Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # AWS DevOps Guía de incorporación de Agent CLI ## Descripción general de Con AWS DevOps Agent, puede monitorear y administrar su AWS infraestructura. Esta guía explica cómo configurar el AWS DevOps agente mediante la interfaz de línea de AWS comandos (AWS CLI). Puede crear funciones de IAM, configurar un espacio de agente y asociar su AWS cuenta. También habilitas la aplicación del operador y, de forma opcional, conectas integraciones de terceros. Esta guía tarda aproximadamente 20 minutos en completarse. AWS DevOps El agente está disponible en seis AWS regiones: EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), Asia Pacífico (Sídney), Asia Pacífico (Tokio), Europa (Fráncfort) y Europa (Irlanda). Para obtener más información sobre las regiones compatibles, consulte[Regiones admitidas](about-aws-devops-agent-supported-regions.md). ## Requisitos previos Antes de comenzar, asegúrese de que dispone de lo siguiente: + AWS CLI versión 2 instalada y configurada + Autenticación en su cuenta AWS de monitoreo + Permisos para crear AWS funciones de Identity and Access Management (IAM) y adjuntar políticas + Una AWS cuenta para usarla como cuenta de supervisión + Familiaridad con la sintaxis AWS CLI y JSON A lo largo de esta guía, sustituya los siguientes valores de marcador de posición por los suyos propios: + ``— Su ID de AWS cuenta de 12 dígitos para la cuenta de monitoreo (principal) + ``— El ID de AWS cuenta de 12 dígitos de la cuenta secundaria que se va a monitorear (usado en el paso 4) + ``— El código de AWS región de tu espacio de agente (por ejemplo, `us-east-1` o`eu-central-1`) + ``— El identificador del espacio de agentes que devuelve el `create-agent-space` comando ## Configuración de los roles de IAM ### 1. Cree el rol del espacio de DevOps agentes Cree la política de confianza de IAM ejecutando el siguiente comando: ``` cat > devops-agentspace-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Cree el rol de IAM: ``` aws iam create-role \ --region \ --role-name DevOpsAgentRole-AgentSpace \ --assume-role-policy-document file://devops-agentspace-trust-policy.json ``` Guarde el ARN del rol ejecutando el siguiente comando: ``` aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text ``` Adjunte la política AWS gestionada: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Cree y adjunte una política en línea para permitir la creación del rol vinculado al servicio Resource Explorer: ``` cat > devops-agentspace-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-agentspace-additional-policy.json ``` ### 2. Cree el rol de IAM de la aplicación operadora Cree la política de confianza de IAM ejecutando el siguiente comando: ``` cat > devops-operator-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Cree el rol de IAM: ``` aws iam create-role \ --role-name DevOpsAgentRole-WebappAdmin \ --assume-role-policy-document file://devops-operator-trust-policy.json \ --region ``` Guarde el ARN del rol ejecutando el siguiente comando: ``` aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text ``` Adjunte la política de la aplicación AWS gestionada por el operador: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-WebappAdmin \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy ``` Esta política gestionada concede a la aplicación del operador permisos para acceder a las funciones del espacio de agentes. Estas funciones incluyen investigaciones, recomendaciones, gestión del conocimiento, chat e integración de AWS Support. La política limita el acceso al espacio de agentes específico mediante el uso de la `aws:PrincipalTag/AgentSpaceId` condición. Para obtener más información sobre la lista completa de acciones, consulte[DevOps Permisos de IAM para agentes](aws-devops-agent-security-devops-agent-iam-permissions.md). ## Pasos de incorporación ### 1. Crea un espacio para agentes Ejecute el siguiente comando para crear un espacio de agentes: ``` aws devops-agent create-agent-space \ --name "MyAgentSpace" \ --description "AgentSpace for monitoring my application" \ --region ``` Si lo desea, especifique `--kms-key-arn` el uso de una clave AWS KMS administrada por el cliente para el cifrado. También puede utilizarla `--tags` para añadir etiquetas de recursos y `--locale` establecer el idioma de las respuestas de los agentes. `agentSpaceId`Guarde el contenido de la respuesta (ubicado en`agentSpace.agentSpaceId`). Para enumerar los espacios de sus agentes más adelante, ejecute el siguiente comando: ``` aws devops-agent list-agent-spaces \ --region ``` ### 2. Asocia tu AWS cuenta Asocie su AWS cuenta para activar la detección de topología. `accountType`Establézcalo en uno de los siguientes valores: + `monitor`— La cuenta principal en la que se encuentra el espacio de agentes. Esta cuenta aloja el agente y se utiliza para el descubrimiento de la topología. + `source`— Una cuenta adicional que el agente supervisa. Utilice este tipo cuando asocie cuentas externas en el paso 4. