本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學課程：從介面 VPC 端點建立和串流
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

您可以使用 Amazon Web Services 帳戶中的介面 VPC 端點，將 Amazon VPC 和 WorkSpaces 應用程式之間的所有網路流量限制在 Amazon 網路。建立此端點之後，您可以將 WorkSpaces 應用程式堆疊或映像建置器設定為使用它。

**先決條件**

設定 WorkSpaces 應用程式的介面 VPC 端點之前，請注意下列先決條件：
+ 需要網際網路連線才能驗證使用者，並提供 WorkSpaces 應用程式運作所需的 Web 資產。此串流界面端點可將串流流量保持在 VPC 內。串流流量包含像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載，以及印表機流量。若要允許此流量，您必須允許 [允許的網域](allowed-domains.md) 中所列的網域。建立 VPC 端點之後，您必須允許 WorkSpaces 應用程式使用者身分驗證網域。不過，對於串流閘道，您可以限制只能存取 <vpc-endpoint-id>.streaming.appstream.<aws-region>.vpce.amazonaws.com。不需要允許列出至 \$1.amazonappstream.com。VPC 端點完整網域名稱會取代該相依性。
+ 使用者裝置所連線的網路必須能夠將流量路由到界面端點。
+ 與此界面端點關聯的安全群組必須允許從使用者連接的 IP 地址範圍對連接埠 443 (TCP) 和連接埠 1400-1499 (TCP) 的傳入存取。
+ 子網路的網路存取控制清單必須允許從暫時性網路連接埠 1024-65535 (TCP) 到使用者連接的 IP 地址範圍的傳出流量。
+ 您的 中必須有 IAM 許可政策AWS 帳戶，提供執行 `ec2:DescribeVpcEndpoints` API 動作的許可。根據預設，連接到 AmazonAppStreamServiceAccess 角色的 IAM 政策中會定義此許可。如果您有必要的許可，當您在 AWS區域中開始使用 WorkSpaces 應用程式服務時，WorkSpaces 應用程式會自動建立此服務角色，並連接必要的 IAM 政策。如需詳細資訊，請參閱[Amazon WorkSpaces 應用程式的 Identity and Access Management](controlling-access.md)。

**建立界面端點**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Endpoints (端點)**，**Create Endpoint (建立端點)**。

1. 選擇**建立端點**。

1. 針對**服務類別**，請確定已選取**AWS服務**。

1. 針對**服務名稱**，選擇 **com.amazonaws.***<AWS 區域>***.appstream.streaming**。

1. 請指定下列資訊。完成時，請選擇 **Create endpoint (建立端點)**。
   + 針對 **VPC (VPC)**，選擇要在其中建立界面端點的 VPC。您可以選擇與具有 WorkSpaces 應用程式資源的 VPC 不同的 VPC。
   + 對於 **Subnets (子網路)**，請選擇欲建立端點的子網路 (可用區域)。建議您在至少兩個可用區域中選擇子網路。
   + 針對 **IP 地址類型**，選擇 IPV6 或 IPV4。
   + 確保已選取 **Enable Private DNS Name (啟用私有 DNS 名稱)** 核取方塊。
**注意**  
如果您的使用者使用網路 Proxy 存取串流執行個體，請停用網域上的任何 Proxy 快取，以及與私人端點相關聯的 DNS 名稱。應允許透過代理的 VPC 端點 DNS 名稱。
   + 針對 **Security group (安全群組)**，選擇要與端點網路界面建立關聯的安全群組。
**注意**  
安全群組必須提供從使用者連線的 IP 地址範圍對這些連接埠的傳入存取。

正在建立界面端點時，主控台中的端點狀態會顯示為 **Pending (待定)**。建立端點後，此狀態會變更為 **Available (可用)**。

 若要更新堆疊以使用您為串流工作階段建立的界面端點，請執行以下步驟。

**更新堆疊來使用新的界面端點**

1. 在 https：//[https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) 開啟 WorkSpaces 應用程式主控台。

   請確定您在與您要使用的介面端點相同的AWS區域中開啟主控台。

1. 在導覽窗格中，選擇 **Stacks (堆疊)**，然後選擇您想要的堆疊。

1. 選擇 **VPC 端點**索引標籤，然後選擇**編輯**。

1. 在**編輯 VPC 端點**對話方塊中，針對**串流端點**選擇要用來串流流量的端點。

1. 選擇**更新**。

將透過此端點路由新串流工作階段的流量。不過，會透過先前指定的端點繼續路由目前串流工作階段的流量。

**注意**  
指定介面端點時，使用者無法使用網際網路端點串流。