Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration Amazon Kendra pour utiliser un Amazon VPC


Amazon Kendra peut se connecter à un cloud privé virtuel (VPC) que vous avez créé Amazon Virtual Private Cloud pour indexer le contenu stocké dans les sources de données exécutées dans votre cloud privé. Lorsque vous créez un connecteur de source de données, vous pouvez fournir des identifiants de groupe de sécurité et de sous-réseau pour le sous-réseau qui contient votre source de données. À partir de ces informations, il Amazon Kendra crée une interface réseau élastique qu'il utilise pour communiquer en toute sécurité avec votre source de données au sein de votre VPC.

Pour configurer un connecteur de source de Amazon Kendra données avec Amazon VPC, vous pouvez utiliser l'opération AWS Management Console ou l'opération [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API. Si vous utilisez la console, vous connectez un VPC pendant le processus de configuration du connecteur.

**Note**  
 Amazon VPC Cette fonctionnalité est facultative lors de la configuration d'un connecteur de source de Amazon Kendra données. Si votre source de données est accessible depuis l'Internet public, il n'est pas nécessaire d'activer Amazon VPC cette fonctionnalité. Les connecteurs de source de données Amazon Kendra ne prennent pas tous en charge Amazon VPC.

Si votre source de données n'est pas active Amazon VPC et n'est pas accessible depuis l'Internet public, vous devez d'abord la connecter à votre VPC via un réseau privé virtuel (VPN). Vous pouvez ensuite connecter votre source de données à Amazon Kendra l'aide d'une combinaison de Amazon VPC et AWS Virtual Private Network. Pour plus d’informations sur la configuration d’un VPN, consultez la [Documentation sur le Site-to-Site VPN](https://docs.aws.amazon.com/vpn/).

**Topics**
+ [

# Configuration de la Amazon VPC prise en charge des Amazon Kendra connecteurs
](connector-vpc-steps.md)
+ [

# Configuration d'une source Amazon Kendra de données à laquelle se connecter Amazon VPC
](connector-vpc-setup.md)
+ [

# Connexion à une base de données dans un VPC
](vpc-example.md)
+ [

# Résolution des problèmes de connexion VPC
](vpc-connector-troubleshoot.md)

# Configuration de la Amazon VPC prise en charge des Amazon Kendra connecteurs
Configuration Amazon VPC

 Amazon VPC Pour configurer en vue de l'utiliser avec vos Amazon Kendra connecteurs, procédez comme suit.

**Topics**
+ [

## Étape 1. Créez des Amazon VPC sous-réseaux pour Amazon Kendra
](#connector-vpc-prerequisites-1)
+ [

## Étape 2. Créez des groupes Amazon VPC de sécurité pour Amazon Kendra
](#connector-vpc-prerequisites-2)
+ [

## Étape 3. Configurez votre source de données externe et Amazon VPC
](#connector-vpc-prerequisites-3)

## Étape 1. Créez des Amazon VPC sous-réseaux pour Amazon Kendra


Créez ou choisissez un Amazon VPC sous-réseau existant qui Amazon Kendra peut être utilisé pour accéder à votre source de données. Les sous-réseaux préparés doivent se trouver dans l'une des zones Régions AWS de disponibilité suivantes :
+ USA Ouest (Oregon)/us-west-2—usw2-az1, usw2-az2, usw2-az3
+ USA Est (Virginie du Nord)/us-east-1—use1-az1, use1-az2, use1-az4
+ USA Est (Ohio) /us-east-2—use2-az1, use2-az2, use2-az3
+ Asie-Pacifique (Tokyo) /ap-northeast-1—apne1-az1, apne1-az2, apne1-az4
+ Asie-Pacifique (Mumbai) /ap-south-1—aps1-az1, aps1-az2, aps1-az3
+ Asie-Pacifique (Singapour) /ap-southeast-1—apse1-az1, apse1-az2, apse1-az3
+ Asie-Pacifique (Sydney)/ap-southeast-2—apse2-az1, apse2-az2, apse2-az3
+ Canada (Centre) /ca-central-1—cac1-az1, cac1-az2, cac1-az4
+ Europe (Irlande) /eu-west-1—euw1-az1, uew1-az2, euw1-az3
+ Europe (Londres) /eu-west-2—euw2-az1, euw2-az2, euw2-az3

Votre source de données doit être accessible à partir des sous-réseaux que vous avez fournis au connecteur Amazon Kendra .

