Как создать и настроить свои роли для DeepSeek и OpenSearch

создание ролей для DeepSeek

Чтобы интегрировать DeepSeek с OpenSearch, вам нужно создать две роли IAM: одна для вызова модели DeepSeek, а другое для создания соединителя в OpenSearch.

1. Призывая роли DeepSeek **

1. Создайте роль: **
- Перейдите в консоли управления AWS IAM.
- Нажмите на роли на левой навигационной панели.
- Нажмите «Создать роль».
- Выберите сервис AWS в качестве доверенного типа сущности.
- Выберите службу OpenSearch в качестве сервиса, которая будет использовать эту роль.
- продолжить прикреплять разрешения.

2. Прикрепите разрешения: **
- Создайте новую политику или используйте существующую, которая позволяет OpenSearch вызывать вашу конечную точку SageMaker.
- Политика должна включать такие действия, как `SageMaker: InvokeendPoint` для конкретной конечной точки ARN.

3. Доверительные отношения: **
- Убедитесь, что доверительная политика позволяет Sepensearch Service взять на себя роль. Обычно это включает в себя указание службы OpenSearch в качестве основного суммы в политике доверия.

2. Создать роль разъема **

1. Создайте роль: **
- Повторите шаги, чтобы создать новую роль.
- На этот раз выберите другую учетную запись AWS в качестве доверенного объекта, если вы используете доступ к Cross-Account, или выберите соответствующую объект на основе вашей настройки.

2. Прикрепите разрешения: **
- Прикрепите политику, которая позволяет записать в службу OpenSearch Service, такую ​​как «ES: ESHTTPPOST» для конкретного домена OpenSearch ARN.

3. Доверительные отношения: **
- Настройте доверительный полис, чтобы позволить текущему пользователю или учетной записи взять на себя эту роль.

Настройка ролей OpenSearch

1. Определить роли OpenSearch **

1. Доступ Opensearch Dashboards: **
- Перейдите к вашему домену OpenSearch и доступительно, чтобы получить мониторные панели OpenSearch.

2. Создайте новую роль: **
- Перейти к безопасности> Роли.
- Нажмите «Создать роль».
- Предоставьте имя для роли и определите необходимые разрешения (например, доступ к прочтению/записи к конкретным индексам).

3. Карта Бэкэнд Роли: **
- Если вы интегрируете с AWS IAM, вам нужно будет сопоставить роли IAM на роли OpenSearch.
- Перейдите к роли, которую вы создали в OpenSearch и выберите «Пользователи»> «Управление картированием».
- Введите ARN роли IAM, которую вы создали для вызова DeepSeek или создания соединителя.

Интеграция с AWS IAM Identity Center (необязательно)

Если вы используете AWS IAM Identity Center (ранее Single Sing-On) для федерации идентификации, вы можете сопоставить группы IAM Identity Center на роли OpenSearch, используя атрибуты SAML. Это позволяет вам управлять контролем доступа в центре.

1. Интегрируйте IAM Identity Center с OpenSearch: **
- Установите интеграцию SAML между IAM Identity Center и Service Opensearch.
- Группы карт в Центре идентификации IAM для предопределенных ролей OpenSearch на основе атрибутов SAML.

2. Настройте отображение ролей бэкэнд: **
- Войдите в Dashboards Opensearch в качестве администратора.
- Настройте отображение для каждой группы на соответствующую роль OpenSearch.

Следуя этим шагам, вы можете эффективно создавать и настраивать роли IAM для DeepSeek и OpenSearch, обеспечивая безопасный и контролируемый доступ к вашим ресурсам.

Цитаты:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tutorials/aws/rag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/role на основе access-control-in-amazon-opensearch-service-via-saml-integration-with-aiam-iderity-center/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-service-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html