View a markdown version of this page

パブリックプレビューから一般提供への移行 - AWS DevOps エージェント
変更点パブリックプレビューからのオンデマンドチャット履歴新しい管理ポリシーIAM アイデンティティセンターを再接続する (該当する場合)検証トラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリックプレビューから一般提供への移行

パブリックプレビュー中に AWS DevOps エージェントを使用した場合は、GA リリース前に IAM ロールを更新する必要があります。このガイドでは、アカウントのモニタリングロールとオペレーターロールの更新について説明します。

変更点

  1. プレビュー中のオンデマンドチャット履歴にアクセスできなくなります

  2. 新しい マネージドポリシーは、プレビュー中に利用可能なポリシーを置き換えます

  3. エージェントスペースには、古い IAM Identity Center アプリケーションアクセススコープがある可能性があります

パブリックプレビューからのオンデマンドチャット履歴

GA リリースでは、チャット履歴のアクセスコントロールを強化するための追加のセキュリティ対策が導入されています。これらの変更により、パブリックプレビュー期間 (2026 年 3 月 30 日以前) のオンデマンドチャット履歴にアクセスできなくなります。公開プレビュー中に作成された調査ジャーナルや調査結果は影響を受けません。この変更は、オンデマンドチャット会話にのみ適用されます。

新しい管理ポリシー

GA の場合、 はプレビュー時代のポリシーを置き換える新しい管理ポリシー AWS を提供します。

ロールタイプ 削除 Add
モニタリング AIOpsAssistantPolicy マネージドポリシー AIDevOpsAgentAccessPolicy マネージドポリシー
オペレーター (IAM および IDC) インラインポリシー AIDevOpsOperatorAppAccessPolicy マネージドポリシー

さらに、オペレータロールには更新された信頼ポリシーが必要であり、IDC オペレータロールには新しいインラインポリシーが必要です。

前提条件

  • DevOps エージェントロールが設定されている AWS アカウントへのアクセス (プライマリアカウントとすべてのセカンダリアカウント)

  • ロール、ポリシー、信頼関係を変更する IAM アクセス許可

  • エージェントスペース ID、 AWS アカウント ID、リージョン (DevOps エージェントコンソールで表示)

ステップ 1: モニタリングロールを更新する

プライマリアカウントと各セカンダリアカウントのモニタリングロールを更新します。これらは、エージェントスペースの Capabilities タブで設定されたプライマリ/セカンダリソースロールです (プライマリ/セカンダリロールの例: DevOpsAgentRole-AgentSpace-3xj2396z)。

  1. DevOps エージェントコンソールで、エージェントスペースに移動し、機能タブを選択します。

  2. プライマリ/セカンダリソース ( などDevOpsAgentRole-AgentSpace-3xj2396z) のモニタリングロールを見つけ、編集を選択します。

  3. アクセス許可ポリシーで、 AIOpsAssistantPolicy AWS 管理ポリシーを削除します。

  4. アクセス許可の追加ポリシーのアタッチ、AIDevOpsAgentAccessPolicy管理ポリシーのアタッチを選択します。

  5. インラインポリシーを編集し、その内容を以下に置き換えて、アカウント ID を置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

  1. モニタリングロールの信頼ポリシーは変更を必要としません。以下と一致することを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

  • 各セカンダリアカウントのモニタリングロールに対してステップ 2~6 を繰り返します。

ステップ 2: オペレーターロールを更新する (IAM)

  1. DevOps エージェントコンソールで、アクセスタブを選択し、オペレーターロールを見つけます。

  2. IAM コンソールで、オペレーターロールから既存のインラインポリシーを削除します。

  3. アクセス許可の追加ポリシーのアタッチAIDevOpsOperatorAppAccessPolicy管理ポリシーのアタッチを選択します。

  4. 信頼関係タブを選択し、信頼ポリシーの編集を選択します。信頼ポリシーを以下に置き換え、アカウント ID、リージョン、エージェントスペース ID を置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

ステップ 3: オペレーターロールを更新する (IDC)

