适用于 Amazon WorkSpaces 核心的 Citrix DaaS
简介
本文介绍如何使用 Citrix 为 Amazon WorkSpaces Core 准备和创建部署。 Amazon WorkSpaces Core 位于 Amazon Web Services (AWS) 中。
下面是使用 Citrix DaaS 实现 AWS 及其管理的示例:
准备和创建部署
快速部署界面中的部署清单包含指向过程 1-5 的链接。
- 在开始之前,请先完成 Citrix Cloud 和 AWS 中的必备条件。
- 在 Citrix Cloud 中创建资源位置。 (此过程也作为必备条件包括在内。)
- 连接您的 AWS 帐户。 此过程启用权限,这样 Citrix DaaS 就可以连接到 AWS。
- 创建目录连接。 此过程配置允许访问您组织的 Active Directory 的连接。
- 导入映像。 此过程使您能够为用户创建桌面体验。
- 创建部署。 此过程指定了要部署的计算机以及可以通过 Citrix Workspace 访问这些计算机的用户。
开始之前的准备工作
在开始准备和创建部署之前,请确保您已完成以下任务。
有一个例外:在 Citrix Cloud 中创建资源位置被列为必备条件。 这也是部署清单中的第一个程序。 因此,如果您将资源位置创建为必备条件的一部分,请跳过清单序列中的该过程。 同样,如果您之前没有完成该程序,请在清单中完成该程序。
在 Citrix Cloud 中完成的前提条件
- 创建 Citrix Cloud 帐户并订阅 Citrix DaaS。
- 创建 Citrix Cloud 资源位置。 (此过程也在“快速部署”界面中进行了链接。)
在 AWS 中完成的必备条件
- 创建 AWS 用户帐户。 该帐户必须有:
- Citrix API 客户端的角色权限。
- 编程访问权限。 有关更多信息,请参阅 AWS 帐户编程访问权限。
- 创建 workspaces_DefaultRole 角色。 有关更多信息,请参阅创建 workspaces_DefaultRole 角色。
- 在 Active Directory 中:
- 使用 AD 连接器选项存储和管理信息。 有关更多详细信息,请参阅 AD 连接器。
- 创建一个 OU,在其中创建 VM。 该 OU 必须有 Citrix 策略才能与 Cloud Connector 和 Citrix Cloud 进行通信。 有关详细信息,请参阅“参考”部分。
- 为 Citrix Cloud Connector 配置设置组策略:
- 从 Citrix 下载站点下载由 Citrix 提供的最新组策略管理控制台 (CitrixGroupPolicyManagement_64.msi)。
- 安装 MSI(该计算机必须安装 Visual Studio 2015 运行时)。 然后创建包含控制器策略设置的 Citrix 策略。 该设置指定 Cloud Connector 地址。
- 创建或使用现有的 NAT 网关。 有关更多信息,请参阅 NAT 网关。
- 创建或使用一个或多个现有安全组,允许 Citrix Cloud Connector 与已部署的虚拟机进行通信。 有关更多信息,请参阅使用安全组控制流向 AWS 资源的流量
-
打开 AWS 支持票证,在您的帐户上启用 BYOL。 要开始使用,请联系您的 AWS 帐户经理或销售代表,或联系 AWS 支持中心。 您的联系人将验证并启用 BYOL。 有关更多信息,请参阅使用 Amazon WorkSpaces 控制台为您的帐户启用 BYOL 的 BYOL。
注意:
BYOL 目前不支持 Windows 10 N 和 Windows 11 N 版本。
- 使用 Citrix DaaS for Amazon WorkSpaces Core 功能将自动启用 AWS WorkSpaces Core 中的自带协议 (BYOP) 功能。
