防火墙和路由

创建 AppStream 2.0 实例集时，必须指定子网和安全组。子网已指定了网络访问控制列表 (NACL) 和路由表。在启动新的映像生成器或创建新实例集时，您最多可以关联五个安全组。安全组最多可以继承现有安全组的五个指定设置。对于每个安全组，您需要添加规则以控制进出实例的出站和入站网络数据流

网络 ACL (NACL) 是 VPC 的一个可选安全层，可作为防火墙来控制进出子网的流量。您可以设置 NACL，使其规则与您的安全组相似，以便为您的 VPC 添加额外安全层。有关安全组和 NACL 之间的差别的更多信息，请参见安全组和 NACL 比较页面。

在设计和应用安全组和 NACL 规则时，请考虑 AWS Well-Architected 最佳实践以实现最低权限。最低权限的原则是只授予完成任务所需的权限。

对于拥有将本地环境连接到 AWS（通过 AWS Direct Connect）的高速私有网络的客户，您可以考虑使用 VPC 端点部署 AppStream，这意味着流式传输流量将通过您的私有网络连接而不是通过公共互联网进行路由。有关本主题的更多信息，请参阅本文档的“AppStream 2.0 流式传输接口 VPC 端点”部分。