Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Migrasi dari pratinjau publik ke ketersediaan umum
Jika Anda menggunakan AWS DevOps Agen selama pratinjau publik, Anda harus memperbarui peran IAM Anda sebelum rilis GA. Panduan ini berjalan melalui pembaruan peran pemantauan dan peran operator di akun Anda.
## Apa yang berubah
1. [Riwayat obrolan sesuai permintaan selama pratinjau tidak lagi dapat diakses](#on-demand-chat-history-from-public-preview)
1. [Kebijakan terkelola baru menggantikan kebijakan yang tersedia selama pratinjau](#new-managed-policies)
1. [Agent Spaces mungkin memiliki cakupan akses aplikasi IAM Identity Center yang sudah ketinggalan zaman](#reconnect-iam-identity-center-if-applicable)
## Riwayat obrolan sesuai permintaan dari pratinjau publik
Rilis GA memperkenalkan langkah-langkah keamanan tambahan untuk memperkuat kontrol akses untuk riwayat obrolan. Sebagai hasil dari perubahan ini, riwayat obrolan sesuai permintaan dari periode pratinjau publik (sebelum 30 Maret 2026) tidak lagi dapat diakses. Jurnal investigasi dan temuan yang dibuat selama pratinjau publik tidak terpengaruh. **Perubahan ini hanya berlaku untuk percakapan obrolan sesuai permintaan.**
## Kebijakan Terkelola Baru
Untuk GA, AWS berikan kebijakan terkelola baru yang menggantikan kebijakan era pratinjau:
| Jenis peran | Menghapus | Tambahkan |
| --- | --- | --- |
| Memantau | Kebijakan terkelola AIOpsAssistantPolicy | Kebijakan terkelola AIDevOpsAgentAccessPolicy |
| Operator (IAM dan IDC) | Kebijakan sebaris | Kebijakan terkelola AIDevOpsOperatorAppAccessPolicy |
Selain itu, peran operator memerlukan kebijakan kepercayaan yang diperbarui, dan peran operator IDC memerlukan kebijakan inline baru.
### Prasyarat
+ Akses ke AWS akun tempat peran DevOps Agen Anda dikonfigurasi (akun primer dan semua akun sekunder)
+ Izin IAM untuk mengubah peran, kebijakan, dan hubungan kepercayaan
+ ID Ruang Agen, ID AWS akun, dan Wilayah Anda (terlihat di konsol DevOps Agen)
### Langkah 1: Perbarui peran pemantauan
Perbarui peran pemantauan di akun utama Anda dan di setiap akun sekunder. Ini adalah peran Primary/Secondary sumber yang dikonfigurasi di bawah tab **Kemampuan** di ruang agen Anda (contoh primary/secondary peran:`DevOpsAgentRole-AgentSpace-3xj2396z`).
1. Di konsol DevOps Agen, buka Ruang Agen Anda dan pilih tab **Kemampuan**.
1. Temukan peran pemantauan untuk Primary/Secondary Sumber Anda (misalnya,`DevOpsAgentRole-AgentSpace-3xj2396z`) dan pilih **Edit**.
1. Di bawah **kebijakan Izin**, hapus kebijakan `AIOpsAssistantPolicy` AWS terkelola.
1. Pilih **Tambahkan izin**, **Lampirkan kebijakan**, dan lampirkan kebijakan `AIDevOpsAgentAccessPolicy` terkelola.
1. Edit kebijakan inline dan ganti isinya dengan yang berikut, ganti ID akun Anda:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. Kebijakan kepercayaan untuk peran pemantauan tidak memerlukan perubahan. Verifikasi itu cocok dengan yang berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ Ulangi langkah 2—6 untuk peran pemantauan di setiap akun sekunder.
### Langkah 2: Perbarui peran operator (IAM)
1. Di konsol DevOps Agen, pilih tab **Access** dan temukan peran operator.
1. Di konsol IAM, hapus kebijakan sebaris yang ada dari peran operator.
1. Pilih **Tambahkan izin**, **Lampirkan kebijakan**, dan lampirkan kebijakan `AIDevOpsOperatorAppAccessPolicy` terkelola.
1. Pilih tab **Trust relationship** dan pilih **Edit trust policy**. Ganti kebijakan kepercayaan dengan yang berikut, ganti ID akun, Wilayah, dan ID Ruang Agen Anda:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### Langkah 3: Perbarui peran operator (IDC)
Jika Anda menggunakan Pusat Identitas IAM dengan DevOps Agen, perbarui setiap peran operator IDC.
1. Di konsol IAM, buka **Peran dan cari `WebappIDC` untuk menemukan peran** DevOps Agen IDC Anda (misalnya,`DevOpsAgentRole-WebappIDC-`).