- 为将要创建的桌面拥有足够的 Windows 10 许可证。 有关更多信息,请参阅自带 Windows 桌面许可证。
一般准备
在开始之前,请先查看每个程序。 好处:这将有助于轻松完成流程。
创建资源位置
您可以在 Citrix Cloud 中创建资源位置。
- 资源位置包含两个或更多与 Citrix Cloud 通信的 Cloud Connector。 您安装 Cloud Connector 的服务器必须位于 EC2 VPC 中,已加入域并且具有 Internet 连接。 Cloud Connector 必须与您计划使用的目录位于同一 VPC 中。
- 有关 Cloud Connector 的更多信息,请参阅 Citrix Cloud Connector 以及如何对其进行配置。
- 资源位置也可以包含您的 Active Directory 服务器。 有关更多信息,请参阅 将 Active Directory 连接到 Citrix Cloud。
连接您的 AWS 帐户
此过程允许 Citrix DaaS 连接到 AWS 的权限。
要为 AWS WorkSpaces Core 创建 AssumeRole,请按照以下步骤操作:
- 在 Citrix DaaS 中,在“管理”>“快速部署”>“帐户”下,单击“连接帐户”。
-
在“连接 AWS 帐户”页面的“确认前提条件”下,单击“下载 AWS CloudFormation 模板”。 下载模板后,单击“下一步”。
- 要上载模板,请参阅为 AWS Workspace Core 集成创建 AssumeRole。
-
在身份验证帐户页面中,添加在角色 ID 字段中生成的 Amazon Resource Name (ARN),在名称字段中提供名称,然后单击“下一步”。 “选择区域”页面打开。
角色 ID 对应角色的 ARN,该角色将授权 Citrix 管理资源。 通过导航到 IAM > 角色,可以在 AWS 管理控制台中找到角色 ID。
如果您使用的是
CloudFormation脚本,请导航到 CloudFormation 并单击用于创建角色的相应堆栈。 导航到资源选项卡,然后单击带有 LogicalIDCitrixAssumeRole的资源。注意:
您不能为同一 AWS 帐户连接同一区域的两个帐户。
-
在 选取区域 页面上,选择要部署桌面的区域,然后单击 下一个.
注意:
如果您选择未设置 BYOL 的区域,则您的账户只能访问默认租赁映像和共享目录连接租赁。 在此区域中设置 BYOL 后,您的账户将获得从 EC2 环境和专用目录连接租赁访问映像的权限。
- (仅当选择启用了 BYOL 的区域时,才会显示该步骤)在 配置 BYOL 支持 页面上,要配置 BYOL 支持,需要连接到安全 Amazon 网络的管理网络接口。 选择要搜索的 IP 地址范围用作该接口。 然后选择“显示可用的 CIDR 块”。 如果 CIDR 区块在所选搜索范围内可用,请选择一个可用的 CIDR 块。 当您成功选择搜索地址范围和可用的 CIDR 块时,将显示一条确认消息。 在“等效 CLI 命令”中,查看命令并单击“下一步”。
- 在“摘要”页面中,查看您指定的信息。 您可以返回到之前的页面。 完成后,单击“完成”。 连接过程可能需要几个小时才能完成。
为 AWS Workspace Core 集成创建 AssumeRole
- 在浏览器窗口中,打开 Amazon Web Services Web 站点并登录。
- 在“搜索”字段中,键入 cloudformation 并按 Enter。
- 在服务下选择 CloudFormation。 堆栈窗口打开。
- 单击右上角的创建堆栈 > 使用新资源(标准) 。 创建堆栈窗口打开。
- 在“必备条件-准备模板”下,选择“模板准备就绪”。
- 在“指定模板”下,单击“上载模板文件”>“选择文件”,然后单击“下一步”。 将打开“指定堆栈详细信息”窗格。
