AWS PrivateLink - AWS Backup
Amazon VPC 端点注意事项创建AWS Backup VPC 终端节点使用 VPC 终端节点 创建 VPC 端点策略可用性AWS Backup当前在以下AWS区域中支持 VPC 终端节点:

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS PrivateLink

AWS PrivateLink允许您通过创建接口 VPC 终端节点来在 Virtual Private Cloud (“VPC”) 与AWS Backup终端节点之间建立私有连接。接口终端节点由 AWS PrivateLink 提供支持,您可以使用该技术,通过限制您的 VPC 和 AWS Backup 之间的所有网络流量到达 Amazon 网络来秘密访问 AWS Backup API。

AWS PrivateLink使您可以私下访问AWS Backup操作,而无需互联网网关、NAT 设备、VPN 连接或AWS Direct Connect连接。VPC 中的实例不需要公有 IP 地址即可与AWS Backup API 终端节点进行通信,也不需要公有 IP 地址即可使用任何可用的AWS Backup API 和Backup 网关 API 操作。您的 VPC 和 AWS Backup 之间的流量不会脱离 Amazon 网络。

有关 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)

Amazon VPC 端点注意事项

在为AWS Backup终端节点设置接口 VPC 终端节点之前,请查看 Amazon VPC 用户指南中的接口终端节点属性和限制

可以从使用的 VPC 中获取所有与管理 Amazon Backup资源相关的AWS Backup操作AWS PrivateLink。

Backup 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对Backup 操作进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问

创建AWS Backup VPC 终端节点

您可以创建 VPC 终端节点以AWS Backup使用 Amazon VPC 控制台或AWS Command Line Interface(AWSCLI)。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点

使用服务名称 com.amazonaws.region.backup 为 AWS Backup 创建 VPC 终端节点。

在中国(北京)区域和中国(宁夏)区域中,服务名称应为cn.com.amazonaws.region.backup

对于Backup 网关终端节点,请使用com.amazonaws.region.backup-gateway

使用 VPC 终端节点

如果您为终端节点启用私有 DNS,则可以将其默认 DNS 名称用于AWS区域(例如),从而AWS Backup通过 VPC 终端节点向发出 API 请求backup.us-east-1.amazonaws.com

但是,对于中国(北京)区域和中国(宁夏)区域AWS 区域,API 请求应分别使用backup.cn-north-1.amazonaws.com.cnbackup.cn-northwest-1.amazonaws.com.cn发出 API 请求。

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

创建 VPC 端点策略

您可以为 VPC 终端节点附加控制对 Amazon Backup lt API 的访问的权限。该策略指定:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

当将非默认策略应用于的接口 VPC 终端节点时AWS Backup,某些失败的 API 请求(例如中RequestLimitExceeded失败的请求)可能不会记录到AWS CloudTrail或 Amazon CloudWatch。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问

示例:AWS Backup操作的 VPC 终端节点策略

下面是用于 AWS Backup 的终端节点策略示例。当附加到终端节点时,此策略会向所有资源授予对列出的针对所有资源的所有AWS Backup操作的访问权限。

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

示例:拒绝来自指定AWS账户的所有访问的 VPC 终端节点策略

以下 VPC 终端节点策略会拒绝 AWS 账户 123456789012 所有使用终端节点访问资源的权限。此策略允许来自其他账户的所有操作。

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

有关可用 API 响应的更多详细信息,请参阅 API 指南

可用性AWS Backup当前在以下AWS区域中支持 VPC 终端节点:

  • 美国东部(俄亥俄州)区域

  • 美国东部(弗吉尼亚州北部)区域

  • 美国西部(俄勒冈州)区域

  • 美国西部(加利福尼亚北部)区域

  • 非洲(开普敦)区域

  • 亚太地区(香港)区域

  • 亚太地区(孟买)区域

  • 亚太地区(大阪)区域

  • 亚太地区(首尔)区域

  • Asia Pacific (Singapore) Region

  • 亚太地区(悉尼)区域

  • 亚太地区(东京)区域

  • 加拿大(中部)区域

  • 欧洲地区(法兰克福)区域

  • Europe (Ireland) Region

  • 欧洲地区(伦敦)区域

  • 欧洲(巴黎)区域

  • 欧洲地区(斯德哥尔摩)区域

  • 欧洲地区(米兰)区域

  • 中东(巴林)区域

  • 南美洲(圣保罗)区域

  • 亚太地区(雅加达)区域

  • 亚太地区(大阪)区域

  • 中国(北京)区域

  • 中国(宁夏)区域

  • AWS GovCloud (美国东部)

  • AWS GovCloud (美国西部)

注意

AWS Backupfor VMware 在中国区域(中国(北京)区域或亚太(雅加达)区域不可用。