Pour plus d'informations sur la configuration des Amazon VPC sous-réseaux, consultez la section [Sous-réseaux pour vous Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) dans le guide de l'utilisateur Amazon *VPC*.

Si vous Amazon Kendra devez acheminer la connexion entre deux ou plusieurs sous-réseaux, vous pouvez préparer plusieurs sous-réseaux. Par exemple, le sous-réseau qui contient votre source de données n’a plus d’adresses IP. Dans ce cas, vous pouvez Amazon Kendra fournir un sous-réseau supplémentaire qui possède suffisamment d'adresses IP et qui est connecté au premier sous-réseau. Si vous répertoriez plusieurs sous-réseaux, ceux-ci doivent pouvoir communiquer entre eux.

## Étape 2. Créez des groupes Amazon VPC de sécurité pour Amazon Kendra


Pour connecter votre connecteur de source de Amazon Kendra données à Amazon VPC, vous devez préparer un ou plusieurs groupes de sécurité à partir de votre VPC auxquels vous souhaitez les attribuer. Amazon Kendra Les groupes de sécurité seront associés à l’interface réseau Elastic créée par Amazon Kendra. Cette interface réseau contrôle le trafic entrant et sortant à destination et en provenance des sous-réseaux Amazon Kendra lors de l' Amazon VPC accès aux sous-réseaux.

Assurez-vous que les règles sortantes de votre groupe de sécurité autorisent le trafic provenant des connecteurs de source de données Amazon Kendra à accéder aux sous-réseaux et à la source de données avec lesquels vous allez effectuer la synchronisation. Par exemple, vous pouvez utiliser un connecteur MySQL pour effectuer une synchronisation à partir d’une base de données MySQL. Si vous utilisez le port par défaut, les groupes de sécurité doivent autoriser l'accès Amazon Kendra au port 3306 sur l'hôte qui exécute la base de données.

Nous vous recommandons de configurer un groupe de sécurité par défaut avec les valeurs suivantes Amazon Kendra à utiliser :
+ **Règles de trafic entrant** : si vous choisissez de laisser ce champ vide, tout le trafic entrant sera bloqué.
+ **Règles de trafic sortant** : ajoutez une règle pour autoriser tout le trafic sortant afin de lancer les demandes de synchronisation à partir de votre source de données. Amazon Kendra 
  + **Version IP** — IPv4
  + **Type** : tout le trafic
  + **Protocole** : tout le trafic
  + **Gamme de ports** : tous
  + **Destination** : 0.0.0.0/0

Pour plus d'informations sur la configuration des groupes Amazon VPC de sécurité, consultez la section [Règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) dans le guide de l'*utilisateur Amazon VPC*.

## Étape 3. Configurez votre source de données externe et Amazon VPC


Assurez-vous que la configuration des autorisations et les paramètres réseau de votre source de données externe sont corrects Amazon Kendra pour y accéder. Vous trouverez des instructions détaillées sur la configuration de vos sources de données dans la section des prérequis de chaque page de connecteur.

Vérifiez également vos Amazon VPC paramètres et assurez-vous que votre source de données externe est accessible depuis le sous-réseau auquel vous allez l'attribuer Amazon Kendra. Pour ce faire, nous vous recommandons de créer une Amazon EC2 instance dans le même sous-réseau avec les mêmes groupes de sécurité et de tester l'accès à votre source de données à partir de cette Amazon EC2 instance. Pour plus d'informations, consultez la section [Résolution des problèmes de Amazon VPC connexion](https://docs.aws.amazon.com/kendra/latest/dg/vpc-connector-troubleshoot.html). 

# Configuration d'une source Amazon Kendra de données à laquelle se connecter Amazon VPC
Connexion à Amazon VPC

Lorsque vous ajoutez une nouvelle source de données Amazon Kendra, vous pouvez utiliser la Amazon VPC fonctionnalité si le connecteur de source de données sélectionné prend en charge cette fonctionnalité. 