- 在指定堆栈详细信息窗格中,提供堆栈名称和 AssumeRoleName,然后单击下一步。 配置堆栈选项 窗格打开。
注意:
在配置堆栈选项窗格中,选择保留成功配置的资源选项。 此选项保留成功配置资源的状态。 下次堆栈操作时,将删除没有上次已知稳定状态的资源。
在“功能”弹出窗口中,选中“我确认 AWS CloudFormation 可能会使用自定义名称创建 IAM 资源”复选框,然后单击“创建堆栈”。
堆栈创建可能会在最后失败,因为 workspace_DefaultRole 已创建。 这不会影响 AssumeRole 的创建。
- 事件选项卡显示创建的堆栈的状态。
- 在资源选项卡中,选择与创建的 AssumeRole 对应的物理 ID。
- 摘要窗格显示生成的 Amazon Resource Name (ARN)。
- 继续执行“连接 AWS 帐户”中第 4 步中的过程
创建目录连接
注意:
在此步骤开始时注销您的 AWS 目录。 创建与 Citrix DaaS 的目录连接后,所选目录将注册为使用 Citrix DaaS 创建 Amazon WorkSpaces。
此过程创建了一个允许访问您组织的 Active Directory 的连接。
必备条件:
- 包含两个 Cloud Connector 的资源位置。
- 一个安全组。
- 您的 Active Directory 中的一个 OU。
有关必备条件的详细信息,请参阅在开始之前。
您可以从以下两个位置之一开始此过程:
- “入门”清单上的链接。
- 从 Studio 中,选择 快速部署 在左侧窗格中, 目录连接 在 Amazon WorkSpaces 核心 部分。 然后选择“创建目录连接”。
按照创建目录连接顺序进行操作:
- 连接目录: 从下拉列表中选择帐户。 为租户选择“专用”或“共享”。
-
资源位置: 选择帐户和目录。 (所选帐户必须至少有一个目录。)
- 选择要在其中部署台式机的两个子网。 子网必须位于相应的可用区内。
- 为此连接指定一个友好名称。
- 完成后,单击“下一步”。
-
虚拟机设置: 您选择的设置适用于使用此目录连接的所有虚拟机。
- 所选的 OU 必须与 Citrix 组策略所针对的 OU 相匹配。
- 选择一个安全组。
- 指明是否要向分配给 VM 的每位用户授予管理员权限。
导入映像
此过程使您能够为用户创建桌面体验。 您现在可以导入两种类型的图像:
- EC2 映像 - 要导入此映像,先决条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。 映像还必须为 BYOL 做好准备。 BYOL 脚本可在以下位置获得:BYOLChecker.zip。
- 工作区映像 - 要导入此映像,先决条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。
要导入映像,请按照以下步骤操作:
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心点击 图像.
- 在“我的映像”中,单击“导入映像”。
- 先决条件: 提供 EC2 映像和 Workspace 映像的先决条件详细信息。 点击 下一篇: 选择图片.
-
选择映像
- 为映像提供一个友好名称。
- 选择一个帐户。
- 在 图像 下拉列表中,您可以选择 EC2 或 WSI 类型的图像。
- 如果您选择 EC2,然后从 应用 下拉列表并单击 Next: 总结. EC2 类型映像仅支持单个会话。
- 如果您选择 WSI,然后确保会话支持和摄取过程与映像设置一致。 虽然,不匹配不会覆盖映像的设置,但可能会因不兼容而导致部署失败。 选择会话支持作为单会话或多会话。
- 提供描述,然后单击 Next: 总结.
- 在“等效 CLI 命令”中,查看命令并单击“下一步”。 “摘要”页面打开。
-
在 总结 页面检查您提供的信息,然后点击 导入图像.
