Como usar a Amazon VPC com uma fonte de dados do Amazon S3 - Amazon Kendra
Etapa 1: configurar o Amazon VPC(Opcional) Etapa 2: configurar a política de bucket do Amazon S3Etapa 3: criar um conector de teste da fonte de dados do Amazon S3

Como usar a Amazon VPC com uma fonte de dados do Amazon S3

Este tópico fornece um exemplo detalhado que mostra como se conectar a um bucket do Amazon S3 usando um conector do Amazon S3 por meio da Amazon VPC. O exemplo pressupõe que você esteja começando com um bucket do S3 existente. Recomendamos que você faça upload de apenas alguns documentos no bucket do S3 para testar o exemplo.

Você pode se conectar o Amazon Kendra ao bucket do Amazon S3 por meio da Amazon VPC. Para fazer isso, você deve especificar a sub-rede da Amazon VPC e os grupos de segurança da Amazon VPC ao criar seu conector de fonte de dados do Amazon S3.

Importante

Para que um conector do Amazon Kendra para Amazon S3 possa acessar o bucket do Amazon S3, atribua um endpoint do Amazon S3 à sua nuvem privada virtual (VPC).

Para que o Amazon Kendra sincronize documentos do seu bucket do Amazon S3 por meio da Amazon VPC, você deve concluir as seguintes etapas:

  • Configure um endpoint do Amazon S3 para Amazon VPC. Para obter mais informações sobre como configurar um endpoint do Amazon S3, consulte Endpoints de gateway para Amazon S3 no Guia do usuário do AWS PrivateLink.

  • (Opcional) Verifique as políticas de bucket do Amazon S3 para garantir que o bucket do Amazon S3 seja acessível a partir da nuvem privada virtual (VPC) que você atribuiu ao Amazon Kendra. Consulte mais informações em Controlar o acesso a partir de endpoints da VPC com políticas de bucket no Guia do usuário do Amazon S3.

Etapa 1: configurar o Amazon VPC

Crie uma rede da VPC, incluindo uma sub-rede privada com um endpoint de gateway do Amazon S3 e um grupo de segurança para o Amazon Kendra usar posteriormente.

Como configurar uma VPC com uma sub-rede privada, um endpoint do S3 e um grupo de segurança

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Crie uma VPC com uma sub-rede privada e um endpoint do S3 para o Amazon Kendra usar:

    No painel de navegação, escolha Suas VPCs e Criar VPC.

    1. Em Resources to create (Recursos a serem criados), escolha VPC and more (VPC e mais).

    2. Em Tag de nome, ative Gerar automaticamente e insira kendra-s3-example.

    3. Em Bloco CIDR IPv4/IPv6, mantenha os valores padrão.

    4. Em Número de zonas de disponibilidade (AZs), escolha número 1.

    5. Selecione Personalizar AZs e escolha uma zona de disponibilidade na lista Primeira zona de disponibilidade.

      O Amazon Kendra só é compatível com um conjunto específico de zonas de disponibilidade.

    6. Em Número de sub-redes públicas, escolha número 0.

    7. Em Número de sub-redes privadas, escolha número 1.

    8. Em NAT gateways (Gateways NAT), escolha None (Nenhum).

    9. Em Endpoints da VPC, escolha Gateway do Amazon S3.

    10. Deixe o restante dos valores na configuração padrão.

    11. Selecione Create VPC (Criar VPC).

      Espere até que o fluxo de trabalho Criar VPC termine. Depois, escolha Visualizar VPC para verificar a VPC que você acabou de criar.

    Agora você criou uma rede da VPC com uma sub-rede privada, que não tem acesso à internet pública.

  3. Copie o ID do endpoint da VPC do endpoint do Amazon S3:

    1. No painel de navegação, escolha Endpoints.

    2. Na lista de Endpoints, encontre o endpoint kendra-s3-example-vpce-s3 do Amazon S3 que você acabou de criar junto com a VPC.

    3. Anote o ID do endpoint da VPC.

    Agora você criou um endpoint de gateway do Amazon S3 para acessar o bucket do Amazon S3 por meio de uma sub-rede.

  4. Crie um Grupo de segurança para o Amazon Kendra usar:

    1. No painel de navegação, escolha Grupos de segurança e Criar grupo de segurança.

    2. Em Nome do grupo de segurança, insira s3-data-source-security-group.

    3. Selecione a VPC na lista Amazon VPC.

    4. Deixe as regras de entrada e as regras de saída como padrão.

    5. Escolha Criar grupo de segurança.

    Agora você criou um grupo de segurança da VPC.

Você atribui a sub-rede e o grupo de segurança que criou ao conector de fonte de dados do Amazon S3 do Amazon Kendra durante o processo de configuração do conector.

(Opcional) Etapa 2: configurar a política de bucket do Amazon S3

Nessa etapa opcional, aprenda a configurar uma política de bucket do Amazon S3 para que o bucket do Amazon S3 só possa ser acessado pela VPC à qual você atribui ao Amazon Kendra.

O Amazon Kendra usa perfis do IAM para acessar o bucket do Amazon S3 e não exige que você configure uma política de bucket do Amazon S3. No entanto, talvez seja útil criar uma política de bucket se quiser configurar um conector do Amazon S3 usando um bucket do Amazon S3 que tenha políticas existentes que restringem o acesso a ele pela internet pública.

Como configurar a política de bucket do Amazon S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, selecione Buckets.

  3. Escolha o nome do bucket do Amazon S3 que você deseja sincronizar com o Amazon Kendra.

  4. Escolha a guia Permissões, role para baixo até a Política de bucket e clique em Editar.

  5. Adicione ou modifique a política de bucket para permitir acesso somente do endpoint da VPC que você criou.

    A seguir há um exemplo de política de bucket. Substitua bucket-name e vpce-id pelo nome do bucket do Amazon S3 e pelo ID do endpoint do Amazon S3 que você anotou anteriormente.

  6. Selecione Salvar alterações.

O bucket do S3 agora está acessível somente pela VPC específica que você criou.

Etapa 3: criar um conector de teste da fonte de dados do Amazon S3

Para testar a configuração da Amazon VPC, crie um conector do Amazon S3. Depois, configure-o com a VPC que você criou seguindo as etapas descritas em Amazon S3.

Para valores de configuração da Amazon VPC, escolha os valores que você criou durante este exemplo:

  • Amazon VPC(VPC)kendra-s3-example-vpc

  • Sub-redeskendra-s3-example-subnet-private1-[availability zone]

  • Grupos de seguranças3-data-source-security-group

Aguarde até a conclusão da criação do conector. Depois que o conector do Amazon S3 for criado, escolha Sincronizar agora para iniciar uma sincronização.

Pode levar de alguns minutos a várias horas para a sincronização ser concluída, dependendo de quantos documentos estão no bucket do Amazon S3. Para testar o exemplo, recomendamos que você faça upload de apenas alguns documentos para o bucket do S3. Se a configuração estiver correta, o Status de sincronização será exibido como Concluído.

Se ocorrer algum erro, consulte Como solucionar problemas de conexão da Amazon VPC.