

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为亚马逊创建 VPC 终端节点策略 WorkSpaces
<a name="api-private-link-policy"></a>

您可以为亚马逊的 Amazon VPC 终端节点创建策略 WorkSpaces ，以指定以下内容：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅**《Amazon VPC 用户指南》中的[使用 VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**注意**  
联邦信息处理标准 (FIPS) 的亚马逊终端节点不支持 VPC WorkSpaces 终端节点策略。

以下示例 VPC 终端节点策略指定允许有权访问 VPC 接口终端节点的所有用户调用名为的 Amazon WorkSpaces 托管终端节点`ws-f9abcdefg`。

```
{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}
```

在本例中，拒绝以下操作：
+ 调用除之外的`ws-f9abcdefg`亚马逊 WorkSpaces 托管的终端节点。
+ 对除指定资源之外的任何资源执行操作 (WorkSpace ID:`ws-f9abcdefg`)。

**注意**  
在此示例中，用户仍然可以从 VPC 外部执行其他 Amazon WorkSpaces API 操作。要限制从 VPC 内部调用 API，请参阅，了解有关使用基于身份[的身份和访问管理 WorkSpaces](workspaces-access-control.md)的策略来控制 Amazon WorkSpaces API 终端节点访问权限的信息。