使 AWS Backup 用介面 VPC 端點存取 ()AWS PrivateLink - AWS Backup
Amazon VPC 端點的考量事項建立 AWS Backup VPC 端點使用 VPC 端點建立 VPC 端點政策可用性 AWS Backup 目前支援下列 AWS 區域中的 VPC 端點:

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使 AWS Backup 用介面 VPC 端點存取 ()AWS PrivateLink

您可以在虛擬私有雲 (VPC) 和 AWS Backup 建立介面 VPC 端點之間建立私有連線。介面端點採用這項技術 AWS PrivateLink,可讓您在不使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下存取 AWS Backup API。VPC 中的執行個體不需要公有 IP 位址即可與 AWS Backup API 端點通訊。您的執行個體也不需要公有 IP 位址即可使用任何可用的 AWS Backup API 和 Backup 閘道 API 作業。

如需詳細資訊,請參AWS PrivateLink 指南 AWS PrivateLink中的 AWS 服務 透過存取

Amazon VPC 端點的考量事項

所有與管理資源相關的 AWS Backup 操作都可以從 VPC 使用 AWS PrivateLink。

Backup 端點支援 VPC 端點政策。根據預設,允許透過端點對 Backup 操作進行完整存取。或者,您可以將安全群組與端點網路介面相關聯,以控制 AWS Backup 透過介面端點傳送到的流量。

建立 AWS Backup VPC 端點

您可以建立 VPC 端點以 AWS Backup 使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI)。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

建立 VPC 端點以 AWS Backup 使用服務名稱com.amazonaws.region.backup

在中國 (北京) 區域和中國 (寧夏) 區域,服務名稱應為 cn.com.amazonaws.region.backup

對於 Backup 閘道端點,請使用 com.amazonaws.region.backup-gateway

為 Backup 閘道建立 VPC 端點時,必須在安全群組中允許下列 TCP 連接埠:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

通訊協定 連線埠 Direction 來源 目的地 用量

TCP

443 (HTTPS)

傳出

Backup Gateway

AWS

用於從 Backup 閘道到 AWS 服務端點的通訊

使用 VPC 端點

backup.us-east-1.amazonaws.com如,如果您為端點啟用私 AWS Backup 有 DNS,則可以使用 VPC 端點的 AWS 區域預設 DNS 名稱向 VPC 端點發出 API 要求。

但是,對於中國(北京)區域和中國(寧夏)區域 AWS 區域,應分別使用backup.cn-north-1.amazonaws.com.cnbackup.cn-northwest-1.amazonaws.com.cn向 VPC 端點提出 API 請求。

建立 VPC 端點政策

您可以將端點政策連接至控制 Amazon Backup API 存取權限的 VPC 端點。此政策指定:

  • 可執行動作的委託人。

  • 可執行的動作。

  • 可供執行動作的資源。

重要

將非預設政策套用至的介面 VPC 端點時 AWS Backup,某些失敗的 API 請求 (例如那些失敗的 API 請求) 可能不會記錄到 AWS CloudTrail 或 Amazon。RequestLimitExceeded CloudWatch

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取

範例:用於動作的 VPC 端點原則 AWS Backup

以下是的端點策略範例 AWS Backup。連接到端點時,此策略會針對所有資源的所有原則授予所列 AWS Backup 動作的存取權。

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

範例:拒絕所有來自指定 AWS 帳戶之存取的 VPC 端點政策

下列 VPC 端點策略拒絕 AWS 帳戶123456789012所有使用端點存取資源的帳戶。此政策允許來自其他帳戶的所有動作。

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

如需有關可用 API 回應的詳細資訊,請參閱 API 指南

可用性 AWS Backup 目前支援下列 AWS 區域中的 VPC 端點:

  • 美國東部 (俄亥俄) 區域

  • 美國東部 (維吉尼亞北部) 區域

  • 美國西部 (奧勒岡) 區域

  • 美國西部 (加利佛尼亞北部) 區域

  • 非洲 (開普敦) 區域

  • 亞太區域 (香港) 區域

  • 亞太 (孟買) 區域

  • 亞太 (大阪) 區域

  • 亞太 (首爾) 區域

  • 亞太區域 (新加坡) 區域

  • 亞太 (雪梨) 區域

  • 亞太 (東京) 區域

  • 加拿大 (中部) 區域

  • 歐洲 (法蘭克福) 區域

  • 歐洲 (愛爾蘭) 區域

  • 歐洲 (倫敦) 區域

  • 歐洲 (巴黎) 區域

  • 歐洲 (斯德哥爾摩) 區域

  • Europe (Milan) Region

  • Middle East (Bahrain) Region

  • 南美洲 (聖保羅) 區域

  • 亞太區域 (雅加達)

  • 亞太 (大阪) 區域

  • 中國 (北京) 區域

  • 中國 (寧夏) 區域

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

注意

AWS Backup VMware 不適用於中國區域 (中國 (北京) 區域和中國 (寧夏) 區域) 或亞太區域 (雅加達) 區域。