VPC 端點 - 部署 Amazon AppStream 2.0 的最佳實踐

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC 端點

Amazon S3 VPC 端點

許多 Amazon AppStream 2.0 部署都需要透過主資料夾和應用程式設定保存使用者狀態。啟用與這些 Amazon 簡單儲存服務 (Amazon S3) 位置的私人通訊,因為這樣可避免使用公用網際網路。您可以透過 VPC 端點閘道達成此目的。AWS PrivateLink對於 Amazon S3,較偏好使用 VPC 端點閘道,因為:

  • 它針對 AppStream 2.0 網路存取需求進行了最佳化的成本

  • 不需要從現場部署資源存取 Amazon S3 儲存貯體

  • 自訂政策文件可用來限制僅限 AppStream 2.0 執行個體的存取

建立 VPC 端點閘道後,最佳做法是透過建立自訂原則來保護私有化連線的安全。自訂政策從 AppStream 2.0 服務 Identity and Access Management 角色的 Amazon 資源名稱 (ARN) 開始。明確指定使用者狀態持續性所需的 S3 動作。

注意

下列Resources區段中的範例會先指定狀態主資料夾路徑,並指定應用程式設定路徑的第二個路徑。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-AppStream-to-access-home-folder-and- application-settings", "Effect": "Allow", "Principal": { "AWS": "arn:aws:sts::account-id-without-hyphens:assumed- role/AmazonAppStreamServiceAccess/AppStream2.0" }, "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": [ "arn:aws:s3:::appstream2-36fb080bb8-*", "arn:aws:s3:::appstream-app-settings-*" ] } ] }

亞馬遜 AppStream 2.0 API 接口 VPC 端點

在 Amazon AppStream 2.0 的 API 和 CLI 命令源自您的虛擬私人雲端的設計案例中,請透過介面 VPC 端點將這些程式化呼叫私有化。

亞馬遜 AppStream 2.0 流媒體界面 VPC 端點

雖然可以透過界面 VPC 端點路由 Amazon AppStream 2.0 串流流量,但請謹慎使用此組態。透過公用網際網路進行的預設串流行為是 Amazon AppStream 2.0 串流流量最有效率且最高效能的交付方式。

顯示流量如何透過網際網路在 Amazon AppStream 2.0 串流閘道之間移動的圖表。

亞馬遜 AppStream 2.0 流媒體界面 VPC 端點

如上圖所示,公用網際網路是通往 Amazon AppStream 2.0 串流閘道的最有效途徑。透過客戶管理的 VPC 和網路進行路由會增加複雜性和延遲時間。它還增加了數據傳輸費用AWS Direct Connect。

注意

VPC 端點僅支援串流,且驗證仍必須透過公用網際網路進行。SAML 單一登入 (SSO) 身分識別提供者 (IdP) 等先決條件存取仍然是只能透過公用網際網路存取的必要條件。