AWS PrivateLink - AWS Backup
Consideraciones sobre los puntos de conexión de Amazon VPCCreación de un punto final AWS Backup de VPCUsar un punto de enlace de la VPC Creación de una política de punto de conexión de VPCAWS Backup Actualmente, la disponibilidad es compatible con los puntos finales de VPC en las siguientes regiones: AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS PrivateLink

AWS PrivateLink le permite establecer una conexión privada entre su nube privada virtual («VPC») y los AWS Backup puntos finales mediante la creación de un punto final de VPC de interfaz. Los puntos de enlace de la interfaz funcionan con una tecnología que le permite acceder de forma privada a AWS Backup las API al restringir todo el tráfico de red entre su VPC AWS Backup y la red de Amazon. AWS PrivateLink

AWS PrivateLink le permite acceder de forma privada a AWS Backup las operaciones sin una pasarela de Internet, un dispositivo NAT, una conexión VPN o AWS Direct Connect una conexión. Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los puntos de enlace de la AWS Backup API. Las instancias tampoco necesitan direcciones IP públicas para usar ninguna de las operaciones de API AWS Backup y API de Backup Gateway disponibles. El tráfico entre tu VPC y AWS Backup no sale de la red de Amazon.

Para obtener más información sobre puntos de conexión de VPC, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Consideraciones sobre los puntos de conexión de Amazon VPC

Antes de configurar un punto de enlace de VPC de interfaz para puntos de enlace, consulte las propiedades y limitaciones de AWS Backup los puntos de enlace de interfaz en la Guía del usuario de Amazon VPC.

Todas AWS Backup las operaciones relacionadas con la gestión de los recursos de Amazon Backup están disponibles en su VPC mediante. AWS PrivateLink

Las políticas de los puntos de conexión de VPC son compatibles con los puntos de conexión de Backup. De forma predeterminada, se permite el acceso completo a las operaciones de Backup a través del punto de conexión. Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Creación de un punto final AWS Backup de VPC

Puede crear un punto de conexión de VPC para AWS Backup usar la consola de Amazon VPC o la ( AWS Command Line Interface CLI).AWS Para obtener más información, consulte Creación de un punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto final de VPC para AWS Backup usar el nombre del servicio. com.amazonaws.region.backup

En la región de China (Pekín) y la región de China (Ningxia), el nombre del servicio debe ser cn.com.amazonaws.region.backup.

Para los puntos de conexión de la puerta de enlace de copia de segurdad, utilice com.amazonaws.region.backup-gateway.

Los siguientes puertos TCP deben estar permitidos en el grupo de seguridad al crear un punto de conexión de VPC para la puerta de enlace de copia de segurdad:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Protocolo Puerto Dirección Origen Destino Uso

TCP

443 (HTTPS)

Salida

Puerta de enlace de copia de segurdad

AWS

Para la comunicación entre Backup Gateway y el punto final del AWS servicio

Usar un punto de enlace de la VPC

Si habilitas el DNS privado para el punto final, puedes realizar solicitudes de API al AWS Backup punto final de la VPC utilizando su nombre de DNS predeterminado para la AWS región, por ejemplo. backup.us-east-1.amazonaws.com

Sin embargo, para la región de China (Pekín) y la región de China (Ningxia) Regiones de AWS, las solicitudes de API deben realizarse con el punto final de la VPC backup.cn-north-1.amazonaws.com.cn utilizando backup.cn-northwest-1.amazonaws.com.cn y, respectivamente.

Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de punto de conexión de VPC

Puede asociar una política de punto de conexión al punto de conexión de VPC que controla el acceso a la API de Amazon Backup. La política especifica:

  • La entidad de seguridad que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

importante

Cuando se aplica una política no predeterminada a un punto final AWS Backup de la VPC de la interfaz, es posible que determinadas solicitudes de API con errores, como las que no lleganRequestLimitExceeded, no se registren en Amazon AWS CloudTrail . CloudWatch

Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Ejemplo: política de puntos finales de VPC para acciones AWS Backup

El siguiente es un ejemplo de una política de puntos finales para AWS Backup. Cuando se adjunta a un punto final, esta política otorga acceso a las AWS Backup acciones enumeradas para todos los principios de todos los recursos.

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

Ejemplo: Política de punto de conexión de VPC que deniega todo el acceso desde una cuenta de AWS especificada

La siguiente política de punto final de VPC deniega a la AWS cuenta 123456789012 todo acceso a los recursos que utilizan el punto final. La política permite todas las acciones de otras cuentas.

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

Para obtener más información sobre las respuestas de API disponibles, consulte la Guía de API.

AWS Backup Actualmente, la disponibilidad es compatible con los puntos finales de VPC en las siguientes regiones: AWS

  • Región del Este de EE. UU. (Ohio)

  • Región del Este de EE. UU (Norte de Virginia)

  • Región del oeste de EE. UU (Oregón)

  • US West (N. California) Region

  • Región África (Ciudad del Cabo)

  • Región de Asia-Pacífico (Hong Kong)

  • Región de Asia-Pacífico (Bombay)

  • Región Asia-Pacífico (Osaka)

  • Región de Asia-Pacífico (Seúl)

  • Región de Asia-Pacífico (Singapur)

  • Región de Asia-Pacífico (Sídney)

  • Asia Pacífico (Tokio)

  • Región de Canadá (centro)

  • Región de Europa (Fráncfort)

  • Región de Europa (Irlanda)

  • Región de Europa (Londres)

  • Región de Europa (París)

  • Región Europa (Estocolmo)

  • Región Europa (Milán)

  • Región Medio Oriente (Baréin)

  • Región América del Sur (São Paulo)

  • Región Asia-Pacífico (Yakarta)

  • Región Asia-Pacífico (Osaka)

  • Región China (Pekín)

  • Región China (Ningxia)

  • AWS GovCloud (Este de EE. UU.)

  • AWS GovCloud (Estados Unidos-Oeste)

nota

AWS Backup para VMware no está disponible en las regiones de China (la región de China (Beijing) y la región de China (Ningxia)) ni en la región de Asia Pacífico (Yakarta).