Vous pouvez configurer une nouvelle source de Amazon Kendra données Amazon VPC activée à l'aide de l'API AWS Management Console ou de l' Amazon Kendra API. Plus précisément, utilisez l’opération d’API [https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html), puis utilisez le paramètre `VpcConfiguration` pour fournir les informations suivantes :
+ `SubnetIds`— Une liste d'identifiants de sous-réseaux Amazon VPC 
+ `SecurityGroupIds`— Une liste d'identifiants de groupes de Amazon VPC sécurité

Si vous utilisez la console, vous fournissez les Amazon VPC informations requises lors de la configuration du connecteur. Pour utiliser la console afin d’activer la fonctionnalité Amazon VPC pour un connecteur, vous devez d’abord choisir un VPC Amazon. Ensuite, vous indiquez les identifiants de tous les sous-réseaux Amazon VPC et les identifiants de tous les groupes de sécurité Amazon VPC. Vous pouvez choisir les sous-réseaux Amazon VPC et les groupes de sécurité Amazon VPC que vous avez créés dans [Configuration d’Amazon VPC](https://docs.aws.amazon.com/kendra/latest/dg/connector-vpc-steps.html), ou utiliser les sous-réseaux existants.

**Topics**
+ [

## Affichage des Amazon VPC identifiants
](#viewing-vpc-identifiers)
+ [

## Vérification de votre IAM rôle dans la source de données
](#vpc-iam-roles)

## Affichage des Amazon VPC identifiants


Les identifiants des sous-réseaux et des groupes de sécurité sont configurés dans la Amazon VPC console. Pour afficher les identifiants, utilisez les procédures suivantes.

**Pour afficher les identificateurs de sous-réseau**

1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans le panneau de navigation, choisissez **Sous-réseaux**.

1. Dans la liste **Sous-réseaux**, sélectionnez le sous-réseau qui contient votre serveur de base de données.

1. Dans l’onglet **Détails**, notez l’identifiant dans le champ **ID de sous-réseau**.

**Pour afficher les identifiants des groupes de sécurité**

1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. À partir du panneau de navigation, sélectionnez **Groupes de sécurité**.

1. Dans la liste des groupes de sécurité, choisissez le groupe auquel vous souhaitez attribuer l’identifiant.

1. Dans l’onglet **Détails**, notez l’identifiant dans le champ **ID du groupe de sécurité**.

## Vérification de votre IAM rôle dans la source de données


Assurez-vous que votre rôle de source de données Gestion des identités et des accès AWS IAM(connecteur) contient les autorisations nécessaires pour accéder à votre Amazon VPC.

Si vous utilisez la console pour créer un nouveau rôle pour votre IAM rôle, ajoute Amazon Kendra automatiquement les autorisations appropriées à votre IAM rôle en votre nom. Si vous utilisez l'API ou utilisez un IAM rôle existant, vérifiez que votre rôle contient des autorisations d'accès Amazon VPC. Pour vérifier que vous disposez des autorisations appropriées, consultez la section [IAM Rôles du VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).

Vous pouvez modifier une source de données existante pour qu’elle utilise un sous-réseau Amazon VPC différent. Vérifiez toutefois le IAM rôle de votre source de données et, si nécessaire, modifiez-le pour qu'il reflète le changement afin que le connecteur de source de Amazon Kendra données fonctionne correctement.

# Connexion à une base de données dans un VPC
Connexion à une base de données

L'exemple suivant montre comment connecter une MySQL base de données exécutée dans un cloud privé virtuel (VPC). L'exemple suppose que vous commencez par votre VPC par défaut et que vous devez créer une MySQL base de données. Si vous possédez déjà un VPC, assurez-vous qu'il est configuré comme indiqué. Si vous avez une MySQL base de données, vous pouvez l'utiliser au lieu d'en créer une nouvelle.

**Topics**
+ [

## Étape 1 : Configuration d'un VPC
](#vpc-example-1)
+ [

## Étape 2 : créer et configurer des groupes de sécurité
](#vpc-example-2)
+ [

## Étape 3 : Création d'une base de données
](#vpc-example-3)
+ [

## Étape 4 : Création d'un connecteur de source de données
](#vpc-example-4)

## Étape 1 : Configuration d'un VPC


Configurez votre VPC de manière à disposer d'un sous-réseau privé et d'un groupe de sécurité pour accéder Amazon Kendra à une MySQL base de données exécutée dans le sous-réseau. Les sous-réseaux fournis dans la configuration VPC doivent se trouver dans la région USA Ouest (Oregon), la région USA Est (Virginie du Nord) ou la région Europe (Irlande).

**Pour configurer un VPC à l'aide de Amazon VPC**

1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans le volet de navigation, choisissez **Table de routage**, puis choisissez **Créer une table de routage**.

1. Dans le champ **Nom**, entrez**Private subnet route table**. **Dans la liste déroulante **VPC**, sélectionnez votre VPC, puis choisissez Créer une table de routage.** Choisissez **Fermer** pour revenir à la liste des tables de routage.

