

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Migrazione dall'anteprima pubblica alla disponibilità generale
<a name="configuring-integrations-and-knowledge-migrating-from-public-preview-to-general-availability"></a>

Se hai utilizzato AWS DevOps Agent durante l'anteprima pubblica, devi aggiornare i ruoli IAM prima della versione GA. Questa guida illustra l'aggiornamento dei ruoli di monitoraggio e dei ruoli di operatore nei tuoi account.

## Cosa sta cambiando
<a name="whats-changing"></a>

1. [On-demand le cronologie delle chat durante l'anteprima non sono più accessibili](#on-demand-chat-history-from-public-preview)

1. [Le nuove politiche gestite sostituiscono le politiche disponibili durante l'anteprima](#new-managed-policies)

1. [Agent Spaces potrebbe avere un ambito di accesso alle applicazioni IAM Identity Center obsoleto](#reconnect-iam-identity-center-if-applicable)

## On-demand cronologia chat dall'anteprima pubblica
<a name="on-demand-chat-history-from-public-preview"></a>

La versione GA introduce misure di sicurezza aggiuntive per rafforzare i controlli di accesso alle cronologie delle chat. A seguito di queste modifiche, le cronologie delle chat su richiesta del periodo di anteprima pubblica (prima del 30 marzo 2026) non sono più accessibili. I diari di indagine e i risultati creati durante l'anteprima pubblica non sono interessati. **Questa modifica si applica solo alle conversazioni in chat su richiesta.**

## Nuove politiche gestite
<a name="new-managed-policies"></a>

Per GA, AWS fornisce nuove politiche gestite che sostituiscono le politiche dell'era di anteprima:


| Tipo di ruolo | Rimuovi | Add (Aggiungi) | 
| --- | --- | --- | 
| Monitoraggio | Policy gestita di AIOpsAssistantPolicy | Policy gestita di AIDevOpsAgentAccessPolicy | 
| Operatore (IAM e IDC) | Politica in linea | Policy gestita di AIDevOpsOperatorAppAccessPolicy | 

Inoltre, i ruoli dell'operatore richiedono politiche di fiducia aggiornate e i ruoli dell'operatore IDC richiedono una nuova politica in linea.

### Prerequisiti
<a name="prerequisites"></a>
+ Accesso agli AWS account in cui sono configurati i ruoli di DevOps agente (account primari e tutti gli account secondari)
+ Autorizzazioni IAM per modificare ruoli, politiche e relazioni di fiducia
+ L'ID Agent Space, l'ID AWS dell'account e la regione (visibili nella console dell' DevOps agente)

### Fase 1: Aggiornare i ruoli di monitoraggio
<a name="step-1-update-monitoring-roles"></a>

Aggiorna il ruolo di monitoraggio nel tuo account principale e in ogni account secondario. Questi sono i ruoli di Primary/Secondary origine configurati nella scheda **Capacità** nello spazio degli agenti (esempio di primary/secondary ruolo:`DevOpsAgentRole-AgentSpace-3xj2396z`).

1. Nella console dell' DevOps agente, vai al tuo Agent Space e scegli la scheda **Funzionalità**.

1. Trova il ruolo di monitoraggio per le tue Primary/Secondary Fonti (ad esempio`DevOpsAgentRole-AgentSpace-3xj2396z`) e scegli **Modifica**.

1. In **Politiche di autorizzazione**, rimuovi la politica `AIOpsAssistantPolicy` AWS gestita.

1. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsAgentAccessPolicy` gestita.

1. Modifica la politica in linea e sostituisci il suo contenuto con quanto segue, sostituendo l'ID del tuo account:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}
```

1. La politica di fiducia per il ruolo di monitoraggio non richiede modifiche. Verifica che corrisponda a quanto segue:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}
```
+ Ripeti i passaggi da 2 a 6 per il ruolo di monitoraggio in ogni account secondario.

### Fase 2: Aggiornare il ruolo dell'operatore (IAM)
<a name="step-2-update-the-operator-role-iam"></a>

1. Nella console dell' DevOps agente, scegli la scheda **Accesso** e trova il ruolo dell'operatore.

1. Nella console IAM, rimuovi la policy in linea esistente dal ruolo dell'operatore.

1. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsOperatorAppAccessPolicy` gestita.

1. Scegli la scheda **Relazioni di fiducia** e scegli **Modifica politica di fiducia**. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}
```

### Fase 3: Aggiornamento dei ruoli degli operatori (IDC)
<a name="step-3-update-operator-roles-idc"></a>

Se utilizzi IAM Identity Center with DevOps Agent, aggiorna ogni ruolo di operatore IDC.

1. Nella console IAM, vai su **Ruoli e cerca per `WebappIDC` trovare i ruoli** di DevOps Agent IDC (ad esempio,`DevOpsAgentRole-WebappIDC-<id>`).

1. Per ogni ruolo IDC:

a. Rimuovi la politica in linea esistente.

b. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsOperatorAppAccessPolicy` gestita.

c. Scegli la scheda **Relazioni di fiducia** e scegli **Modifica politica di fiducia**. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}
```

d. Crea una nuova politica in linea con le seguenti autorizzazioni, sostituendo l'ID del tuo account:

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}
```

## Ricollega IAM Identity Center (se applicabile)
<a name="reconnect-iam-identity-center-if-applicable"></a>

Gli Agent Spaces creati durante l'anteprima pubblica possono avere un'applicazione IAM Identity Center configurata con un ambito di accesso obsoleto. Per GA, l'ambito corretto è **`aidevops:read_write`**. Se la tua applicazione IAM Identity Center ha l'ambito precedente (**`awsaidevops:read_write`**), devi disconnettere e ricollegare IAM Identity Center.

### Come verificare l'ambito dell'applicazione IAM Identity Center
<a name="how-to-check-your-idc-application-scope"></a>

Esegui il seguente comando AWS CLI per controllare l'ambito sulla tua applicazione IAM Identity Center. **Puoi trovare l'ARN dell'applicazione nella console IAM Identity Center alla voce Applicazioni.**

```
aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>
```

L'output dovrebbe mostrare l'ambito **`aidevops:read_write`**corretto:

```
{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}
```

Se l'ambito viene visualizzato **`awsaidevops:read_write`**, è obsoleto. Segui i passaggi seguenti per aggiornarlo.

### Come riconnettere IAM Identity Center
<a name="how-to-reconnect-iam-identity-center"></a>

L'ambito di accesso su un'applicazione IAM Identity Center AWS gestita non può essere aggiornato direttamente. È necessario disconnettersi e riconnettersi:

1. Nella console dell' AWS DevOps agente, vai al tuo Agent Space e scegli la scheda **Accesso**.

1. Scegli **Disconnect** accanto alla configurazione di IAM Identity Center.

1. Conferma la disconnessione.

1. Scegli **Connect** per configurare nuovamente IAM Identity Center. Il servizio crea una nuova applicazione IAM Identity Center con l'ambito corretto.

1. Riassegna utenti e gruppi alla nuova applicazione nella console IAM Identity Center.

**Importante**  
La disconnessione rimuove la chat dei singoli utenti e la cronologia degli artefatti associati agli account utente IAM Identity Center. Gli utenti dovranno effettuare nuovamente l'accesso dopo la riconnessione.

## Verifica
<a name="verification"></a>

Dopo aver completato tutti i passaggi:

1. Tornate alla console dell' DevOps agente e verificate che non compaiano errori di autorizzazione nella scheda Agent Space **Access**.

1. Testa l'app web dell'operatore per confermare che si carichi e funzioni correttamente.

1. Se utilizzi IDC, verifica che gli utenti possano autenticarsi e accedere all'esperienza dell'operatore.

## Risoluzione dei problemi
<a name="troubleshooting"></a>

**Errori di autorizzazione negata dopo la migrazione**
+ Verifica che sia `AIOpsAssistantPolicy` stato rimosso e `AIDevOpsAgentAccessPolicy` sia associato ai ruoli di monitoraggio.
+ Verifica che le vecchie politiche in linea siano state rimosse e `AIDevOpsOperatorAppAccessPolicy` siano associate ai ruoli dell'operatore.
+ Verifica che le politiche di fiducia degli operatori includano`sts:TagSession`.
+ Conferma di aver sostituito tutti i valori segnaposto (`<account-id>`,`<region>`,`<agentspace-id>`) con valori effettivi.

**Gli account secondari non funzionano**
+ Il ruolo di monitoraggio di ogni account secondario deve essere aggiornato in modo indipendente. Accedi a ciascun account e ripeti il passaggio 1.

**Errori di autenticazione IDC**
+ Verifica che la policy di fiducia di IDC includa sia l'`sts:TagSession`istruzione`sts:AssumeRole`/che l'istruzione. `TrustedIdentityPropagation`
+ Conferma la politica in linea con `sso:ListInstances``sso:DescribeInstance`, ed `identitystore:DescribeUser` è stata creata.

**On-demand cronologia chat mancante dopo la migrazione**
+ On-demand le cronologie delle chat del periodo di anteprima pubblica non sono accessibili dopo il rilascio di GA. Si tratta di un comportamento previsto dovuto alle misure di sicurezza avanzate introdotte in GA. Le riviste investigative e i risultati dell'anteprima pubblica non sono interessati.