Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Migración de la versión preliminar pública a la disponibilidad general
Si utilizó AWS DevOps Agent durante la versión preliminar pública, debe actualizar sus funciones de IAM antes del lanzamiento de la versión general. Esta guía explica cómo actualizar las funciones de supervisión y las funciones de operador en sus cuentas.
## ¿Qué está cambiando
1. [Ya no se puede acceder a los historiales de chat bajo demanda durante la vista previa](#on-demand-chat-history-from-public-preview)
1. [Las nuevas políticas gestionadas sustituyen a las políticas disponibles durante la versión preliminar](#new-managed-policies)
1. [Es posible que Agent Spaces tenga un ámbito de acceso a la aplicación IAM Identity Center desactualizado](#reconnect-iam-identity-center-if-applicable)
## Historial de chats bajo demanda obtenido de una vista previa pública
La versión de GA introduce medidas de seguridad adicionales para reforzar los controles de acceso a los historiales de chat. Como resultado de estos cambios, ya no se puede acceder a los historiales de chat bajo demanda del período de versión preliminar pública (antes del 30 de marzo de 2026). Las revistas de investigación y los hallazgos creados durante la vista previa pública no se ven afectados. **Este cambio solo se aplica a las conversaciones de chat a pedido.**
## Nuevas políticas gestionadas
Para GA, AWS proporciona nuevas políticas administradas que sustituyen a las políticas de la era de la versión preliminar:
| Tipo de rol | Quitar | Add (Suma) |
| --- | --- | --- |
| Supervisión | Política administrada de AIOpsAssistantPolicy | Política administrada de AIDevOpsAgentAccessPolicy |
| Operador (IAM e IDC) | Política insertada | Política administrada de AIDevOpsOperatorAppAccessPolicy |
Además, las funciones de operador requieren políticas de confianza actualizadas y las funciones de operador de IDC requieren una nueva política en línea.
### Requisitos previos
+ Acceda a las AWS cuentas en las que están configuradas sus funciones de DevOps agente (cuentas principales y todas las secundarias)
+ Permisos de IAM para modificar las funciones, las políticas y las relaciones de confianza
+ Su ID de Agent Space, su ID de AWS cuenta y su región (visibles en la consola de DevOps Agent)
### Paso 1: Actualizar las funciones de supervisión
Actualiza la función de supervisión en tu cuenta principal y en cada cuenta secundaria. Estos son los roles de Primary/Secondary origen configurados en la pestaña **Capacidades** de su espacio de agente ( primary/secondary rol de ejemplo:`DevOpsAgentRole-AgentSpace-3xj2396z`).
1. En la consola de DevOps agentes, vaya a su espacio de agente y seleccione la pestaña **Capacidades**.
1. Busca la función de supervisión de tus Primary/Secondary fuentes (por ejemplo`DevOpsAgentRole-AgentSpace-3xj2396z`) y selecciona **Editar**.
1. En **Políticas de permisos**, elimina la política `AIOpsAssistantPolicy` AWS gestionada.
1. Seleccione **Añadir permisos**, **Adjuntar políticas** y adjuntar la política `AIDevOpsAgentAccessPolicy` gestionada.
1. Edita la política en línea y sustituye su contenido por lo siguiente, sustituyendo tu ID de cuenta:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. La política de confianza para la función de supervisión no requiere cambios. Compruebe que coincida con lo siguiente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ Repita los pasos 2 a 6 para la función de supervisión en cada cuenta secundaria.
### Paso 2: Actualice el rol de operador (IAM)
1. En la consola del DevOps agente, seleccione la pestaña **Acceso** y busque el rol de operador.
1. En la consola de IAM, elimine la política en línea existente del rol de operador.
1. Seleccione **Añadir permisos**, **Adjuntar políticas y adjuntar** la política `AIDevOpsOperatorAppAccessPolicy` gestionada.
1. Seleccione la pestaña **Relaciones de confianza** y elija **Editar política de confianza**. Sustituya la política de confianza por la siguiente, sustituyendo su ID de cuenta, región e ID de Agent Space:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### Paso 3: Actualizar las funciones de los operadores (IDC)
Si utiliza el Centro de identidad de IAM con DevOps un agente, actualice cada función de operador de IDC.
