Amazon Backup 网络 - Amazon Backup
了解如何查看、监控和管理 SageMaker 端点。Amazon PrivateLink
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Backup 网络

Amazon Backup 端点

Amazon Backup 提供公有端点和私有端点,可满足您的连接需求。对于这些端点,Amazon Backup 针对支持 IPv6 的资源类型同时支持互联网协议版本 4(IPv4)和版本 6(IPv6)。

较新的公有端点 backup.[Region].api.aws 具有双堆栈功能,可解析 IPv4 端点和/或 IPv6 端点。当您向双堆栈 Amazon Backup API 端点发出请求时,该端点会解析到由网络和客户端使用的协议配置确定的地址。

较旧的端点 backup.[Region].amazonaws.com 可用于仅引用 IPv4 的调用。

您可以在《Amazon Web Services 一般参考》中查看 Amazon Backup 的公有服务端点。您可以在通过 VPC 的 Amazon Backup 中查看设置私有端点的步骤。

您可通过创建 VPC 接口端点在虚拟私有云 (VPC) 和 Amazon Backup 之间创建私有连接。接口端点由 Amazon PrivateLink 提供支持,您可以使用该技术在没有互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接的情况下访问 Amazon Backup API。VPC 中的实例不需要公有 IP 地址便可与 Amazon Backup API 端点进行通信。您的实例也不需要公有 IP 地址即可使用任何可用的 Amazon Backup API 和 Backup Gateway API 操作。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink 访问 Amazon 服务

Amazon VPC 端点注意事项

可以从使用 Amazon PrivateLink 的 VPC 中获取与资源管理相关的所有 Amazon Backup 操作。

Backup 端点支持 VPC 端点策略。默认情况下,允许通过端点对 Backup 操作进行完全访问。或者,您可以将安全组与端点网络接口关联,以控制通过接口端点流向 Amazon Backup 的流量。

在创建端点时,您可以选择 IPv4、IPv6 或双堆栈。您将收到相同的 DNS 名称(如果您选择双堆栈,则名称将同时包含 IPv4 和 IPv6 地址)。

适用于 SAP HANA 的 Amazon Backup 不支持 Amazon PrivateLink。SAP HANA 备份由 Amazon Backint 代理 启用,后者不支持 VPC 端点;它会将备份数据发送到 Amazon Backup 的存储端点。

创建 Amazon Backup VPC 终端节点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Backup 创建 VPC 端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

PrivateLink 端点使用与 IPv4 相同的名称结构,但每个端点都可以配置为 IPv4、IPv6 或双堆栈。

使用服务名称 com.amazonaws.region.backup 为 Amazon Backup 创建 VPC 端点。

在中国(北京)区域和中国(宁夏)区域,服务名称应为 cn.com.amazonaws.region.backup

对于 Backup Gateway 端点,请使用 com.amazonaws.region.backup-gateway

为 Backup Gateway 创建 VPC 端点时,必须允许在安全组中使用以下 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

协议 端口 方向 来源 目标 使用量

TCP

443(HTTPS)

出站

Backup Gateway

Amazon

适用于从 Backup Gateway 到 Amazon 服务端点的通信。

使用 VPC 端点

如果您为端点启用私有 DNS,则可以将其默认 DNS 名称用于 Amazon 区域(例如 backup.us-east-1.api.aws),从而通过 VPC 端点向 Amazon Backup 发出 API 请求。

但对于中国(北京)区域和中国(宁夏)区域 Amazon Web Services 区域,应通过 VPC 端点分别使用 backup.cn-north-1.amazonaws.com.cnbackup.cn-northwest-1.amazonaws.com.cn 发出 API 请求。

创建 VPC 端点策略

您可以为 VPC 端点附加端点策略,以控制对 Amazon Backup API 的访问。该策略指定:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

在为 Amazon Backup 将非默认策略应用于接口 VPC 端点时,某些失败的 API 请求(例如因 RequestLimitExceeded 失败的请求)可能不会记录到 Amazon CloudTrail 或 Amazon CloudWatch 中。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例:Amazon Backup 操作的 VPC 端点策略

下面是用于 Amazon Backup 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Amazon Backup 操作的访问权限。

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

示例:拒绝来自指定 Amazon 账户的所有访问的 VPC 端点策略

以下 VPC 端点策略会拒绝 Amazon 账户 123456789012 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。

JSON
{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

有关可用 API 响应的更多信息,请参阅《API 指南》。