Amazon Backup 使用接口VPC端点进行访问 (Amazon PrivateLink) - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Backup 使用接口VPC端点进行访问 (Amazon PrivateLink)

您可以在虚拟私有云 (VPC) 和 Amazon Backup 通过创建接口VPC终端节点来建立私有连接。接口端点由Amazon PrivateLink一种技术提供支持,该技术使您 Amazon Backup API无需使用互联网网关、NAT设备、VPN连接或 Amazon Direct Connect 连接即可访问。您的中的实例VPC不需要公有 IP 地址即可与 Amazon Backup API终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用 Amazon Backup API和 Backup 网关API操作。

有关更多信息,请参阅Amazon PrivateLink 指南 Amazon PrivateLink中的Amazon Web Services 服务 通过访问

Amazon VPC 终端节点的注意事项

与管理您的资源相关的所有 Amazon Backup 操作均可通过您VPC使用 Amazon PrivateLink。

VPCBackup 端点支持端点策略。默认情况下,允许通过端点对 Backup 操作进行完全访问。或者,您可以将安全组与端点网络接口关联,以控制通过接口端点流向 Amazon Backup 的流量。

创建 Amazon Backup VPC终端节点

您可以创建用于 Amazon Backup 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 的VPC终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

创建 Amazon Backup 使用服务名称的VPC终端节点com.amazonaws.region.backup

在中国(北京)区域和中国(宁夏)区域,服务名称应为 cn.com.amazonaws.region.backup

对于 Backup Gateway 端点,请使用 com.amazonaws.region.backup-gateway

为备份 Gateway 创建终端节点时,必须允许安全组中使用以下VPC端TCP口:

  • TCP443

  • TCP1026

  • TCP1027

  • TCP1028

  • TCP1031

  • TCP2222

协议 端口 方向 来源 目标位置 使用量

TCP

443 () HTTPS

出站

Backup Gateway

Amazon

用于从 Backup Gateway 到 Amazon 服务端点的通信

使用VPC终端节点

例如,如果您DNS为终端节点启用私 Amazon Backup 有功能,则可以使用该VPC终端节点的默认DNS名称向 Amazon 该终端节点API发出请求backup.us-east-1.amazonaws.com

但是,对于中国(北京)区域和中国(宁夏)区域 Amazon Web Services 区域,应分别使用backup.cn-north-1.amazonaws.com.cnbackup.cn-northwest-1.amazonaws.com.cn向VPC终端节点API发出请求。

创建VPC终端节点策略

您可以将终端节点策略附加到控制对 Amazon Backup 的访问权限的VPC终端节点API。该策略指定:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

重要

将非默认策略应用于的接口VPC终端节点时 Amazon Backup,某些失败的API请求(例如失败的请求)可能不会记录到RequestLimitExceeded Amazon CloudTrail 或 Amazon CloudWatch。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限

示例: Amazon Backup 操作的VPC端点策略

以下是的终端节点策略示例 Amazon Backup。当连接到终端节点时,此策略授予对所有资源上所有原则列出的 Amazon Backup 操作的访问权限。

{ "Statement":[ { "Action":"backup:*", "Effect":"Allow", "Principal":"*", "Resource":"*" } ] }

示例:拒绝来自指定 Amazon 账户的所有访问的VPC终端节点策略

以下VPC端点策略拒绝 Amazon 账户使用该终端节点访问123456789012所有资源。此策略允许来自其他账户的所有操作。

{ "Id":"Policy1645236617225", "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1645236612384", "Action":"backup:*", "Effect":"Deny", "Resource":"*", "Principal":{ "AWS":[ "123456789012" ] } } ] }

有关可用API响应的更多信息,请参阅API指南

可用性 Amazon Backup 目前支持以下 Amazon 区域的VPC终端节点:

  • 美国东部(俄亥俄州)区域

  • 美国东部(弗吉尼亚州北部)区域

  • 美国西部(俄勒冈州)区域

  • 美国西部(北加利福尼亚)区域

  • 非洲(开普敦)区域

  • 亚太地区(香港)区域

  • 亚太地区(孟买)区域

  • 亚太地区(大阪)区域

  • 亚太地区(首尔)区域

  • 亚太地区(新加坡)区域

  • 亚太地区(悉尼)区域

  • Asia Pacific(Tokyo)Region

  • 加拿大(中部)区域

  • 欧洲地区(法兰克福)区域

  • 欧洲地区(爱尔兰)区域

  • 欧洲地区(伦敦)区域

  • 欧洲(巴黎)区域

  • 欧洲地区(斯德哥尔摩)区域

  • 欧洲地区(米兰)

  • 中东(巴林)区域

  • 南美洲(圣保罗)区域

  • 亚太地区(雅加达)区域

  • 亚太地区(大阪)区域

  • 中国(北京)区域

  • 中国(宁夏)区域

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)

注意

Amazon Backup f VMware or 不适用于中国区域(中国(北京)区域和中国(宁夏)区域)或亚太地区(雅加达)区域。