Akses AWS Backup menggunakan VPC endpoint antarmuka ()AWS PrivateLink - AWS Backup
Pertimbangan untuk titik akhir Amazon VPCMembuat titik AWS Backup VPC akhirMenggunakan titik VPC akhirMembuat kebijakan VPC endpointKetersediaan AWS Backup saat ini mendukung VPC titik akhir di AWS Wilayah berikut:

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses AWS Backup menggunakan VPC endpoint antarmuka ()AWS PrivateLink

Anda dapat membuat koneksi pribadi antara virtual private cloud (VPC) dan AWS Backup dengan membuat VPC titik akhir antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses AWS Backup API tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Instans di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan titik AWS Backup API akhir. Instans Anda juga tidak memerlukan alamat IP publik untuk menggunakan salah satu API operasi gateway yang tersedia AWS Backup API dan Backup.

Untuk informasi selengkapnya, lihat Akses Layanan AWS melalui AWS PrivateLink di AWS PrivateLink Panduan.

Pertimbangan untuk titik akhir Amazon VPC

Semua AWS Backup operasi yang relevan untuk mengelola sumber daya Anda tersedia dari VPC penggunaan Anda AWS PrivateLink.

VPCKebijakan endpoint didukung untuk titik akhir Backup. Secara default, akses penuh ke operasi Backup diizinkan melalui titik akhir. Atau, Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas AWS Backup melalui titik akhir antarmuka.

Membuat titik AWS Backup VPC akhir

Anda dapat membuat VPC titik akhir untuk AWS Backup menggunakan VPC konsol Amazon atau AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di AWS PrivateLink Panduan.

Buat VPC titik akhir untuk AWS Backup menggunakan nama com.amazonaws.region.backup layanan.

Di Wilayah China (Beijing) dan Wilayah China (Ningxia), nama layanannya haruscn.com.amazonaws.region.backup.

Untuk titik akhir gateway Backup, gunakancom.amazonaws.region.backup-gateway.

TCPPort berikut harus diizinkan dalam grup keamanan saat membuat VPC titik akhir untuk Gateway cadangan:

  • TCP443

  • TCP1026

  • TCP1027

  • TCP1028

  • TCP1031

  • TCP2222

Protokol Port Arahan Sumber Tujuan Penggunaan

TCP

443 () HTTPS

Ke luar

Gerbang Cadangan

AWS

Untuk komunikasi dari Backup Gateway ke titik akhir AWS layanan

Menggunakan titik VPC akhir

Jika Anda mengaktifkan privat DNS untuk titik akhir, Anda dapat membuat API permintaan AWS Backup dengan VPC titik akhir menggunakan DNS nama defaultnya untuk AWS Wilayah, misalnya. backup.us-east-1.amazonaws.com

Namun, untuk Wilayah China (Beijing) dan Wilayah China (Ningxia) Wilayah AWS, API permintaan harus dibuat dengan VPC titik akhir menggunakan backup---cn-north-1.amazonaws.com.rproxy.goskope.com.cn danbackup---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn, masing-masing.

Membuat kebijakan VPC endpoint

Anda dapat melampirkan kebijakan endpoint ke VPC endpoint yang mengontrol akses ke Amazon Backup. API Kebijakan menentukan:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

penting

Ketika kebijakan non-default diterapkan ke VPC titik akhir antarmuka untuk AWS Backup, API permintaan gagal tertentu, seperti yang gagalRequestLimitExceeded, mungkin tidak dicatat atau AWS CloudTrail Amazon. CloudWatch

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Contoh: kebijakan VPC endpoint untuk tindakan AWS Backup

Berikut ini adalah contoh kebijakan endpoint untuk AWS Backup. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke AWS Backup tindakan yang tercantum untuk semua prinsip pada semua sumber daya.

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

Contoh: kebijakan VPC endpoint yang menolak semua akses dari akun tertentu AWS

Kebijakan VPC endpoint berikut menolak 123456789012 semua akses AWS akun ke sumber daya menggunakan endpoint. Kebijakan ini mengizinkan semua tindakan dari akun lainnya.

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

Untuk informasi selengkapnya tentang API tanggapan yang tersedia, lihat APIPanduan.

Ketersediaan AWS Backup saat ini mendukung VPC titik akhir di AWS Wilayah berikut:

  • Wilayah AS Timur (Ohio)

  • Wilayah AS Timur (Virginia Utara)

  • Wilayah AS Barat (Oregon)

  • Wilayah AS Barat (California Utara)

  • Wilayah Afrika (Cape Town)

  • Wilayah Asia Pacific (Hong Kong)

  • Wilayah Asia Pasifik (Mumbai)

  • Wilayah Asia Pasifik (Osaka)

  • Wilayah Asia Pacific (Seoul)

  • Wilayah Asia Pasifik (Singapura)

  • Wilayah Asia Pasifik (Sydney)

  • Wilayah Asia Pasifik (Tokyo)

  • Wilayah Kanada (Pusat)

  • Wilayah Eropa (Frankfurt)

  • Wilayah Eropa (Irlandia)

  • Wilayah Eropa (London)

  • Wilayah Eropa (Paris)

  • Wilayah Eropa (Stockholm)

  • Wilayah Eropa (Milan)

  • Wilayah Middle East (Bahrain)

  • Wilayah Amerika Selatan (Sao Paulo)

  • Wilayah Asia Pasifik (Jakarta)

  • Wilayah Asia Pasifik (Osaka)

  • Wilayah Tiongkok (Beijing)

  • Wilayah China (Ningxia)

  • AWS GovCloud (AS-Timur)

  • AWS GovCloud (AS-Barat)

catatan

AWS Backup for tidak VMware tersedia di Wilayah China (China (Beijing) Region dan China (Ningxia) Region) atau Asia Pacific (Jakarta) Region.