Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configurazione Amazon Kendra per l'utilizzo di un Amazon VPC Amazon Kendra può connettersi a un cloud privato virtuale (VPC) con cui è stato creato Amazon Virtual Private Cloud per indicizzare i contenuti archiviati in fonti di dati in esecuzione nel cloud privato. Quando si crea un connettore per origini dati, è possibile fornire identificatori di gruppo di sicurezza e sottorete per la sottorete che contiene l’origine dati. Con queste informazioni, Amazon Kendra crea un'interfaccia di rete elastica che utilizza per comunicare in modo sicuro con la fonte di dati all'interno del VPC. Per configurare un connettore di origine Amazon Kendra dati con Amazon VPC, puoi utilizzare l'operazione Console di gestione AWS o l'[CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API. In caso di utilizzo della console, connetti un VPC durante il processo di configurazione del connettore. **Nota** La Amazon VPC funzionalità è facoltativa quando si configura un connettore di origine Amazon Kendra dati. Se la fonte di dati è accessibile dalla rete Internet pubblica, non è necessario abilitare la Amazon VPC funzione. Non tutti i connettori Amazon Kendra per origini dati supportano Amazon VPC. Se la tua origine dati non è in esecuzione Amazon VPC e non è accessibile dalla rete Internet pubblica, devi innanzitutto connetterla al tuo VPC utilizzando una rete privata virtuale (VPN). Quindi, puoi connettere la tua fonte di dati Amazon Kendra utilizzando una combinazione di Amazon VPC e AWS Virtual Private Network. Per ulteriori informazioni sulla configurazione di una VPN, consulta la [documentazione Site-to-Site VPN](https://docs.aws.amazon.com/vpn/). **Topics** + [ # Configurazione del Amazon VPC supporto per i connettori Amazon Kendra ](connector-vpc-steps.md) + [ # Configura un'origine Amazon Kendra dati a cui connetterti Amazon VPC ](connector-vpc-setup.md) + [ # Connessione a un database in un VPC ](vpc-example.md) + [ # Risoluzione dei problemi di connessione VPC ](vpc-connector-troubleshoot.md) # Configurazione del Amazon VPC supporto per i connettori Amazon Kendra Configurazione Amazon VPC Per configurarlo Amazon VPC per l'uso con i Amazon Kendra connettori, procedi nel seguente modo. **Topics** + [ ## Passaggio 1. Crea Amazon VPC sottoreti per Amazon Kendra ](#connector-vpc-prerequisites-1) + [ ## Passaggio 2. Crea gruppi di Amazon VPC sicurezza per Amazon Kendra ](#connector-vpc-prerequisites-2) + [ ## Fase 3. Configura la tua fonte di dati esterna e Amazon VPC ](#connector-vpc-prerequisites-3) ## Passaggio 1. Crea Amazon VPC sottoreti per Amazon Kendra Crea o scegli una Amazon VPC sottorete esistente che Amazon Kendra puoi utilizzare per accedere alla tua fonte di dati. Le sottoreti preparate devono trovarsi in una delle seguenti zone di disponibilità Regioni AWS e in una delle seguenti zone di disponibilità: + Stati Uniti occidentali (Oregon)/us-west-2—usw2-az1, usw2-az2, usw2-az3 + Stati Uniti orientali (Virginia settentrionale)/us-east-1—use1-az1, use1-az2, use1-az4 + Stati Uniti orientali (Ohio) /us-east-2—use2-az1, use2-az2, use2-az3 + Asia Pacifico (Tokyo) /ap-northeast-1—apne1-az1, apne1-az2, apne1-az4 + Asia Pacifico (Mumbai) /ap-south-1—aps1-az1, aps1-az2, aps1-az3 + Asia Pacifico (Singapore) /ap-sutheast-1—apse1-az1, apse1-az2, apse1-az3 + Asia Pacifico (Sydney)/ap-southeast-2—apse2-az1, apse2-az2, apse2-az3 + Canada (centrale) /ca-central-1—cac1-az1, cac1-az2, cac1-az4 + Europa (Irlanda) /eu-west-1—euw1-az1, uew1-az2, euw1-az3 + Europa (Londra) /eu-west-2—euw2-az1, euw2-az2, euw2-az3 L’origine dati deve essere accessibile dalle sottoreti fornite al connettore Amazon Kendra . Per ulteriori informazioni su come configurare le Amazon VPC sottoreti, consulta [Subnet for your nella Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) Amazon *VPC* User Guide. Se Amazon Kendra