[小ネタ]AWS Backupでプライベートサブネットに配置したEC2インスタンスをバックアップする時はVPCエンドポイントは必要ありません
こんにちは!AWS事業本部カスタマーソリューション部のこーへいです。
今回の小ネタ
下記図のように、プライベートサブネットに配置しているEC2インスタンスをAWS Backupでバックアップする際に、VPCエンドポイント(com.amazonaws.region.backup)の設置が必要なのか分からなかったので検証してみました。
結論
タイトル通りですが必要なかったです。
上記記事の「EC2のバックアップ」の手順を参考に、EC2インスタンスをプライベートサブネットに配置した状態でバップアップを実行しました。
すると特に問題なくバックアップを取得できたので、プライベートサブネットに配置していてもVPCエンドポイントを設置する必要はありません。
IAMロールは設定しよう
ただし、AWS Backup側で設定するIAMロールの権限が不足している場合は、バックアップの取得に失敗するのでご注意ください。
バックアッププランの中で「リソースの割り当て」を行う際に、正しいポリシーが設定されたIAMロールを設定することで意図しないリソースのバックアップを防ぎつつ、目的のリソースをバックアップできます。
[おまけ]AWS Backupのエンドポイントはどういう時に必要なのか
ではAWS Backup用のVPCエンドポイントはどういった場面で使用するのでしょうか。
AWS PrivateLinkでは以下のように、Amazon Backupリソースの管理に関連するすべてのAWS Backup操作が可能と記載しています。
All AWS Backup operations relevant to managing Amazon Backup resources are available from your VPC using AWS PrivateLink.
実際にサポートしてるAPI操作は以下の通りです。
実際にやってみた
- 今回検証で追加したVPCエンドポイント
- com.amazonaws.ap-northeast-1.backup
- com.amazonaws.ap-northeast-1.ssm(ssm接続のため)
- com.amazonaws.ap-northeast-1.ssmmessages(ssm接続のため)
- com.amazonaws.ap-northeast-1.ec2messages(ssm接続のため)
プライベートサブネットにAWS Backup用のVPCエンドポイントを追加しました。
※今回はssm接続のため、System Manager用のVPCエンドポイントも追加しています。詳細な手順はこちらをご参照ください。
この状態でEC2インスタンスにログインしましょう。
今回は試しにListBackupVaultsの操作を試してみました。cliコマンドは以下です。
aws backup list-backup-vaults
適切なVPCエンドポイント・IAMロールを設定し実行すると、無事にバックアップボールトの一覧を表示できました。
プライベートサブネットに配置したEC2インスタンスからAWS BackupのAPIを利用したい状況になった際は、VPCエンドポイントの利用を検討してください。