本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# WorkSpaces 應用程式界面 VPC 端點
Virtual Private Cloud (VPC) 是 Amazon Web Services 雲端中您自己的邏輯隔離區域中的虛擬網路。如果您使用 Amazon Virtual Private Cloud 託管AWS資源,您可以在 VPC 和 WorkSpaces 應用程式之間建立私有連線。您可以使用此連線讓 WorkSpaces 應用程式與 VPC 上的資源通訊,而無需透過公有網際網路。
介面端點採用AWSPrivateLink,這項技術可讓您使用私有 IP 地址,將串流流量保留在您指定的 VPC 內。當您搭配 Direct Connect或 AWS Virtual Private Network通道使用 VPC 時,您可以將串流流量保留在您的網路中。
下列主題提供 WorkSpaces 應用程式界面端點的相關資訊。
**Topics**
+ [教學課程:從介面 VPC 端點建立和串流](creating-streaming-from-interface-vpc-endpoints.md)
+ [透過介面 VPC 端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令](access-api-cli-through-interface-vpc-endpoint.md)
# 教學課程:從介面 VPC 端點建立和串流
您可以使用 Amazon Web Services 帳戶中的介面 VPC 端點,將 Amazon VPC 和 WorkSpaces 應用程式之間的所有網路流量限制在 Amazon 網路。建立此端點之後,您可以將 WorkSpaces 應用程式堆疊或映像建置器設定為使用它。
**先決條件**
設定 WorkSpaces 應用程式的介面 VPC 端點之前,請注意下列先決條件:
+ 需要網際網路連線才能驗證使用者,並提供 WorkSpaces 應用程式運作所需的 Web 資產。此串流界面端點可將串流流量保持在 VPC 內。串流流量包含像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載,以及印表機流量。若要允許此流量,您必須允許 [允許的網域](allowed-domains.md) 中所列的網域。建立 VPC 端點之後,您必須允許 WorkSpaces 應用程式使用者身分驗證網域。不過,對於串流閘道,您可以限制只能存取 .streaming.appstream..vpce.amazonaws.com。不需要允許列出至 \$1.amazonappstream.com。VPC 端點完整網域名稱會取代該相依性。
+ 使用者裝置所連線的網路必須能夠將流量路由到界面端點。
+ 與此界面端點關聯的安全群組必須允許從使用者連接的 IP 地址範圍對連接埠 443 (TCP) 和連接埠 1400-1499 (TCP) 的傳入存取。
+ 子網路的網路存取控制清單必須允許從暫時性網路連接埠 1024-65535 (TCP) 到使用者連接的 IP 地址範圍的傳出流量。
+ 您的 中必須有 IAM 許可政策AWS 帳戶,提供執行 `ec2:DescribeVpcEndpoints` API 動作的許可。根據預設,連接到 AmazonAppStreamServiceAccess 角色的 IAM 政策中會定義此許可。如果您有必要的許可,當您在 AWS區域中開始使用 WorkSpaces 應用程式服務時,WorkSpaces 應用程式會自動建立此服務角色,並連接必要的 IAM 政策。如需詳細資訊,請參閱[Amazon WorkSpaces 應用程式的 Identity and Access Management](controlling-access.md)。
**建立界面端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Endpoints (端點)**,**Create Endpoint (建立端點)**。
1. 選擇**建立端點**。
1. 針對**服務類別**,請確定已選取**AWS服務**。
1. 針對**服務名稱**,選擇 **com.amazonaws.******.appstream.streaming**。
1. 請指定下列資訊。完成時,請選擇 **Create endpoint (建立端點)**。
+ 針對 **VPC (VPC)**,選擇要在其中建立界面端點的 VPC。您可以選擇與具有 WorkSpaces 應用程式資源的 VPC 不同的 VPC。
+ 對於 **Subnets (子網路)**,請選擇欲建立端點的子網路 (可用區域)。建議您在至少兩個可用區域中選擇子網路。
+ 針對 **IP 地址類型**,選擇 IPV6 或 IPV4。
+ 確保已選取 **Enable Private DNS Name (啟用私有 DNS 名稱)** 核取方塊。
**注意**
如果您的使用者使用網路 Proxy 存取串流執行個體,請停用網域上的任何 Proxy 快取,以及與私人端點相關聯的 DNS 名稱。應允許透過代理的 VPC 端點 DNS 名稱。
+ 針對 **Security group (安全群組)**,選擇要與端點網路界面建立關聯的安全群組。
**注意**
安全群組必須提供從使用者連線的 IP 地址範圍對這些連接埠的傳入存取。
正在建立界面端點時,主控台中的端點狀態會顯示為 **Pending (待定)**。建立端點後,此狀態會變更為 **Available (可用)**。
若要更新堆疊以使用您為串流工作階段建立的界面端點,請執行以下步驟。
**更新堆疊來使用新的界面端點**
1. 在 https://[https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) 開啟 WorkSpaces 應用程式主控台。
