本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Backup 網路
## AWS Backup 端點
AWS Backup 提供公有和私有端點,滿足您的連線需求。對於這些端點, 針對支援 IPv6 的資源類型, 同時 AWS Backup 支援網際網路通訊協定第 4 版 (IPv4) 和第 6 版 (IPv6)。
較新的公有端點`backup.[Region].api.aws`具有雙堆疊功能,可以解析 IPv4 端點和 IPv6 端點之一或兩者。當您向雙堆疊 AWS Backup API 端點提出請求時,端點會解析為由網路和用戶端使用的通訊協定組態所決定的地址。
較舊的端點`backup.[Region].amazonaws.com`可用於僅參考 IPv4 的呼叫。
您可以在 中檢視 [的公有服務端點 AWS Backup](https://docs.aws.amazon.com/general/latest/gr/bk.html) Amazon Web Services 一般參考。您可以透過 [AWS Backup VPC](#backup-privatelink) 在 中檢視設定私有端點的步驟。
## AWS Backup 透過 VPC 端點
您可以在虛擬私有雲端 (VPC) 與 AWS Backup 之間建立私有連線,方法是建立介面 VPC 端點。介面端點採用 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)技術,可讓您存取 AWS Backup API,而無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可與 AWS Backup API 端點通訊。您的執行個體也不需要公有 IP 地址,即可使用任何可用的 AWS Backup API 和 Backup 閘道 API 操作。
如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[透過 存取 AWS 服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
### Amazon VPC 端點的考量事項
您可以使用 從您的 VPC 取得與管理 資源相關的所有 AWS Backup 操作 AWS PrivateLink。
Backup 端點支援 VPC 端點政策。根據預設,允許透過端點對 Backup 操作進行完整存取。或者,您可以將安全群組與端點網路介面建立關聯,以控制透過介面端點傳入 AWS Backup 的流量。
您可以在建立端點時選取 IPv4, IPv6 或雙堆疊。您將會收到相同的 DNS 名稱 (如果您選取雙堆疊,將會同時有 IPv4 和 IPv6 地址)。
### 建立 AWS Backup VPC 端點
您可以使用 Amazon VPC AWS Backup 主控台或 AWS Command Line Interface (AWS CLI) 來建立 VPC 端點。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。
PrivateLink 端點使用與 IPv4 相同的名稱結構,但每個端點都可以設定為 IPv4, IPv6或雙堆疊。
AWS Backup 使用服務名稱 建立 VPC 端點`com.amazonaws.region.backup`。
在中國 (北京) 區域和中國 (寧夏) 區域,服務名稱應為 `cn.com.amazonaws.region.backup`。
對於備份資料平面端點,請使用 `com.amazonaws.region.backup-storage`。只有 SAP Hana 支援資料平面端點,而且可能需要 [ BackInt 代理程式更新](https://docs.aws.amazon.com/sap/latest/sap-hana/aws-backint-agent-backup.html#backint-backup-install)。
對於 Backup 閘道端點,請使用 `com.amazonaws.region.backup-gateway`。
為 Backup 閘道建立 VPC 端點時,必須在安全群組中允許下列 TCP 連接埠:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
| 通訊協定 | 站點 | Direction | 來源 | 目標 | Usage |
| --- | --- | --- | --- | --- | --- |
| TCP | 443 (HTTPS) | 傳出 | Backup Gateway | AWS | 用於從 Backup Gateway 到 AWS 服務端點的通訊 |
### 使用 VPC 端點
如果您為端點啟用私有 DNS,則可以使用 AWS 區域的預設 DNS 名稱 AWS Backup 向 發出具有 VPC 端點的 API 請求,例如 `backup.us-east-1.api.aws`。
不過,對於中國 (北京) 區域和中國 (寧夏) 區域 AWS 區域,應`backup---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`分別使用 `backup---cn-north-1.amazonaws.com.rproxy.goskope.com.cn`和 對 VPC 端點提出 API 請求。
### 建立 VPC 端點政策
您可以將端點政策連接至控制 Amazon Backup API 存取權限的 VPC 端點。此政策指定:
+ 可執行動作的委託人。
+ 可執行的動作。
+ 可供執行動作的資源。
**重要**
當非預設政策套用至 的介面 VPC 端點時 AWS Backup,某些失敗的 API 請求`RequestLimitExceeded`可能不會記錄到 AWS CloudTrail 或 Amazon CloudWatch。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
**範例: AWS Backup 動作的 VPC 端點政策**
以下是 端點政策的範例 AWS Backup。連接到端點時,此政策會針對所有資源上的所有原則授予對所列 AWS Backup 動作的存取權。
```
{
"Statement":[
{
"Action":"backup:*",
"Effect":"Allow",
"Principal":"*",
"Resource":"*"
}
]
}
```
**範例:拒絕所有來自指定 AWS 帳戶之存取的 VPC 端點政策**
下列 VPC 端點政策拒絕 AWS 使用端點帳戶對資源`123456789012`的所有存取。此政策允許來自其他帳戶的所有動作。
------
#### [ JSON ]
****
```
{
"Id":"Policy1645236617225",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1645236612384",
"Action":"backup:*",
"Effect":"Deny",
"Resource":"*",
"Principal":{
"AWS":[
"123456789012"
]
}
}
]
}
```
------
如需可用 API 回應的詳細資訊,請參閱 [API 指南](https://docs.aws.amazon.com/aws-backup/latest/devguide/api-reference.html)。