防火牆和路由

建立 WorkSpaces 應用程式機群時，必須指派子網路和安全群組。子網路具有現有的網路存取控制清單 (NACLs和路由表 (NACL) 指派。啟動新的映像建置器或建立新的機群安全群組時，最多可以建立五個安全群組的關聯，最多可以有五個來自現有安全群組的指派。對於每個安全群組，您新增規則來控制進出執行個體的傳出和傳入網路流量

NACL 是 VPC 的選用安全層，可做為無狀態防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL，以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊，請參閱比較安全群組和 NACLs頁面。

設計和套用安全群組和 NACL 規則時，請考慮 AWS Well-Architected 最佳實務的最低權限。最低權限是僅授予完成任務所需許可的原則。

對於具有高速私有網路將內部部署環境連線至 AWS （透過 AWS Direct Connect) 的客戶，您可以考慮使用 AppStream 的 VPC 端點，這表示串流流量將透過私有網路連線路由，而不是透過公有網際網路。如需本主題的詳細資訊，請參閱本文件的 WorkSpaces 應用程式串流介面 VPC 端點一節。