¿Cómo creo y configuro los roles IAM para Deepseek y OpenSearch?

Creación de roles IAM para Deepseek

Para integrar Deepseek con OpenSearch, debe crear dos roles IAM: uno para invocar el modelo Deepseek y otro para crear un conector en OpenSearch.

1. Invocar el rol de Deepseek **

1. Crea el papel: **
- Vaya a la consola de gestión de AWS IAM.
- Haga clic en roles en el panel de navegación izquierda.
- Haga clic en Crear rol.
- Elija el servicio AWS como el tipo de entidad confiable.
- Seleccione el servicio OpenSearch como el servicio que utilizará el rol.
- proceda a adjuntar permisos.

2. Adjunte permisos: **
- Cree una nueva política o use una existente que permita que OpenSearch invoque su punto final de Sagemaker.
- La política debe incluir acciones como `Sagemaker: InvokeEndpoint` para el ARN de punto final específico.

3. Relación de confianza: **
- Asegúrese de que la política de fideicomiso permita que OpenSearch el servicio asumiera el rol. Esto generalmente implica especificar el servicio OpenSearch como el principal en la política de fideicomiso.

2. Crear rol de conector **

1. Crea el papel: **
- Repita los pasos para crear un nuevo rol.
- Esta vez, elija otra cuenta de AWS como la entidad confiable si está utilizando el acceso a la cuenta cruzada, o seleccione la entidad apropiada en función de su configuración.

2. Adjunte permisos: **
- Adjunte una política que permita la escritura a OpenSearch Service, como `ES: ESHTTPPOST` para el dominio OpenSearch específico ARN.

3. Relación de confianza: **
- Configure la política de fideicomiso para permitir que el usuario o cuenta actual asuman este rol.

Configuración de roles de OpenSearch

1. Definir roles de OpenSearch **

1. Acceso a los paneles de OpenSearch: **
- Navegue a su dominio OpenSearch y acceda a los paneles OpenSearch.

2. Cree un nuevo papel: **
- Ir a Roles de seguridad>.
- Haga clic en Crear rol.
- Proporcione un nombre para el rol y defina los permisos necesarios (por ejemplo, acceso de lectura/escritura a índices específicos).

3. Roles de backend de mapas: **
- Si se está integrando con AWS IAM, deberá asignar los roles IAM a los roles de OpenSearch.
- Vaya al rol que creó en OpenSearch y seleccione Usuarios mapeados> Administrar mapeo.
- Ingrese el ARN del papel de IAM que creó para invocar a Deepseek o crear un conector.

Integración con AWS IAM Identity Center (opcional)

Si está utilizando AWS IAM Identity Center (anteriormente AWS Single Sign-On) para la Federación de Identidad, puede asignar grupos IAM Center de identidad para Opessearch Roles utilizando atributos SAML. Esto le permite administrar el control de acceso centralmente.

1. Integrar IAM Identity Center con OpenSearch: **
- Configure la integración SAML entre IAM Identity Center y OpenSearch Service.
- Grupos de mapa en IAM Identity Center a roles predefinidos de OpenSearch basados ​​en atributos SAML.

2. Configure el mapeo de roles de backend: **
- Inicie sesión en OpenSearch Dashboards como administrador.
- Configure el mapeo para cada grupo al rol de OpenSearch apropiado.

Siguiendo estos pasos, puede crear y configurar de manera efectiva los roles IAM para Deepseek y OpenSearch, asegurando el acceso seguro y controlado a sus recursos.

Citas:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tutorials/aws/rag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/role basado-access-control-in-amazon-opensearch-service-via-saml-ingration-with-aws-iam-identity-center/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-service-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/developeguide/ac.html