DevOps エージェントで IAM Identity Center を使用する場合は、各 IDC オペレーターロールを更新します。

  1. IAM コンソールで、 ロールに移動し、 を検索WebappIDCして DevOps エージェント IDC ロール ( など) を検索しますDevOpsAgentRole-WebappIDC-<id>

  2. 各 IDC ロールについて:

a. 既存のインラインポリシーを削除します。

b. アクセス許可の追加ポリシーのアタッチAIDevOpsOperatorAppAccessPolicy管理ポリシーのアタッチを選択します。

c。信頼関係タブを選択し、信頼ポリシーの編集を選択します。信頼ポリシーを以下に置き換え、アカウント ID、リージョン、エージェントスペース ID を置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d。アカウント ID を置き換えて、次のアクセス許可を持つ新しいインラインポリシーを作成します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

IAM アイデンティティセンターを再接続する (該当する場合)

パブリックプレビュー中に作成されたエージェントスペースには、IAM Identity Center アプリケーションが古いアクセススコープで設定されている場合があります。GA の場合、正しいスコープは ですaidevops:read_write。IAM Identity Center アプリケーションに以前のスコープ (awsaidevops:read_write) がある場合は、IAM Identity Center を切断して再接続する必要があります。

IAM Identity Center アプリケーションの範囲を確認する方法

次の AWS CLI コマンドを実行して、IAM Identity Center アプリケーションのスコープを確認します。アプリケーション ARN は、「アプリケーション」の IAM Identity Center コンソールにあります。

aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

出力には正しいスコープ が表示されますaidevops:read_write

{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

スコープに が表示されている場合はawsaidevops:read_write、古いものです。以下の手順に従って更新します。

IAM Identity Center を再接続する方法

AWS マネージド IAM アイデンティティセンターアプリケーションのアクセススコープを直接更新することはできません。切断して再接続する必要があります。

  1. AWS DevOps エージェントコンソールで、エージェントスペースに移動し、アクセスタブを選択します。

  2. IAM Identity Center 設定の横にある切断を選択します。

  3. 切断を確認します。

  4. Connect を選択して、IAM Identity Center を再度セットアップします。サービスは、正しいスコープを持つ新しい IAM Identity Center アプリケーションを作成します。

  5. IAM Identity Center コンソールでユーザーとグループを新しいアプリケーションに再割り当てします。

重要

切断すると、IAM Identity Center ユーザーアカウントに関連付けられた個々のユーザーチャットとアーティファクト履歴が削除されます。ユーザーは再接続後に再度ログインする必要があります。

検証

すべてのステップを完了した後:

  1. DevOps エージェントコンソールに戻り、エージェントスペースアクセスタブにアクセス許可エラーが表示されないことを確認します。

  2. オペレーターウェブアプリをテストして、正しくロードおよび機能することを確認します。

  3. IDC を使用する場合は、ユーザーがオペレーターエクスペリエンスを認証してアクセスできることを確認します。

トラブルシューティング

移行後のアクセス許可拒否エラー

  • AIOpsAssistantPolicy が削除され、モニタリングロールにアタッチAIDevOpsAgentAccessPolicyされていることを確認します。

  • 古いインラインポリシーが削除され、オペレーターロールにAIDevOpsOperatorAppAccessPolicyアタッチされていることを確認します。

  • 演算子の信頼ポリシーに が含まれていることを確認しますsts:TagSession

  • すべてのプレースホルダー値 (<account-id><region><agentspace-id>) を実際の値に置き換えたことを確認します。

セカンダリアカウントが機能しない

  • 各セカンダリアカウントのモニタリングロールは個別に更新する必要があります。各アカウントにログインし、ステップ 1 を繰り返します。

IDC 認証の失敗

  • IDC 信頼ポリシーに sts:AssumeRole/sts:TagSession ステートメントと TrustedIdentityPropagationステートメントの両方が含まれていることを確認します。

  • インラインポリシーが sso:ListInstancessso:DescribeInstance、および で作成されたidentitystore:DescribeUserことを確認します。

移行後にオンデマンドチャット履歴が欠落している

  • GA リリース後は、パブリックプレビュー期間のオンデマンドチャット履歴にアクセスできません。これは、GA で導入されたセキュリティ対策の強化による予想される動作です。調査ジャーナルやパブリックプレビューの結果は影響を受けません。