Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Migration von der öffentlichen Vorversion zur allgemeinen Verfügbarkeit
<a name="configuring-capabilities-for-aws-devops-agent-migrating-from-public-preview-to-general-availability"></a>

Wenn Sie AWS DevOps Agent während der öffentlichen Vorschauversion verwendet haben, müssen Sie Ihre IAM-Rollen vor der GA-Version aktualisieren. In dieser Anleitung erfahren Sie, wie Sie die Überwachungs- und Operatorrollen in Ihren Konten aktualisieren.

## Was ändert sich
<a name="whats-changing"></a>

1. [Auf On-Demand-Chatverläufe während der Vorschauversion kann nicht mehr zugegriffen werden](#on-demand-chat-history-from-public-preview)

1. [Neue verwaltete Richtlinien ersetzen die in der Vorschauversion verfügbaren Richtlinien](#new-managed-policies)

1. [Agent Spaces hat möglicherweise einen veralteten IAM Identity Center-Anwendungszugriffsbereich](#reconnect-iam-identity-center-if-applicable)

## On-Demand-Chatverlauf aus der öffentlichen Vorschau
<a name="on-demand-chat-history-from-public-preview"></a>

Die GA-Version führt zusätzliche Sicherheitsmaßnahmen ein, um die Zugriffskontrollen für Chat-Verläufe zu verschärfen. Aufgrund dieser Änderungen sind On-Demand-Chatverläufe aus der öffentlichen Vorschauphase (vor dem 30. März 2026) nicht mehr zugänglich. Untersuchungszeitschriften und Ergebnisse, die während der öffentlichen Vorschauphase erstellt wurden, sind davon nicht betroffen. **Diese Änderung gilt nur für On-Demand-Chat-Konversationen.**

## Neue verwaltete Richtlinien
<a name="new-managed-policies"></a>

 AWS Stellt für GA neue verwaltete Richtlinien bereit, die die Richtlinien aus der Vorschauzeit ersetzen:


| Art der Rolle | Remove | Addition | 
| --- | --- | --- | 
| Überwachen | AIOpsAssistantPolicy-verwaltete Richtlinie | AIDevOpsAgentAccessPolicy-verwaltete Richtlinie | 
| Betreiber (IAM und IDC) | Online-Richtlinie | AIDevOpsOperatorAppAccessPolicy-verwaltete Richtlinie | 

Darüber hinaus erfordern Operatorrollen aktualisierte Vertrauensrichtlinien, und IDC-Operatorrollen erfordern eine neue Inline-Richtlinie.

### Voraussetzungen
<a name="prerequisites"></a>
+ Zugriff auf die AWS Konten, in denen Ihre DevOps Agentenrollen konfiguriert sind (primäre und alle sekundären Konten)
+ IAM-Berechtigungen zum Ändern von Rollen, Richtlinien und Vertrauensbeziehungen
+ Ihre Agent Space-ID, AWS Konto-ID und Region (sichtbar in der DevOps Agentenkonsole)

### Schritt 1: Monitoring-Rollen aktualisieren
<a name="step-1-update-monitoring-roles"></a>

Aktualisieren Sie die Überwachungsrolle in Ihrem primären Konto und in jedem sekundären Konto. Dies sind die Primary/Secondary Quellrollen, die auf der Registerkarte **Funktionen** in Ihrem Agentenbereich konfiguriert sind ( primary/secondary Beispielrolle:`DevOpsAgentRole-AgentSpace-3xj2396z`).

1. Gehen Sie in der DevOps Agentenkonsole zu Ihrem Agentenbereich und wählen Sie die Registerkarte **Funktionen**.

1. Suchen Sie die Monitoring-Rolle für Ihre Primary/Secondary Quellen (z. B.`DevOpsAgentRole-AgentSpace-3xj2396z`) und wählen Sie **Bearbeiten**.

1. Entfernen Sie unter **Berechtigungsrichtlinien** die `AIOpsAssistantPolicy` AWS verwaltete Richtlinie.

1. Wählen Sie **Berechtigungen hinzufügen**, **Richtlinien anhängen** und fügen Sie die `AIDevOpsAgentAccessPolicy` verwaltete Richtlinie an.