devi instradare la connessione tra due o più sottoreti, puoi preparare più sottoreti. Ad esempio, la sottorete che contiene l’origine dati ha esaurito gli indirizzi IP. In tal caso, è possibile fornire una sottorete aggiuntiva Amazon Kendra con indirizzi IP sufficienti e connessa alla prima sottorete. Se si elencano più sottoreti, le sottoreti devono essere in grado di comunicare tra loro. ## Passaggio 2. Crea gruppi di Amazon VPC sicurezza per Amazon Kendra Per connettere il connettore di origine Amazon Kendra dati a Amazon VPC, devi preparare uno o più gruppi di sicurezza dal tuo VPC a cui assegnare. Amazon Kendra I gruppi di sicurezza verranno associati all’interfaccia di rete elastica creata da Amazon Kendra. Questa interfaccia di rete controlla il traffico in entrata e in uscita da e verso le Amazon Kendra sottoreti. Amazon VPC Assicurati che le regole in uscita del gruppo di sicurezza consentano al traffico proveniente dai connettori Amazon Kendra per origini dati di accedere alle sottoreti e all’origine dati con cui intendi effettuare la sincronizzazione. Ad esempio, si potrebbe utilizzare un connettore per MySQL per la sincronizzazione da un database MySQL. Se si utilizza la porta predefinita, i gruppi di sicurezza devono consentire l'accesso Amazon Kendra alla porta 3306 sull'host che esegue il database. Ti consigliamo di configurare un gruppo di sicurezza predefinito con i seguenti valori Amazon Kendra da utilizzare: + **Regole in entrata**: se si sceglie di lasciare questo campo vuoto, tutto il traffico in entrata verrà bloccato. + **Regole in uscita**: aggiungi una regola per consentire tutto il traffico in uscita in modo da Amazon Kendra poter avviare le richieste di sincronizzazione dalla tua fonte di dati. + **Versione IP:** IPv4 + **Tipo**: tutto il traffico + **Protocollo**: tutto il traffico + **Intervallo di porte**: tutto + **Destinazione** — 0.0.0.0/0 Per ulteriori informazioni su come configurare i gruppi Amazon VPC di sicurezza, consulta [le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) nella *Amazon VPC User Guide*. ## Fase 3. Configura la tua fonte di dati esterna e Amazon VPC Assicurati che l'origine dati esterna disponga della configurazione delle autorizzazioni e delle impostazioni di rete corrette Amazon Kendra per accedervi. È possibile trovare istruzioni dettagliate su come configurare le origini dati nella sezione dei prerequisiti di ogni pagina del connettore. Inoltre, controlla Amazon VPC le impostazioni e assicurati che la fonte di dati esterna sia raggiungibile dalla sottorete a cui intendi assegnarla. Amazon Kendra A tale scopo, ti consigliamo di creare un' Amazon EC2 istanza nella stessa sottorete con gli stessi gruppi di sicurezza e di testare l'accesso alla fonte di dati da questa istanza. Amazon EC2 Per ulteriori informazioni, consulta [Risoluzione dei problemi di Amazon VPC connessione.](https://docs.aws.amazon.com/kendra/latest/dg/vpc-connector-troubleshoot.html) # Configura un'origine Amazon Kendra dati a cui connetterti Amazon VPC Connessione a Amazon VPC Quando aggiungi una nuova origine dati in Amazon Kendra, puoi utilizzare la Amazon VPC funzione se il connettore di origine dati selezionato supporta questa funzionalità. Puoi configurare una nuova fonte di Amazon Kendra dati Amazon VPC abilitandola utilizzando Console di gestione AWS o l' Amazon Kendra API. In particolare, utilizza l’operazione API [https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html), quindi utilizza il parametro `VpcConfiguration` per fornire le seguenti informazioni: + `SubnetIds`— Un elenco di identificatori di sottoreti Amazon VPC + `SecurityGroupIds`— Un elenco di identificatori di gruppi di sicurezza Amazon VPC Se si utilizza la console, si forniscono le Amazon VPC informazioni richieste durante la configurazione del connettore. Per utilizzare la console per abilitare la funzionalità