Як створити та налаштувати ролі IAM для DeepSeek та OpenSearch

Створення ролей IAM для DeepSeek

Щоб інтегрувати DeepSeek з OpenSearch, вам потрібно створити дві ролі IAM: одне для виклику моделі DeepSeek та іншого для створення роз'єму в OpenSearch.

1. Закінчити роль DeepSeek **

1. Створіть роль: **
- Перейдіть на консоль управління AWS IAM.
- Клацніть на ролі на лівій панелі навігації.
- Клацніть Створити роль.
- Виберіть послугу AWS як довіреного типу суб'єкта.
- Виберіть послугу OpenSearch як послугу, яка буде використовувати роль.
- Продовжуйте приєднати дозволи.

2. Додайте дозволи: **
- Створіть нову політику або використовуйте існуючу, яка дозволяє OpenSearch викликати свою кінцеву точку Sagemaker.
- Політика повинна включати такі дії, як `Sagemaker: InvokeEndPoint` для конкретної кінцевої точки ARN.

3. Довірчі відносини: **
- Переконайтесь, що політика довіри дозволяє службі OpenSearch взяти на себе роль. Зазвичай це передбачає вказівку послуги OpenSearch як основного в політиці довіри.

2. Створіть роль роз'єму **

1. Створіть роль: **
- Повторіть кроки для створення нової ролі.
- Цього разу виберіть інший обліковий запис AWS як довірену організацію, якщо ви використовуєте доступу до перехресного обліку, або виберіть відповідну сутність на основі вашої налаштування.

2. Додайте дозволи: **
- Додайте політику, яка дозволяє писати до служби OpenSearch, наприклад `es: eshttppost` для конкретного домену OpenSearch Arn.

3. Довірчі відносини: **
- Налаштуйте політику довіри, щоб дозволити поточному користувачеві або обліковому запису взяти на себе цю роль.

Налаштування ролей OpenSearch

1. Визначте ролі OpenSearch **

1. Доступ до інформаційних панелей OpenSearch: **
- Перейдіть до домену OpenSearch та доступ до панелей OpenSearch OpenSearch.

2. Створіть нову роль: **
- Перейдіть до безпеки> Ролі.
- Клацніть Створити роль.
- Надайте назву ролі та визначте необхідні дозволи (наприклад, прочитати/записати доступ до конкретних індексів).

3. Карта бекендові ролі: **
- Якщо ви інтегруєтесь з AWS IAM, вам потрібно буде скласти ролі IAM на ролі OpenSearch.
- Перейдіть до ролі, яку ви створили в OpenSearch, і виберіть MAP -USER> CANTHOR MAPPORT.
- Введіть ARN ролі IAM, яку ви створили для виклику DeepSeek або створення з'єднувача.

Інтеграція з центром ідентичності AWS (необов’язково)

Якщо ви використовуєте центр ідентичності AWS IAM (раніше OWS SILE-ON) для федерації ідентичності, ви можете скласти карту групи ідентифікаційних центрів IAM на ролі OpenSearch за допомогою атрибутів SAML. Це дозволяє керувати контролем доступу в центрі.

1. Інтегруйте Центр ідентичності IAM з OpenSearch: **
- Налаштуйте інтеграцію SAML між центром ідентичності IAM та службою OpenSearch.
- Групи карт у центрі ідентичності IAM для попередньо визначених ролей OpenSearch на основі атрибутів SAML.

2. Налаштуйте відображення ролей Backend: **
- Увійдіть у інформаційні панелі OpenSearch як адміністратор.
- Налаштуйте відображення для кожної групи до відповідної ролі OpenSearch.

Дотримуючись цих кроків, ви можете ефективно створювати та налаштувати ролі IAM для DeepSeek та OpenSearch, забезпечуючи безпечний та контрольований доступ до ваших ресурсів.

Цитати:
[1] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create.html
[2] https://opensearch.org/docs/latest/security/access-control/users-roles/
[3] https://github.com/opensearch-project/ml-commons/blob/main/docs/tutorials/aws/rag_with_deepeek_r1_model_on_bedrock.md
[4] https://docs.aws.amazon.com/iam/latest/userguide/id_roles_create_for-user.html
[5] https://aws.amazon.com/blogs/big-data/rolo-на базі-access-control-in-amazon-opensearch-service-via-saml-integration-with-aws-iam-identity-center/
[6] https://aws.amazon.com/blogs/big-data/use-deepseek-with-amazon-opensearch-service-vector-database-and-amazon-sagemaker/
[7] https://docs.aws.amazon.com/managedservices/latest/onboardingguide/create-iam-role.html
[8] https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html