[小ネタ]AWS Backupでプライベートサブネットに配置したEC2インスタンスをバックアップする時はVPCエンドポイントは必要ありません

[小ネタ]AWS Backupでプライベートサブネットに配置したEC2インスタンスをバックアップする時はVPCエンドポイントは必要ありません

Clock Icon2023.07.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部カスタマーソリューション部のこーへいです。

今回の小ネタ

下記図のように、プライベートサブネットに配置しているEC2インスタンスをAWS Backupでバックアップする際に、VPCエンドポイント(com.amazonaws.region.backup)の設置が必要なのか分からなかったので検証してみました。

結論

タイトル通りですが必要なかったです。

上記記事の「EC2のバックアップ」の手順を参考に、EC2インスタンスをプライベートサブネットに配置した状態でバップアップを実行しました。

すると特に問題なくバックアップを取得できたので、プライベートサブネットに配置していてもVPCエンドポイントを設置する必要はありません。

IAMロールは設定しよう

ただし、AWS Backup側で設定するIAMロールの権限が不足している場合は、バックアップの取得に失敗するのでご注意ください。

バックアッププランの中で「リソースの割り当て」を行う際に、正しいポリシーが設定されたIAMロールを設定することで意図しないリソースのバックアップを防ぎつつ、目的のリソースをバックアップできます。

[おまけ]AWS Backupのエンドポイントはどういう時に必要なのか

ではAWS Backup用のVPCエンドポイントはどういった場面で使用するのでしょうか。

AWS PrivateLinkでは以下のように、Amazon Backupリソースの管理に関連するすべてのAWS Backup操作が可能と記載しています。

All AWS Backup operations relevant to managing Amazon Backup resources are available from your VPC using AWS PrivateLink.

実際にサポートしてるAPI操作は以下の通りです。

実際にやってみた

  • 今回検証で追加したVPCエンドポイント
    • com.amazonaws.ap-northeast-1.backup
    • com.amazonaws.ap-northeast-1.ssm(ssm接続のため)
    • com.amazonaws.ap-northeast-1.ssmmessages(ssm接続のため)
    • com.amazonaws.ap-northeast-1.ec2messages(ssm接続のため)

プライベートサブネットにAWS Backup用のVPCエンドポイントを追加しました。
※今回はssm接続のため、System Manager用のVPCエンドポイントも追加しています。詳細な手順はこちらをご参照ください。

この状態でEC2インスタンスにログインしましょう。

今回は試しにListBackupVaultsの操作を試してみました。cliコマンドは以下です。

aws backup list-backup-vaults

適切なVPCエンドポイント・IAMロールを設定し実行すると、無事にバックアップボールトの一覧を表示できました。

プライベートサブネットに配置したEC2インスタンスからAWS BackupのAPIを利用したい状況になった際は、VPCエンドポイントの利用を検討してください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.