本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 控制网络流量 如需帮助控制传输到 AppStream 2.0 流实例的网络流量,请考虑以下选项: + 在启动 Amazon AppStream 流实例时,您可以在 VPC 上的子网中启动该实例。如果要不允许从 Internet 访问流实例,您可以在私有子网中部署流实例。 + 如需提供对私有子网中流实例的 Internet 访问,请使用 NAT 网关。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。 + 利用属于您的 VPC 的安全组,您可以控制 AppStream 2.0 流实例与 VPC 资源(例如许可证服务器、文件服务器、数据库服务器等)之间的网络流量。安全组还会隔离您的流实例与 AppStream 2.0 管理服务之间的流量。 使用安全组可限制对您的流实例的访问。例如,您可以仅允许来自公司网络地址范围的流量。有关更多信息,请参阅 [Amazon WorkSpaces 应用程序中的安全组](managing-network-security-groups.md)。 + 您可以从 VPC 中的 AppStream 2.0 流实例进行流式传输,而无需通过公共 Internet。为此,请使用接口 VPC 端点(接口端点)。有关更多信息,请参阅 [教程:从接口 VPC 端点创建和流式传输](creating-streaming-from-interface-vpc-endpoints.md)。 您也可以从 VPC 调用 AppStream 2.0 API 操作,而无需使用接口端点通过公共 Internet 发送流量。有关更多信息,请参阅 [通过接口 VPC 终端节点访问 WorkSpaces 应用程序 API 操作和 CLI 命令](access-api-cli-through-interface-vpc-endpoint.md)。 + 使用 IAM 角色和策略管理管理员对 AppStream 2.0、应用程序自动扩缩和 Amazon S3 存储桶的访问权限。有关更多信息,请参阅以下主题: + [使用 AWS 托管策略和关联角色管理管理员对 WorkSpaces 应用程序资源的访问权限](controlling-administrator-access-with-policies-roles.md) + [使用 IAM 策略管理管理员对 Application Auto Scaling 的访问权限](autoscaling-iam-policy.md) + [限制管理员访问用于主文件夹和应用程序设置持久性的 Amazon S3 存储桶](s3-iam-policy-restricted-access.md) + 您可以使用 SAML 2.0 对 AppStream 2.0 进行联合身份验证。有关更多信息,请参阅 [亚马逊 WorkSpaces 应用程序服务配额](limits.md)。 **注意** 对于较小的 AppStream 2.0 部署,您可以使用 AppStream 2.0 用户池。默认情况下,用户池最多支持 50 个用户。有关 AppStream 2.0 配额(也称为限制)的更多信息,请参阅[亚马逊 WorkSpaces 应用程序服务配额](limits.md)。对于必须支持 100 个或更多 AppStream 2.0 用户的部署,建议使用 SAML 2.0。