注意:
导入映像可能需要几个小时。
- 选择任何图像,然后单击 查看详情. 详细信息页面显示在创建映像时选择的选项,例如 Account、Session support、Tenancy、Applications 等。
注意:
创建部署时,在 图像和性能 页:
- 如果 目录连接 selected 具有专用租赁,则列出的映像仅为单会话。 在 桌面 页面上,您可以选择创建带或不带分配用户的桌面。
- 如果所选的 Directory 连接具有共享租赁,则列出的映像既是单会话,也是多会话。 如果您选择具有多会话的图像,则在 桌面 页面,仅限 创建桌面而不分配用户 选项已启用。
专用租赁映像的要求
- 图像必须是 Windows 10 专业版或 Windows 11 专业版。
- 在映像准备期间运行 BYOLChecker 脚本。
- 只能在单会话支持中设置映像。
- 在 EC2 中创建 AMI 映像时,快照应未加密。
- 图像导入期间的默认摄取协议是常规的。 但是,客户可以选择图形化 G4DN 摄取协议,该协议会安装额外的驱动程序并需要更高级别的计算机。
- 在映像导入期间,客户可以添加要安装的 Office 应用程序。 这会将工作区创建限制为预分配的用户部署。
- 映像要求将目录连接设置为 dedicated。
- 您可以创建预分配的单会话部署或分离(池化)单会话部署。
默认或共享租户映像的要求
- 选择 Windows Server BYOP 捆绑包以创建工作区。
- 工作区必须未加密,并且只有 始终开启 模式。
- 通过 RDP 使用专用 IP 地址从连接器连接到工作区,并使用工作区分配到的相同用户凭据登录。 如果计算机上有多个用户配置文件,则无法保存图像。
- 安装 VDA 并运行图像检查器应用程序。
- VDA 可以配置为单会话或多会话。
- 重新启动工作区并将其保存为映像。
- 保存图像后,可以将其导入 Citrix 环境。
- 图像导入期间的默认摄取协议是常规的。 但是,如果基本捆绑包基于 G4DN,则可以选择图形 G4DN 摄取协议。
- 映像需要将目录连接设置为 shared。
- 如果将映像设置并保存为单会话,则可以创建预分配的单会话部署或分离(池化)单会话部署。
- 如果将映像设置并保存为多会话,则只能创建分离(池化)多会话部署。
操作系统、目录类型和会话支持兼容性
| 映像 | 会话支持 | AWS Directory 租赁 | 部署类型 | 持久性 |
|---|---|---|---|---|
| Windows 桌面 11 专业版 | 单会话 | 专用 | 专用或共用 | 持续 |
| Windows 桌面 10 专业版 | 单会话 | 专用 | 专用或共用 | 持续 |
| Windows Server 2022 | 多会话 | 共享虚拟机 | 汇集 | 持续 |
| Windows Server 2022 | 单会话 | 共享虚拟机 | 专用或共用 | 持续 |
| Windows Server 2019 | 多会话 | 共享虚拟机 | 汇集 | 持续 |
| Windows Server 2019 | 单会话 | 共享虚拟机 | 专用或共用 | 持续 |
注意:
所有实例都是持久性的,并且使用池功能,实例在首次使用的基础上分配。 实例将保持预置状态,无需分配用户。 当用户首次登录时,该实例将分配给该用户,以供将来的所有登录使用。
导入映像时集成 Microsoft Office 2019 映像
要在导入映像时集成 Microsoft Office 2019 映像,请执行以下操作:
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心点击 图像.
- 在“我的映像”中,单击“导入映像”。
- 在“导入映像”>“必备条件”中,单击“下一步:选择映像”。
- 在“导入映像”>“选择映像”中:
- 从“帐户”下拉列表中选择一个帐户。
- 从 AMI 下拉列表中选择一个 AMI。
- 在“名称”字段中输入映像的名称。
- 在映像中选择包括 Microsoft Office 2019 Professional Plus。
- 在“描述”字段中输入描述。
- 在“导入映像”>“选择映像”中,单击“下一步:摘要”。
- 在“选择映像”>“摘要”中,确保 Microsoft Office 2019 显示“已选定”。
- 在“我的映像”中,单击“导入映像”。 在导入操作完成之前,最近部署的映像的状态显示正在导入。
- 在“我的映像”中,选择最近部署的映像,然后单击“查看详情”。
- 在详细信息面板中,Microsoft Office 2019 字段显示已包含。
注意:
只有以下版本的操作系统兼容:
- Windows 10 版本 21H2(2021 年 12 月更新)
- Windows 10 版本 22H2(2022 年 11 月更新)
- Windows 10 Enterprise LTSC 2019 (1809) (1809)
- Windows 10 Enterprise LTSC 2021 (21H2) (21H2)
- Windows 11 版本 22H2(2022 年 10 月发布)
从现有 Workspace 实例创建自定义映像
要为用户创建自定义映像,请执行以下操作:
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心选择 部署.
- 选择包含要管理的计算机的部署,然后单击 查看详情.
-
在 部署 窗格中的 用户 选项卡中,选择 用户 其工作区状态为 available,然后单击 创建自定义映像.
