View a markdown version of this page

Migrazione dall'anteprima pubblica alla disponibilità generale - AWS DevOps Agente
Cosa sta cambiandoCronologia delle chat su richiesta dall'anteprima pubblicaNuove politiche gestiteRicollega IAM Identity Center (se applicabile)VerificaRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migrazione dall'anteprima pubblica alla disponibilità generale

Se hai utilizzato AWS DevOps Agent durante l'anteprima pubblica, devi aggiornare i ruoli IAM prima della versione GA. Questa guida illustra l'aggiornamento dei ruoli di monitoraggio e dei ruoli di operatore nei tuoi account.

Cosa sta cambiando

  1. Le cronologie delle chat su richiesta durante l'anteprima non sono più accessibili

  2. Le nuove politiche gestite sostituiscono le politiche disponibili durante l'anteprima

  3. Agent Spaces potrebbe avere un ambito di accesso alle applicazioni IAM Identity Center obsoleto

Cronologia delle chat su richiesta dall'anteprima pubblica

La versione GA introduce misure di sicurezza aggiuntive per rafforzare i controlli di accesso alle cronologie delle chat. A seguito di queste modifiche, le cronologie delle chat su richiesta del periodo di anteprima pubblica (prima del 30 marzo 2026) non sono più accessibili. I diari di indagine e i risultati creati durante l'anteprima pubblica non sono interessati. Questa modifica si applica solo alle conversazioni in chat su richiesta.

Nuove politiche gestite

Per GA, AWS fornisce nuove politiche gestite che sostituiscono le politiche dell'era di anteprima:

Tipo di ruolo Rimuovi Add (Aggiungi)
Monitoraggio Policy gestita di AIOpsAssistantPolicy Policy gestita di AIDevOpsAgentAccessPolicy
Operatore (IAM e IDC) Politica in linea Policy gestita di AIDevOpsOperatorAppAccessPolicy

Inoltre, i ruoli dell'operatore richiedono politiche di fiducia aggiornate e i ruoli dell'operatore IDC richiedono una nuova politica in linea.

Prerequisiti

  • Accesso agli AWS account in cui sono configurati i ruoli di DevOps agente (account primari e tutti gli account secondari)

  • Autorizzazioni IAM per modificare ruoli, politiche e relazioni di fiducia

  • L'ID Agent Space, l'ID AWS dell'account e la regione (visibili nella console dell' DevOps agente)

Fase 1: Aggiornare i ruoli di monitoraggio

Aggiorna il ruolo di monitoraggio nel tuo account principale e in ogni account secondario. Questi sono i ruoli di Primary/Secondary origine configurati nella scheda Capacità nello spazio degli agenti (esempio di primary/secondary ruolo:DevOpsAgentRole-AgentSpace-3xj2396z).

  1. Nella console dell' DevOps agente, vai al tuo Agent Space e scegli la scheda Funzionalità.

  2. Trova il ruolo di monitoraggio per le tue Primary/Secondary Fonti (ad esempioDevOpsAgentRole-AgentSpace-3xj2396z) e scegli Modifica.

  3. In Politiche di autorizzazione, rimuovi la politica AIOpsAssistantPolicy AWS gestita.

  4. Scegli Aggiungi autorizzazioni, Allega politiche e allega la politica AIDevOpsAgentAccessPolicy gestita.

  5. Modifica la politica in linea e sostituisci il suo contenuto con quanto segue, sostituendo l'ID del tuo account:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

  1. La politica di fiducia per il ruolo di monitoraggio non richiede modifiche. Verifica che corrisponda a quanto segue:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

  • Ripeti i passaggi da 2 a 6 per il ruolo di monitoraggio in ogni account secondario.

Fase 2: Aggiornare il ruolo dell'operatore (IAM)

  1. Nella console dell' DevOps agente, scegli la scheda Accesso e trova il ruolo dell'operatore.

  2. Nella console IAM, rimuovi la policy in linea esistente dal ruolo dell'operatore.

  3. Scegli Aggiungi autorizzazioni, Allega politiche e allega la politica AIDevOpsOperatorAppAccessPolicy gestita.

  4. Scegli la scheda Relazioni di fiducia e scegli Modifica politica di fiducia. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

Fase 3: Aggiornamento dei ruoli degli operatori (IDC)

Se utilizzi IAM Identity Center with DevOps Agent, aggiorna ogni ruolo di operatore IDC.

