适用于您的 WorkSpaces 的 IP 访问控制组 - Amazon WorkSpaces
创建 IP 访问控制组将 IP 访问控制组与目录关联复制 IP 访问控制组删除 IP 访问控制组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于您的 WorkSpaces 的 IP 访问控制组

Amazon WorkSpaces 允许您控制可以从哪些 IP 地址访问您的 WorkSpaces。通过使用基于 IP 地址的控制组,您可以定义和管理可信 IP 地址组,并仅允许用户在连接到可信网络时访问其 WorkSpaces。

IP 访问控制组 充当虚拟防火墙,该虚拟防火墙用于控制允许用户从中访问其 WorkSpace 的 IP 地址。要指定 CIDR 地址范围,请向 IP 访问控制组添加规则,然后将该组与您的目录关联。您可以将每个 IP 访问控制组与一个或多个目录关联。您可以为每个区域的每个 Amazon 账户创建最多 100 个 IP 访问控制组。不过,您只能将最多 25 个 IP 访问控制组与单个目录关联。

每个目录都与一个默认 IP 访问控制组关联。此默认组包含一条默认规则,以允许用户从任何地方访问其 WorkSpaces。您无法修改目录的默认 IP 访问控制组。如果您没有将 IP 访问控制组与您的目录关联,请使用默认组。如果您将 IP 访问控制组与目录关联,则默认的 IP 访问控制组将断开连接。

要为您的受信任网络指定公有 IP 地址和 IP 地址范围,请向 IP 访问控制组添加规则。如果您的用户通过 NAT 网关或 VPN 访问其 WorkSpace,您必须创建允许从 NAT 网关或 VPN 的公有 IP 地址发出的流量的规则。

注意

  • IP 访问控制组不允许为 NAT 使用动态 IP 地址。如果您使用 NAT,请将其配置为使用静态 IP 地址而不是动态 IP 地址。确保 NAT 在 WorkSpace 会话期间通过同一静态 IP 地址路由所有 UDP 流量。

  • IP 访问控制组用于控制用户可将其流式传输会话连接到 WorkSpaces 的 IP 地址。用户仍然可以使用 Amazon WorkSpaces 的公共 API 从任何 IP 地址执行诸如重启、重建、关闭等功能。

您可以将此功能与 Web Access、PCoIP 零客户端及适用于 macOS、iPad、Windows、 和 Android 的客户端应用程序结合使用。

创建 IP 访问控制组

可以按以下所述创建 IP 访问控制组。每个 IP 访问控制组可以包含最多 10 个规则。

创建 IP 访问控制组

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择 IP Access Controls

  3. 选择 Create IP Group

  4. Create IP Group (创建 IP 组) 对话框中,输入组的名称和描述,然后选择 Create (创建)

  5. 选择所需组,然后选择 Edit

  6. 对于每个 IP 地址,选择 Add Rule。对于 Source (来源),输入 IP 地址或 IP 地址范围。对于说明,输入说明。添加完规则后,选择 Save

将 IP 访问控制组与目录关联

您可以将 IP 访问控制组与目录关联,以确保仅从受信任的网络访问 WorkSpace。

如果将没有规则的 IP 访问控制组与目录关联,则会阻止对所有 WorkSpace 的所有访问。

将 IP 访问控制组与目录关联

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择目录,然后选择 ActionsUpdate Details

  4. 展开 IP Access Control Groups,并选择一个或多个 IP 访问控制组。

  5. 选择更新并退出

复制 IP 访问控制组

您可以使用现有的 IP 访问控制组作为创建新 IP 访问控制组的基础。

从现有的 IP 访问控制组创建一个 IP 访问控制组

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择 IP Access Controls

  3. 选择所需组,然后选择 ActionsCopy to New

  4. Copy IP Group (复制 IP 组) 对话框中,输入新组的名称和描述,然后选择 Copy Group (复制组)

  5. (可选) 要修改从原始组中复制的规则,请选择新组,然后选择 Edit。根据需要添加、更新或删除规则。选择 Save(保存)。

删除 IP 访问控制组

您可以随时从 IP 访问控制组中删除规则。如果删除一个用于允许连接到某 WorkSpace 的规则,则用户将与该 WorkSpace 断开连接。

在可以删除 IP 访问控制组之前,必须将其与任何目录解除关联。

删除 IP 访问控制组

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 对于每个与 IP 访问控制组关联的目录,请选择该目录,然后选择 ActionsUpdate Details。展开 IP Access Control Groups (IP 访问控制组),清除 IP 访问控制组的复选框,然后选择 Update and Exit (更新并退出)

  4. 在导航窗格中,选择 IP Access Controls

  5. 选择所需组,然后选择 ActionsDelete IP Group