1. Bearbeiten Sie die Inline-Richtlinie und ersetzen Sie ihren Inhalt durch Folgendes, wobei Sie Ihre Konto-ID ersetzen:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}
```

1. Die Vertrauensrichtlinie für die Überwachungsrolle erfordert keine Änderungen. Stellen Sie sicher, dass sie den folgenden Kriterien entspricht:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}
```
+ Wiederholen Sie die Schritte 2—6 für die Überwachungsrolle in jedem sekundären Konto.

### Schritt 2: Aktualisieren Sie die Operatorrolle (IAM)
<a name="step-2-update-the-operator-role-iam"></a>

1. Wählen Sie in der DevOps Agentenkonsole die Registerkarte **Zugriff** und suchen Sie nach der Operatorrolle.

1. Entfernen Sie in der IAM-Konsole die vorhandene Inline-Richtlinie aus der Operatorrolle.

1. Wählen Sie „**Berechtigungen hinzufügen**“, „**Richtlinien anhängen**“ und fügen Sie die `AIDevOpsOperatorAppAccessPolicy` verwaltete Richtlinie an.

1. Wählen Sie die Registerkarte **Vertrauensbeziehungen** und dann **Vertrauensrichtlinie bearbeiten** aus. Ersetzen Sie die Vertrauensrichtlinie durch Folgendes und ersetzen Sie dabei Ihre Konto-ID, Region und Agent Space-ID:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}
```

### Schritt 3: Aktualisieren Sie die Operatorrollen (IDC)
<a name="step-3-update-operator-roles-idc"></a>

Wenn Sie IAM Identity Center mit DevOps Agent verwenden, aktualisieren Sie jede IDC-Operatorrolle.

1. Gehen Sie in der IAM-Konsole zu **Rollen** und suchen Sie `WebappIDC` nach Ihren IDC-Rollen für DevOps Agenten (z. B.). `DevOpsAgentRole-WebappIDC-<id>`

1. Gehen Sie für jede IDC-Rolle wie folgt vor:

a. Entfernen Sie die bestehende Inline-Richtlinie.

b. Wählen Sie „**Berechtigungen hinzufügen**“, „**Richtlinien anhängen**“ und fügen Sie die `AIDevOpsOperatorAppAccessPolicy` verwaltete Richtlinie an.

c. Wählen Sie die Registerkarte **Vertrauensbeziehungen** und dann **Vertrauensrichtlinie bearbeiten** aus. Ersetzen Sie die Vertrauensrichtlinie durch Folgendes und ersetzen Sie dabei Ihre Konto-ID, Region und Agent Space-ID:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}
```

d. Erstellen Sie eine neue Inline-Richtlinie mit den folgenden Berechtigungen und ersetzen Sie dabei Ihre Konto-ID:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}
```

## Stellen Sie die Verbindung zu IAM Identity Center erneut her (falls zutreffend)
<a name="reconnect-iam-identity-center-if-applicable"></a>

In Agent Spaces, die während der öffentlichen Vorschau erstellt wurden, ist möglicherweise eine IAM Identity Center-Anwendung mit einem veralteten Zugriffsbereich konfiguriert. Für GA ist **`aidevops:read_write`**der richtige Bereich. Wenn Ihre IAM Identity Center-Anwendung den vorherigen Geltungsbereich (**`awsaidevops:read_write`**) hat, müssen Sie die Verbindung zu IAM Identity Center trennen und erneut verbinden.

### So überprüfen Sie den Geltungsbereich Ihrer IAM Identity Center-Anwendung
<a name="how-to-check-your-idc-application-scope"></a>

Führen Sie den folgenden AWS CLI-Befehl aus, um den Bereich in Ihrer IAM Identity Center-Anwendung zu überprüfen. Sie finden den Anwendungs-ARN in der IAM Identity Center-Konsole unter **Anwendungen**.