請確定您在與您要使用的介面端點相同的AWS區域中開啟主控台。
1. 在導覽窗格中,選擇 **Stacks (堆疊)**,然後選擇您想要的堆疊。
1. 選擇 **VPC 端點**索引標籤,然後選擇**編輯**。
1. 在**編輯 VPC 端點**對話方塊中,針對**串流端點**選擇要用來串流流量的端點。
1. 選擇**更新**。
將透過此端點路由新串流工作階段的流量。不過,會透過先前指定的端點繼續路由目前串流工作階段的流量。
**注意**
指定介面端點時,使用者無法使用網際網路端點串流。
# 透過介面 VPC 端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令
如果您使用 Amazon Virtual Private Cloud 託管AWS資源,您可以透過虛擬私有雲端 (VPC) 中的[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) (介面端點) 直接連線至 WorkSpaces 應用程式 API 操作或命令列介面 (CLI) 命令,而不是透過網際網路連線。介面端點採用AWSPrivateLink 技術,這項技術可讓您使用私有 IP 地址,將串流流量保留在您指定的 VPC 內。當您使用界面端點時,VPC 和 WorkSpaces 應用程式之間的通訊會完全安全地在AWS網路中執行。
**注意**
本主題說明如何透過介面端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令。如需如何從 WorkSpaces 應用程式界面端點建立和串流的資訊,請參閱 [教學課程:從介面 VPC 端點建立和串流](creating-streaming-from-interface-vpc-endpoints.md)。
**先決條件**
若要使用界面端點,您必須符合下列先決條件:
+ 與此界面端點關聯的安全群組必須允許從使用者連接的 IP 地址範圍對連接埠 443 (TCP) 的傳入存取。
+ 子網路的網路存取控制清單必須允許從暫時性網路連接埠 1024-65535 (TCP) 到使用者連接的 IP 地址範圍的傳出流量。
**Topics**
+ [建立介面端點以存取 WorkSpaces 應用程式 API 操作和 CLI 命令](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [使用界面端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# 建立介面端點以存取 WorkSpaces 應用程式 API 操作和 CLI 命令
執行下列步驟來建立界面端點。
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Endpoints (端點)**,**Create Endpoint (建立端點)**。
1. 選擇**建立端點**。
1. 對於**服務類別**,請確定已選取**AWS服務**。
1. 針對**服務名稱**,選擇 **com.amazonaws.******.appstream.api**。
1. 請指定下列資訊。完成時,請選擇 **Create endpoint (建立端點)**。
+ 針對 **VPC (VPC)**,選取要在其中建立界面端點的 VPC。
+ 針對 **Subnets (子網路)**,選取要在其中建立端點網路界面的子網路 (可用區域)。建議您在至少兩個可用區域中選擇子網路。
+ 或者,您可以選取 **Enable Private DNS Name (啟用私有 DNS 名稱)** 核取方塊。
**注意**
如果您選取此選項,請確定您視需要設定 VPC 和 DNS 來支援私有 DNS。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[私有 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)。
+ 針對 **Security group (安全群組)**,選取要與端點網路介面建立關聯的安全群組。
**注意**
安全群組必須提供從使用者連線的 IP 地址範圍對這些連接埠的傳入存取。
正在建立界面端點時,主控台中的端點狀態會顯示為 **Pending (待定)**。建立端點後,此狀態會變更為 **Available (可用)**。
# 使用界面端點存取 WorkSpaces 應用程式 API 操作和 CLI 命令
在您建立的介面 VPC 端點狀態變更為**可用**後,您可以使用端點來存取 WorkSpaces 應用程式 API 操作和 CLI 命令。若要這樣做,請在使用這些操作和命令時,使用界面端點的 DNS 名稱來指定 `endpoint-url` 參數。DNS 名稱為可公開解析,但此參數只能在您的 VPC 中順利路由流量。
以下範例示範當您使用 **describe-fleets** CLI 命令時,如何指定界面端點的 DNS 名稱:
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
下列範例示範如何在執行個體化 WorkSpaces 應用程式 Boto3 Python 用戶端時指定介面端點的 DNS 名稱:
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
使用 `appstream2client` 物件的後續命令會自動使用您指定的界面端點。
如果您在界面端點上啟用私有 DNS 主機名稱,則不需要指定端點 URL。API 和 CLI 預設使用的 WorkSpaces 應用程式 API DNS 主機名稱會在 VPC 內解析。如需私有 DNS 主機名稱的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[私有 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)。