Usando Amazon VPC com uma fonte Amazon S3 de dados - Amazon Kendra
Etapa 1: configurar um Amazon VPC(Opcional) Etapa 2: configurar a política Amazon S3 de bucketEtapa 3: criar um conector de fonte Amazon S3 de dados de teste

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando Amazon VPC com uma fonte Amazon S3 de dados

Este tópico fornece um step-by-step exemplo que mostra como se conectar a um bucket do Amazon S3 usando um conector do Amazon S3 por meio do Amazon VPC. O exemplo pressupõe que você esteja começando com um bucket S3 existente. Recomendamos que você faça upload de apenas alguns documentos em seu bucket do S3 para testar o exemplo.

Você pode se conectar Amazon Kendra ao seu Amazon S3 bucket por meio de Amazon VPC. Para fazer isso, você deve especificar a Amazon VPC sub-rede e os grupos de Amazon VPC segurança ao criar seu conector de fonte de Amazon S3 dados.

Importante

Para que um Amazon Kendra Amazon S3 conector possa acessar seu Amazon S3 bucket, certifique-se de ter atribuído um Amazon S3 endpoint à sua nuvem privada virtual (VPC).

Amazon Kendra Para sincronizar documentos do seu Amazon S3 bucket Amazon VPC, você deve concluir as seguintes etapas:

  • Configure um Amazon S3 endpoint para Amazon VPC. Para obter mais informações sobre como configurar um Amazon S3 endpoint, consulte Endpoints do Gateway Amazon S3 no AWS PrivateLink Guia.

  • (Opcional) Verificou suas políticas Amazon S3 de bucket para garantir que o Amazon S3 bucket seja acessível a partir da nuvem privada virtual (VPC) à qual você atribuiu. Amazon KendraPara obter mais informações, consulte Como controlar o acesso de VPC endpoints com políticas de bucket no Guia do usuário do Amazon S3

Etapa 1: configurar um Amazon VPC

Crie uma rede VPC, incluindo uma sub-rede privada com um endpoint de Amazon S3 gateway e um grupo de segurança para Amazon Kendra uso posterior.

Para configurar uma VPC com uma sub-rede privada, um endpoint S3 e um grupo de segurança

  1. Faça login no AWS Management Console e abra o Amazon VPC console emhttps://console.aws.amazon.com/vpc/.

  2. Crie uma VPC com uma sub-rede privada e um endpoint S3 para usar: Amazon Kendra

    No painel de navegação, escolha Suas VPCs e, em seguida, escolha Criar VPC.

    1. Em Resources to create (Recursos a serem criados), escolha VPC and more (VPC e mais).

    2. Em Etiqueta de nome, ative Geração automática e, em seguida, insirakendra-s3-example.

    3. Para o bloco CIDR IPv4/IPv6, mantenha os valores padrão.

    4. Em Número de zonas de disponibilidade (AZs), escolha o número 1.

    5. Selecione Personalizar AZs e, em seguida, selecione uma zona de disponibilidade na lista Primeira zona de disponibilidade.

      Amazon Kendra só oferece suporte a um conjunto específico de zonas de disponibilidade.

    6. Em Número de sub-redes públicas, escolha o número 0.

    7. Em Número de sub-redes privadas, escolha o número 1.

    8. Em NAT gateways (Gateways NAT), escolha None (Nenhum).

    9. Para endpoints de VPC, escolha gateway.Amazon S3 .

    10. Deixe o resto dos valores em suas configurações padrão.

    11. Selecione Create VPC (Criar VPC).

      Espere até que o fluxo de trabalho Create VPC termine. Em seguida, escolha Exibir VPC para verificar a VPC que você acabou de criar.

    Agora você criou uma rede VPC com uma sub-rede privada, que não tem acesso à Internet pública.

  3. Copie o ID do endpoint VPC do seu endpoint Amazon S3:

    1. No painel de navegação, escolha Endpoints.

    2. Na lista de endpoints, encontre o kendra-s3-example-vpce-s3 endpoint Amazon S3 que você acabou de criar junto com sua VPC.

    3. Anote o ID do VPC endpoint.

    Agora você criou um endpoint de gateway do Amazon S3 para acessar seu bucket do Amazon S3 por meio de uma sub-rede.

  4. Crie um grupo de segurança Amazon Kendra para usar:

    1. No painel de navegação, escolha Grupos de segurança e, em seguida, selecione Criar grupo de segurança.

    2. Em Nome do grupo de segurança, insira s3-data-source-security-group.

    3. Escolha sua VPC na Amazon VPClista.

    4. Deixe as regras de entrada e de saída como padrão.

    5. Escolha Create security group (Criar grupo de segurança).

    Agora você criou um grupo de segurança de VPC.

Você atribui a sub-rede e o grupo de segurança que você criou ao seu conector de fonte de dados do Amazon Kendra Amazon S3 durante o processo de configuração do conector.

(Opcional) Etapa 2: configurar a política Amazon S3 de bucket

Nesta etapa opcional, aprenda a configurar uma política de bucket do Amazon S3 para que seu bucket do Amazon S3 só possa ser acessado a partir da VPC à qual você atribui. Amazon Kendra

Amazon Kendra usa funções do IAM para acessar seu bucket do Amazon S3 e não exige que você configure uma política de bucket do Amazon S3. No entanto, talvez seja útil criar uma política de bucket se quiser configurar um Amazon S3 conector usando um bucket do Amazon S3 que tenha políticas existentes que restringem o acesso a ele pela Internet pública.

Para configurar sua política Amazon S3 de bucket

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets.

  3. Escolha o nome do bucket do Amazon S3 com o qual você deseja sincronizar. Amazon Kendra

  4. Escolha a guia Permissões, role para baixo até a política do Bucket e clique em Editar.

  5. Adicione ou modifique sua política de bucket para permitir acesso somente do VPC endpoint que você criou.

    A seguir há um exemplo de política de bucket. Substitua bucket-namee vpce-idpelo nome do bucket do Amazon S3 e pelo ID do endpoint do Amazon S3 que você anotou anteriormente.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-id"
        }
      }
    }
  ]
}

  6. Selecione Save Changes (Salvar alterações).

Seu bucket do S3 agora está acessível somente a partir da VPC específica que você criou.

Etapa 3: criar um conector de fonte Amazon S3 de dados de teste

Para testar sua Amazon VPC configuração, crie um Amazon S3 conector. Em seguida, configure-a com a VPC que você criou seguindo as etapas descritas em. Amazon S3

Para valores de Amazon VPC configuração, escolha os valores que você criou durante este exemplo:

  • Amazon VPC(VPC) — kendra-s3-example-vpc

  • Sub-redeskendra-s3-example-subnet-private1-[availability zone]

  • Grupos de seguranças3-data-source-security-group

Aguarde até que seu conector termine de criar. Depois que o Amazon S3 conector for criado, escolha Sincronizar agora para iniciar uma sincronização.

Pode levar de alguns minutos a várias horas para concluir a sincronização, dependendo de quantos documentos estão em seu Amazon S3 bucket. Para testar o exemplo, recomendamos que você faça upload de apenas alguns documentos em seu bucket do S3. Se sua configuração estiver correta, você eventualmente verá o status de Sincronização de Concluída.

Se você encontrar algum erro, consulte Solução de problemas de Amazon VPC conexão.