Amazon VPC エンドポイントに関する考慮事項 AWS Backup VPC エンドポイントの作成 VPC エンドポイントの使用 VPCエンドポイントポリシーの作成現在、アベイラビリティ AWS Backup は、次の AWS リージョンで VPC エンドポイントをサポートしています。

インターフェイス VPC エンドポイント (AWS PrivateLink) を使用した AWS Backup へのアクセス

インターフェイス VPC エンドポイントを作成することで、仮想プライベートクラウド(VPC) と AWS BackupAPIの間にプライベート接続を確立できます。インターフェイスエンドポイントでは、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも使用せずに AWS Backup API にアクセスできるテクノロジーである AWS PrivateLink を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても AWS Backup API エンドポイントと通信できます。また、利用可能な AWS Backup API および Backup ゲートウェイ API オペレーションの使用にも、インスタンスにパブリック IP アドレスは必要ありません。

詳細については、『AWS PrivateLink ガイド』の「AWS のサービスでアクセスする」を参照してください。

Amazon VPC エンドポイントに関する考慮事項

リソースの管理に関連するすべての AWS Backup オペレーションは、AWS PrivateLink を使用して VPC から利用できます。

VPC エンドポイントポリシーは、バックアップエンドポイントでサポートされます。デフォルトでは、エンドポイント経由でバックアップオペレーションへのフルアクセスが許可されます。または、セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイント経由での AWS Backup へのトラフィックを制御することもできます。

AWS Backup VPC エンドポイントの作成

AWS Backup 用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

サービス名 com.amazonaws.region.backup を使用して、AWS Backup の VPC エンドポイントを作成します。

中国 (北京) リージョンョンおよび中国 (寧夏) リージョンでは、サービス名は cn.com.amazonaws.region.backup でなければなりません。

バックアップゲートウェイエンドポイントの場合は、com.amazonaws.region.backup-gateway を使用してください。

バックアップゲートウェイ用の VPC エンドポイントを作成する場合、セキュリティグループで次の TCP ポートを許可する必要があります。

TCP 443
TCP 1026
TCP 1027
TCP 1028
TCP 1031
TCP 2222

[プロトコル]	ポート	[Direction] (方向)	ソース	デスティネーション	使用方法
TCP	443 (HTTPS)	アウトバウンド	Backup ゲートウェイ	AWS	Backup ゲートウェイから AWS サービスエンドポイントへの通信用。

VPC エンドポイントの使用

エンドポイントでプライベート DNS を有効にすると、AWS リージョンのデフォルト DNS 名 (backup.us-east-1.amazonaws.com など) を使用して、VPC エンドポイントで AWS Backup に API リクエストを行うことができます。

ただし、中国 (北京) リージョンおよび中国 (寧夏) リージョンの AWS リージョンの場合、それぞれ backup---cn-north-1.amazonaws.com.rproxy.goskope.com.cn および backup---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn を使用して VPC エンドポイントで API リクエストを行う必要があります。

VPCエンドポイントポリシーの作成

VPC エンドポイントに Amazon バックアップ API へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは以下の内容を指定します。

アクションを実行できるプリンシパル。
実行可能なアクション。
このアクションを実行できるリソース。

重要

デフォルト以外のポリシーが AWS Backup のインターフェイス VPC エンドポイントに適用されると、RequestLimitExceeded からの失敗したリクエストなど、特定の失敗した API リクエストが AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。

詳細については、AWS PrivateLink ガイドのControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: AWS Backup アクション用の VPC エンドポイントポリシー

以下は、AWS Backup 用のエンドポイントポリシーの例です。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべての原則に、リストされている AWS Backup アクションへのアクセス許可を付与します。


{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

例: 指定した AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

以下の VPC エンドポイントポリシーは、AWS アカウント 123456789012 からリソースへのエンドポイントを使用したすべてのアクセスを拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。


{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

利用可能な API レスポンスの詳細については、「API ガイド」を参照してください。

現在、アベイラビリティ AWS Backup は、次の AWS リージョンで VPC エンドポイントをサポートしています。

米国東部 (オハイオ) リージョン
米国東部(バージニア州北部) リージョン
米国西部 (オレゴン) リージョン
US West (N. California) リージョン
アフリカ（ケープタウン）リージョン
アジアパシフィック (香港) リージョン
アジアパシフィック (ムンバイ) リージョン
アジアパシフィック（大阪）リージョン
Asia Pacific (Seoul) Region
アジアパシフィック (シンガポール) リージョン
アジアパシフィック (シドニー) リージョン
アジアパシフィック (東京) リージョン
カナダ (中部) リージョン
Europe (Frankfurt) Region
欧州 (アイルランド) リージョン
欧州 (ロンドン) リージョン
欧州 (パリ) リージョン
欧州 (ストックホルム) リージョン
欧州（ミラノ）リージョン
中東 (バーレーン) リージョン
南米 (サンパウロ) リージョン
アジアパシフィック (ジャカルタ) リージョン
アジアパシフィック（大阪）リージョン
中国 (北京) リージョン
中国 (寧夏) リージョン
AWS GovCloud (米国東部)
AWS GovCloud (米国西部)

注記

AWS Backup for VMware は、中国リージョン (中国 (北京) リージョンおよび中国 (寧夏) リージョン) またはアジアパシフィック (ジャカルタ) リージョンでは利用できません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リーガルホールド

耐障害性