View a markdown version of this page

Migration von der öffentlichen Vorversion zur allgemeinen Verfügbarkeit - AWS DevOps Agentin
Was ändert sichOn-Demand-Chatverlauf aus der öffentlichen VorschauNeue verwaltete RichtlinienStellen Sie die Verbindung zu IAM Identity Center erneut her (falls zutreffend)VerifizierungFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Migration von der öffentlichen Vorversion zur allgemeinen Verfügbarkeit

Wenn Sie AWS DevOps Agent während der öffentlichen Vorschauversion verwendet haben, müssen Sie Ihre IAM-Rollen vor der GA-Version aktualisieren. In dieser Anleitung erfahren Sie, wie Sie die Überwachungs- und Operatorrollen in Ihren Konten aktualisieren.

Was ändert sich

  1. Auf On-Demand-Chatverläufe während der Vorschauversion kann nicht mehr zugegriffen werden

  2. Neue verwaltete Richtlinien ersetzen die in der Vorschauversion verfügbaren Richtlinien

  3. Agent Spaces hat möglicherweise einen veralteten IAM Identity Center-Anwendungszugriffsbereich

On-Demand-Chatverlauf aus der öffentlichen Vorschau

Die GA-Version führt zusätzliche Sicherheitsmaßnahmen ein, um die Zugriffskontrollen für Chat-Verläufe zu verschärfen. Aufgrund dieser Änderungen sind On-Demand-Chatverläufe aus der öffentlichen Vorschauphase (vor dem 30. März 2026) nicht mehr zugänglich. Untersuchungszeitschriften und Ergebnisse, die während der öffentlichen Vorschauphase erstellt wurden, sind davon nicht betroffen. Diese Änderung gilt nur für On-Demand-Chat-Konversationen.

Neue verwaltete Richtlinien

AWS Stellt für GA neue verwaltete Richtlinien bereit, die die Richtlinien aus der Vorschauzeit ersetzen:

Art der Rolle Remove Addition
Überwachen AIOpsAssistantPolicy-verwaltete Richtlinie AIDevOpsAgentAccessPolicy-verwaltete Richtlinie
Betreiber (IAM und IDC) Online-Richtlinie AIDevOpsOperatorAppAccessPolicy-verwaltete Richtlinie

Darüber hinaus erfordern Operatorrollen aktualisierte Vertrauensrichtlinien, und IDC-Operatorrollen erfordern eine neue Inline-Richtlinie.

Voraussetzungen

  • Zugriff auf die AWS Konten, in denen Ihre DevOps Agentenrollen konfiguriert sind (primäre und alle sekundären Konten)

  • IAM-Berechtigungen zum Ändern von Rollen, Richtlinien und Vertrauensbeziehungen

  • Ihre Agent Space-ID, AWS Konto-ID und Region (sichtbar in der DevOps Agentenkonsole)

Schritt 1: Monitoring-Rollen aktualisieren

Aktualisieren Sie die Überwachungsrolle in Ihrem primären Konto und in jedem sekundären Konto. Dies sind die Primary/Secondary Quellrollen, die auf der Registerkarte Funktionen in Ihrem Agentenbereich konfiguriert sind ( primary/secondary Beispielrolle:DevOpsAgentRole-AgentSpace-3xj2396z).

  1. Gehen Sie in der DevOps Agentenkonsole zu Ihrem Agentenbereich und wählen Sie die Registerkarte Funktionen.

  2. Suchen Sie die Monitoring-Rolle für Ihre Primary/Secondary Quellen (z. B.DevOpsAgentRole-AgentSpace-3xj2396z) und wählen Sie Bearbeiten.

  3. Entfernen Sie unter Berechtigungsrichtlinien die AIOpsAssistantPolicy AWS verwaltete Richtlinie.

  4. Wählen Sie Berechtigungen hinzufügen, Richtlinien anhängen und fügen Sie die AIDevOpsAgentAccessPolicy verwaltete Richtlinie an.

  5. Bearbeiten Sie die Inline-Richtlinie und ersetzen Sie ihren Inhalt durch Folgendes, wobei Sie Ihre Konto-ID ersetzen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

  1. Die Vertrauensrichtlinie für die Überwachungsrolle erfordert keine Änderungen. Stellen Sie sicher, dass sie den folgenden Kriterien entspricht:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

  • Wiederholen Sie die Schritte 2—6 für die Überwachungsrolle in jedem sekundären Konto.

Schritt 2: Aktualisieren Sie die Operatorrolle (IAM)

  1. Wählen Sie in der DevOps Agentenkonsole die Registerkarte Zugriff und suchen Sie nach der Operatorrolle.

  2. Entfernen Sie in der IAM-Konsole die vorhandene Inline-Richtlinie aus der Operatorrolle.

  3. Wählen Sie „Berechtigungen hinzufügen“, „Richtlinien anhängen“ und fügen Sie die AIDevOpsOperatorAppAccessPolicy verwaltete Richtlinie an.

  4. Wählen Sie die Registerkarte Vertrauensbeziehungen und dann Vertrauensrichtlinie bearbeiten aus. Ersetzen Sie die Vertrauensrichtlinie durch Folgendes und ersetzen Sie dabei Ihre Konto-ID, Region und Agent Space-ID:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

Schritt 3: Aktualisieren Sie die Operatorrollen (IDC)

Wenn Sie IAM Identity Center mit DevOps Agent verwenden, aktualisieren Sie jede IDC-Operatorrolle.