1. En la consola de IAM, vaya a **Funciones** y busque `WebappIDC` las funciones de su DevOps agente en IDC (por ejemplo,). `DevOpsAgentRole-WebappIDC-`
1. Para cada función de IDC:
a. Elimine la política en línea existente.
b. Seleccione **Añadir permisos**, **Adjuntar políticas** y adjuntar la política `AIDevOpsOperatorAppAccessPolicy` gestionada.
c. Seleccione la pestaña **Relaciones de confianza** y elija **Editar política de confianza**. Sustituya la política de confianza por la siguiente, sustituyendo su ID de cuenta, región e ID de Agent Space:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. Crea una nueva política en línea con los siguientes permisos, sustituyéndola por tu ID de cuenta:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## Vuelva a conectar el centro de identidad de IAM (si corresponde)
Los espacios de agente creados durante la versión preliminar pública pueden tener una aplicación del Centro de Identidad de IAM configurada con un alcance de acceso obsoleto. En el caso de GA, el ámbito correcto es **`aidevops:read_write`**. Si su aplicación del Centro de Identidad de IAM tiene el alcance anterior (**`awsaidevops:read_write`**), debe desconectar y volver a conectar el Centro de Identidad de IAM.
### ¿Cómo comprobar el alcance de su aplicación en el Centro de Identidad de IAM
Ejecute el siguiente comando AWS CLI para comprobar el alcance de la aplicación IAM Identity Center. **Puede encontrar el ARN de la aplicación en la consola de IAM Identity Center, en Aplicaciones.**
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
El resultado debe mostrar el alcance correcto: **`aidevops:read_write`**
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
Si se muestra el alcance **`awsaidevops:read_write`**, significa que está desactualizado. Siga los pasos que se indican a continuación para actualizarlo.
### ¿Cómo volver a conectar el Centro de Identidad de IAM
El alcance de acceso de una aplicación AWS gestionada del Centro de Identidad de IAM no se puede actualizar directamente. Debe desconectarse y volver a conectarse:
1. En la consola del AWS DevOps agente, vaya a su espacio de agente y seleccione la pestaña **Acceso**.
1. Seleccione **Desconectar** junto a la configuración del centro de identidad de IAM.
1. Confirme la desconexión.
1. Elija **Connect** para volver a configurar el Centro de identidad de IAM. El servicio crea una nueva aplicación del IAM Identity Center con el alcance correcto.
1. Reasigne los usuarios y grupos a la nueva aplicación en la consola del IAM Identity Center.
**importante**
Al desconectarse, se elimina el historial de chat y artefactos de los usuarios individuales asociado a las cuentas de usuario del IAM Identity Center. Los usuarios deberán volver a iniciar sesión después de volver a conectarse.
## Verificación
Tras completar todos los pasos:
1. Regrese a la consola del DevOps agente y compruebe que no aparecen errores de permisos en la pestaña Agent Space **Access**.
1. Pruebe la aplicación web del operador para confirmar que se carga y funciona correctamente.
1. Si utilizas IDC, verifica que los usuarios puedan autenticarse y acceder a la experiencia del operador.
## Resolución de problemas
**Errores de permiso denegado tras la migración**
+ Compruebe que `AIOpsAssistantPolicy` se haya eliminado y que `AIDevOpsAgentAccessPolicy` esté asociado a las funciones de supervisión.
+ Compruebe que se hayan eliminado las políticas integradas antiguas y `AIDevOpsOperatorAppAccessPolicy` que estén asociadas a las funciones de los operadores.
+ Compruebe que las políticas de confianza de los operadores incluyan`sts:TagSession`.
+ Confirme que ha sustituido todos los valores de marcador de posición (````,,``) por valores reales.
**Las cuentas secundarias no funcionan**
+ La función de supervisión de cada cuenta secundaria debe actualizarse de forma independiente. Inicie sesión en cada cuenta y repita el paso 1.
**Fallos de autenticación de IDC**
+ Compruebe que la política de confianza de IDC incluya tanto la `sts:TagSession` sentencia`sts:AssumeRole`/como la `TrustedIdentityPropagation` sentencia.
+ Confirme la política en línea con `sso:ListInstances``sso:DescribeInstance`, y `identitystore:DescribeUser` se creó.
**Falta el historial de chats bajo demanda tras la migración**
+ No se podrá acceder a los historiales de chat bajo demanda del período de vista previa pública tras su lanzamiento en GA. Este comportamiento es de esperar debido a las medidas de seguridad mejoradas introducidas en Georgia. Los diarios de investigación y los resultados de la versión preliminar pública no se ven afectados.