Amazon VPC 搭配 Amazon S3 資料來源使用 - Amazon Kendra
步驟 1:設定 Amazon VPC(選用) 步驟 2:設定儲存 Amazon S3 貯體政策步驟 3:建立測試 Amazon S3 資料來源連接器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 搭配 Amazon S3 資料來源使用

本主題提供step-by-step範例,說明如何透過 Amazon S3 使用 Amazon S3 連接器連線至 Amazon S3 儲存貯體。此範例假設您從現有的 S3 儲存貯體開始。我們建議您只將一些文件上傳至 S3 儲存貯體,以測試範例。

您可以透過 Amazon Kendra 連線到儲存 Amazon S3 貯體 Amazon VPC。若要這樣做,您必須在建立 Amazon S3 資料來源連接器時指定 Amazon VPC 子網路和 Amazon VPC 安全群組。

重要

為了讓 Amazon Kendra Amazon S3 連接器可以存取您的儲存 Amazon S3 貯體,請確定您已將 Amazon S3 端點指派給虛擬私有雲端 (VPC)。

若要 Amazon Kendra 讓 從儲存 Amazon S3 貯體透過 同步文件 Amazon VPC,您必須完成下列步驟:

  • 設定 的 Amazon S3 端點 Amazon VPC。如需如何設定 Amazon S3 端點的詳細資訊,請參閱《 AWS PrivateLink 指南》中的適用於 的閘道端點 Amazon S3

  • (選用) 檢查您的儲存 Amazon S3 貯體政策,以確保可從您指派的虛擬私有雲端 (VPC) 存取儲存 Amazon S3 貯體 Amazon Kendra。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策控制 VPC 端點的存取

步驟 1:設定 Amazon VPC

建立 VPC 網路,包括具有 Amazon S3 閘道端點的私有子網路,以及 Amazon Kendra 供 稍後使用的安全群組。

使用私有子網路、S3 端點和安全群組設定 VPC

  1. 登入 AWS Management Console 並開啟位於 的 Amazon VPC 主控台https://console.aws.amazon.com/vpc/

  2. 建立具有私有子網路和 S3 端點的 VPC Amazon Kendra ,以供 使用:

    從導覽窗格中,選擇您的 VPCs,然後選擇建立 VPC

    1. 針對 Resources to create (建立資源),選擇 VPC and more (VPC 等)。

    2. 針對名稱標籤,啟用自動產生,然後輸入 kendra-s3-example

    3. 對於 IPv4/IPv6 CIDR 區塊,請保留預設值。

    4. 針對可用區域 (AZs) 的數量,選擇數字 1

    5. 選取自訂AZs,然後從第一個可用區域清單中選取可用區域

      Amazon Kendra 僅支援一組特定的可用區域。

    6. 針對公有子網路數量,選擇數字 0

    7. 針對私有子網路的數量,選擇數字 1

    8. 對於 NAT gateways (NAT 閘道),選擇 None (無)。

    9. 針對 VPC 端點,選擇Amazon S3 閘道。

    10. 將其餘的值保留在其預設設定中。

    11. 選取 Create VPC (建立 VPC)。

      等待建立 VPC 工作流程完成。然後,選擇檢視 VPC 以檢查您剛建立的 VPC

    您現在已建立具有私有子網路的 VPC 網路,該子網路無法存取公有網際網路。

  3. 複製 Amazon S3 端點的 VPC 端點 ID:

    1. 從導覽窗格中選擇端點

    2. 端點清單中,尋找您剛與 VPC 一起建立kendra-s3-example-vpce-s3的 Amazon S3 端點。

    3. 記下 VPC 端點 ID

    您現在已建立 Amazon S3 閘道端點,透過子網路存取 Amazon S3 儲存貯體。

  4. 為 建立 Amazon Kendra 要使用的安全群組

    1. 從導覽窗格中,選擇安全群組,然後選取建立安全群組

    2. 針對 Security group name (安全群組名稱),輸入 s3-data-source-security-group

    3. Amazon VPC清單中選擇您的 VPC。

    4. 傳入規則傳出規則保留為預設值。

    5. 選擇建立安全群組

    您現在已建立 VPC 安全群組。

您可以在連接器組態程序期間,將建立的子網路和安全群組指派給您的 Amazon Kendra Amazon S3 資料來源連接器。

(選用) 步驟 2:設定儲存 Amazon S3 貯體政策

在此選用步驟中,了解如何設定 Amazon S3 儲存貯體政策,以便只能從您指派的 VPC 存取 Amazon S3 儲存貯體 Amazon Kendra。

Amazon Kendra 使用 IAM 角色來存取 Amazon S3 儲存貯體,而且不需要設定 Amazon S3 儲存貯體政策。不過,如果您想要使用具有限制從公有網際網路存取之現有政策的 Amazon S3 儲存貯體來設定 Amazon S3 連接器,您可能會發現建立儲存貯體政策很有用。

設定儲存 Amazon S3 貯體政策

  1. 在 開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/

  2. 從導覽窗格中,選擇儲存貯體

  3. 選擇您要同步的 Amazon S3 儲存貯體名稱 Amazon Kendra。

  4. 選擇許可索引標籤,向下捲動至儲存貯體政策,然後按一下編輯

  5. 新增或修改儲存貯體政策,僅允許從您建立的 VPC 端點進行存取。

    以下為儲存貯體政策的範例。vpce-idbucket-name和 取代為您先前記下的 Amazon S3 儲存貯體名稱和 Amazon S3 端點 ID。

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-id"
        }
      }
    }
  ]
}

  6. 選取儲存變更

您的 S3 儲存貯體現在只能從您建立的特定 VPC 存取。

步驟 3:建立測試 Amazon S3 資料來源連接器

若要測試您的 Amazon VPC 組態,請 Amazon S3 建立 連接器。然後,按照中所述的步驟,使用您建立的 VPC 進行設定Amazon S3

針對 Amazon VPC 組態值,選擇您在此範例中建立的值:

  • Amazon VPC(VPC)kendra-s3-example-vpc

  • 子網路kendra-s3-example-subnet-private1-[availability zone]

  • 安全群組s3-data-source-security-group

等待您的連接器完成建立。建立 Amazon S3 連接器之後,立即選擇同步以啟動同步。

可能需要幾分鐘到幾個小時才能完成同步,具體取決於儲存 Amazon S3 貯體中的文件數量。若要測試範例,建議您只將一些文件上傳至 S3 儲存貯體。如果您的組態正確,最終應該會看到已完成同步狀態

如果您遇到任何錯誤,請參閱疑難排解 Amazon VPC 連線