注意:
您只能为工作区状态为 available (可用) 的部署创建自定义映像。
-
在 创建自定义映像 窗 格:
- 验证 图像属性, 操作系统 和 帐户 所选用户的信息。
- 请注意警告消息,该消息指示在此过程中 Desktop 部署将处于维护模式的时间。
- 填写必填字段,例如 图像名称 和 描述. 这 图像名称 字段建议图像名称允许的字符。
- 单击 “ 创建”。 这 图像 Node 窗口将打开。
- 单击 刷新 按钮。 新创建的自定义映像与 地位 如 待定.
- 选择自定义镜像,然后单击 查看详情. Image (图像) 窗口随即打开,其中包含如下详细信息 地位, 帐户, 身份证, 操作系统和 描述.
- 点击 部署 在左侧导航栏中。 这 地位 的新部署显示为 更新.
-
选择新部署,然后单击 查看详情.
- 在 部署 pane 中,的 保养 选项卡显示为 上.
最佳做法是:
- 使用未连接到生产环境的单独 Virtual Private Cloud (VPC)。
- 对于 Windows WorkSpaces,请避免在创建映像之前配置任何组策略对象 (GPO)。 有关更多信息,请参阅 最佳实践.
- 使用专用的 AD Connector 创建映像。
- 使用 Active Directory 中的专用 OU 创建映像。 有关更多信息,请参阅 成功为 Amazon WorkSpaces 创建 BYOL 映像的最佳实践.
创建部署
部署是一组桌面,用户可以从 Citrix Workspace 访问这些桌面。 此过程指定了要部署为桌面的虚拟机的特征,以及哪些 AD 用户可以使用它们。
注意:
计算机名称由 Amazon 在创建工作区时设置,并用作标识符以确保工作区数据准确。 您无法使用适用于 Amazon Workspaces Core 的 Citrix DaaS 修改计算机名称。
必备条件
完成准备和创建部署中列出的所有步骤。
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心 > 部署点击 创建部署.
- 在 图像和性能 页
- 如果您选择专用租赁作为 Directory 连接,则映像下拉列表将列出具有专用租赁的映像。 具有专用租赁的映像仅支持单个会话。
- 如果选择共享租赁作为 Directory 连接,则 Image (映像) 下拉列表将列出具有 Default 租赁的映像。 具有共享租赁的映像支持单会话和多会话。
- 选择 性能 和 根卷大小. 点击 下一篇: 加密.
-
加密:在 选择加密密钥首选项 部分:
- 这 使用 AWS 托管的 KMS 密钥 选项。 这会加密根卷和用户卷,并由 AWS 管理。
- 如果选择 使用客户管理的密钥 选项,请确保首先在 AWS 密钥管理. 创建后,将密钥输入到 密钥别名 字段,然后单击 Next: 桌面.
注意:
加密密钥可以在 密钥管理服务 (Key Management Service,KMS) console (控制台) AWS 托管式密钥 或 客户管理的密钥.
-
桌面:
- 添加了一个新的选项,用于选择 创建桌面而不分配用户。 如果选择此选项,建议将用户配置文件位置配置为存储在 D: 驱动器或外部位置。 默认情况下,用户配置文件存储在 C: 驱动器上。 如果重建工作区,C: 盘上的用户数据和设置将会丢失。 指定要添加到部署中的桌面数量。 这 桌面分配类型 因为此选项是 未分配的随机池. 单击“下一步:摘要”。
注意:
这 创建桌面而不分配用户 选项不适用于具有 AWS 提供的应用程序的映像。 因此,您必须在创建桌面时分配用户。
- 如果选择现有的 在创建桌面时分配用户 选项中,搜索并选择将允许访问桌面的用户。 如果要自定义用户的卷大小,请选择 编辑用户卷和根卷大小,然后指定大小。 这 桌面分配类型 因为此选项是 Static 预分配. 单击“下一步:摘要”。
- 总结: 查看您提供的信息并提供 部署名称. 单击“创建部署”。 这 部署 页面显示新的 桌面 列,其中包含分配的桌面详细信息。
- 选择一个部署,然后单击 查看详情. 部署详细信息页面显示三个选项卡:
- 桌面:选择桌面,将显示要修改的设置。
- 应用:此选项卡允许您添加新应用程序和删除现有应用程序。 有关将应用程序添加到现有部署的更多信息,请参阅 步骤 6。 应用.
