View a markdown version of this page

Migración de la versión preliminar pública a la disponibilidad general - AWS DevOps Agente
¿Qué está cambiandoHistorial de chats bajo demanda obtenido de una vista previa públicaNuevas políticas gestionadasVuelva a conectar el centro de identidad de IAM (si corresponde)VerificaciónResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Migración de la versión preliminar pública a la disponibilidad general

Si utilizó AWS DevOps Agent durante la versión preliminar pública, debe actualizar sus funciones de IAM antes del lanzamiento de la versión general. Esta guía explica cómo actualizar las funciones de supervisión y las funciones de operador en sus cuentas.

¿Qué está cambiando

  1. Ya no se puede acceder a los historiales de chat bajo demanda durante la vista previa

  2. Las nuevas políticas gestionadas sustituyen a las políticas disponibles durante la versión preliminar

  3. Es posible que Agent Spaces tenga un ámbito de acceso a la aplicación IAM Identity Center desactualizado

Historial de chats bajo demanda obtenido de una vista previa pública

La versión de GA introduce medidas de seguridad adicionales para reforzar los controles de acceso a los historiales de chat. Como resultado de estos cambios, ya no se puede acceder a los historiales de chat bajo demanda del período de versión preliminar pública (antes del 30 de marzo de 2026). Las revistas de investigación y los hallazgos creados durante la vista previa pública no se ven afectados. Este cambio solo se aplica a las conversaciones de chat a pedido.

Nuevas políticas gestionadas

Para GA, AWS proporciona nuevas políticas administradas que sustituyen a las políticas de la era de la versión preliminar:

Tipo de rol Quitar Add (Suma)
Supervisión Política administrada de AIOpsAssistantPolicy Política administrada de AIDevOpsAgentAccessPolicy
Operador (IAM e IDC) Política insertada Política administrada de AIDevOpsOperatorAppAccessPolicy

Además, las funciones de operador requieren políticas de confianza actualizadas y las funciones de operador de IDC requieren una nueva política en línea.

Requisitos previos

  • Acceda a las AWS cuentas en las que están configuradas sus funciones de DevOps agente (cuentas principales y todas las secundarias)

  • Permisos de IAM para modificar las funciones, las políticas y las relaciones de confianza

  • Su ID de Agent Space, su ID de AWS cuenta y su región (visibles en la consola de DevOps Agent)

Paso 1: Actualizar las funciones de supervisión

Actualiza la función de supervisión en tu cuenta principal y en cada cuenta secundaria. Estos son los roles de Primary/Secondary origen configurados en la pestaña Capacidades de su espacio de agente ( primary/secondary rol de ejemplo:DevOpsAgentRole-AgentSpace-3xj2396z).

  1. En la consola de DevOps agentes, vaya a su espacio de agente y seleccione la pestaña Capacidades.

  2. Busca la función de supervisión de tus Primary/Secondary fuentes (por ejemploDevOpsAgentRole-AgentSpace-3xj2396z) y selecciona Editar.

  3. En Políticas de permisos, elimina la política AIOpsAssistantPolicy AWS gestionada.

  4. Seleccione Añadir permisos, Adjuntar políticas y adjuntar la política AIDevOpsAgentAccessPolicy gestionada.

  5. Edita la política en línea y sustituye su contenido por lo siguiente, sustituyendo tu ID de cuenta:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

  1. La política de confianza para la función de supervisión no requiere cambios. Compruebe que coincida con lo siguiente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

  • Repita los pasos 2 a 6 para la función de supervisión en cada cuenta secundaria.

Paso 2: Actualice el rol de operador (IAM)

  1. En la consola del DevOps agente, seleccione la pestaña Acceso y busque el rol de operador.

  2. En la consola de IAM, elimine la política en línea existente del rol de operador.

  3. Seleccione Añadir permisos, Adjuntar políticas y adjuntar la política AIDevOpsOperatorAppAccessPolicy gestionada.

  4. Seleccione la pestaña Relaciones de confianza y elija Editar política de confianza. Sustituya la política de confianza por la siguiente, sustituyendo su ID de cuenta, región e ID de Agent Space:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

Paso 3: Actualizar las funciones de los operadores (IDC)

Si utiliza el Centro de identidad de IAM con DevOps un agente, actualice cada función de operador de IDC.