1. Untuk setiap peran IDC:
sebuah. Hapus kebijakan inline yang ada.
b. Pilih **Tambahkan izin**, **Lampirkan kebijakan**, dan lampirkan kebijakan `AIDevOpsOperatorAppAccessPolicy` terkelola.
c. Pilih tab **Trust relationship** dan pilih **Edit trust policy**. Ganti kebijakan kepercayaan dengan yang berikut, ganti ID akun, Wilayah, dan ID Ruang Agen Anda:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. Buat kebijakan inline baru dengan izin berikut, ganti ID akun Anda:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## Hubungkan kembali Pusat Identitas IAM (jika ada)
Ruang Agen yang dibuat selama pratinjau publik mungkin memiliki aplikasi Pusat Identitas IAM yang dikonfigurasi dengan cakupan akses yang sudah ketinggalan zaman. Untuk GA, ruang lingkup yang benar adalah **`aidevops:read_write`**. Jika aplikasi IAM Identity Center Anda memiliki scope (**`awsaidevops:read_write`**) sebelumnya, Anda harus memutuskan dan menghubungkan kembali IAM Identity Center.
### Cara memeriksa cakupan aplikasi IAM Identity Center Anda
Jalankan perintah AWS CLI berikut untuk memeriksa cakupan pada aplikasi IAM Identity Center Anda. **Anda dapat menemukan aplikasi ARN di konsol Pusat Identitas IAM di bawah Aplikasi.**
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
Output harus menunjukkan ruang lingkup yang benar **`aidevops:read_write`**:
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
Jika ruang lingkup menunjukkan **`awsaidevops:read_write`**, itu sudah usang. Ikuti langkah-langkah di bawah ini untuk memperbaruinya.
### Cara menghubungkan kembali Pusat Identitas IAM
Cakupan akses pada aplikasi Pusat Identitas IAM yang AWS dikelola tidak dapat diperbarui secara langsung. Anda harus memutuskan dan menyambung kembali:
1. Di konsol AWS DevOps Agen, buka Ruang Agen Anda dan pilih tab **Akses**.
1. Pilih **Putuskan sambungan** di samping konfigurasi Pusat Identitas IAM.
1. Konfirmasikan pemutusan.
1. Pilih **Connect** untuk mengatur IAM Identity Center lagi. Layanan ini membuat aplikasi IAM Identity Center baru dengan cakupan yang benar.
1. Tetapkan kembali pengguna dan grup ke aplikasi baru di konsol Pusat Identitas IAM.
**penting**
Memutuskan sambungan akan menghapus obrolan pengguna individual dan riwayat artefak yang terkait dengan akun pengguna IAM Identity Center. Pengguna harus masuk lagi setelah koneksi ulang.
## Verifikasi
Setelah menyelesaikan semua langkah:
1. Kembali ke konsol DevOps Agen dan verifikasi bahwa tidak ada kesalahan izin yang muncul di tab **Akses** Ruang Agen.
1. Uji aplikasi web operator untuk mengonfirmasi pemuatan dan fungsinya dengan benar.
1. Jika Anda menggunakan IDC, verifikasi bahwa pengguna dapat mengautentikasi dan mengakses pengalaman operator.
## Pemecahan masalah
**Izin ditolak kesalahan setelah migrasi**
+ Verifikasi `AIOpsAssistantPolicy` bahwa telah dihapus dan `AIDevOpsAgentAccessPolicy` dilampirkan ke peran pemantauan.
+ Verifikasi bahwa kebijakan inline lama telah dihapus dan `AIDevOpsOperatorAppAccessPolicy` dilampirkan ke peran operator.
+ Periksa apakah kebijakan kepercayaan operator termasuk`sts:TagSession`.
+ Konfirmasikan bahwa Anda mengganti semua nilai placeholder (``,``,``) dengan nilai aktual.
**Akun sekunder tidak berfungsi**
+ Setiap peran pemantauan akun sekunder harus diperbarui secara independen. Masuk ke setiap akun dan ulangi Langkah 1.
**Kegagalan otentikasi IDC**
+ Verifikasi kebijakan kepercayaan IDC mencakup `sts:TagSession` pernyataan`sts:AssumeRole`/dan `TrustedIdentityPropagation` pernyataan.
+ Konfirmasikan kebijakan inline dengan`sso:ListInstances`,`sso:DescribeInstance`, dan `identitystore:DescribeUser` telah dibuat.
**Riwayat obrolan sesuai permintaan hilang setelah migrasi**
+ Riwayat obrolan sesuai permintaan dari periode pratinjau publik tidak dapat diakses setelah rilis GA. Ini adalah perilaku yang diharapkan karena langkah-langkah keamanan yang ditingkatkan yang diperkenalkan di GA. Jurnal investigasi dan temuan dari pratinjau publik tidak terpengaruh.