1. Dans le volet de navigation, choisissez les **passerelles NAT**, puis choisissez **Create NAT gateway**.

1. Dans la liste déroulante **Sous-réseau**, sélectionnez le sous-réseau public. Notez l'ID du sous-réseau.

1. Si vous n'avez pas d'adresse IP élastique, choisissez **Create New EIP**, **Create a NAT Gateway**, puis **Close**.

1. Dans le volet de navigation, choisissez **Route tables**.

1. Dans la liste des tables de routage, choisissez la **table de routage du sous-réseau privé** que vous avez créée à l'étape 3. Dans **Actions**, choisissez **Modifier les itinéraires**. 

1. Choisissez **Ajouter une route**. Pour la destination, entrez **0.0.0.0/0** pour autoriser tout le trafic sortant vers Internet. Pour **Target**, choisissez **NAT Gateway**, puis choisissez la passerelle que vous avez créée à l'étape 4. Choisissez **Enregistrer les modifications**, puis **Fermer**.

1. Dans **Actions**, choisissez **Modifier les associations de sous-réseaux**.

1. Choisissez les sous-réseaux que vous souhaitez rendre privés. Ne choisissez pas le sous-réseau avec la passerelle NAT que vous avez mentionnée précédemment. Choisissez **Enregistrer les associations** lorsque vous avez terminé.

## Étape 2 : créer et configurer des groupes de sécurité


Configurez ensuite les groupes de sécurité pour votre base de données.

**Pour créer et configurer des groupes de sécurité**

1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans la description de votre VPC, notez le IPv4 CIDR.

1. Dans le volet de navigation, choisissez **Security groups**, puis **Create security group**.

1. Sous **Security group name (Nom du groupe de sécurité)**, saisissez **DataSourceInboundSecurityGroup**. Fournissez une description, puis choisissez votre VPC dans la liste. Choisissez **Créer un groupe de sécurité**, puis **Fermer**.

1. Choisissez l’onglet **Inbound rules** (Règles entrantes).

1. Choisissez **Modifier les règles de trafic entrant**, puis sélectionnez **Ajouter une** règle

1. Pour une base de données, entrez le numéro de port pour la **plage de ports**. Par exemple, pour MySQL c'est**3306**, et pour HTTPS, c'est**443**. Pour la **source**, tapez le routage interdomaine sans classe (CIDR) de votre VPC. Choisissez **Enregistrer les règles**, puis **Fermer**.

Le groupe de sécurité permet à tous les membres du VPC de se connecter à la base de données et autorise les connexions sortantes vers Internet.

## Étape 3 : Création d'une base de données


Créez une base de données pour stocker vos documents, ou vous pouvez utiliser votre base de données existante.

Pour obtenir des instructions sur la création d'une MySQL base de données, consultez [https://docs.aws.amazon.com/kendra/latest/dg/data-source-mysql.html](https://docs.aws.amazon.com/kendra/latest/dg/data-source-mysql.html).

## Étape 4 : Création d'un connecteur de source de données


Après avoir configuré votre VPC et créé votre base de données, vous pouvez créer un connecteur de source de données pour la base de données. Pour plus d'informations sur les connecteurs de base de données compatibles Amazon Kendra , voir [Connecteurs pris en charge](https://docs.aws.amazon.com/kendra/latest/dg/data-sources.html).

Pour votre base de données, assurez-vous de configurer votre VPC, les sous-réseaux privés que vous avez créés dans votre VPC et le groupe de sécurité que vous avez créé dans votre VPC.

# Résolution des problèmes de connexion VPC


Si vous rencontrez des problèmes avec votre connexion au cloud privé virtuel (VPC), vérifiez que vos IAM autorisations, les paramètres du groupe de sécurité et les tables de routage du sous-réseau sont correctement configurés.

L'une des causes potentielles de l'échec de la synchronisation du connecteur de source de données est que la source de données est peut-être inaccessible depuis le sous-réseau auquel vous l'avez affectée. Amazon Kendra Pour résoudre ce problème, nous vous recommandons de créer une Amazon EC2 instance avec les mêmes Amazon VPC paramètres. Essayez ensuite d'accéder à la source de données depuis cette Amazon EC2 instance à l'aide d'appels d'API REST ou d'autres méthodes (en fonction du type spécifique de votre source de données).

