本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 控制網路流量 為了協助控制 WorkSpaces 應用程式串流執行個體的網路流量,請考慮下列選項: + 啟動 Amazon AppStream 串流執行個體時,您會在 VPC 的子網路中啟動它。如果不希望開放從網際網路存取串流執行個體,您可以在私有子網路中部署。 + 如果要提供私有子網路中串流執行個體的網際網路存取權,請使用 NAT 閘道。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。 + 屬於 VPC 的安全群組可讓您控制 WorkSpaces 應用程式串流執行個體與 VPC 資源之間的網路流量,例如授權伺服器、檔案伺服器和資料庫伺服器。安全群組也會隔離串流執行個體與 WorkSpaces 應用程式管理服務之間的流量。 使用安全群組來限制存取您的串流執行個體。例如,您可以允許僅來自於企業網路位址範圍的流量。如需詳細資訊,請參閱[Amazon WorkSpaces 應用程式中的安全群組](managing-network-security-groups.md)。 + 您可以從 VPC 中的 WorkSpaces 應用程式串流執行個體進行串流,而無需透過公有網際網路。如果要這麼做,請使用界面 VPC 端點 (界面端點)。如需詳細資訊,請參閱[教學課程:從介面 VPC 端點建立和串流](creating-streaming-from-interface-vpc-endpoints.md)。 您也可以從 VPC 呼叫 WorkSpaces 應用程式 API 操作,而無需使用介面端點透過公有網際網路傳送流量。如需詳細資訊,請參閱[透過介面 VPC 端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令](access-api-cli-through-interface-vpc-endpoint.md)。 + 使用 IAM 角色和政策來管理管理員對 WorkSpaces 應用程式、Application Auto Scaling 和 Amazon S3 儲存貯體的存取。如需詳細資訊,請參閱下列主題: + [使用 AWS 受管政策和連結角色來管理管理員對 WorkSpaces 應用程式資源的存取](controlling-administrator-access-with-policies-roles.md) + [使用 IAM 政策管理對應用程式自動擴展的管理員存取](autoscaling-iam-policy.md) + [限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體](s3-iam-policy-restricted-access.md) + 您可以使用 SAML 2.0 將身分驗證聯合到 WorkSpaces 應用程式。如需詳細資訊,請參閱[Amazon WorkSpaces 應用程式Service Quotas](limits.md)。 **注意** 對於較小的 WorkSpaces 應用程式部署,您可以使用 WorkSpaces 應用程式使用者集區。根據預設, 使用者集區最多支援 50 個使用者。如需 WorkSpaces 應用程式配額 (也稱為限制) 的詳細資訊,請參閱 [Amazon WorkSpaces 應用程式Service Quotas](limits.md)。對於必須支援 100 個或更多 WorkSpaces 應用程式使用者的部署,建議使用 SAML 2.0。