为 Amazon WorkSpaces 创建 VPC 端点策略 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Amazon WorkSpaces 创建 VPC 端点策略

您可以为 Amazon WorkSpaces 的 Amazon VPC 端点创建一个策略,用于指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

注意

联邦信息处理标准 (FIPS) Amazon WorkSpaces 端点不支持 VPC 端点策略。

以下示例 VPC 端点策略指定有权访问 VPC 接口端点的所有用户都可以调用名为 ws-f9abcdefg 的 Amazon WorkSpaces 托管端点。

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

在本例中,拒绝以下操作:

  • 调用除 ws-f9abcdefg 之外的 Amazon WorkSpaces 托管端点。

  • 对指定资源以外的任何资源执行操作(WorkSpace ID:ws-f9abcdefg)。

注意

在本例中,用户仍然可以从 VPC 外部调用其他 Amazon WorkSpaces API 操作。要将 API 调用限制为 VPC 内的资源,请参阅 对 WorkSpaces 进行身份和访问管理,以了解有关使用基于身份的策略控制对 Amazon WorkSpaces API 端点的访问的信息。