- 用户:此选项卡仅适用于未分配的部署,用于分配用户或组以启动桌面。 单击添加。 更新所需的设置,然后单击 立即查找. 您可以从表中选择多个用户,然后单击 还行 > 做. 您可以通过选择适当的选项来添加更多用户,也可以删除现有用户。
- 配置:此选项卡显示所选桌面的分配类型。 如果它是未分配的桌面,则 桌面分配类型 是 未分配的随机池.
集成 Microsoft 365 Windows 应用程序
要集成 Microsoft 365 应用程序,请参阅 Microsoft 365 应用程序企业版现已在 Amazon WorkSpaces 服务中提供和 Microsoft 365 自带许可证 (BYOL)。
管理部署中的计算机
除了管理计算机目录中描述的计算机管理功能外,对于某些操作,您还可以从部署中选择要管理的计算机。
要管理部署中的计算机,请执行以下操作:
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心选择 部署.
- 在“部署”窗格中,选择包含要管理的计算机的部署。
- 单击“查看详细信息”。
- 在部署详细信息窗格中,选择要管理的计算机。
- 从显示的操作中,选择要在计算机上执行的操作:
- 单击“编辑卷大小”以更改计算机的音量大小。
- 单击“删除”将计算机从部署和 AWS 中删除。 如果计算机位于交付组中,则只有在维护模式下才能将其删除。
- 单击“打开/关闭维护模式”以打开计算机的维护模式(如果已关闭)或关闭(如果已打开)。
将应用程序添加到部署
要将应用程序添加到现有部署中,请执行以下操作:
- 在 Web 工作室 > 快速部署 > Amazon WorkSpaces 核心,选择 Deployments。
- 在 Deployments (部署) 窗格中,选择要将应用程序添加到的部署。
- 单击 Add applications(添加应用程序)。 Add Application (添加应用程序) 窗格随即打开。
- 单击 Add 菜单,然后选择以下源之一以添加应用程序:
- 从“开始”菜单
- 手动地
- 应用程序包
- 现存
- 应用程序组
有关将应用程序添加到现有部署的更多信息,请参阅 步骤 6。 应用.
参考
AWS 帐户编程访问权限
AWS 用户帐户必须具有一定的编程访问权限才能对 AWS 资源层进行 API 调用。 编程访问会创建访问密钥 ID 和私有访问密钥。 您可以在 IAM 控制台中创建包含这些权限的策略。 如下图所示,您可以使用可视化编辑器(逐一添加权限)或 JSON(添加下面的代码片段)。 有关更多信息,请参阅在您的 AWS 帐户中创建 IAM 用户。
-
在可视化编辑器选项卡上,逐一添加权限。
-
在 JSON 选项卡上,添加下图后面显示的片段。
所需的权限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workdocs:DeregisterDirectory",
"workdocs:RegisterDirectory",
"workdocs:AddUserToGroup",
"ec2:ImportInstance",
"ec2:DescribeImages",
"ec2:DescribeImageAttribute"
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:ModifyImageAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:RunInstances",
"ec2:DescribeSecurityGroups",
"ec2:CreateTags",
"ec2:DescribeRouteTables",
"ec2:DescribeInternetGateways",
"ec2:CreateSecurityGroup",
"ec2:DescribeInstanceTypes",
"servicequotas:ListServices",
"servicequotas:GetRequestedServiceQuotaChange",
"servicequotas:ListTagsForResource",
"servicequotas:GetServiceQuota",
"servicequotas:GetAssociationForServiceQuotaTemplate",
"servicequotas:ListAWSDefaultServiceQuotas",
"servicequotas:ListServiceQuotas",
"servicequotas:GetAWSDefaultServiceQuota",
"servicequotas:GetServiceQuotaIncreaseRequestFromTemplate",
"servicequotas:ListServiceQuotaIncreaseRequestsInTemplate",
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
"sts:DecodeAuthorizationMessage",
"ds:*",
"workspaces:*",
"iam:GetRole",
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->