Utilizzo Amazon VPC con una fonte di Amazon S3 dati

Questo argomento fornisce un step-by-step esempio che mostra come connettersi a un bucket Amazon S3 utilizzando un connettore Amazon S3 tramite Amazon VPC. L'esempio presuppone che tu stia iniziando con un bucket S3 esistente. Ti consigliamo di caricare solo alcuni documenti nel tuo bucket S3 per testare l'esempio.

Puoi connetterti Amazon Kendra al tuo Amazon S3 bucket tramite. Amazon VPC A tale scopo, è necessario specificare la Amazon VPC sottorete e i gruppi Amazon VPC di sicurezza durante la creazione del connettore di origine Amazon S3 dati.

Importante

Affinché un Amazon Kendra Amazon S3 connettore possa accedere al tuo Amazon S3 bucket, assicurati di aver assegnato un Amazon S3 endpoint al tuo cloud privato virtuale (VPC).

Per Amazon Kendra sincronizzare i documenti dal tuo Amazon S3 bucket Amazon VPC, devi completare i seguenti passaggi:

• Configura un Amazon S3 endpoint per. Amazon VPCPer ulteriori informazioni su come configurare un Amazon S3 endpoint, consulta la sezione dedicata agli endpoint Gateway Amazon S3 nella Guida.AWS PrivateLink

• (Facoltativo) Hai verificato le policy del Amazon S3 bucket per assicurarti che il Amazon S3 bucket sia accessibile dal cloud privato virtuale (VPC) a cui lo hai assegnato. Amazon KendraPer ulteriori informazioni, consulta Controllare l'accesso dagli endpoint VPC con le policy dei bucket nella Guida per l'utente di Amazon S3

Fase 1: Configurare un Amazon VPC

Crea una rete VPC che include una sottorete privata con un endpoint Amazon S3 gateway e un gruppo di sicurezza da utilizzare in seguito. Amazon Kendra

Per configurare un VPC con una sottorete privata, un endpoint S3 e un gruppo di sicurezza

1. Accedi a AWS Management Console e apri la console all'indirizzo. Amazon VPC https://console.aws.amazon.com/vpc/

2. Crea un VPC con una sottorete privata e un endpoint S3 da utilizzare: Amazon Kendra

   Dal pannello di navigazione, scegli I tuoi VPC, quindi scegli Crea VPC.

   1. Per Risorse da creare, scegli VPC e altro.

   2. Per il tag Nome, abilita la generazione automatica, quindi inserisci. kendra-s3-example

   3. Per il blocco CIDR IPv4/IPv6, mantieni i valori predefiniti.

   4. Per Numero di zone di disponibilità (AZ), scegli il numero 1.

   5. Seleziona Personalizza AZ, quindi seleziona una zona di disponibilità dall'elenco delle prime zone di disponibilità.

      Amazon Kendra supporta solo un set specifico di zone di disponibilità.

   6. Per Numero di sottoreti pubbliche, scegli il numero 0.

   7. Per Numero di sottoreti private, scegli il numero 1.

   8. Per NAT gateways (Gateway NAT), scegli None (Nessuno).

   9. Per gli endpoint VPC, scegli gateway.Amazon S3 .

   10. Lascia il resto dei valori con le impostazioni predefinite.

   11. Seleziona Create VPC (Crea VPC).

       Attendi il completamento del flusso di lavoro Create VPC. Quindi, scegli Visualizza VPC per controllare il VPC che hai appena creato.

   Ora hai creato una rete VPC con una sottorete privata, che non ha accesso alla rete Internet pubblica.

3. Copia l'ID dell'endpoint VPC del tuo endpoint Amazon S3:

   1. Nel riquadro di navigazione scegli Endpoint.

   2. Nell'elenco degli endpoint, trova l'kendra-s3-example-vpce-s3endpoint Amazon S3 che hai appena creato insieme al tuo VPC.

   3. Prendi nota dell'ID dell'endpoint VPC.

   Ora hai creato un endpoint gateway Amazon S3 per accedere al tuo bucket Amazon S3 tramite una sottorete.

4. Crea un gruppo di sicurezza da utilizzare: Amazon Kendra

   1. Dal riquadro di navigazione, scegli Gruppi di sicurezza, quindi seleziona Crea gruppo di sicurezza.

   2. In Security group name (Nome gruppo di sicurezza) immettere s3-data-source-security-group.

   3. Scegli il tuo VPC dall'Amazon VPCelenco.

   4. Lascia le regole in entrata e le regole in uscita come impostazioni predefinite.

   5. Scegliere Create Security Group (Crea gruppo di sicurezza).

   Ora hai creato un gruppo di sicurezza VPC.

Assegni la sottorete e il gruppo di sicurezza che hai creato al connettore di origine dati Amazon S3 durante il processo di configurazione del connettore. Amazon Kendra

(Facoltativo) Fase 2: Configurazione della policy sui bucket Amazon S3

In questo passaggio facoltativo, scopri come configurare una policy per i bucket Amazon S3 in modo che il tuo bucket Amazon S3 sia accessibile solo dal VPC a cui lo assegni. Amazon Kendra

Amazon Kendra utilizza i ruoli IAM per accedere al tuo bucket Amazon S3 e non richiede la configurazione di una policy per i bucket Amazon S3. Tuttavia, potresti trovare utile creare una policy sui bucket se desideri configurare un Amazon S3 connettore utilizzando un bucket Amazon S3 con politiche esistenti che limitano l'accesso ad esso dalla rete Internet pubblica.

Per configurare la tua policy sui bucket Amazon S3

1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Dal pannello di navigazione, scegli Bucket.

3. Scegli il nome del bucket Amazon S3 con cui desideri effettuare la sincronizzazione. Amazon Kendra

4. Scegli la scheda Autorizzazioni, scorri verso il basso fino alla policy Bucket, quindi fai clic su Modifica.

5. Aggiungi o modifica la tua policy sui bucket per consentire l'accesso solo dall'endpoint VPC che hai creato.

   Di seguito è riportato un esempio di policy di bucket. Sostituisci bucket-namee vpce-idcon il nome del bucket Amazon S3 e l'ID endpoint Amazon S3 che hai annotato in precedenza.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": "arn:aws:s3:::bucket-name/*",
         "Condition": {
           "StringNotEquals": {
             "aws:SourceVpce": "vpce-id"
           }
         }
       }
     ]
   }

6. Seleziona Salva modifiche.

Il tuo bucket S3 è ora accessibile solo dal VPC specifico che hai creato.

Passaggio 3: creare un connettore per l'origine dei dati di test Amazon S3

Per testare la Amazon VPC configurazione, crea un Amazon S3 connettore. Quindi, configuralo con il VPC che hai creato seguendo i passaggi descritti in. Amazon S3

Per i valori di Amazon VPC configurazione, scegli i valori che hai creato durante questo esempio:

• Amazon VPC(VPC) — kendra-s3-example-vpc

• Sottoreti — kendra-s3-example-subnet-private1-[availability zone]

• Gruppi di sicurezza: s3-data-source-security-group

Attendi che il connettore finisca di creare. Dopo aver creato il Amazon S3 connettore, scegli Sincronizza ora per avviare una sincronizzazione.

Il completamento della sincronizzazione potrebbe richiedere da alcuni minuti a diverse ore, a seconda del numero di documenti presenti nel Amazon S3 bucket. Per testare l'esempio, ti consigliamo di caricare solo alcuni documenti nel tuo bucket S3. Se la configurazione è corretta, alla fine dovresti vedere lo stato di sincronizzazione impostato su Completato.

In caso di errori, consulta Risoluzione dei problemi di Amazon VPC connessione.