AWS PrivateLink - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS PrivateLink

AWS PrivateLink では、インターフェイス VPC AWS Backup エンドポイントを作成して、仮想プライベートクラウド (VPC) とエンドポイント間のプライベート接続を確立できます。インターフェイスエンドポイントはAWS PrivateLink、VPC と Amazon ネットワーク間のすべてのネットワークトラフィックを制限することで AWS Backup APIs AWS Backup にプライベートにアクセスできるテクノロジーである を利用しています。

AWS PrivateLink を使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで、 AWS Backup オペレーションにプライベートにアクセスできます。VPC 内のインスタンスは、 AWS Backup API エンドポイントとの通信にパブリック IP アドレスを必要としません。また、インスタンスは、使用可能な AWS Backup API および Backup ゲートウェイ API オペレーションを使用するためにパブリック IP アドレスを必要としません。VPC と 間のトラフィック AWS Backup は Amazon ネットワークを離れません。

VPC エンドポイントの詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

Amazon VPC エンドポイントに関する考慮事項

AWS Backup エンドポイントのインターフェイス VPC エンドポイントを設定する前に、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントのプロパティと制限」を参照してください。

Amazon Backup リソースの管理に関連するすべての AWS Backup オペレーションは、 を使用して VPC から利用できます AWS PrivateLink。

VPC エンドポイントポリシーは、バックアップエンドポイントでサポートされます。デフォルトでは、エンドポイント経由でバックアップオペレーションへのフルアクセスが許可されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

AWS Backup VPC エンドポイントの作成

Amazon VPC コンソールまたは (AWS CLI) AWS Backup を使用して、 用の VPC AWS Command Line Interface エンドポイントを作成できます。詳細については、Amazon VPC ユーザーガイドインターフェイスエンドポイントの作成を参照してください。

サービス名 AWS Backup を使用して 用の VPC エンドポイントを作成しますcom.amazonaws.region.backup

中国 (北京) リージョンョンおよび中国 (寧夏) リージョンでは、サービス名は cn.com.amazonaws.region.backup でなければなりません。

バックアップゲートウェイエンドポイントの場合は、com.amazonaws.region.backup-gateway を使用してください。

バックアップゲートウェイ用の VPC エンドポイントを作成する場合、セキュリティグループで次の TCP ポートを許可する必要があります。

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

[プロトコル] [ポート] [Direction] (方向) ソース デスティネーション 使用方法

TCP

443 (HTTPS)

アウトバウンド

Backup ゲートウェイ

AWS

Backup Gateway から AWS サービスエンドポイントへの通信用

VPC エンドポイントの使用

エンドポイントのプライベート DNS を有効にすると、 などの AWS リージョンのデフォルト DNS 名を使用して、VPC エンドポイント AWS Backup で に API リクエストを実行できますbackup.us-east-1.amazonaws.com

ただし、中国 (北京) リージョンおよび中国 (寧夏) リージョン では AWS リージョン、backup.cn-northwest-1.amazonaws.com.cnそれぞれ backup.cn-north-1.amazonaws.com.cnと を使用して VPC エンドポイントで API リクエストを行う必要があります。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

VPCエンドポイントポリシーの作成

VPC エンドポイントに Amazon バックアップ API へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは以下の内容を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

重要

のインターフェイス VPC エンドポイントにデフォルト以外のポリシーが適用されると AWS Backup、 からの失敗など、失敗した特定の API リクエストが RequestLimitExceeded AWS CloudTrail または Amazon にログ記録されない場合があります CloudWatch。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

例: AWS Backup アクションの VPC エンドポイントポリシー

のエンドポイントポリシーの例を次に示します AWS Backup。このポリシーは、エンドポイントにアタッチされると、すべてのリソースのすべての原則について、リストされた AWS Backup アクションへのアクセスを許可します。

{ "Statement":[ { "Action":"backup:*", "Effect":"Allow", "Principal":"*", "Resource":"*" } ] }

例: 指定した AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

次の VPC エンドポイントポリシーは、エンドポイントを使用したリソースへの123456789012すべてのアクセスを AWS アカウントで拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。

{ "Id":"Policy1645236617225", "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1645236612384", "Action":"backup:*", "Effect":"Deny", "Resource":"*", "Principal":{ "AWS":[ "123456789012" ] } } ] }

使用可能な API レスポンスの詳細については、「API ガイド」を参照してください。

可用性 AWS Backup は現在、次の AWS リージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ) リージョン

  • 米国東部(バージニア州北部) リージョン

  • 米国西部 (オレゴン) リージョン

  • US West (N. California) リージョン

  • アフリカ(ケープタウン)リージョン

  • アジアパシフィック (香港) リージョン

  • アジアパシフィック (ムンバイ) リージョン

  • アジアパシフィック(大阪)リージョン

  • Asia Pacific (Seoul) Region

  • アジアパシフィック (シンガポール) リージョン

  • アジアパシフィック (シドニー) リージョン

  • アジアパシフィック (東京) リージョン

  • カナダ (中部) リージョン

  • Europe (Frankfurt) Region

  • 欧州 (アイルランド) リージョン

  • 欧州 (ロンドン) リージョン

  • 欧州 (パリ) リージョン

  • 欧州 (ストックホルム) リージョン

  • 欧州(ミラノ)リージョン

  • 中東 (バーレーン) リージョン

  • 南米 (サンパウロ) リージョン

  • アジアパシフィック (ジャカルタ) リージョン

  • アジアパシフィック(大阪)リージョン

  • 中国 (北京) リージョン

  • 中国 (寧夏) リージョン

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

注記

AWS Backup for VMware は、中国リージョン (中国 (北京) リージョンおよび中国 (寧夏) リージョン) またはアジアパシフィック (ジャカルタ) リージョンでは使用できません。