Come posso creare e configurare ruoli IAM per DeepSeek e OpenSearch

Creazione di ruoli IAM per DeepSeek

Per integrare DeepSeek con OpenSearch, è necessario creare due ruoli IAM: uno per invocare il modello DeepSeek e un altro per la creazione di un connettore in OpenSearch.

1. Invoca il ruolo di profondo **

1. Crea il ruolo: **
- Vai alla console di gestione AWS iam.
- Fare clic su Ruoli nel riquadro di navigazione a sinistra.
- Fai clic su Crea ruolo.
- Scegli il servizio AWS come tipo di entità affidabile.
- Seleziona il servizio OpenSearch come servizio che utilizzerà il ruolo.
- Procedere alle autorizzazioni allegate.

2. Allega autorizzazioni: **
- Crea una nuova politica o usa una esistente che consente a OpenSearch di invocare l'endpoint del sagemaker.
- La politica dovrebbe includere azioni come `SageMaker: InvokeEndpoint` per l'Endpoint Arn specifico.

3. Relazione fiducia: **
- Garantire che la politica di fiducia consenta al servizio OpenSearch di assumere il ruolo. Ciò implica in genere specificare il servizio OpenSearch come principale della politica fiduciaria.

2. Crea ruolo del connettore **

1. Crea il ruolo: **
- Ripeti i passaggi per creare un nuovo ruolo.
- Questa volta, scegli un altro account AWS come entità affidabile se si utilizza l'accesso incrociato o seleziona l'entità appropriata in base alla configurazione.

2. Allega autorizzazioni: **
- Allegare una politica che consente la scrittura al servizio di OpenSearch, come `es: eshttppost` per il dominio di opensearch specifico ARN.

3. Relazione fiducia: **
- Configurare il criterio fiduciario per consentire all'utente o all'account corrente di assumere questo ruolo.

Configurazione di ruoli OpenSearch

1. Definisci ruoli OpenSearch **

1. Accesso Dashboard OpenSearch: **
- Passa al dominio OpenSearch e ai dashboard OpenSearch Accesso.

2. Crea un nuovo ruolo: **
- Vai a Ruoli di sicurezza>.
- Fai clic su Crea ruolo.
- Fornire un nome per il ruolo e definire le autorizzazioni necessarie (ad es. Accesso di lettura/scrittura a indici specifici).

3. Mappa Ruoli del backend: **
- Se stai integrando con AWS IAM, dovrai mappare i ruoli IAM in ruoli di opensearch.
- Vai al ruolo che hai creato in OpenSearch e seleziona Utenti mappati> Gestisci mappatura.
- Inserisci l'arn del ruolo IAM che hai creato per invocare DeepSeek o creare un connettore.

integrazione con AWS iam Identity Center (opzionale)

Se stai usando AWS IAM Identity Center (precedentemente Single Sign-on) per la Federazione Identity, è possibile mappare i gruppi del Centro di identità IAM a OpenSearch Ruoli usando gli attributi SAML. Ciò consente di gestire il controllo degli accessi centralmente.

1. Integrare IAM Identity Center con OpenSearch: **
- Imposta l'integrazione SAML tra IAM Identity Center e OpenSearch Service.
- Mappe Gruppi nel Centro di identità IAM in ruoli OpenSearch predefiniti basati sugli attributi SAML.

2. Configura mappatura del ruolo di backend: **
- Accedi alle dashboard OpenSearch come amministratore.
- Configurare la mappatura per ciascun gruppo nel ruolo di opportuno OpenSearch.

Seguendo questi passaggi, è possibile creare e configurare efficacemente ruoli IAM per DeepSeek e OpenSearch, garantendo un accesso sicuro e controllato alle tue risorse.

Citazioni:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-moles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tutorials/aws/rag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/role-best-access-control-in-amazon-opensearch-service-via-saml-integration-with-aws-iam-Identity-center/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-service-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/developingerguide/ac.html