Amazon VPC per un connettore, è necessario prima scegliere un Amazon VPC. Quindi, vengono forniti gli identificatori di tutte le sottoreti Amazon VPC e gli identificatori di qualsiasi gruppo di sicurezza Amazon VPC. È possibile scegliere le sottoreti Amazon VPC e i gruppi di sicurezza Amazon VPC creati in [Configurazione di Amazon VPC](https://docs.aws.amazon.com/kendra/latest/dg/connector-vpc-steps.html) o utilizzare quelli esistenti. **Topics** + [ ## Visualizzazione degli Amazon VPC identificatori ](#viewing-vpc-identifiers) + [ ## Verifica del tuo ruolo di fonte di IAM dati ](#vpc-iam-roles) ## Visualizzazione degli Amazon VPC identificatori Gli identificatori per le sottoreti e i gruppi di sicurezza sono configurati nella console. Amazon VPC Per visualizzare gli identificatori, utilizza le procedure riportate di seguito. **Come visualizzare gli identificatori di sottoreti** 1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Dal riquadro di navigazione, scegli **Sottoreti**. 1. Dall’elenco delle **Sottoreti**, scegli la sottorete che contiene il server del database. 1. Nella scheda **Dettagli**, annota l’identificatore nel campo **ID sottorete**. **Come visualizzare gli identificatori dei gruppi di sicurezza** 1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Dal riquadro di navigazione, scegli **Gruppi di sicurezza**. 1. Dall’elenco dei gruppi di sicurezza, scegli il gruppo per il quale desideri l’identificatore. 1. Dalla scheda **Dettagli**, annota l’identificatore nel campo **ID del gruppo di sicurezza**. ## Verifica del tuo ruolo di fonte di IAM dati Assicurati che il ruolo Data Source Connector AWS Identity and Access Management IAM() contenga le autorizzazioni per accedere al tuo Amazon VPC. Se utilizzi la console per creare un nuovo ruolo per il tuo IAM ruolo, aggiunge Amazon Kendra automaticamente le autorizzazioni corrette al IAM ruolo per tuo conto. Se utilizzi l'API o utilizzi un IAM ruolo esistente, verifica che il ruolo contenga le autorizzazioni di accesso. Amazon VPC Per verificare di disporre delle autorizzazioni corrette, consulta [IAM ruoli per VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc). È possibile modificare un’origine dati esistente per utilizzare una sottorete Amazon VPC diversa. Tuttavia, controlla il IAM ruolo della tua fonte di dati e, se necessario, modificala per rispecchiare la modifica relativa al corretto funzionamento del connettore di origine Amazon Kendra dati. # Connessione a un database in un VPC Connessione a un database L'esempio seguente mostra come connettere un MySQL database in esecuzione in un cloud privato virtuale (VPC). L'esempio presuppone che si stia iniziando con il VPC predefinito e che sia necessario creare un MySQL database. Se hai già un VPC, assicurati che sia configurato come mostrato. Se hai un MySQL database, puoi usarlo invece di crearne uno nuovo. **Topics** + [ ## Fase 1: Configurazione di un VPC ](#vpc-example-1) + [ ## Passaggio 2: creare e configurare gruppi di sicurezza ](#vpc-example-2) + [ ## Fase 3: Creare un database ](#vpc-example-3) + [ ## Fase 4: Creare un connettore per l'origine dati ](#vpc-example-4) ## Fase 1: Configurazione di un VPC Configura il tuo VPC in modo da avere una sottorete privata e un gruppo di sicurezza per accedere Amazon Kendra a un MySQL database in esecuzione nella sottorete. Le sottoreti fornite nella configurazione VPC devono trovarsi nella regione Stati Uniti occidentali (Oregon), nella regione Stati Uniti orientali (Virginia settentrionale) o nella regione Europa (Irlanda). **Per configurare un VPC utilizzando Amazon VPC** 1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Dal pannello di navigazione, scegli **Tabelle di percorsi**, quindi scegli **Crea tabella di percorsi.** 1. Per il campo **Nome**, inserisci**Private subnet route table**. **Dal menu a discesa **VPC**, seleziona il tuo VPC, quindi scegli Crea tabella di percorsi.