```
aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>
```

Die Ausgabe sollte den richtigen Bereich **`aidevops:read_write`**anzeigen:

```
{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}
```

Wenn der Bereich angezeigt wird **`awsaidevops:read_write`**, ist er veraltet. Gehen Sie wie folgt vor, um ihn zu aktualisieren.

### Wie stelle ich die Verbindung zu IAM Identity Center wieder her
<a name="how-to-reconnect-iam-identity-center"></a>

Der Zugriffsbereich einer AWS verwalteten IAM Identity Center-Anwendung kann nicht direkt aktualisiert werden. Sie müssen die Verbindung trennen und erneut verbinden:

1. Gehen Sie in der AWS DevOps Agent-Konsole zu Ihrem Agent-Bereich und wählen Sie die Registerkarte **Zugriff**.

1. Wählen Sie neben der IAM Identity Center-Konfiguration die Option **Trennen** aus.

1. Bestätigen Sie die Trennung der Verbindung.

1. Wählen Sie **Connect**, um IAM Identity Center erneut einzurichten. Der Dienst erstellt eine neue IAM Identity Center-Anwendung mit dem richtigen Umfang.

1. Weisen Sie der neuen Anwendung in der IAM Identity Center-Konsole Benutzer und Gruppen neu zu.

**Wichtig**  
Durch das Trennen der Verbindung werden der Chat- und Artefaktverlauf einzelner Benutzer entfernt, die mit IAM Identity Center-Benutzerkonten verknüpft sind. Benutzer müssen sich nach der Wiederverbindung erneut anmelden.

## Verifizierung
<a name="verification"></a>

Nach Abschluss aller Schritte:

1. Kehren Sie zur DevOps Agent-Konsole zurück und stellen Sie sicher, dass auf der Registerkarte Agent Space **Access** keine Berechtigungsfehler angezeigt werden.

1. Testen Sie die Operator-Web-App, um sicherzustellen, dass sie geladen wird und ordnungsgemäß funktioniert.

1. Wenn Sie IDC verwenden, stellen Sie sicher, dass sich Benutzer authentifizieren und auf das Bedienerlebnis zugreifen können.

## Fehlerbehebung
<a name="troubleshooting"></a>

**Fehler nach der Migration „Zugriff verweigert“**
+ Stellen Sie sicher, dass es entfernt `AIOpsAssistantPolicy` wurde und den Überwachungsrollen zugeordnet `AIDevOpsAgentAccessPolicy` ist.
+ Stellen Sie sicher, dass alte Inline-Richtlinien entfernt wurden und `AIDevOpsOperatorAppAccessPolicy` den Operatorrollen zugeordnet sind.
+ Vergewissern Sie sich, dass die Vertrauensrichtlinien für Betreiber Folgendes `sts:TagSession` enthalten:
+ Vergewissern Sie sich, dass Sie alle Platzhalterwerte (`<account-id>`,`<region>`,`<agentspace-id>`) durch tatsächliche Werte ersetzt haben.

**Sekundäre Konten funktionieren nicht**
+ Die Überwachungsrolle jedes sekundären Kontos muss unabhängig aktualisiert werden. Melden Sie sich bei jedem Konto an und wiederholen Sie Schritt 1.

**Fehler bei der IDC-Authentifizierung**
+ Stellen Sie sicher, dass die IDC-Vertrauensrichtlinie sowohl die `sts:TagSession` Anweisung`sts:AssumeRole`/als auch die `TrustedIdentityPropagation` Anweisung enthält.
+ Bestätigen Sie, dass die Inline-Richtlinie mit `sso:ListInstances``sso:DescribeInstance`, und erstellt `identitystore:DescribeUser` wurde.

**Der On-Demand-Chat-Verlauf fehlt nach der Migration**
+ Auf On-Demand-Chatverläufe aus der öffentlichen Vorschauphase kann nach der Veröffentlichung der öffentlichen Version nicht mehr zugegriffen werden. Dieses Verhalten ist aufgrund der in GA eingeführten erweiterten Sicherheitsmaßnahmen zu erwarten. Untersuchungszeitschriften und Ergebnisse aus der öffentlichen Vorschau sind davon nicht betroffen.