Amazon Kendra、Amazon Kendra Intelligent Ranking 和接口 VPC 端点(AWS PrivateLink)
您可以通过创建接口 VPC 端点在 VPC 与 Amazon Kendra 之间建立私有连接。接口端点由 AWS PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
Amazon Kendra 和 Amazon Kendra Intelligent Ranking VPC 端点的注意事项
在为 Amazon Kendra 或 Amazon Kendra Intelligent Ranking 设置接口 VPC 端点之前,请务必查看《Amazon VPC 用户指南》中的 prerequisites 部分。
Amazon Kendra 和 Amazon Kendra Intelligent Ranking 支持从 VPC 调用其所有 API 操作。
为 Amazon Kendra 和 Amazon Kendra Intelligent Ranking 创建接口 VPC 端点
您可以使用 Amazon Kendra 控制台或 AWS Command Line Interface(AWS CLI)为 Amazon Kendra 或 Amazon Kendra Intelligent Ranking 服务创建 VPC 端点。
使用以下服务名称为 Amazon Kendra 创建 VPC 端点:
-
com.amazonaws.
region.kendra
使用以下服务名称为 Amazon Kendra Intelligent Ranking 创建 VPC 端点:
-
aws.api.
region.kendra-ranking
在创建 VPC 端点后,您可以使用以下示例 AWS CLI 命令,这些命令使用 endpoint-url 参数指定连接到 Amazon Kendra API 端点的接口端点:
aws kendra list-indices --endpoint-url https://VPC endpoint
VPC 端点是创建接口端点时生成的 DNS 名称。此名称包括 VPC 端点 ID 和 Amazon Kendra 服务名称,后者包括区域。例如,vpce-1234-abcdef.kendra.us-west-2.vpce.amazonaws.com。
如果为端点激活私有 DNS,则可使用区域默认 DNS 名称向 Amazon Kendra 发出 API 请求。例如,kendra.us-east-1.amazonaws.com。
有关更多信息,请参阅《Amazon VPC User Guide》中的 Creating an interface endpoint。
为 Amazon Kendra 和 Amazon Kendra Intelligent Ranking 创建 VPC 端点策略
您可以为 VPC 端点附加控制对 Amazon Kendra 或 Amazon Kendra Intelligent Ranking 的访问的端点策略。
Amazon Kendra 或 Amazon Kendra Intelligent Ranking 策略指定了以下信息:
-
可执行操作的主体/授权用户。
-
可执行的操作。
-
可对其执行操作的资源。
示例:Amazon Kendra 操作的 VPC 端点策略
下面是用于 Amazon Kendra 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体/授权用户授予对所有可用 Amazon Kendra 操作的访问权限。
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "kendra:*" ], "Resource":"*" } ] }
示例:Amazon Kendra Intelligent Ranking 操作的 VPC 端点策略
下面是用于 Amazon Kendra Intelligent Ranking 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体/授权用户授予对所有可用 Amazon Kendra Intelligent Ranking 操作的访问权限。
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "kendra-ranking:*" ], "Resource":"*" } ] }
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用端点策略控制对 VPC 端点的访问。
