Amazon PrivateLink - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon PrivateLink

Amazon PrivateLink 使您可以通过创建接口 VPC 端点在虚拟私有云 (VPC) 与 Amazon Backup 端点之间建立专用连接。接口端点由 Amazon PrivateLink 提供支持,您可以使用该技术,通过限制您的 VPC 和 Amazon Backup 之间的所有网络流量到达 Amazon 网络来秘密访问 Amazon Backup API。

Amazon PrivateLink 使您可以私下访问 Amazon Backup 操作,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可与 Amazon Backup API 端点通信。您的实例也不需要公有 IP 地址即可使用任何可用的 Amazon Backup API 和 Backup Gateway API 操作。您的 VPC 和 Amazon Backup 之间的流量不会脱离 Amazon 网络。

有关 VPC 端点的更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (Amazon PrivateLink)

Amazon VPC 端点注意事项

请务必先查看《Amazon VPC 用户指南》中的接口端点属性和限制,然后再为 Amazon Backup 端点设置接口 VPC 端点。

可以从 VPC 使用 Amazon PrivateLink 获取所有与管理 Amazon Backup 资源相关的 Amazon Backup 操作。

Backup 端点支持 VPC 端点策略。默认情况下,允许通过端点对 Backup 操作进行完全访问。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

创建 Amazon Backup VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Backup 创建 VPC 端点。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口端点

使用服务名称 com.amazonaws.region.backup 为 Amazon Backup 创建 VPC 端点。

在中国(北京)区域和中国(宁夏)区域,服务名称应为 cn.com.amazonaws.region.backup

对于 Backup Gateway 端点,请使用 com.amazonaws.region.backup-gateway

为 Backup Gateway 创建 VPC 端点时,必须允许在安全组中使用以下 TCP 端口:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

协议 端口 方向 来源 目标位置 使用量

TCP

443(HTTPS)

出站

Backup Gateway

Amazon

适用于从 Backup Gateway 到 Amazon 服务端点的通信。

使用 VPC 端点

如果您为端点启用私有 DNS,则可以将其默认 DNS 名称用于 Amazon 区域(例如 backup.us-east-1.amazonaws.com),从而通过 VPC 端点向 Amazon Backup 发出 API 请求。

但对于中国(北京)区域和中国(宁夏)区域 Amazon Web Services 区域,应通过 VPC 端点分别使用 backup.cn-north-1.amazonaws.com.cnbackup.cn-northwest-1.amazonaws.com.cn 发出 API 请求。

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

创建 VPC 端点策略

您可以为 VPC 端点附加端点策略,以控制对 Amazon Backup API 的访问。该策略指定:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

将非默认策略应用于的接口 VPC 终端节点时Amazon Backup,某些失败的 API 请求(例如失败的请求)可能不会记录到Amazon CloudTrail或 Amazon CloudWatch。RequestLimitExceeded

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

示例:Amazon Backup 操作的 VPC 端点策略

下面是用于 Amazon Backup 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Amazon Backup 操作的访问权限。

{ "Statement":[ { "Action":"backup:*", "Effect":"Allow", "Principal":"*", "Resource":"*" } ] }

示例:拒绝来自指定 Amazon 账户的所有访问的 VPC 端点策略

以下 VPC 端点策略会拒绝 Amazon 账户 123456789012 所有使用端点访问资源的权限。此策略允许来自其他账户的所有操作。

{ "Id":"Policy1645236617225", "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1645236612384", "Action":"backup:*", "Effect":"Deny", "Resource":"*", "Principal":{ "AWS":[ "123456789012" ] } } ] }

有关可用 API 响应的更多详细信息,请参阅 API 指南

Amazon Backup 当前在以下 Amazon 区域中支持 VPC 端点:

  • 美国东部(俄亥俄州)区域

  • 美国东部(弗吉尼亚州北部)区域

  • 美国西部(俄勒冈州)区域

  • 美国西部(北加利福尼亚)区域

  • 非洲(开普敦)区域

  • 亚太地区(香港)区域

  • 亚太地区(孟买)区域

  • 亚太地区(大阪)区域

  • 亚太地区(首尔)区域

  • Asia Pacific(Singapore)Region

  • 亚太地区(悉尼)区域

  • Asia Pacific(Tokyo)Region

  • 加拿大(中部)区域

  • 欧洲地区(法兰克福)区域

  • 欧洲地区(爱尔兰)区域

  • 欧洲地区(伦敦)区域

  • 欧洲(巴黎)区域

  • 欧洲地区(斯德哥尔摩)区域

  • 欧洲地区(米兰)

  • 中东(巴林)区域

  • 南美洲(圣保罗)区域

  • 亚太地区(雅加达)区域

  • 亚太地区(大阪)区域

  • 中国(北京)区域

  • 中国(宁夏)区域

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

注意

Amazon Backup for VMware 不适用于中国区域(中国(北京)区域和中国(宁夏)区域)或亚太地区(雅加达)区域。