Hoe maak en configureer ik IAM -rollen voor Deepseek en OpenSearch

IAM -rollen maken voor Deepseek

Om Deepseek te integreren met OpenSearch, moet u twee IAM -rollen maken: een voor het oproepen van het DeepSeek -model en een andere voor het maken van een connector in OpenSearch.

1.

1. Maak de rol: **
- Ga naar de AWS IAM Management Console.
- Klik op rollen in het linker navigatiedeelster.
- Klik op Rol maken.
- Kies AWS -service als het vertrouwde entiteitstype.
- Selecteer OpenSearch -service als service die de rol zal gebruiken.
- Ga verder met het aansluiten van machtigingen.

2. Bevestig machtigingen: **
- Maak een nieuw beleid of gebruik een bestaande beleid waarmee OpenSearch uw Sagemaker -eindpunt kan oproepen.
- Het beleid moet acties zoals `sagemaker: InvokeEndpoint` bevatten voor het specifieke eindpunt ARN.

3. Vertrouwenrelatie: **
- Zorg ervoor dat het vertrouwensbeleid OpenSearch -service toestaat om de rol op zich te nemen. Dit omvat meestal het opgeven van de OpenSearch -service als de opdrachtgever in het trustbeleid.

2. Creëer connectorrol **

1. Maak de rol: **
- Herhaal de stappen om een ​​nieuwe rol te creëren.
- Kies deze keer een ander AWS-account als de vertrouwde entiteit als u Cross-Account Access gebruikt of de juiste entiteit selecteert op basis van uw installatie.

2. Bevestig machtigingen: **
- Bevestig een beleid waarmee schrijven kan worden geschreven, zoals `es: eShttpPost` voor het specifieke OpenSearch -domein ARN.

3. Vertrouwenrelatie: **
- Configureer het vertrouwensbeleid om de huidige gebruiker of account deze rol op zich te laten nemen.

OpenSearch -rollen configureren

1. Definieer OpenSearch -rollen **

1. Access OpenSearch Dashboards: **
- Navigeer naar uw OpenSearch -domein en toegang tot OpenSearch Dashboards.

2. Maak een nieuwe rol: **
- Ga naar de beveiliging> Rollen.
- Klik op Rol maken.
- Geef een naam voor de rol en definieer de nodige machtigingen (bijv. Lees-/schrijftoegang tot specifieke indexen).

3. Kaart backend -rollen: **
- Als u integreert met AWS IAM, moet u de IAM -rollen toewijzen aan OpenSearch -rollen.
- Ga naar de rol die u in OpenSearch hebt gemaakt en selecteer Gemaakte gebruikers> Mapping beheren.
- Voer de ARN in van de IAM -rol die u hebt gemaakt voor het aanroepen van Deepseek of het maken van een connector.

Integratie met AWS IAM Identity Center (optioneel)

Als u AWS IAM Identity Center (voorheen AWS Single Sign-On) voor Identity Federation gebruikt, kunt u IAM Identity Center-groepen toewijzen aan OpenSearch-rollen met behulp van SAML-attributen. Hiermee kunt u centraal toegangscontrole beheren.

1. Integreer IAM Identity Center met OpenSearch: **
- Stel SAML -integratie in tussen IAM Identity Center en OpenSearch -service.
- Kaartgroepen in IAM Identity Center om vooraf gedefinieerde OpenSearch -rollen op basis van SAML -attributen.

2. Configureer backend -rolmapping: **
- Log in op OpenSearch Dashboards als beheerder.
- Configureer de toewijzing voor elke groep naar de juiste OpenSearch -rol.

Door deze stappen te volgen, kunt u IAM -rollen effectief maken en configureren voor Deepseek en OpenSearch, waardoor veilige en gecontroleerde toegang tot uw bronnen wordt gewaarborgd.

Citaten:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/penSearch-project/ml-Commons/Blob/Main/docs/Tutorials/aws/Ag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/role based-access-control-in-amazon-penSearch-Service-via-saml-integration-with-Aws-iam-iodity-center/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-service-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/ManagedServices/Latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/penSearch-Service/Latest/Developguide/ac.html