網路考量

每個 WorkSpace 都與您用來建立它的特定 Amazon VPC 和 AWS Directory Service 建構相關聯。所有 AWS Directory Service 建構 (簡單 AD、AD Connector 和 Microsoft AD) 都需要兩個子網路才能運作，每個子網路都位於不同的可用區域 (AZ)。子網路與 Directory Service 建構永久關聯，在建立子網路後無法加以修改。因此，在建立目錄服務建構之前，務必先決定正確的子網路大小。在建立子網路之前，請仔細考慮下列事項：

• 隨著時間 WorkSpaces 的推移，您需要多少？

• 預期的增長是多少？

• 您需要容納哪些類型的使用者？

• 您將連接多少 AD 網域？

• 您的企業帳戶位於何處？

Amazon 建議根據您在規劃過程中所需的存取類型和使用者身份驗證來定義使用者群組或角色。當您需要限制對特定應用程式或資源的存取時，這些問題的答案很有幫助。已定義的使用者角色可協助您使用 AWS Directory Service、網路存取控制清單、路由表和 VPC 安全性群組來區隔和限制存取。每個「 AWS Directory Service」建構都使用兩個子網路，並將相同的設定套用至從 WorkSpaces 該建構啟動的所有子網路。例如，您可以使用套用至所有 WorkSpaces 連接至 AD Connector 的安全性群組，以指定是否需要 MFA，或者一般使用者是否可以擁有其 WorkSpace本機系統管理員存取權。

注意

每個 AD 連接器連接到您現有的企業 Microsoft AD。若要利用此功能並指定組織單位 (OU)，您必須建構 Directory Service，以將使用者角色納入考量。