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "aws": { "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentRole-AgentSpace", "accountId": "", "accountType": "monitor" } }' \ --region ``` ### 3. Habilita la aplicación del operador Los flujos de autenticación pueden usar IAM, IAM Identity Center (IDC) o un proveedor de identidad externo (IdP). Ejecute el siguiente comando para habilitar la aplicación del operador en su espacio de agente: ``` aws devops-agent enable-operator-app \ --agent-space-id \ --auth-flow iam \ --operator-app-role-arn "arn:aws:iam:::role/DevOpsAgentRole-WebappAdmin" \ --region ``` Para la autenticación del Centro de Identidad de IAM, utilice `--auth-flow idc` y proporcione`--idc-instance-arn`. Para un proveedor de identidad externo, utilice `--auth-flow idp` y proporcione `--issuer-url``--idp-client-id`, y`--idp-client-secret`. Para obtener más información, consulte [Configuración de la autenticación de IAM Identity Center](aws-devops-agent-security-setting-up-iam-identity-center-authentication.md) y [Configuración de la autenticación de un proveedor de identidad externo (IdP)](aws-devops-agent-security-setting-up-external-identity-provider-idp-authentication.md). **Nota:** Si anteriormente creaste un rol de aplicación de operador para otro espacio de agente en tu cuenta, puedes reutilizar el ARN de ese rol. ### 4. (Opcional) Asocia cuentas de origen adicionales Para supervisar cuentas adicionales con el AWS DevOps agente, cree un rol multicuenta de IAM. #### Cree el rol multicuenta en la cuenta externa Cambie a la cuenta externa y cree la política de confianza. `MONITORING_ACCOUNT_ID`Es la cuenta principal que aloja el espacio de agentes que configuró en el paso 2. Esta configuración permite que el servicio de AWS DevOps agente asuma una función en las cuentas de origen secundarias en nombre de la cuenta de supervisión. Ejecute el siguiente comando para crear la política de confianza: ``` cat > devops-cross-account-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "", "sts:ExternalId": "arn:aws:aidevops:::agentspace/" } } } ] } EOF ``` Cree el rol de IAM multicuenta: ``` aws iam create-role \ --role-name DevOpsAgentCrossAccountRole \ --assume-role-policy-document file://devops-cross-account-trust-policy.json ``` Guarde el ARN del rol ejecutando el siguiente comando: ``` aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text ``` Adjunte la política AWS gestionada: ``` aws iam attach-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Adjunte la política en línea para permitir la creación del rol vinculado al servicio Resource Explorer en la cuenta externa: ``` cat > devops-cross-account-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-cross-account-additional-policy.json ``` #### Asocie la cuenta externa Vuelva a su cuenta de supervisión y, a continuación, ejecute el siguiente comando para asociar la cuenta externa: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "sourceAws": { "accountId": "", "accountType": "source", "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentCrossAccountRole" } }' \ --region ``` ### 5. (Opcional) Asociar GitHub **Nota:** Primero debe registrarse GitHub a través de la consola del AWS DevOps agente mediante el OAuth flujo antes de poder asociarlo a través de la CLI. Para obtener instrucciones sobre cómo registrarse GitHub a través de la consola, consulte[Conexión a CI/CD tuberías](configuring-capabilities-for-aws-devops-agent-connecting-to-cicd-pipelines-index.md). Enumere los servicios registrados: ``` aws devops-agent list-services \ --region ``` Guarde el `` para ServiceType:. `github` Tras registrarse GitHub en la consola, asocie los GitHub repositorios ejecutando el siguiente comando: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "github": { "repoName": "", "repoId": "", "owner": "", "ownerType": "organization" } }' \ --region ``` ### 6. (Opcional) Registre y asocie ServiceNow Primero, registre el ServiceNow servicio con OAuth las credenciales: ``` aws devops-agent register-service \ --service servicenow \ --service-details '{ "servicenow": { "instanceUrl": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Guarde lo devuelto y``, a continuación, asocie ServiceNow: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "servicenow": { "instanceUrl": "" } }' \ --region ``` ### 7. (Opcional) Registre y asocie Dynatrace Primero, registre el servicio Dynatrace con las credenciales: OAuth ``` aws devops-agent register-service \ --service dynatrace \ --service-details '{ "dynatrace": { "accountUrn": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Guarde las devueltas y, a continuación``, asocie Dynatrace. Los recursos son opcionales. El entorno especifica el entorno de Dynatrace al que se debe asociar. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "dynatrace": { "envId": "", "resources": [ "", "" ] } }' \ --region ``` La respuesta incluye información sobre webhooks para la integración. Puedes usar este webhook para iniciar una investigación por parte de Dynatrace. Para obtener más información, consulte [Conectando Dynatrace](connecting-telemetry-sources-connecting-dynatrace.md). ### 8. (Opcional) Registra y asocia Splunk En primer lugar, registre el servicio de Splunk con BearerToken las credenciales. El punto final utiliza el siguiente formato: `https://.api.scs.splunk.com//mcp/v1/` ``` aws devops-agent register-service \ --service mcpserversplunk \ --service-details '{ "mcpserversplunk": { "name": "", "endpoint": "", "authorizationConfig": { "bearerToken": { "tokenName": "", "tokenValue": "" } } } }' \ --region ``` Guarde lo devuelto y``, a continuación, asocie Splunk: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserversplunk": { "name": "", "endpoint": "" } }' \ --region ``` La respuesta incluye información sobre el webhook para la integración. Puedes usar este webhook para iniciar una investigación en Splunk. Para obtener más información, consulte [Conexión de Splunk](connecting-telemetry-sources-connecting-splunk.md). ### 9. (Opcional) Registra y asocia New Relic En primer lugar, registre el servicio New Relic con las credenciales clave de la API. Región: cualquiera de las dos`US`. `EU` Campos opcionales:`applicationIds`,`entityGuids`, `alertPolicyIds` ``` aws devops-agent register-service \ --service mcpservernewrelic \ --service-details '{ "mcpservernewrelic": { "authorizationConfig": { "apiKey": { "apiKey": "", "accountId": "", "region": "US", "applicationIds": ["", ""], "entityGuids": [""], "alertPolicyIds": [""] } } } }' \ --region ``` Guarda lo devuelto y``, a continuación, asocia New Relic: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpservernewrelic": { "accountId": "", "endpoint": "https://mcp.newrelic.com/mcp/" } }' \ --region ``` La respuesta incluye información sobre el webhook para la integración. Puedes usar este webhook para iniciar una investigación desde New Relic. Para obtener más información, consulte [Conectando New Relic](connecting-telemetry-sources-connecting-new-relic.md). ### 10. (Opcional) Registre y asocie Datadog Primero debe registrar Datadog a través de la consola del AWS DevOps agente mediante el OAuth flujo antes de poder asociarlo a través de la CLI. Para obtener más información, consulte [Conectando DataDog](connecting-telemetry-sources-connecting-datadog.md). Enumere los servicios registrados: ``` aws devops-agent list-services \ --region ``` Guarde el `` para ServiceType:. `mcpserverdatadog` Luego asocie Datadog: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserverdatadog": { "name": "Datadog-MCP-Server", "endpoint": "" } }' \ --region ``` La respuesta incluye información sobre el webhook para la integración. Puedes usar este webhook para iniciar una investigación desde Datadog. Para obtener más información, consulte [Conectando DataDog](connecting-telemetry-sources-connecting-datadog.md). ### 11. (Opcional) Elimine un espacio de agente Al eliminar un espacio de agentes, se eliminan todas las asociaciones, configuraciones y datos de investigación de ese espacio de agentes. Esta acción no se puede deshacer. Para eliminar un espacio de agentes, ejecute el siguiente comando: ``` aws devops-agent delete-agent-space \ --agent-space-id \ --region ``` ## Verificación Para comprobar la configuración, ejecute los siguientes comandos: ``` # List your agent spaces aws devops-agent list-agent-spaces \ --region # Get details of a specific agent space aws devops-agent get-agent-space \ --agent-space-id \ --region # List associations for an agent space aws devops-agent list-associations \ --agent-space-id \ --region ``` ## Siguientes pasos + Para conectar integraciones adicionales, consulte[Configuración de las capacidades del AWS DevOps agente](configuring-capabilities-for-aws-devops-agent.md). + Para obtener información sobre las habilidades y capacidades de los agentes, consulte[DevOps Habilidades de agente](about-aws-devops-agent-devops-agent-skills.md). + Para entender la aplicación web del operador, consulte[¿Qué es una aplicación web para DevOps agentes?](about-aws-devops-agent-what-is-a-devops-agent-web-app.md). ## Notas + Sustituya `` ````,``,, y así sucesivamente por sus valores reales. + Para obtener una lista de las regiones admitidas, consulte [Regiones admitidas](about-aws-devops-agent-supported-regions.md).