변경 사항 공개 미리 보기의 온디맨드 채팅 기록 새로운 관리형 정책 IAM Identity Center 다시 연결(해당하는 경우)Verification(확인)문제 해결

공개 미리 보기에서 정식 출시로 마이그레이션

공개 미리 보기 중에 AWS DevOps 에이전트를 사용한 경우 GA 릴리스 전에 IAM 역할을 업데이트해야 합니다. 이 가이드에서는 계정의 모니터링 역할 및 운영자 역할을 업데이트하는 방법을 안내합니다.

변경 사항

미리 보기 중 온디맨드 채팅 기록에 더 이상 액세스할 수 없음
새로운 관리형 정책은 미리 보기 중에 사용 가능한 정책을 대체합니다.
에이전트 스페이스에는 오래된 IAM Identity Center 애플리케이션 액세스 범위가 있을 수 있습니다.

공개 미리 보기의 온디맨드 채팅 기록

GA 릴리스에는 채팅 기록에 대한 액세스 제어를 강화하기 위한 추가 보안 조치가 도입되었습니다. 이러한 변경으로 인해 공개 미리 보기 기간(2026년 3월 30일 이전)의 온디맨드 채팅 기록에 더 이상 액세스할 수 없습니다. 공개 미리 보기 중에 생성된 조사 저널 및 조사 결과는 영향을 받지 않습니다. 이 변경 사항은 온디맨드 채팅 대화에만 적용됩니다.

새로운 관리형 정책

GA의 경우 미리 보기 기간 정책을 대체하는 새 관리형 정책을 AWS 제공합니다.

역할 유형	제거	더하기
모니터링	`AIOpsAssistantPolicy` 관리형 정책	`AIDevOpsAgentAccessPolicy` 관리형 정책
연산자(IAM 및 IDC)	인라인 정책	`AIDevOpsOperatorAppAccessPolicy` 관리형 정책

또한 운영자 역할에는 업데이트된 신뢰 정책이 필요하고 IDC 운영자 역할에는 새 인라인 정책이 필요합니다.

사전 조건

DevOps 에이전트 역할이 구성된 AWS 계정에 대한 액세스(기본 및 모든 보조 계정)
역할, 정책 및 신뢰 관계를 수정할 수 있는 IAM 권한
에이전트 스페이스 ID, AWS 계정 ID 및 리전( DevOps 에이전트 콘솔에서 볼 수 있음)

1단계: 모니터링 역할 업데이트

기본 계정 및 각 보조 계정에서 모니터링 역할을 업데이트합니다. 다음은 에이전트 공간의 기능 탭 아래에 구성된 기본/보조 소스 역할입니다(예: 기본/보조 역할: DevOpsAgentRole-AgentSpace-3xj2396z).

DevOps 에이전트 콘솔에서 에이전트 공간으로 이동하여 기능 탭을 선택합니다.
기본/보조 소스의 모니터링 역할(예: DevOpsAgentRole-AgentSpace-3xj2396z)을 찾아 편집을 선택합니다.
권한 정책에서 AIOpsAssistantPolicy AWS 관리형 정책을 제거합니다.
권한 추가, 정책 연결을 선택하고 AIDevOpsAgentAccessPolicy 관리형 정책을 연결합니다.
인라인 정책을 편집하고 해당 내용을 다음으로 대체하여 계정 ID를 대체합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

모니터링 역할에 대한 신뢰 정책은 변경할 필요가 없습니다. 다음과 일치하는지 확인합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

각 보조 계정의 모니터링 역할에 대해 2~6단계를 반복합니다.

2단계: 연산자 역할 업데이트(IAM)

DevOps 에이전트 콘솔에서 액세스 탭을 선택하고 운영자 역할을 찾습니다.
IAM 콘솔에서 연산자 역할에서 기존 인라인 정책을 제거합니다.
권한 추가, 정책 연결을 선택하고 AIDevOpsOperatorAppAccessPolicy 관리형 정책을 연결합니다.
신뢰 관계 탭을 선택하고 신뢰 정책 편집을 선택합니다. 계정 ID, 리전 및 에이전트 스페이스 ID를 대체하여 신뢰 정책을 다음으로 바꿉니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

3단계: 운영자 역할 업데이트(IDC)

DevOps 에이전트와 함께 IAM Identity Center를 사용하는 경우 각 IDC 운영자 역할을 업데이트합니다.

