Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # AWS DevOps Guida all'onboarding CLI per agenti ## Panoramica di Con AWS DevOps Agent, puoi monitorare e gestire la tua infrastruttura. AWS Questa guida illustra come configurare l' AWS DevOps agente utilizzando l'interfaccia a riga di AWS comando (AWS CLI). Puoi creare ruoli IAM, configurare uno spazio per agenti e associare il tuo AWS account. Puoi anche abilitare l'app dell'operatore e, facoltativamente, collegare integrazioni di terze parti. Il completamento di questa guida richiede circa 20 minuti. AWS DevOps L'agente è disponibile in sei AWS regioni: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Europa (Francoforte) ed Europa (Irlanda). Per ulteriori informazioni sulle regioni supportate, consulta. [Regioni supportate](about-aws-devops-agent-supported-regions.md) ## Prerequisiti Prima di iniziare, assicurati di disporre di: + AWS CLI versione 2 installata e configurata + Autenticazione al tuo account AWS di monitoraggio + Autorizzazioni per creare ruoli AWS Identity and Access Management (IAM) e allegare policy + Un AWS account da utilizzare come account di monitoraggio + Familiarità con la AWS CLI e la sintassi JSON In questa guida, sostituisci i seguenti valori segnaposto con i tuoi: + ``— L'ID dell'account a 12 cifre per l' AWS account di monitoraggio (principale) + ``— L'ID dell'account a 12 cifre dell' AWS account secondario da monitorare (utilizzato nella fase 4) + ``— Il codice AWS regionale dello spazio riservato all'agente (ad esempio, `us-east-1` o) `eu-central-1` + ``— L'identificatore dello spazio dell'agente restituito dal comando `create-agent-space` ## Configurazione dei ruoli IAM ### 1. Crea il ruolo DevOps Agent Space Crea la policy di fiducia IAM eseguendo il seguente comando: ``` cat > devops-agentspace-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Crea il ruolo IAM: ``` aws iam create-role \ --region \ --role-name DevOpsAgentRole-AgentSpace \ --assume-role-policy-document file://devops-agentspace-trust-policy.json ``` Salvate il ruolo ARN eseguendo il seguente comando: ``` aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text ``` Allega la policy AWS gestita: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Crea e allega una policy in linea per consentire la creazione del ruolo collegato al servizio Resource Explorer: ``` cat > devops-agentspace-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-agentspace-additional-policy.json ``` ### 2. Crea il ruolo IAM dell'app operatore Crea la policy di fiducia IAM eseguendo il seguente comando: ``` cat > devops-operator-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Crea il ruolo IAM: ``` aws iam create-role \ --role-name DevOpsAgentRole-WebappAdmin \ --assume-role-policy-document file://devops-operator-trust-policy.json \ --region ``` Salvate il ruolo ARN eseguendo il seguente comando: ``` aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text ``` Allega la policy dell'app per operatori AWS gestiti: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-WebappAdmin \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy ``` Questa politica gestita concede all'app dell'operatore le autorizzazioni per accedere alle funzionalità dello spazio agente. Queste funzionalità includono indagini, consigli, gestione delle conoscenze, chat e integrazione con AWS Support. La policy prevede l'accesso allo spazio specifico dell'agente utilizzando la `aws:PrincipalTag/AgentSpaceId` condizione. Per ulteriori informazioni sull'elenco completo delle azioni, vedere[DevOps Autorizzazioni Agent IAM](aws-devops-agent-security-devops-agent-iam-permissions.md). ## Fasi di onboarding ### 1. Crea uno spazio per agenti Eseguite il seguente comando per creare uno spazio agente: ``` aws devops-agent create-agent-space \ --name "MyAgentSpace" \ --description "AgentSpace for monitoring my application" \ --region ``` Facoltativamente, specificare `--kms-key-arn` di utilizzare una chiave AWS KMS gestita dal cliente per la crittografia. Puoi anche utilizzarla `--tags` per aggiungere tag di risorsa e `--locale` impostare la lingua per le risposte degli agenti. Salva il file `agentSpaceId` dalla risposta (che si trova in`agentSpace.agentSpaceId`). Per elencare gli spazi degli agenti in un secondo momento, esegui il seguente comando: ``` aws devops-agent list-agent-spaces \ --region ``` ### 2. Associa il tuo AWS account Associa il tuo AWS account per attivare l'individuazione della topologia. `accountType`Imposta uno dei seguenti valori: + `monitor`— L'account principale in cui esiste lo spazio dell'agente. Questo account ospita l'agente e viene utilizzato per il rilevamento della topologia. + `source`— Un account aggiuntivo monitorato dall'agente. Utilizza questo tipo quando associ account esterni nel passaggio 4. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "aws": { "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentRole-AgentSpace", "accountId": "", "accountType": "monitor" } }' \ --region ``` ### 3. Abilita l'app dell'operatore I flussi di autenticazione possono utilizzare IAM, IAM Identity Center (IDC) o un provider di identità esterno (IdP). Esegui il comando seguente per abilitare l'app dell'operatore per lo spazio del tuo agente: ``` aws devops-agent enable-operator-app \ --agent-space-id \ --auth-flow iam \ --operator-app-role-arn "arn:aws:iam:::role/DevOpsAgentRole-WebappAdmin" \ --region ``` Per l'autenticazione IAM Identity Center, usa `--auth-flow idc` e fornisci`--idc-instance-arn`. Per un provider di identità esterno, utilizza `--auth-flow idp` e fornisci `--issuer-url` e`--idp-client-secret`. `--idp-client-id` Per ulteriori informazioni, consultare [Configurazione dell'autenticazione IAM Identity Center](aws-devops-agent-security-setting-up-iam-identity-center-authentication.md) e [Configurazione dell'autenticazione tramite provider di identità esterno (IdP)](aws-devops-agent-security-setting-up-external-identity-provider-idp-authentication.md). **Nota:** se in precedenza hai creato un ruolo dell'app operatore per un altro spazio agente nel tuo account, puoi riutilizzare l'ARN di quel ruolo. ### 4. (Facoltativo) Associa account di origine aggiuntivi Per monitorare account aggiuntivi con AWS DevOps Agent, crea un ruolo IAM tra account. #### Crea il ruolo tra account diversi nell'account esterno Passa all'account esterno e crea la politica di fiducia. `MONITORING_ACCOUNT_ID`È l'account principale che ospita lo spazio agente configurato nel passaggio 2. Questa configurazione consente al servizio AWS DevOps Agent di assumere un ruolo negli account di origine secondari per conto dell'account di monitoraggio. Esegui il comando seguente per creare la politica di fiducia: ``` cat > devops-cross-account-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "", "sts:ExternalId": "arn:aws:aidevops:::agentspace/" } } } ] } EOF ``` Crea il ruolo IAM tra account: ``` aws iam create-role \ --role-name DevOpsAgentCrossAccountRole \ --assume-role-policy-document file://devops-cross-account-trust-policy.json ``` Salvate il ruolo ARN eseguendo il seguente comando: ``` aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text ``` Allega la policy AWS gestita: ``` aws iam attach-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Allega la policy in linea per consentire la creazione del ruolo collegato al servizio Resource Explorer nell'account esterno: ``` cat > devops-cross-account-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-cross-account-additional-policy.json ``` #### Associa l'account esterno Torna al tuo account di monitoraggio, quindi esegui il seguente comando per associare l'account esterno: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "sourceAws": { "accountId": "", "accountType": "source", "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentCrossAccountRole" } }' \ --region ``` ### 5. (Facoltativo) Associa GitHub **Nota:** è necessario prima registrarsi GitHub tramite la console dell' AWS DevOps agente utilizzando il OAuth flusso prima di poterlo associare tramite la CLI. Per istruzioni sulla registrazione GitHub tramite la console, consulta. [Connessione alle CI/CD tubazioni](configuring-capabilities-for-aws-devops-agent-connecting-to-cicd-pipelines-index.md) Elenca i servizi registrati: ``` aws devops-agent list-services \ --region ``` Salva il `` per ServiceType:. `github` Dopo esserti registrato GitHub nella console, associa i GitHub repository eseguendo il seguente comando: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "github": { "repoName": "", "repoId": "", "owner": "", "ownerType": "organization" } }' \ --region ``` ### 6. (Facoltativo) Registrazione e associazione ServiceNow Innanzitutto, registra il ServiceNow servizio con OAuth le credenziali: ``` aws devops-agent register-service \ --service servicenow \ --service-details '{ "servicenow": { "instanceUrl": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Salva il file restituito``, quindi associa ServiceNow: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "servicenow": { "instanceUrl": "" } }' \ --region ``` ### 7. (Facoltativo) Registrare e associare Dynatrace Innanzitutto, registra il servizio Dynatrace con le credenziali: OAuth ``` aws devops-agent register-service \ --service dynatrace \ --service-details '{ "dynatrace": { "accountUrn": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Salva il file restituito``, quindi associa Dynatrace. Le risorse sono facoltative. L'ambiente specifica a quale ambiente Dynatrace associarsi. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "dynatrace": { "envId": "", "resources": [ "", "" ] } }' \ --region ``` La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da parte di Dynatrace. Per ulteriori informazioni, consulta [Connessione di Dynatrace](connecting-telemetry-sources-connecting-dynatrace.md). ### 8. (Facoltativo) Registrati e associa Splunk Innanzitutto, registra il servizio Splunk con BearerToken le credenziali. L'endpoint utilizza il seguente formato: `https://.api.scs.splunk.com//mcp/v1/` ``` aws devops-agent register-service \ --service mcpserversplunk \ --service-details '{ "mcpserversplunk": { "name": "", "endpoint": "", "authorizationConfig": { "bearerToken": { "tokenName": "", "tokenValue": "" } } } }' \ --region ``` Salva il file restituito``, quindi associa Splunk: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserversplunk": { "name": "", "endpoint": "" } }' \ --region ``` La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da Splunk. Per ulteriori informazioni, consulta [Connessione a Splunk](connecting-telemetry-sources-connecting-splunk.md). ### 9. (Facoltativo) Registrati e associa New Relic Innanzitutto, registrate il servizio New Relic con le credenziali della chiave API. Regione: o. `US` `EU` Campi opzionali:`applicationIds`,`entityGuids`, `alertPolicyIds` ``` aws devops-agent register-service \ --service mcpservernewrelic \ --service-details '{ "mcpservernewrelic": { "authorizationConfig": { "apiKey": { "apiKey": "", "accountId": "", "region": "US", "applicationIds": ["", ""], "entityGuids": [""], "alertPolicyIds": [""] } } } }' \ --region ``` Salva il risultato restituito``, quindi associa New Relic: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpservernewrelic": { "accountId": "", "endpoint": "https://mcp.newrelic.com/mcp/" } }' \ --region ``` La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da parte di New Relic. Per ulteriori informazioni, consulta [Collegamento di New Relic](connecting-telemetry-sources-connecting-new-relic.md). ### 10. (Facoltativo) Registrati e associa Datadog È necessario innanzitutto registrare Datadog tramite la console dell' AWS DevOps agente utilizzando il OAuth flusso prima di poterlo associare tramite la CLI. Per ulteriori informazioni, consulta [Connessione DataDog](connecting-telemetry-sources-connecting-datadog.md). Elenca i servizi registrati: ``` aws devops-agent list-services \ --region ``` Salva il `` per ServiceType:. `mcpserverdatadog` Quindi associa Datadog: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserverdatadog": { "name": "Datadog-MCP-Server", "endpoint": "" } }' \ --region ``` La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da Datadog. Per ulteriori informazioni, consulta [Connessione DataDog](connecting-telemetry-sources-connecting-datadog.md). ### 11. (Facoltativo) Eliminare uno spazio per agenti L'eliminazione di uno spazio agente rimuove tutte le associazioni, le configurazioni e i dati di indagine relativi a tale spazio agente. Questa azione non può essere annullata. Per eliminare uno spazio agente, esegui il seguente comando: ``` aws devops-agent delete-agent-space \ --agent-space-id \ --region ``` ## Verifica Per verificare la configurazione, esegui i seguenti comandi: ``` # List your agent spaces aws devops-agent list-agent-spaces \ --region # Get details of a specific agent space aws devops-agent get-agent-space \ --agent-space-id \ --region # List associations for an agent space aws devops-agent list-associations \ --agent-space-id \ --region ``` ## Fasi successive + Per connettere integrazioni aggiuntive, consulta[Configurazione delle funzionalità per Agent AWS DevOps](configuring-capabilities-for-aws-devops-agent.md). + Per ulteriori informazioni sulle competenze e le funzionalità degli agenti, consulta[DevOps Competenze degli agenti](about-aws-devops-agent-devops-agent-skills.md). + Per comprendere l'app web dell'operatore, consulta[Cos'è un'app Web per DevOps agenti?](about-aws-devops-agent-what-is-a-devops-agent-web-app.md). ## Note + Sostituisci ````,``,``, e così via con i tuoi valori effettivi. + Per un elenco delle regioni supportate, consulta [Regioni supportate](about-aws-devops-agent-supported-regions.md).