Ustvarjanje in konfiguriranje vlog IAM za Deepseek in OpenSearch vključuje več korakov, vključno z nastavitvijo vlog za obe storitvi in njihovo integracijo z OpenSearch. Tu je podroben vodnik, kako to storiti:
Ustvarjanje iam vlog za Deepseek
Če želite integrirati DeepSeek z OpenSearch, morate ustvariti dve vlogi IAM: eno za priklic modela Deepseek in drugega za ustvarjanje priključka v OpenSearch.
1. prikličite v vlogo Deepseek **
1. Ustvari vlogo: **
- Pojdite na konzolo za upravljanje AWS IAM.
- Kliknite vloge v levem navigacijskem podoknu.
- Kliknite Ustvari vlogo.
- Izberite storitev AWS kot Vrsta zaupanja vredne entitete.
- Izberite OpenSearch Service kot storitev, ki bo uporabila vlogo.
- Nadaljujte z prilogo dovoljenj.
2. Priložite dovoljenja: **
- Ustvarite nov pravilnik ali uporabite obstoječo, ki omogoča OpenSearch, da prikličete svojo končno točko SageMaker.
- Politika bi morala vključevati dejanja, kot je "SageMaker: Invokeendpoint" za določeno končno točko ARN.
3. Zaupanje odnos: **
- Zagotovite, da politika zaupanja omogoča OpenSearch Service, da prevzame vlogo. To običajno vključuje določitev storitve OpenSearch kot glavnega v politiki zaupanja.
2. Ustvari vlogo priključka **
1. Ustvari vlogo: **
- Ponovite korake, da ustvarite novo vlogo.
- Tokrat izberite drug račun AWS kot zaupanja vreden subjekt, če uporabljate dostop do navzkrižnega računa ali izberete ustrezen subjekt na podlagi vaše nastavitve.
2. Priložite dovoljenja: **
- Priložite pravilnik, ki omogoča pisanje v OpenSearch Service, kot je "es: eshttppost" za določeno domeno OpenSearch ARN.
3. Zaupanje odnos: **
- Konfigurirajte pravilnik zaupanja, da lahko trenutnemu uporabniku ali računu prevzame to vlogo.
Konfiguriranje vlog OpenSearch
1. Določite vloge OpenSearch **
1. Access OpenSearch nadzorne plošče: **
- Pomaknite se do svoje domene OpenSearch in Access OpenSearch nadzorne plošče.
2. Ustvari novo vlogo: **
- Pojdite na Varnost> Vloge.
- Kliknite Ustvari vlogo.
- Navedite ime za vlogo in določite potrebna dovoljenja (npr. Dostop do branja/pisanja do določenih indeksov).
3. Vloge za rezervoarje zemljevida: **
- Če se integrirate z AWS IAM, boste morali vloge IAM preslikati na odpiranje vlog.
- Pojdite na vlogo, ki ste jo ustvarili v OpenSearch in izberite Preslikane uporabnike> Upravljanje preslikave.
- Vnesite ARN vloge IAM, ki ste jo ustvarili za priklic Deepseeka ali ustvarjanje priključka.
Integracija z identitetnim centrom AWS IAM (neobvezno)
Če uporabljate identitetni center AWS IAM (prej AWS Single Enlon-On) za identitetno federacijo, lahko preslikate skupine IAM Identity Center za odpiranje vlog z uporabo atributov SAML. To vam omogoča centralno upravljanje nadzora dostopa.
1. Vključite IAM Identity Center z OpenSearch: **
- Nastavite integracijo SAML med IAM Identity Center in OpenSearch Service.
- Skupine zemljevidov v IAM Identity Center do vnaprej določenih vlog OpenSearch, ki temeljijo na atributih SAML.
2. Konfigurirajte preslikavo vlog: **
- Prijavite se na nadzorne plošče OpenSearch kot skrbnik.
- Konfigurirajte preslikavo za vsako skupino na ustrezno vlogo OpenSearch.
Z upoštevanjem teh korakov lahko učinkovito ustvarite in konfigurirate vloge IAM za Deepseek in OpenSearch, s čimer boste zagotovili varen in nadzorovan dostop do vaših virov.
Navedbe:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tutorials/aws/rag_with_deepseek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-tata/role-basese-access-control-in-amazon-opensearch-service-via-saml-integration-with-aws-iam-identity-center/
[6] https://aws.amazon.com/blogs/big-tata/use-meepseek-with-amazon-opensearch-service-vector-tabase-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/deveperguide/ac.html