  1. En la consola de IAM, vaya a Funciones y busque WebappIDC las funciones de su DevOps agente en IDC (por ejemplo,). DevOpsAgentRole-WebappIDC-<id>

  2. Para cada función de IDC:

a. Elimine la política en línea existente.

b. Seleccione Añadir permisos, Adjuntar políticas y adjuntar la política AIDevOpsOperatorAppAccessPolicy gestionada.

c. Seleccione la pestaña Relaciones de confianza y elija Editar política de confianza. Sustituya la política de confianza por la siguiente, sustituyendo su ID de cuenta, región e ID de Agent Space:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d. Crea una nueva política en línea con los siguientes permisos, sustituyéndola por tu ID de cuenta:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

Vuelva a conectar el centro de identidad de IAM (si corresponde)

Los espacios de agente creados durante la versión preliminar pública pueden tener una aplicación del Centro de Identidad de IAM configurada con un alcance de acceso obsoleto. En el caso de GA, el ámbito correcto es aidevops:read_write. Si su aplicación del Centro de Identidad de IAM tiene el alcance anterior (awsaidevops:read_write), debe desconectar y volver a conectar el Centro de Identidad de IAM.

¿Cómo comprobar el alcance de su aplicación en el Centro de Identidad de IAM

Ejecute el siguiente comando AWS CLI para comprobar el alcance de la aplicación IAM Identity Center. Puede encontrar el ARN de la aplicación en la consola de IAM Identity Center, en Aplicaciones.

aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

El resultado debe mostrar el alcance correcto: aidevops:read_write

{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

Si se muestra el alcance awsaidevops:read_write, significa que está desactualizado. Siga los pasos que se indican a continuación para actualizarlo.

¿Cómo volver a conectar el Centro de Identidad de IAM

El alcance de acceso de una aplicación AWS gestionada del Centro de Identidad de IAM no se puede actualizar directamente. Debe desconectarse y volver a conectarse:

  1. En la consola del AWS DevOps agente, vaya a su espacio de agente y seleccione la pestaña Acceso.

  2. Seleccione Desconectar junto a la configuración del centro de identidad de IAM.

  3. Confirme la desconexión.

  4. Elija Connect para volver a configurar el Centro de identidad de IAM. El servicio crea una nueva aplicación del IAM Identity Center con el alcance correcto.

  5. Reasigne los usuarios y grupos a la nueva aplicación en la consola del IAM Identity Center.

importante

Al desconectarse, se elimina el historial de chat y artefactos de los usuarios individuales asociado a las cuentas de usuario del IAM Identity Center. Los usuarios deberán volver a iniciar sesión después de volver a conectarse.

Verificación

Tras completar todos los pasos:

  1. Regrese a la consola del DevOps agente y compruebe que no aparecen errores de permisos en la pestaña Agent Space Access.

  2. Pruebe la aplicación web del operador para confirmar que se carga y funciona correctamente.

  3. Si utilizas IDC, verifica que los usuarios puedan autenticarse y acceder a la experiencia del operador.

Resolución de problemas

Errores de permiso denegado tras la migración

  • Compruebe que AIOpsAssistantPolicy se haya eliminado y que AIDevOpsAgentAccessPolicy esté asociado a las funciones de supervisión.

  • Compruebe que se hayan eliminado las políticas integradas antiguas y AIDevOpsOperatorAppAccessPolicy que estén asociadas a las funciones de los operadores.

  • Compruebe que las políticas de confianza de los operadores incluyansts:TagSession.

  • Confirme que ha sustituido todos los valores de marcador de posición (<account-id><region>,,<agentspace-id>) por valores reales.

Las cuentas secundarias no funcionan

  • La función de supervisión de cada cuenta secundaria debe actualizarse de forma independiente. Inicie sesión en cada cuenta y repita el paso 1.

Fallos de autenticación de IDC

  • Compruebe que la política de confianza de IDC incluya tanto la sts:TagSession sentenciasts:AssumeRole/como la TrustedIdentityPropagation sentencia.

  • Confirme la política en línea con sso:ListInstancessso:DescribeInstance, y identitystore:DescribeUser se creó.

Falta el historial de chats bajo demanda tras la migración

  • No se podrá acceder a los historiales de chat bajo demanda del período de vista previa pública tras su lanzamiento en GA. Este comportamiento es de esperar debido a las medidas de seguridad mejoradas introducidas en Georgia. Los diarios de investigación y los resultados de la versión preliminar pública no se ven afectados.