Si vous accédez à la source de données depuis l' Amazon EC2 instance que vous créez, cela signifie que votre source de données est accessible depuis ce sous-réseau. Par conséquent, votre problème de synchronisation n'est pas lié au fait que votre source de données est inaccessible par Amazon VPC.

Si vous ne pouvez pas accéder à votre Amazon EC2 instance à partir de la configuration de votre VPC et la valider avec l' Amazon EC2 instance que vous avez créée, vous devez poursuivre le dépannage. Par exemple, si la synchronisation d'un Amazon S3 connecteur a échoué en raison d'erreurs liées à des problèmes de connexion, vous pouvez configurer une Amazon EC2 instance avec la même Amazon VPC configuration que celle que vous avez attribuée à votre Amazon S3 connecteur. Utilisez ensuite cette instance Amazon EC2 pour vérifier si vous avez Amazon VPC été correctement configurée.

Voici un exemple de configuration d'une Amazon EC2 instance pour résoudre les problèmes de Amazon VPC connexion à une source de Amazon S3 données.

**Topics**
+ [

## Étape 1 : Lancer une Amazon EC2 instance
](#vpc-connector-troubleshoot-1)
+ [

## Étape 2 : Se connecter à l' Amazon EC2 instance
](#vpc-connector-troubleshoot-2)
+ [

## Étape 3 : Tester Amazon S3 l'accès
](#vpc-connector-troubleshoot-3)

## Étape 1 : Lancer une Amazon EC2 instance


1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Sélectionnez **Lancer une instance**.

1. Choisissez **Paramètres réseau**, puis **Modifier**, puis procédez comme suit :

   1. Choisissez le même VPC et le même **sous-réseau** que ceux auxquels vous avez été affectés. Amazon Kendra

   1. Pour **Firewall (security groups)** (Pare-feu (groupes de sécurité), choisissez **Select existing security group** (Sélectionner un groupe de sécurité existant). Sélectionnez ensuite le groupe de sécurité auquel vous avez assigné Amazon Kendra.
**Note**  
Le groupe de sécurité doit autoriser le trafic sortant à Amazon S3.

   1. Définissez l'**attribution automatique de l'adresse IP publique** sur **Désactiver**.

   1. Dans **Détails avancés**, procédez comme suit : 
      + Pour le **profil d'instance IAM**, sélectionnez **Créer un nouveau profil IAM** pour créer et associer un profil d' IAM instance à votre instance. Assurez-vous que le profil dispose des autorisations d'accès Amazon S3. Pour plus d'informations, consultez [Comment puis-je accorder à mon Amazon EC2 instance l'accès à un Amazon S3 bucket ?](https://repost.aws/knowledge-center/ec2-instance-access-s3-bucket) dans AWS re:Post.
      + Conservez tous les autres paramètres par défaut.

   1. Vérifiez et lancez l' Amazon EC2 instance.

## Étape 2 : Se connecter à l' Amazon EC2 instance


Une fois que votre Amazon EC2 instance est en cours d'exécution, rendez-vous sur la page détaillée de votre instance et connectez-vous à votre instance. Pour ce faire, suivez les étapes décrites dans [Connect to your instances sans avoir besoin d'une adresse IPv4 publique à l'aide du point de terminaison EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-with-ec2-instance-connect-endpoint.html) dans le *guide de l'Amazon EC2 utilisateur pour les instances Linux*.

## Étape 3 : Tester Amazon S3 l'accès


Une fois connecté à votre terminal d' Amazon EC2 instance, exécutez une AWS CLI commande pour tester la connexion entre ce sous-réseau privé et votre Amazon S3 bucket.

Pour tester Amazon S3 l'accès, tapez la AWS CLI commande suivante dans le AWS CLI : `aws s3 ls`

Une fois la AWS CLI commande exécutée, passez en revue les points suivants :
+ Si vous avez correctement configuré les IAM autorisations nécessaires et que votre Amazon S3 configuration est correcte, vous devriez voir la liste de vos Amazon S3 buckets.
+ Si vous constatez des erreurs d'autorisation, par exemple`Access Denied`, il est probable que la configuration de votre VPC soit correcte, mais qu'il y a un problème avec vos IAM autorisations ou votre politique de Amazon S3 compartiment.

Si le délai de la commande est expiré, il est probable que votre connexion soit interrompue car la configuration de votre VPC est incorrecte et l'instance Amazon EC2 ne peut pas accéder à Amazon S3 depuis votre sous-réseau. Reconfigurez votre VPC, puis réessayez.