Acesse AWS Backup usando uma interface VPC endpoint ()AWS PrivateLink - AWS Backup

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesse AWS Backup usando uma interface VPC endpoint ()AWS PrivateLink

Você pode estabelecer uma conexão privada entre a nuvem privada virtual (VPC) e o AWS Backup criando um endpoint da VPC de interface. Os endpoints de interface são alimentados por AWS PrivateLinkuma tecnologia que permite acessar a AWS Backup API sem usar um gateway de internet, dispositivo NAT, conexão VPN ou AWS Direct Connect conexão. As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar com os endpoints AWS Backup da API. Suas instâncias também não precisam de endereços IP públicos para usar nenhuma das operações disponíveis da AWS Backup API e da API do Backup Gateway.

Para obter mais informações, consulte Acesso Serviços da AWS por meio AWS PrivateLink do AWS PrivateLink Guia.

Considerações sobre endpoints da Amazon VPC

Todas as AWS Backup operações relevantes para gerenciar seus recursos estão disponíveis em sua VPC usando. AWS PrivateLink

As políticas de endpoint da VPC são compatíveis com endpoints do Backup. Por padrão, o acesso total às operações do Backup é permitido por meio do endpoint. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego a AWS Backup por meio do endpoint da interface.

Criação de um AWS Backup VPC endpoint

Você pode criar um VPC endpoint para AWS Backup usar o console Amazon VPC ou o (CLI). AWS Command Line Interface AWS Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink .

Crie um VPC endpoint para AWS Backup usar o nome do serviço. com.amazonaws.region.backup

Nas regiões China (Pequim) e China (Ningxia), o nome do serviço deve ser cn.com.amazonaws.region.backup.

Para endpoints do gateway de backup, use com.amazonaws.region.backup-gateway.

As seguintes portas TCP devem ser permitidas no grupo de segurança ao criar um endpoint da VPC para o gateway de backup:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Protocolo Port (Porta) Direction Origem Destination (Destino) Uso

TCP

443 (HTTPS)

Saída

Gateway de backup

AWS

Para comunicação do Backup Gateway com o ponto final do AWS serviço

Usar um endpoint da VPC

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API AWS Backup com o endpoint VPC usando seu nome DNS padrão para a região, por exemplo. AWS backup.us-east-1.amazonaws.com

No entanto, para a região da China (Pequim) e a região da China (Ningxia) Regiões da AWS, as solicitações de API devem ser feitas com o VPC endpoint backup.cn-north-1.amazonaws.com.cn usando backup.cn-northwest-1.amazonaws.com.cn e, respectivamente.

Criar uma política de endpoint da VPC

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso à API do Amazon Backup. A política especifica:

  • O principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Importante

Quando uma política não padrão é aplicada a uma interface VPC endpoint, certas solicitações AWS Backup de API com falha, como aquelas que falharam, podem não ser RequestLimitExceeded registradas na Amazon. AWS CloudTrail CloudWatch

Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.

Exemplo: política de VPC endpoint para ações AWS Backup

Veja a seguir um exemplo de uma política de endpoint para AWS Backup. Quando anexada a um endpoint, essa política concede acesso às AWS Backup ações listadas para todos os princípios em todos os recursos.

{ "Statement":[ { "Action":"backup:*", "Effect":"Allow", "Principal":"*", "Resource":"*" } ] }

Exemplo: política de endpoint da VPC que nega todo o acesso de uma conta da AWS especificada

A política de VPC endpoint a seguir nega à AWS conta 123456789012 todo o acesso aos recursos que usam o endpoint. A política permite todas as ações de outras contas.

{ "Id":"Policy1645236617225", "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1645236612384", "Action":"backup:*", "Effect":"Deny", "Resource":"*", "Principal":{ "AWS":[ "123456789012" ] } } ] }

Para obter mais informações sobre as respostas de API disponíveis, consulte o Guia da API.

AWS Backup Atualmente, a disponibilidade oferece suporte a VPC endpoints nas seguintes regiões: AWS

  • Região Leste dos EUA (Ohio)

  • Região Leste dos EUA (N. da Virgínia)

  • Região Oeste dos EUA (Oregon)

  • Região Oeste dos EUA (Norte da Califórnia).

  • Região África (Cidade do Cabo)

  • Região Ásia-Pacífico (Hong Kong)

  • Região Ásia-Pacífico (Mumbai)

  • Região Ásia-Pacífico (Osaka)

  • Região Ásia-Pacífico (Seul)

  • Região Ásia-Pacífico (Singapura)

  • Região Ásia-Pacífico (Sydney)

  • Região Ásia-Pacífico (Tóquio)

  • Região do Canadá (Central)

  • Região Europa (Frankfurt)

  • Região Europa (Irlanda)

  • Região Europa (Londres)

  • Região Europa (Paris)

  • Região Europa (Estocolmo)

  • Região Europa (Milão)

  • Região Oriente Médio (Bahrein)

  • Região América do Sul (São Paulo)

  • Região Ásia-Pacífico (Jacarta)

  • Região Ásia-Pacífico (Osaka)

  • Região da China (Pequim)

  • Região da China (Ningxia)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

nota

AWS Backup para VMware não está disponível nas regiões da China (região da China (Pequim) e região da China (Ningxia)) ou na região Ásia-Pacífico (Jacarta).