控制网络流量

在启动 Amazon AppStream 流实例时，您可以在 VPC 上的子网中启动该实例。如果要不允许从 Internet 访问流实例，您可以在私有子网中部署流实例。

如需提供对私有子网中流实例的 Internet 访问，请使用 NAT 网关。有关更多信息，请参阅 配置具有私有子网和 NAT 网关的 VPC。

利用属于您的 VPC 的安全组，您可以控制 AppStream 2.0 流实例与 VPC 资源（例如许可证服务器、文件服务器、数据库服务器等）之间的网络流量。安全组还会隔离您的流实例与 AppStream 2.0 管理服务之间的流量。

使用安全组可限制对您的流实例的访问。例如，您可以仅允许来自公司网络地址范围的流量。有关更多信息，请参阅 Amazon WorkSpaces 应用程序中的安全组。

您可以从 VPC 中的 AppStream 2.0 流实例进行流式传输，而无需通过公共 Internet。为此，请使用接口 VPC 端点（接口端点）。有关更多信息，请参阅 教程：从接口 VPC 端点创建和流式传输。

您也可以从 VPC 调用 AppStream 2.0 API 操作，而无需使用接口端点通过公共 Internet 发送流量。有关更多信息，请参阅 通过接口 VPC 终端节点访问 WorkSpaces 应用程序 API 操作和 CLI 命令。

使用 IAM 角色和策略管理管理员对 AppStream 2.0、应用程序自动扩缩和 Amazon S3 存储桶的访问权限。有关更多信息，请参阅以下主题：

您可以使用 SAML 2.0 对 AppStream 2.0 进行联合身份验证。有关更多信息，请参阅 亚马逊 WorkSpaces 应用程序服务配额。