IAM 콘솔에서 역할로 이동하여를 검색WebappIDC하여 DevOps 에이전트 IDC 역할(예: DevOpsAgentRole-WebappIDC-<id>)을 찾습니다.
각 IDC 역할에 대해:

a. 기존 인라인 정책을 제거합니다.

b. 권한 추가, 정책 연결을 선택하고 AIDevOpsOperatorAppAccessPolicy 관리형 정책을 연결합니다.

c. 신뢰 관계 탭을 선택하고 신뢰 정책 편집을 선택합니다. 계정 ID, 리전 및 에이전트 스페이스 ID를 대체하여 신뢰 정책을 다음으로 바꿉니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d. 계정 ID를 대체하여 다음 권한으로 새 인라인 정책을 생성합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

IAM Identity Center 다시 연결(해당하는 경우)

공개 미리 보기 중에 생성된 에이전트 공간에는 오래된 액세스 범위로 구성된 IAM Identity Center 애플리케이션이 있을 수 있습니다. GA의 경우 올바른 범위는 입니다aidevops:read_write. IAM Identity Center 애플리케이션에 이전 범위(awsaidevops:read_write)가 있는 경우 IAM Identity Center의 연결을 끊었다가 다시 연결해야 합니다.

IAM Identity Center 애플리케이션 범위를 확인하는 방법

다음 AWS CLI 명령을 실행하여 IAM Identity Center 애플리케이션의 범위를 확인합니다. 애플리케이션 아래의 IAM Identity Center 콘솔에서 애플리케이션 ARN을 찾을 수 있습니다.


aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

출력에 올바른 범위가 표시되어야 합니다aidevops:read_write.


{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

범위에가 표시되면 오래된 awsaidevops:read_write것입니다. 아래 단계에 따라 업데이트합니다.

IAM Identity Center를 다시 연결하는 방법

AWS 관리형 IAM Identity Center 애플리케이션의 액세스 범위는 직접 업데이트할 수 없습니다. 연결을 끊었다가 다시 연결해야 합니다.

AWS DevOps 에이전트 콘솔에서 에이전트 공간으로 이동하여 액세스 탭을 선택합니다.
IAM Identity Center 구성 옆에 있는 연결 해제를 선택합니다.
연결 해제를 확인합니다.
연결을 선택하여 IAM Identity Center를 다시 설정합니다. 서비스는 올바른 범위를 가진 새 IAM Identity Center 애플리케이션을 생성합니다.
IAM Identity Center 콘솔에서 새 애플리케이션에 사용자 및 그룹을 재할당합니다.

중요

연결을 해제하면 IAM Identity Center 사용자 계정과 연결된 개별 사용자 채팅 및 아티팩트 기록이 제거됩니다. 사용자는 다시 연결한 후 다시 로그인해야 합니다.

Verification(확인)

모든 단계를 완료한 후:

DevOps 에이전트 콘솔로 돌아가 에이전트 스페이스 액세스 탭에 권한 오류가 나타나지 않는지 확인합니다.
연산자 웹 앱을 테스트하여 올바르게 로드되고 작동하는지 확인합니다.
IDC를 사용하는 경우 사용자가 운영자 환경을 인증하고 액세스할 수 있는지 확인합니다.

문제 해결

마이그레이션 후 권한 거부 오류

이 제거AIOpsAssistantPolicy되었고 모니터링 역할에 AIDevOpsAgentAccessPolicy 연결되어 있는지 확인합니다.
이전 인라인 정책AIDevOpsOperatorAppAccessPolicy이 제거되었고 운영자 역할에 연결되어 있는지 확인합니다.
연산자 신뢰 정책에가 포함되어 있는지 확인합니다sts:TagSession.
모든 자리 표시자 값(<account-id>, <region>, <agentspace-id>)을 실제 값으로 바꾸었는지 확인합니다.

보조 계정이 작동하지 않음

각 보조 계정의 모니터링 역할은 독립적으로 업데이트해야 합니다. 각 계정에 로그인하고 1단계를 반복합니다.

IDC 인증 실패

IDC 신뢰 정책에 sts:AssumeRole/sts:TagSession 문과 TrustedIdentityPropagation 문이 모두 포함되어 있는지 확인합니다.
sso:ListInstances, sso:DescribeInstance및를 사용하여 인라인 정책이 생성identitystore:DescribeUser되었는지 확인합니다.

마이그레이션 후 온디맨드 채팅 기록 누락

GA 릴리스 후에는 공개 미리 보기 기간의 온디맨드 채팅 기록에 액세스할 수 없습니다. 이는 GA에 도입된 향상된 보안 조치로 인해 예상되는 동작입니다. 조사 저널 및 공개 미리 보기 결과는 영향을 받지 않습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS DevOps Agent에 대한 기능 구성

AWS EKS 액세스 설정