本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Backup 网络
## AWS Backup 端点
AWS Backup 提供公有和私有终端节点,可满足您的连接需求。对于这些端点,对于 AWS Backup 支持的资源类型,支持 Internet 协议版本 4 (IPv4IPv6) 和版本 6 () IPv6。
较新的公共端点`backup.[Region].api.aws`具有双堆栈功能,可以解析其中一个或两个 IPv4 端点和 IPv6端点。当您向双栈 AWS Backup API 端点发出请求时,该终端节点将解析到由您的网络和客户端使用的协议配置确定的地址。
较旧的端点`backup.[Region].amazonaws.com`可用于仅引用的呼叫 IPv4。
您可以在《 Amazon Web Services 一般参考》中查看 [AWS Backup的公有服务端点](https://docs.aws.amazon.com/general/latest/gr/bk.html)。您可以在[通过 VPC 的AWS Backup](#backup-privatelink) 中查看设置私有端点的步骤。
## AWS Backup 通过 VPC 终端节点
您可以通过创建接口 VPC 终端节点来在 Virtual Private Cloud (VPC) 与 AWS Backup 之间建立专用连接。接口端点由一种技术提供支持 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/),该技术使您无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可访问 AWS Backup API。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS Backup API 终端节点通信。您的实例也不需要公有 IP 地址即可使用任何可用的 AWS Backup API 和 Backup 网关 API 操作。
有关更多信息,请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[通过访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
### Amazon VPC 端点注意事项
所有与管理您的资源相关的 AWS Backup 操作都可以在您的 VPC 中使用 AWS PrivateLink。
Backup 端点支持 VPC 端点策略。默认情况下,允许通过端点对 Backup 操作进行完全访问。或者,您可以将安全组与端点网络接口关联,以控制通过接口端点流向 AWS Backup 的流量。
创建端点时 IPv4 IPv6,您可以选择、或双堆栈。您将收到相同的 DNS 名称(如果您选择双堆栈,则同时包含 IPv4 和 IPv6 地址)。
### 创建 AWS Backup VPC 终端节点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 创建 VPC 终端节点。 AWS Backup 有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
PrivateLink 尽管可以将每个端点配置为 IPv4、或双堆栈 IPv4 IPv6,但端点使用相同的名称结构。
AWS Backup 使用服务名称创建 VPC 终端节点`com.amazonaws.region.backup`。
在中国(北京)区域和中国(宁夏)区域,服务名称应为 `cn.com.amazonaws.region.backup`。
对于 Backup 数据平面端点,请使用`com.amazonaws.region.backup-storage`。只有 SAP Hana 支持数据平面端点,可能需要[更新 BackInt 代理](https://docs.aws.amazon.com/sap/latest/sap-hana/aws-backint-agent-backup.html#backint-backup-install)。
对于 Backup Gateway 端点,请使用 `com.amazonaws.region.backup-gateway`。
为 Backup Gateway 创建 VPC 端点时,必须允许在安全组中使用以下 TCP 端口:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
| 协议 | 端口: | 方向 | 来源 | 目标位置 | 用法 |
| --- | --- | --- | --- | --- | --- |
| TCP | 443(HTTPS) | 出站 | Backup Gateway | AWS | 用于从 Backup Gateway 到 AWS 服务端点的通信 |
### 使用 VPC 端点
例如,如果您为终端节点启用私有 DNS,则可以使用该 AWS 区域 AWS Backup 的默认 DNS 名称向 VPC 终端节点发出 API 请求`backup.us-east-1.api.aws`。
但是,对于中国(北京)区域和中国(宁夏) AWS 区域区域,应分别`backup---cn-north-1.amazonaws.com.rproxy.goskope.com.cn`使用`backup---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`和向 VPC 终端节点发出 API 请求。
### 创建 VPC 端点策略
您可以为 VPC 端点附加端点策略,以控制对 Amazon Backup API 的访问。该策略指定:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
**重要**
将非默认策略应用于的接口 VPC 终端节点时 AWS Backup,某些失败的 API 请求(例如失败的请求)可能不会记录到 AWS CloudTrail 或 Amazon CloudWatch。`RequestLimitExceeded`
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**示例:用于 AWS Backup 操作的 VPC 终端节点策略**
以下是的终端节点策略示例 AWS Backup。当连接到终端节点时,此策略授予对所有资源上所有原则列出的 AWS Backup 操作的访问权限。
```
{
"Statement":[
{
"Action":"backup:*",
"Effect":"Allow",
"Principal":"*",
"Resource":"*"
}
]
}
```
**示例:拒绝来自指定 AWS 账户的所有访问的 VPC 端点策略**
以下 VPC 终端节点策略拒绝 AWS 账户使用该终端节点访问`123456789012`所有资源。此策略允许来自其他账户的所有操作。
------
#### [ JSON ]
****
```
{
"Id":"Policy1645236617225",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1645236612384",
"Action":"backup:*",
"Effect":"Deny",
"Resource":"*",
"Principal":{
"AWS":[
"123456789012"
]
}
}
]
}
```
------
有关可用 API 响应的更多信息,请参阅《[API 指南](https://docs.aws.amazon.com/aws-backup/latest/devguide/api-reference.html)》。