Acceso a AWS Backup mediante un punto de conexión de VPC de tipo interfaz (AWS PrivateLink). - AWS Backup
Consideraciones sobre los puntos de conexión de Amazon VPCCreación de un punto de conexión de VPC de AWS BackupUsar un punto de conexión de VPCCreación de una política de punto de conexión de VPCDisponibilidad: AWS Backup actualmente admite puntos de conexión de VPC en las siguientes regiones de AWS:

Acceso a AWS Backup mediante un punto de conexión de VPC de tipo interfaz (AWS PrivateLink).

Puede establecer una conexión privada entre su nube privada virtual (VPC) y AWS Backup creando un punto de conexión de VPC de tipo interfaz. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink que le permite acceder a la API de AWS Backup sin utilizar ninguna puerta de enlace de Internet, ningún dispositivo NAT, ninguna conexión de VPN ni ninguna conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con los puntos de conexión de la API de AWS Backup. Las instancias tampoco necesitan direcciones IP públicas para utilizar ninguna de las operaciones de la API de AWS Backup y las operaciones de la API de Backup Gateway disponibles.

Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.

Consideraciones sobre los puntos de conexión de Amazon VPC

Todas las operaciones de AWS Backup relevantes para la administración de recursos están disponibles desde la VPC mediante el uso de AWS PrivateLink.

Las políticas de los puntos de conexión de VPC son compatibles con los puntos de conexión de Backup. De forma predeterminada, se permite el acceso completo a las operaciones de Backup a través del punto de conexión. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red del punto de conexión para controlar el tráfico a AWS Backup a través del punto de conexión de interfaz.

Creación de un punto de conexión de VPC de AWS Backup

Puede crear un punto de conexión de VPC para AWS Backup mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink.

Cree un punto de conexión de VPC para AWS Backup usando el nombre del servicio com.amazonaws.region.backup.

En la región de China (Pekín) y la región de China (Ningxia), el nombre del servicio debe ser cn.com.amazonaws.region.backup.

Para los puntos de conexión de la puerta de enlace de copia de seguridad, utilice com.amazonaws.region.backup-gateway.

Los siguientes puertos TCP deben estar permitidos en el grupo de seguridad al crear un punto de conexión de VPC para la puerta de enlace de copia de seguridad:

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Protocolo Puerto Dirección Origen Destino Uso

TCP

443 (HTTPS)

Salida

Puerta de enlace de copia de seguridad

AWS

Para comunicarse desde Backup Gateway al punto de conexión de servicio de AWS

Usar un punto de conexión de VPC

Si habilita un DNS privado para el punto de conexión, podrá realizar solicitudes de API a AWS con el punto de conexión de VPC mediante el uso del nombre de DNS predeterminado de la región de AWS Backup, por ejemplo backup.us-east-1.amazonaws.com.

Sin embargo, en las regiones de China (Pekín) y China (Ningxia) de Regiones de AWS, debe realizar las solicitudes de la API con el punto de conexión de VPC mediante backup---cn-north-1.amazonaws.com.rproxy.goskope.com.cn y backup---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, respectivamente.

Creación de una política de punto de conexión de VPC

Puede asociar una política de punto de conexión al punto de conexión de VPC que controla el acceso a la API de Amazon Backup. La política especifica:

  • La entidad de seguridad que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

importante

Cuando se aplica una política no predeterminada a un punto de conexión de VPC para AWS Backup, es posible que algunas solicitudes de API que resultan en un error, como las que resultan error por RequestLimitExceeded, no estén registradas en AWS CloudTrail ni Amazon CloudWatch.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink.

Ejemplo: Política de punto de conexión de VPC para acciones de AWS Backup

A continuación, se muestra un ejemplo de una política de puntos de conexión de AWS Backup. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de AWS Backup mostradas para todas las entidades principales en todos los recursos.

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

Ejemplo: Política de punto de conexión de VPC que deniega todo el acceso desde una cuenta de AWS especificada

La siguiente política de punto de conexión de VPC deniega a la cuenta de AWS 123456789012 todo el acceso a los recursos mediante el punto de conexión. La política permite todas las acciones de otras cuentas.

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

Para obtener más información sobre las respuestas de API disponibles, consulte la Guía de API.

Disponibilidad: AWS Backup actualmente admite puntos de conexión de VPC en las siguientes regiones de AWS:

  • Región del Este de EE. UU. (Ohio)

  • Región del Este de EE. UU (Norte de Virginia)

  • Región del Oeste de EE. UU (Oregón)

  • Región Oeste de EE. UU. (Norte de California)

  • Región África (Ciudad del Cabo)

  • Región de Asia-Pacífico (Hong Kong)

  • Región de Asia-Pacífico (Bombay)

  • Región Asia-Pacífico (Osaka)

  • Región de Asia-Pacífico (Seúl)

  • Región de Asia-Pacífico (Singapur)

  • Región de Asia-Pacífico (Sídney)

  • Asia Pacífico (Tokio)

  • Región de Canadá (centro)

  • Región de Europa (Fráncfort)

  • Región de Europa (Irlanda)

  • Región de Europa (Londres)

  • Región de Europa (París)

  • Región Europa (Estocolmo)

  • Región Europa (Milán)

  • Región Medio Oriente (Baréin)

  • Región América del Sur (São Paulo)

  • Región Asia-Pacífico (Yakarta)

  • Región Asia-Pacífico (Osaka)

  • Región China (Pekín)

  • Región China (Ningxia)

  • AWS GovCloud (Este de EE. UU.)

  • AWS GovCloud (Oeste de EE. UU.)

nota

AWS Backup para VMware no está disponible en las regiones de China (región de China [Pekín] y región de China [Ningxia]) ni en la región de Asia Pacífico (Yakarta).