** Scegli **Chiudi** per tornare all'elenco delle tabelle dei percorsi. 1. Dal pannello di navigazione, scegli Gateway **NAT, quindi scegli Crea gateway** **NAT**. 1. Dal menu a discesa **Subnet**, scegli la sottorete che è la sottorete pubblica. Prendi nota dell'ID della sottorete. 1. **Se non disponi di un indirizzo IP elastico, scegli **Crea nuovo EIP**, scegli **Crea un gateway NAT** e quindi scegli Chiudi.** 1. Dal pannello di navigazione, scegli Tabelle dei **percorsi**. 1. Dall'elenco delle tabelle di routing, scegli la tabella di **routing della sottorete privata** che hai creato nel passaggio 3. Da **Azioni**, scegli **Modifica percorsi**. 1. Seleziona **Aggiungi route**. Per la destinazione, inserisci **0.0.0.0/0** per consentire tutto il traffico in uscita verso Internet. Per **Target**, scegli **NAT Gateway**, quindi scegli il gateway creato nel passaggio 4. Scegli **Salva modifiche**, quindi scegli **Chiudi**. 1. In **Azioni**, scegli **Modifica associazioni di sottoreti**. 1. Scegli le sottoreti che desideri siano private. Non scegliete la sottorete con il gateway NAT che avete annotato in precedenza. Scegli **Salva associazioni** quando hai finito. ## Passaggio 2: creare e configurare gruppi di sicurezza Quindi, configura i gruppi di sicurezza per il tuo database. **Per creare e configurare gruppi di sicurezza** 1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Dalla descrizione del tuo VPC, prendi nota del IPv4 CIDR. 1. Dal pannello di navigazione, scegli **Gruppi di sicurezza**, quindi scegli **Crea gruppo di sicurezza**. 1. In **Security group name (Nome gruppo di sicurezza)** immettere **DataSourceInboundSecurityGroup**. Fornisci una descrizione, quindi scegli il tuo VPC dall'elenco. Scegli **Crea gruppo di sicurezza**, quindi scegli **Chiudi**. 1. Selezionare la scheda **Regole in entrata**. 1. Scegli **Modifica regole in entrata**, quindi scegli **Aggiungi** regola 1. Per un database, inserisci il numero di porta per l'**intervallo di porte**. Ad esempio, per MySQL it è**3306**, e, per HTTPS, è**443**. Per il **codice Source**, digita il Classless Inter-Domain Routing (CIDR) del tuo VPC. **Scegli **Salva regole, quindi scegli Chiudi**.** Il gruppo di sicurezza consente a chiunque all'interno del VPC di connettersi al database e consente connessioni in uscita a Internet. ## Fase 3: Creare un database Crea un database per archiviare i tuoi documenti oppure puoi utilizzare il database esistente. Per istruzioni su come creare un MySQL database, consulta [https://docs.aws.amazon.com/kendra/latest/dg/data-source-mysql.html](https://docs.aws.amazon.com/kendra/latest/dg/data-source-mysql.html). ## Fase 4: Creare un connettore per l'origine dati Dopo aver configurato il VPC e creato il database, puoi creare un connettore di origine dati per il database. Per informazioni sui connettori di database Amazon Kendra supportati, consulta [Connettori supportati](https://docs.aws.amazon.com/kendra/latest/dg/data-sources.html). Per il tuo database, assicurati di configurare il tuo VPC, le sottoreti private che hai creato nel tuo VPC e il gruppo di sicurezza che hai creato nel tuo VPC. # Risoluzione dei problemi di connessione VPC In caso di problemi con la connessione al cloud privato virtuale (VPC), verifica che IAM le autorizzazioni, le impostazioni dei gruppi di sicurezza e le tabelle di routing della sottorete siano configurate correttamente. Una possibile causa di una mancata sincronizzazione del connettore di origine dati è che l'origine dati potrebbe non essere raggiungibile dalla sottorete a cui è stata assegnata. Amazon Kendra Per risolvere questo problema, ti consigliamo di creare un' Amazon EC2 istanza con le stesse impostazioni. Amazon VPC Quindi, prova ad accedere all'origine dati da questa Amazon EC2 istanza utilizzando chiamate API REST o altri metodi (in base al tipo