本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon WorkSpaces 创建 VPC 端点策略
<a name="api-private-link-policy"></a>

您可以为 Amazon WorkSpaces 的 Amazon VPC 端点创建一个策略，用于指定以下内容：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《*Amazon VPC 用户指南*》中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**注意**  
联邦信息处理标准 (FIPS) Amazon WorkSpaces 端点不支持 VPC 端点策略。

以下示例 VPC 端点策略指定有权访问 VPC 接口端点的所有用户都可以调用名为 `ws-f9abcdefg` 的 Amazon WorkSpaces 托管端点。

```
{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}
```

在本例中，拒绝以下操作：
+ 调用除 `ws-f9abcdefg` 之外的 Amazon WorkSpaces 托管端点。
+ 对指定资源以外的任何资源执行操作（WorkSpace ID：`ws-f9abcdefg`）。

**注意**  
在本例中，用户仍然可以从 VPC 外部调用其他 Amazon WorkSpaces API 操作。要将 API 调用限制为 VPC 内的资源，请参阅 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)，以了解有关使用基于身份的策略控制对 Amazon WorkSpaces API 端点的访问的信息。