Jak utworzyć i skonfigurować role IAM dla DeepSeek i OpenSearch

Tworzenie ról IAM dla Deepseek

Aby zintegrować DeepSeek z OpenSearch, musisz stworzyć dwie role IAM: jedną do wywołania modelu Deepseek, a drugi do tworzenia złącza w OpenSearch.

1. Współpracuj rolę Deepseek **

1. Utwórz rolę: **
- Idź do konsoli zarządzania AWS IAM.
- Kliknij role w lewym okienku nawigacyjnym.
- Kliknij Utwórz rolę.
- Wybierz usługę AWS jako typ encji zaufanej.
- Wybierz usługę OpenSearch jako usługę, która będzie korzystać z roli.
- Przejdź do załączania uprawnień.

2. Dołącz uprawnienia: **
- Utwórz nową zasadę lub użyj istniejącego, który pozwala OpenSearch wywołać punkt końcowy Sagemaker.
- Polityka powinna zawierać działania takie jak „Sagemaker: InvokeendPoint` dla konkretnego punktu końcowego ARN.

3. Zaufaj relacja: **
- Upewnij się, że zasady zaufania pozwala na przyjęcie roli. Zazwyczaj wymaga to określenia usługi OpenSearch jako głównego w polityce zaufania.

2. Utwórz rolę złącza **

1. Utwórz rolę: **
- Powtórz kroki, aby stworzyć nową rolę.
- Tym razem wybierz kolejne konto AWS jako zaufany byt, jeśli używasz dostępu do konta, lub wybierz odpowiednią jednostkę na podstawie konfiguracji.

2. Dołącz uprawnienia: **
- Dołącz zasady, które pozwala pisać do usługi openomarowej, takie jak „es: eshttppost” dla konkretnej domeny OpenSearch ARN.

3. Zaufaj relacja: **
- Skonfiguruj zasady zaufania, aby umożliwić bieżącemu użytkownikowi lub konto na przyjęcie tej roli.

Konfigurowanie ról OpenSearch

1. Zdefiniuj role OpenSearch **

1. Dostęp do pulpitów OpenSearch: **
- Przejdź do domeny OpenSearch i dostępu do pulpitów OpenSearch.

2. Stwórz nową rolę: **
- Przejdź do bezpieczeństwa> role.
- Kliknij Utwórz rolę.
- Podaj nazwę roli i zdefiniuj niezbędne uprawnienia (np. Dostęp do odczytu/zapisu do określonych indeksów).

3. Role zaplecza map: **
- Jeśli integrujesz się z AWS IAM, musisz zmapować role IAM na role OpenSearch.
- Przejdź do roli, którą utworzyłeś w OpenSearch i wybierz zmapowane użytkowników> Zarządzaj mapowaniem.
- Wprowadź ARN roli IAM, którą stworzyłeś w celu wywołania Deepseek lub utworzenia złącza.

Integracja z AWS Iam Identity Center (opcjonalnie)

Jeśli korzystasz z AWS Iam Identity Center (wcześniej pojedyncze logowanie AWS) dla Federacji Identity, możesz mapować grupy Iam Identity Center na role openach z przy użyciu atrybutów SAML. Umożliwia to centralnie zarządzanie kontrolą dostępu.

1. Zintegruj centrum tożsamości IAM z OpenSearch: **
- Skonfiguruj integrację SAML między IAM Identity Center a usługą OpenSearch.
- Grupy map w Centrum Identyczności IAM do predefiniowanych ról opensearch na podstawie atrybutów SAML.

2. Skonfiguruj mapowanie ról zaplecza: **
- Zaloguj się do pulpitów OpenSearch jako administrator.
- Skonfiguruj mapowanie dla każdej grupy na odpowiednią rolę OpenSearch.

Postępując zgodnie z tymi krokami, możesz skutecznie tworzyć i skonfigurować role IAM dla DeepSeek i OpenSearch, zapewniając bezpieczny i kontrolowany dostęp do zasobów.

Cytaty:
[1] https://docs.aws.amazon.com/iam/latest/usergoide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tuorials/aws/rag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/usergoide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/role-access-control-in-amazon-opensearch-service-via-saml-integration-with-aws-iam-identity-tender/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-ervice-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-am-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html