
    • 在映像中选择包括 Microsoft Office 2019 Professional Plus
    • 在“描述”字段中输入描述。
  5. 在“导入映像”>“选择映像”中,单击“下一步:摘要”。
  6. 在“选择映像”>“摘要”中,确保 Microsoft Office 2019 显示“已选定”。
  7. 在“我的映像”中,单击“导入映像”。 在导入操作完成之前,最近部署的映像的状态显示正在导入
  8. 在“我的映像”中,选择最近部署的映像,然后单击“查看详情”。
  9. 详细信息面板中,Microsoft Office 2019 字段显示已包含

注意:

只有以下版本的操作系统兼容:

  • Windows 10 版本 21H2(2021 年 12 月更新)
  • Windows 10 版本 22H2(2022 年 11 月更新)
  • Windows 10 Enterprise LTSC 2019 (1809) (1809)
  • Windows 10 Enterprise LTSC 2021 (21H2) (21H2)
  • Windows 11 版本 22H2(2022 年 10 月发布)

从现有 Workspace 实例创建自定义映像

要为用户创建自定义映像,请执行以下操作:

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心选择 部署.
  2. 选择包含要管理的计算机的部署,然后单击 查看详情.
  3. 部署 窗格中的 用户 选项卡中,选择 用户 其工作区状态为 available,然后单击 创建自定义映像.

    部署窗格

    注意:

    您只能为工作区状态为 available (可用) 的部署创建自定义映像。

  4. 创建自定义映像 窗 格:

    • 验证 图像属性, 操作系统帐户 所选用户的信息。
    • 请注意警告消息,该消息指示在此过程中 Desktop 部署将处于维护模式的时间。
    • 填写必填字段,例如 图像名称描述. 这 图像名称 字段建议图像名称允许的字符。
  5. 单击 “ 创建”。 这 图像 Node 窗口将打开。
  6. 单击 刷新 按钮。 新创建的自定义映像与 地位待定.
  7. 选择自定义镜像,然后单击 查看详情. Image (图像) 窗口随即打开,其中包含如下详细信息 地位, 帐户, 身份证, 操作系统描述.
  8. 点击 部署 在左侧导航栏中。 这 地位 的新部署显示为 更新.
  9. 选择新部署,然后单击 查看详情.

    • 部署 pane 中,的 保养 选项卡显示为 .

    维护

最佳做法是:

  • 使用未连接到生产环境的单独 Virtual Private Cloud (VPC)。
  • 对于 Windows WorkSpaces,请避免在创建映像之前配置任何组策略对象 (GPO)。 有关更多信息,请参阅 最佳实践.
  • 使用专用的 AD Connector 创建映像。
  • 使用 Active Directory 中的专用 OU 创建映像。 有关更多信息,请参阅 成功为 Amazon WorkSpaces 创建 BYOL 映像的最佳实践.

创建部署

部署是一组桌面,用户可以从 Citrix Workspace 访问这些桌面。 此过程指定了要部署为桌面的虚拟机的特征,以及哪些 AD 用户可以使用它们。

注意:

计算机名称由 Amazon 在创建工作区时设置,并用作标识符以确保工作区数据准确。 您无法使用适用于 Amazon Workspaces Core 的 Citrix DaaS 修改计算机名称。

必备条件

完成准备和创建部署中列出的所有步骤。

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心 > 部署点击 创建部署.
  2. 图像和性能
    1. 如果您选择专用租赁作为 Directory 连接,则映像下拉列表将列出具有专用租赁的映像。 具有专用租赁的映像仅支持单个会话。
    2. 如果选择共享租赁作为 Directory 连接,则 Image (映像) 下拉列表将列出具有 Default 租赁的映像。 具有共享租赁的映像支持单会话和多会话。
    3. 选择 性能根卷大小. 点击 下一篇: 加密.
  3. 加密:在 选择加密密钥首选项 部分:
    1. 使用 AWS 托管的 KMS 密钥 选项。 这会加密根卷和用户卷,并由 AWS 管理。
    2. 如果选择 使用客户管理的密钥 选项,请确保首先在 AWS 密钥管理. 创建后,将密钥输入到 密钥别名 字段,然后单击 Next: 桌面.

    注意:

    加密密钥可以在 密钥管理服务 (Key Management Service,KMS) console (控制台) AWS 托管式密钥客户管理的密钥.

  4. 桌面:
    1. 添加了一个新的选项,用于选择 创建桌面而不分配用户。 如果选择此选项,建议将用户配置文件位置配置为存储在 D: 驱动器或外部位置。 默认情况下,用户配置文件存储在 C: 驱动器上。 如果重建工作区,C: 盘上的用户数据和设置将会丢失。 指定要添加到部署中的桌面数量。 这 桌面分配类型 因为此选项是 未分配的随机池. 单击“下一步:摘要”。

    注意:

    创建桌面而不分配用户 选项不适用于具有 AWS 提供的应用程序的映像。 因此,您必须在创建桌面时分配用户。

    1. 如果选择现有的 在创建桌面时分配用户 选项中,搜索并选择将允许访问桌面的用户。 如果要自定义用户的卷大小,请选择 编辑用户卷和根卷大小,然后指定大小。 这 桌面分配类型 因为此选项是 Static 预分配. 单击“下一步:摘要”。
  5. 总结: 查看您提供的信息并提供 部署名称. 单击“创建部署”。 这 部署 页面显示新的 桌面 列,其中包含分配的桌面详细信息。
  6. 选择一个部署,然后单击 查看详情. 部署详细信息页面显示三个选项卡:
    1. 桌面:选择桌面,将显示要修改的设置。
    2. 应用:此选项卡允许您添加新应用程序和删除现有应用程序。 有关将应用程序添加到现有部署的更多信息,请参阅 步骤 6。 应用.
    3. 用户:此选项卡仅适用于未分配的部署,用于分配用户或组以启动桌面。 单击添加。 更新所需的设置,然后单击 立即查找. 您可以从表中选择多个用户,然后单击 还行 > 做. 您可以通过选择适当的选项来添加更多用户,也可以删除现有用户。
    4. 配置:此选项卡显示所选桌面的分配类型。 如果它是未分配的桌面,则 桌面分配类型未分配的随机池.

集成 Microsoft 365 Windows 应用程序

要集成 Microsoft 365 应用程序,请参阅 Microsoft 365 应用程序企业版现已在 Amazon WorkSpaces 服务中提供Microsoft 365 自带许可证 (BYOL)

管理部署中的计算机

除了管理计算机目录中描述的计算机管理功能外,对于某些操作,您还可以从部署中选择要管理的计算机。

要管理部署中的计算机,请执行以下操作:

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心选择 部署.
  2. 在“部署”窗格中,选择包含要管理的计算机的部署。
  3. 单击“查看详细信息”。
  4. 部署详细信息窗格中,选择要管理的计算机。
  5. 从显示的操作中,选择要在计算机上执行的操作:
  • 单击“编辑卷大小”以更改计算机的音量大小。
  • 单击“删除”将计算机从部署和 AWS 中删除。 如果计算机位于交付组中,则只有在维护模式下才能将其删除。
  • 单击“打开/关闭维护模式”以打开计算机的维护模式(如果已关闭)或关闭(如果已打开)。

将应用程序添加到部署

要将应用程序添加到现有部署中,请执行以下操作:

  1. Web 工作室 > 快速部署 > Amazon WorkSpaces 核心,选择 Deployments。
  2. 在 Deployments (部署) 窗格中,选择要将应用程序添加到的部署。
  3. 单击 Add applications(添加应用程序)。 Add Application (添加应用程序) 窗格随即打开。
  4. 单击 Add 菜单,然后选择以下源之一以添加应用程序:
    • 从“开始”菜单
    • 手动地
    • 应用程序包
    • 现存
    • 应用程序组

有关将应用程序添加到现有部署的更多信息,请参阅 步骤 6。 应用.

参考

AWS 帐户编程访问权限

AWS 用户帐户必须具有一定的编程访问权限才能对 AWS 资源层进行 API 调用。 编程访问会创建访问密钥 ID 和私有访问密钥。 您可以在 IAM 控制台中创建包含这些权限的策略。 如下图所示,您可以使用可视化编辑器(逐一添加权限)或 JSON(添加下面的代码片段)。 有关更多信息,请参阅在您的 AWS 帐户中创建 IAM 用户

  • 可视化编辑器选项卡上,逐一添加权限。

    创建策略

  • JSON 选项卡上,添加下图后面显示的片段。

    在 JSON 中创建策略

所需的权限

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0", 
              "Effect": "Allow", 
              "Action": [
                      "workdocs:DeregisterDirectory",
                      "workdocs:RegisterDirectory",
                      "workdocs:AddUserToGroup",
                      "ec2:ImportInstance",
                      "ec2:DescribeImages",
                      "ec2:DescribeImageAttribute"
                      "ec2:CreateKeyPair",
                      "ec2:DescribeKeyPairs",
                      "ec2:ModifyImageAttribute",
                      "ec2:DescribeVpcs",
                      "ec2:DescribeSubnets",
                      "ec2:RunInstances",
                      "ec2:DescribeSecurityGroups",
                      "ec2:CreateTags",
                      "ec2:DescribeRouteTables",
                      "ec2:DescribeInternetGateways",
                      "ec2:CreateSecurityGroup",
                      "ec2:DescribeInstanceTypes",
                      "servicequotas:ListServices",
                      "servicequotas:GetRequestedServiceQuotaChange",
                      "servicequotas:ListTagsForResource",
                      "servicequotas:GetServiceQuota",
                      "servicequotas:GetAssociationForServiceQuotaTemplate",
                      "servicequotas:ListAWSDefaultServiceQuotas",
                      "servicequotas:ListServiceQuotas",
                      "servicequotas:GetAWSDefaultServiceQuota",
                      "servicequotas:GetServiceQuotaIncreaseRequestFromTemplate",
                      "servicequotas:ListServiceQuotaIncreaseRequestsInTemplate",
                      "servicequotas:ListRequestedServiceQuotaChangeHistory",
                      "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
                      "sts:DecodeAuthorizationMessage",
                      "ds:*",
                      "workspaces:*",
                      "iam:GetRole",
                      "iam:GetContextKeysForPrincipalPolicy",
                      "iam:SimulatePrincipalPolicy"

                  ],
                  "Resource": "*"
              }
          ]
  }
<!--NeedCopy-->
适用于 Amazon WorkSpaces 核心的 Citrix DaaS