Amazon VPC 與資 Amazon S3 料來源搭配使用 - Amazon Kendra
步驟 1:配置 Amazon VPC(選擇性) 步驟 2:設定 Amazon S3 值區政策步驟 3:建立測試 Amazon S3 資料來源連接器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 與資 Amazon S3 料來源搭配使用

本主題提供一個 step-by-step 範例,說明如何透過 Amazon VPC 使用 Amazon S3 連接器連接到 Amazon S3 儲存貯體。此範例假設您從現有的 S3 儲存貯體開始。我們建議您只將幾份文件上傳到 S3 儲存貯體,以測試範例。

您可以通過連接 Amazon Kendra 到 Amazon S3 存儲桶 Amazon VPC。若要這麼做,您必須在建立 Amazon S3 資料來源連接器時指定 Amazon VPC 子網路和 Amazon VPC 安全群組。

重要

如此一來, Amazon Kendra Amazon S3 連接器才能存取您的儲存 Amazon S3 貯體,請確定您已將 Amazon S3 端點指派給虛擬私有雲 (VPC)。

若 Amazon Kendra 要將文件從 Amazon S3 值區同步到 Amazon VPC,您必須完成以下步驟:

  • 設定的 Amazon S3 端點 Amazon VPC。如需有關如何設定 Amazon S3 端點的詳細資訊,請參閱AWS PrivateLink 《指南》 Amazon S3中的《閘道端點

  • (選擇性) 檢查 Amazon S3 儲存貯體政策,以確保儲存 Amazon S3 貯體可從您指派給的虛擬私有雲 (VPC) 存取 Amazon Kendra。如需詳細資訊,請參閱 Amazon S3 使用者指南中的使用儲存貯體政策控制來自 VPC 端點的存取

步驟 1:配置 Amazon VPC

建立虛擬私人雲端網路,包括具有 Amazon S3 閘道端點和安全群組的私有子網路, Amazon Kendra 以供日後使用。

使用私有子網路、S3 端點和安全群組設定 VPC

  1. 登入 AWS Management Console 並開啟 Amazon VPC 主控台,位於https://console.aws.amazon.com/vpc/

  2. 建立具有私有子網路和 S3 端點的 VPC Amazon Kendra 以供使用:

    從功能窗格中選擇 [您的 VPC],然後選擇 [建立 V PC]。

    1. 針對 Resources to create (建立資源),選擇 VPC and more (VPC 等)。

    2. 對於「名稱」標籤,啟用「自動產生」,然後輸入kendra-s3-example

    3. 對於 IPv4 /IPv6 CIDR 區塊,請保留預設值。

    4. 對於可用區域 (AZ) 的數目,請選擇數字 1

    5. 選取 [自訂 AZ],然後從 [第一個可用區域] 清單中選取可用區域

      Amazon Kendra 僅支援一組特定的可用區域。

    6. 針對公用子網路數目,選擇數字 0

    7. 私人子網路的數目中,選擇數字 1

    8. 對於 NAT gateways (NAT 閘道),選擇 None (無)。

    9. 對於 VPC 端點,請選擇Amazon S3 閘道。 。

    10. 將其餘值保留為預設設定。

    11. 選取 Create VPC (建立 VPC)。

      等到建立 VPC 工作流程完成。然後,選擇查看 VPC 以檢查剛剛創建的 VPC

    您現在已建立具有私有子網路的 VPC 私人雲端網路,該子網路無法存取公用網際網路。

  3. 複製您的 Amazon S3 端點的虛擬私人雲端端點識別碼:

    1. 從導覽窗格中選擇端點

    2. 在「端點」清單中,找到您剛剛與 VPC 擬私人雲端一起建立的 Amazon S3 端點kendra-s3-example-vpce-s3

    3. 記下 VPC 端點識別碼

    您現在已建立 Amazon S3 閘道端點,以透過子網路存取 Amazon S3 儲存貯體。

  4. 建立 Amazon Kendra 要使用的安全性群組

    1. 從導覽窗格中選擇安全性群組,然後選取建立安全性群組。

    2. 針對 Security group name (安全群組名稱),輸入 s3-data-source-security-group

    3. Amazon VPC列表中選擇您的 VPC。

    4. 將輸入規則輸出規則保留為預設值。

    5. 選擇建立安全群組

    您現在已建立 VPC 安全性群組。

您可以在連接器組態程序期間,將您建立的子網路和安全群組指派給 Amazon Kendra Amazon S3 資料來源連接器。

(選擇性) 步驟 2:設定 Amazon S3 值區政策

在此可選步驟中,了解如何設定 Amazon S3 儲存貯體政策,以便只能從您指派的 VPC 存取 Amazon S3 儲存貯體。 Amazon Kendra

Amazon Kendra 使用 IAM 角色存取您的 Amazon S3 儲存貯體,而且不需要設定 Amazon S3 儲存貯體政策。不過,如果您想要使用 Amazon S3 儲存貯體設定連接器,且該 Amazon S3 連接器具有限制從公用網際網路存取的現有政策,建立儲存貯體政策可能很有用。

若要設定 Amazon S3 值區政策

  1. 在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇「值區」。

  3. 選擇您要同步處理的 Amazon S3 儲存貯體的名稱 Amazon Kendra。

  4. 選擇 [權限] 索引標籤,向下捲動至 [儲存貯體政策],然後按一下 [編輯]。

  5. 新增或修改儲存貯體政策,以僅允許從您建立的 VPC 端點進行存取。

    以下為儲存貯體政策的範例。以您先前vpce-id提到的 Amazon S3 儲存貯體名稱和 Amazon S3 端點識別碼取bucket-name代和。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-id"
        }
      }
    }
  ]
}

  6. 選取儲存變更

您的 S3 儲存貯體現在只能從您建立的特定 VPC 存取。

步驟 3:建立測試 Amazon S3 資料來源連接器

若要測試您的 Amazon VPC 組態,請建立 Amazon S3 連接器。然後,依照中Amazon S3所述的步驟,使用您建立的 VPC 進行設定。

對於 Amazon VPC 組態值,請選擇您在此範例中建立的值:

  • Amazon VPC(VPC)kendra-s3-example-vpc

  • 子網路kendra-s3-example-subnet-private1-[availability zone]

  • 安全性群組s3-data-source-security-group

等待連接器完成建立。建立 Amazon S3 連接器之後,選擇 [立即同步] 以啟動同步。

完成同步作業可能需要幾分鐘到數小時,視 Amazon S3 值區中的文件數量而定。若要測試範例,我們建議您只將幾份文件上傳到 S3 儲存貯體。如果您的設定正確,您最後應該會看到 [已完成] 的 [同步處理] 狀態

如果遇到任何錯誤,請參閱疑難排解 Amazon VPC 連線