AWS Backup ネットワーク - AWS Backup
エンドポイントAWS PrivateLink

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Backup ネットワーク

AWS Backup エンドポイント

AWS Backup は、接続ニーズに応じてパブリックエンドポイントとプライベートエンドポイントの両方を提供します。これらのエンドポイントでは、 は、IPv6 をサポートするリソースタイプの Internet Protocols バージョン 4 (IPv4) とバージョン 6 (IPv6) の両方 AWS Backup をサポートします。 IPv6

新しいパブリックエンドポイントbackup.[Region].api.awsにはデュアルスタック機能があり、IPv4 エンドポイントと IPv6 エンドポイントのいずれかまたは両方を解決できます。デュアルスタック AWS Backup API エンドポイントにリクエストを行うと、エンドポイントはネットワークとクライアントで使用されるプロトコルの設定によって決定されるアドレスに解決されます。

古いエンドポイントbackup.[Region].amazonaws.comは、IPv4 のみを参照する呼び出しに使用できます。

パブリックサービスエンドポイント AWS Backupは、 で表示できます Amazon Web Services 全般のリファレンス。AWS Backup VPC を介して でプライベートエンドポイントを設定する手順を表示できます。

インターフェイス VPC エンドポイントを作成することで、仮想プライベートクラウド(VPC) と AWS Backup APIの間にプライベート接続を確立できます。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに AWS Backup API にアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、 AWS Backup API エンドポイントと通信するためにパブリック IP アドレスを必要としません。インスタンスでは、使用可能な AWS Backup API および Backup ゲートウェイ API オペレーションを使用するためにパブリック IP アドレスも必要ありません。

詳細については、「 AWS PrivateLink ガイド」の「Access AWS のサービス through AWS PrivateLink」を参照してください。

Amazon VPC エンドポイントに関する考慮事項

リソースの管理に関連するすべての AWS Backup オペレーションは、 を使用して VPC から利用できます AWS PrivateLink。

VPC エンドポイントポリシーは、バックアップエンドポイントでサポートされます。デフォルトでは、エンドポイント経由でバックアップオペレーションへのフルアクセスが許可されます。または、セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイント経由での AWS Backup へのトラフィックを制御することもできます。

エンドポイントの作成時にIPv4, IPv6、またはデュアルスタックを選択できます。同じ DNS 名を受け取ります (デュアルスタックを選択した場合、IPv4 アドレスと IPv6 アドレスの両方が割り当てられます)。

AWS Backup VPC エンドポイントを作成する

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) AWS Backup を使用して、 用の VPC エンドポイントを作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

PrivateLink エンドポイントは IPv4 と同じ名前構造を使用しますが、各エンドポイントは IPv4, IPv6、またはデュアルスタックに設定できます。

サービス名 AWS Backup を使用して 用の VPC エンドポイントを作成しますcom.amazonaws.region.backup

中国 (北京) リージョンョンおよび中国 (寧夏) リージョンでは、サービス名は cn.com.amazonaws.region.backup でなければなりません。

バックアップゲートウェイエンドポイントの場合は、com.amazonaws.region.backup-gateway を使用してください。

バックアップゲートウェイ用の VPC エンドポイントを作成する場合、セキュリティグループで次の TCP ポートを許可する必要があります。

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

プロトコル ポート [Direction] (方向) ソース デスティネーション 使用方法

TCP

443 (HTTPS)

アウトバウンド

Backup ゲートウェイ

AWS

Backup Gateway から AWS サービスエンドポイントへの通信用

VPC エンドポイントの使用

エンドポイントのプライベート DNS を有効にすると、 などの AWS リージョンのデフォルト DNS 名を使用して、VPC エンドポイント AWS Backup を使用して に API リクエストを行うことができますbackup.us-east-1.api.aws

ただし、中国 (北京) リージョンと中国 (寧夏) リージョンでは AWS リージョン、backup.cn-northwest-1.amazonaws.com.cnそれぞれ backup.cn-north-1.amazonaws.com.cnと を使用して VPC エンドポイントで API リクエストを行う必要があります。

VPCエンドポイントポリシーの作成

VPC エンドポイントに Amazon バックアップ API へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは以下の内容を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

重要

のインターフェイス VPC エンドポイントにデフォルト以外のポリシーが適用されると AWS Backup、 から失敗した API リクエストなど、失敗した特定の API リクエストはRequestLimitExceeded、 AWS CloudTrail または Amazon CloudWatch にログ記録されない可能性があります。

詳細については[AWS PrivateLink Guide] (ガイド) の[Control access to services using endpoint policies] (エンドポイントポリシーを使用してサービスへのアクセスをコントロール) を参照してください。

例: AWS Backup アクションの VPC エンドポイントポリシー

以下は、 のエンドポイントポリシーの例です AWS Backup。エンドポイントにアタッチされると、このポリシーは、すべてのリソースのすべての原則について、リストされた AWS Backup アクションへのアクセスを許可します。

{
  "Statement":[
    {
      "Action":"backup:*",
      "Effect":"Allow",
      "Principal":"*",
      "Resource":"*"
    }
  ]
}

例: 指定した AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

次の VPC エンドポイントポリシーは、エンドポイントを使用した リソースへの AWS 123456789012すべてのアクセスを拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。

{
  "Id":"Policy1645236617225",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Stmt1645236612384",
      "Action":"backup:*",
      "Effect":"Deny",
      "Resource":"*",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      }
    }
  ]
}

利用可能な API レスポンスの詳細については、「API ガイド」を参照してください。