specifico di origine dati). Se accedi con successo all'origine dati dall' Amazon EC2 istanza che crei, significa che l'origine dati è raggiungibile da questa sottorete. Pertanto, il problema di sincronizzazione non è correlato all'inaccessibilità della fonte di dati da. Amazon VPC Se non riesci ad accedere all' Amazon EC2 istanza dalla configurazione del VPC e a convalidarla con l' Amazon EC2 istanza che hai creato, devi risolvere ulteriormente i problemi. Ad esempio, se hai un Amazon S3 connettore la cui sincronizzazione non è riuscita a causa di errori relativi a problemi di connessione, puoi configurare un' Amazon EC2 istanza con la stessa Amazon VPC configurazione che hai assegnato al connettore. Amazon S3 Quindi, usa questa istanza Amazon EC2 per verificare se la tua Amazon VPC è stata configurata correttamente. Di seguito è riportato un esempio di configurazione di un' Amazon EC2 istanza per risolvere i problemi di Amazon VPC connessione con un' Amazon S3 origine dati. **Topics** + [ ## Fase 1: Avviare un'istanza Amazon EC2 ](#vpc-connector-troubleshoot-1) + [ ## Passaggio 2: Connect all' Amazon EC2 istanza ](#vpc-connector-troubleshoot-2) + [ ## Fase 3: Verifica l'accesso Amazon S3 ](#vpc-connector-troubleshoot-3) ## Fase 1: Avviare un'istanza Amazon EC2 1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Seleziona **Avvia un'istanza**. 1. Scegli **Impostazioni di rete**, quindi scegli **Modifica**, quindi esegui le seguenti operazioni: 1. Scegli lo stesso VPC e la stessa **sottorete** a cui hai assegnato. Amazon Kendra 1. Per **Firewall (gruppi di sicurezza)**, scegli **Seleziona un gruppo di sicurezza esistente**. Quindi, seleziona il gruppo di sicurezza a cui sei stato assegnato. Amazon Kendra **Nota** Il gruppo di sicurezza dovrebbe consentire al traffico in uscita di Amazon S3. 1. **Imposta **Assegna automaticamente l'IP pubblico** su Disabilita.** 1. In **Dettagli avanzati, procedi** come segue: + Per il **profilo dell'istanza IAM**, seleziona **Crea nuovo profilo IAM** per creare e allegare un profilo di IAM istanza alla tua istanza. Assicurati che il profilo disponga delle autorizzazioni di accesso Amazon S3. Per ulteriori informazioni, vedi [Come posso concedere alla mia Amazon EC2 istanza l'accesso a un Amazon S3 bucket](https://repost.aws/knowledge-center/ec2-instance-access-s3-bucket)? nel AWS re:Post. + Lascia tutte le altre impostazioni come predefinite. 1. Rivedi e avvia l' Amazon EC2 istanza. ## Passaggio 2: Connect all' Amazon EC2 istanza Dopo l'esecuzione dell' Amazon EC2 istanza, vai alla pagina dei dettagli dell'istanza e connettiti all'istanza. A tale scopo, segui la procedura descritta in [Connetti alle tue istanze senza richiedere un indirizzo IPv4 pubblico utilizzando l'endpoint EC2 Instance Connect nella Guida per *Amazon EC2 l'utente per le* istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-with-ec2-instance-connect-endpoint.html) Linux. ## Fase 3: Verifica l'accesso Amazon S3 Dopo esserti connesso al terminale dell' Amazon EC2 istanza, esegui un AWS CLI comando per testare la connessione da questa sottorete privata al tuo Amazon S3 bucket. Per testare Amazon S3 l'accesso, digita il seguente AWS CLI comando in: AWS CLI`aws s3 ls` Dopo l'esecuzione del AWS CLI comando, esaminate quanto segue: + Se hai impostato correttamente le IAM autorizzazioni necessarie e la Amazon S3 configurazione è corretta, dovresti vedere un elenco dei tuoi Amazon S3 bucket. + Se riscontri errori di autorizzazione`Access Denied`, ad esempio, è probabile che la configurazione del tuo VPC sia corretta, ma c'è qualcosa che non va nelle tue IAM autorizzazioni o nella politica del bucket. Amazon S3 Se il comando è scaduto, è probabile che la connessione stia scadendo perché la configurazione del VPC non è corretta e l'istanza Amazon EC2 non può accedere ad Amazon S3 dalla sottorete. Riconfigura il tuo VPC e riprova.