  1. Nella console IAM, vai su Ruoli e cerca per WebappIDC trovare i ruoli di DevOps Agent IDC (ad esempio,DevOpsAgentRole-WebappIDC-<id>).

  2. Per ogni ruolo IDC:

a. Rimuovi la politica in linea esistente.

b. Scegli Aggiungi autorizzazioni, Allega politiche e allega la politica AIDevOpsOperatorAppAccessPolicy gestita.

c. Scegli la scheda Relazioni di fiducia e scegli Modifica politica di fiducia. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d. Crea una nuova politica in linea con le seguenti autorizzazioni, sostituendo l'ID del tuo account:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

Ricollega IAM Identity Center (se applicabile)

Gli Agent Spaces creati durante l'anteprima pubblica possono avere un'applicazione IAM Identity Center configurata con un ambito di accesso obsoleto. Per GA, l'ambito corretto è aidevops:read_write. Se la tua applicazione IAM Identity Center ha l'ambito precedente (awsaidevops:read_write), devi disconnettere e ricollegare IAM Identity Center.

Come verificare l'ambito dell'applicazione IAM Identity Center

Esegui il seguente comando AWS CLI per controllare l'ambito sulla tua applicazione IAM Identity Center. Puoi trovare l'ARN dell'applicazione nella console IAM Identity Center alla voce Applicazioni.

aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

L'output dovrebbe mostrare l'ambito aidevops:read_writecorretto:

{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

Se l'ambito viene visualizzato awsaidevops:read_write, è obsoleto. Segui i passaggi seguenti per aggiornarlo.

Come riconnettere IAM Identity Center

L'ambito di accesso su un'applicazione IAM Identity Center AWS gestita non può essere aggiornato direttamente. È necessario disconnettersi e riconnettersi:

  1. Nella console dell' AWS DevOps agente, vai al tuo Agent Space e scegli la scheda Accesso.

  2. Scegli Disconnect accanto alla configurazione di IAM Identity Center.

  3. Conferma la disconnessione.

  4. Scegli Connect per configurare nuovamente IAM Identity Center. Il servizio crea una nuova applicazione IAM Identity Center con l'ambito corretto.

  5. Riassegna utenti e gruppi alla nuova applicazione nella console IAM Identity Center.

Importante

La disconnessione rimuove la chat dei singoli utenti e la cronologia degli artefatti associati agli account utente IAM Identity Center. Gli utenti dovranno effettuare nuovamente l'accesso dopo la riconnessione.

Verifica

Dopo aver completato tutti i passaggi:

  1. Tornate alla console dell' DevOps agente e verificate che non compaiano errori di autorizzazione nella scheda Agent Space Access.

  2. Testa l'app web dell'operatore per confermare che si carichi e funzioni correttamente.

  3. Se utilizzi IDC, verifica che gli utenti possano autenticarsi e accedere all'esperienza dell'operatore.

Risoluzione dei problemi

Errori di autorizzazione negata dopo la migrazione

  • Verifica che sia AIOpsAssistantPolicy stato rimosso e AIDevOpsAgentAccessPolicy sia associato ai ruoli di monitoraggio.

  • Verifica che le vecchie politiche in linea siano state rimosse e che AIDevOpsOperatorAppAccessPolicy siano associate ai ruoli dell'operatore.

  • Verifica che le politiche di fiducia degli operatori includanosts:TagSession.

  • Conferma di aver sostituito tutti i valori segnaposto (<account-id>,<region>,<agentspace-id>) con valori effettivi.

Gli account secondari non funzionano

  • Il ruolo di monitoraggio di ogni account secondario deve essere aggiornato in modo indipendente. Accedi a ciascun account e ripeti il passaggio 1.

Errori di autenticazione IDC

  • Verifica che la policy di fiducia di IDC includa sia l'sts:TagSessionistruzionests:AssumeRole/che l'istruzione. TrustedIdentityPropagation

  • Conferma la politica in linea con sso:ListInstancessso:DescribeInstance, ed identitystore:DescribeUser è stata creata.

Manca la cronologia delle chat su richiesta dopo la migrazione

  • Le cronologie delle chat su richiesta del periodo di anteprima pubblica non sono accessibili dopo il rilascio della versione GA. Questo è un comportamento previsto dovuto alle misure di sicurezza avanzate introdotte in GA. Le riviste investigative e i risultati dell'anteprima pubblica non sono interessati.