  1. Gehen Sie in der IAM-Konsole zu Rollen und suchen Sie WebappIDC nach Ihren IDC-Rollen für DevOps Agenten (z. B.). DevOpsAgentRole-WebappIDC-<id>

  2. Gehen Sie für jede IDC-Rolle wie folgt vor:

a. Entfernen Sie die bestehende Inline-Richtlinie.

b. Wählen Sie „Berechtigungen hinzufügen“, „Richtlinien anhängen“ und fügen Sie die AIDevOpsOperatorAppAccessPolicy verwaltete Richtlinie an.

c. Wählen Sie die Registerkarte Vertrauensbeziehungen und dann Vertrauensrichtlinie bearbeiten aus. Ersetzen Sie die Vertrauensrichtlinie durch Folgendes und ersetzen Sie dabei Ihre Konto-ID, Region und Agent Space-ID:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d. Erstellen Sie eine neue Inline-Richtlinie mit den folgenden Berechtigungen und ersetzen Sie dabei Ihre Konto-ID:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

Stellen Sie die Verbindung zu IAM Identity Center erneut her (falls zutreffend)

In Agent Spaces, die während der öffentlichen Vorschau erstellt wurden, ist möglicherweise eine IAM Identity Center-Anwendung mit einem veralteten Zugriffsbereich konfiguriert. Für GA ist aidevops:read_writeder richtige Bereich. Wenn Ihre IAM Identity Center-Anwendung den vorherigen Geltungsbereich (awsaidevops:read_write) hat, müssen Sie die Verbindung zu IAM Identity Center trennen und erneut verbinden.

So überprüfen Sie den Geltungsbereich Ihrer IAM Identity Center-Anwendung

Führen Sie den folgenden AWS CLI-Befehl aus, um den Bereich in Ihrer IAM Identity Center-Anwendung zu überprüfen. Sie finden den Anwendungs-ARN in der IAM Identity Center-Konsole unter Anwendungen.

aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

Die Ausgabe sollte den richtigen Bereich aidevops:read_writeanzeigen:

{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

Wenn der Bereich angezeigt wird awsaidevops:read_write, ist er veraltet. Gehen Sie wie folgt vor, um ihn zu aktualisieren.

Wie stelle ich die Verbindung zu IAM Identity Center wieder her

Der Zugriffsbereich einer AWS verwalteten IAM Identity Center-Anwendung kann nicht direkt aktualisiert werden. Sie müssen die Verbindung trennen und erneut verbinden:

  1. Gehen Sie in der AWS DevOps Agent-Konsole zu Ihrem Agent-Bereich und wählen Sie die Registerkarte Zugriff.

  2. Wählen Sie neben der IAM Identity Center-Konfiguration die Option Trennen aus.

  3. Bestätigen Sie die Trennung der Verbindung.

  4. Wählen Sie Connect, um IAM Identity Center erneut einzurichten. Der Dienst erstellt eine neue IAM Identity Center-Anwendung mit dem richtigen Umfang.

  5. Weisen Sie der neuen Anwendung in der IAM Identity Center-Konsole Benutzer und Gruppen neu zu.

Wichtig

Durch das Trennen der Verbindung werden der Chat- und Artefaktverlauf einzelner Benutzer entfernt, die mit IAM Identity Center-Benutzerkonten verknüpft sind. Benutzer müssen sich nach der Wiederverbindung erneut anmelden.

Verifizierung

Nach Abschluss aller Schritte:

  1. Kehren Sie zur DevOps Agent-Konsole zurück und stellen Sie sicher, dass auf der Registerkarte Agent Space Access keine Berechtigungsfehler angezeigt werden.

  2. Testen Sie die Operator-Web-App, um sicherzustellen, dass sie geladen wird und ordnungsgemäß funktioniert.

  3. Wenn Sie IDC verwenden, stellen Sie sicher, dass sich Benutzer authentifizieren und auf das Bedienerlebnis zugreifen können.

Fehlerbehebung

Fehler nach der Migration „Zugriff verweigert“

  • Stellen Sie sicher, dass es entfernt AIOpsAssistantPolicy wurde und den Überwachungsrollen zugeordnet AIDevOpsAgentAccessPolicy ist.

  • Stellen Sie sicher, dass alte Inline-Richtlinien entfernt wurden und AIDevOpsOperatorAppAccessPolicy den Operatorrollen zugeordnet sind.

  • Vergewissern Sie sich, dass die Vertrauensrichtlinien für Betreiber Folgendes sts:TagSession enthalten:

  • Vergewissern Sie sich, dass Sie alle Platzhalterwerte (<account-id>,<region>,<agentspace-id>) durch tatsächliche Werte ersetzt haben.

Sekundäre Konten funktionieren nicht

  • Die Überwachungsrolle jedes sekundären Kontos muss unabhängig aktualisiert werden. Melden Sie sich bei jedem Konto an und wiederholen Sie Schritt 1.

Fehler bei der IDC-Authentifizierung

  • Stellen Sie sicher, dass die IDC-Vertrauensrichtlinie sowohl die sts:TagSession Anweisungsts:AssumeRole/als auch die TrustedIdentityPropagation Anweisung enthält.

  • Bestätigen Sie, dass die Inline-Richtlinie mit sso:ListInstancessso:DescribeInstance, und erstellt identitystore:DescribeUser wurde.

Der On-Demand-Chat-Verlauf fehlt nach der Migration

  • Auf On-Demand-Chatverläufe aus der öffentlichen Vorschauphase kann nach der Veröffentlichung der öffentlichen Version nicht mehr zugegriffen werden. Dieses Verhalten ist aufgrund der in GA eingeführten erweiterten Sicherheitsmaßnahmen zu erwarten. Untersuchungszeitschriften und Ergebnisse aus der öffentlichen Vorschau sind davon nicht betroffen.