기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 공개 미리 보기에서 정식 출시로 마이그레이션
공개 미리 보기 중에 AWS DevOps 에이전트를 사용한 경우 GA 릴리스 전에 IAM 역할을 업데이트해야 합니다. 이 가이드에서는 계정의 모니터링 역할 및 운영자 역할을 업데이트하는 방법을 안내합니다.
## 변경 사항
1. [미리 보기 중 온디맨드 채팅 기록에 더 이상 액세스할 수 없음](#on-demand-chat-history-from-public-preview)
1. [새로운 관리형 정책은 미리 보기 중에 사용 가능한 정책을 대체합니다.](#new-managed-policies)
1. [에이전트 스페이스에는 오래된 IAM Identity Center 애플리케이션 액세스 범위가 있을 수 있습니다.](#reconnect-iam-identity-center-if-applicable)
## 공개 미리 보기의 온디맨드 채팅 기록
GA 릴리스에는 채팅 기록에 대한 액세스 제어를 강화하기 위한 추가 보안 조치가 도입되었습니다. 이러한 변경으로 인해 공개 미리 보기 기간(2026년 3월 30일 이전)의 온디맨드 채팅 기록에 더 이상 액세스할 수 없습니다. 공개 미리 보기 중에 생성된 조사 저널 및 조사 결과는 영향을 받지 않습니다. **이 변경 사항은 온디맨드 채팅 대화에만 적용됩니다.**
## 새로운 관리형 정책
GA의 경우 미리 보기 기간 정책을 대체하는 새 관리형 정책을 AWS 제공합니다.
| 역할 유형 | 제거 | 더하기 |
| --- | --- | --- |
| 모니터링 | AIOpsAssistantPolicy 관리형 정책 | AIDevOpsAgentAccessPolicy 관리형 정책 |
| 연산자(IAM 및 IDC) | 인라인 정책 | AIDevOpsOperatorAppAccessPolicy 관리형 정책 |
또한 운영자 역할에는 업데이트된 신뢰 정책이 필요하고 IDC 운영자 역할에는 새 인라인 정책이 필요합니다.
### 사전 조건
+ DevOps 에이전트 역할이 구성된 AWS 계정에 대한 액세스(기본 및 모든 보조 계정)
+ 역할, 정책 및 신뢰 관계를 수정할 수 있는 IAM 권한
+ 에이전트 스페이스 ID, AWS 계정 ID 및 리전( DevOps 에이전트 콘솔에서 볼 수 있음)
### 1단계: 모니터링 역할 업데이트
기본 계정 및 각 보조 계정에서 모니터링 역할을 업데이트합니다. 다음은 에이전트 공간의 **기능** 탭 아래에 구성된 기본/보조 소스 역할입니다(예: 기본/보조 역할: `DevOpsAgentRole-AgentSpace-3xj2396z`).
1. DevOps 에이전트 콘솔에서 에이전트 공간으로 이동하여 **기능** 탭을 선택합니다.
1. 기본/보조 소스의 모니터링 역할(예: `DevOpsAgentRole-AgentSpace-3xj2396z`)을 찾아 **편집**을 선택합니다.
1. **권한 정책**에서 `AIOpsAssistantPolicy` AWS 관리형 정책을 제거합니다.
1. **권한 추가**, **정책 연결을** 선택하고 `AIDevOpsAgentAccessPolicy` 관리형 정책을 연결합니다.
1. 인라인 정책을 편집하고 해당 내용을 다음으로 대체하여 계정 ID를 대체합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. 모니터링 역할에 대한 신뢰 정책은 변경할 필요가 없습니다. 다음과 일치하는지 확인합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ 각 보조 계정의 모니터링 역할에 대해 2\$16단계를 반복합니다.
### 2단계: 연산자 역할 업데이트(IAM)
1. DevOps 에이전트 콘솔에서 **액세스** 탭을 선택하고 운영자 역할을 찾습니다.
1. IAM 콘솔에서 연산자 역할에서 기존 인라인 정책을 제거합니다.
1. **권한 추가**, **정책 연결을** 선택하고 `AIDevOpsOperatorAppAccessPolicy` 관리형 정책을 연결합니다.
1. **신뢰 관계** 탭을 선택하고 **신뢰 정책 편집**을 선택합니다. 계정 ID, 리전 및 에이전트 스페이스 ID를 대체하여 신뢰 정책을 다음으로 바꿉니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### 3단계: 운영자 역할 업데이트(IDC)
DevOps 에이전트와 함께 IAM Identity Center를 사용하는 경우 각 IDC 운영자 역할을 업데이트합니다.
1. IAM 콘솔에서 **역할**로 이동하여를 검색`WebappIDC`하여 DevOps 에이전트 IDC 역할(예: `DevOpsAgentRole-WebappIDC-`)을 찾습니다.
1. 각 IDC 역할에 대해:
a. 기존 인라인 정책을 제거합니다.
b. **권한 추가**, **정책 연결을** 선택하고 `AIDevOpsOperatorAppAccessPolicy` 관리형 정책을 연결합니다.
c. **신뢰 관계** 탭을 선택하고 **신뢰 정책 편집**을 선택합니다. 계정 ID, 리전 및 에이전트 스페이스 ID를 대체하여 신뢰 정책을 다음으로 바꿉니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. 계정 ID를 대체하여 다음 권한으로 새 인라인 정책을 생성합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## IAM Identity Center 다시 연결(해당하는 경우)
공개 미리 보기 중에 생성된 에이전트 공간에는 오래된 액세스 범위로 구성된 IAM Identity Center 애플리케이션이 있을 수 있습니다. GA의 경우 올바른 범위는 입니다**`aidevops:read_write`**. IAM Identity Center 애플리케이션에 이전 범위(**`awsaidevops:read_write`**)가 있는 경우 IAM Identity Center의 연결을 끊었다가 다시 연결해야 합니다.
### IAM Identity Center 애플리케이션 범위를 확인하는 방법
다음 AWS CLI 명령을 실행하여 IAM Identity Center 애플리케이션의 범위를 확인합니다. 애플리케이션 아래의 IAM Identity Center 콘솔에서 **애플리케이션** ARN을 찾을 수 있습니다.
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
출력에 올바른 범위가 표시되어야 합니다**`aidevops:read_write`**.
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
범위에가 표시되면 오래된 **`awsaidevops:read_write`**것입니다. 아래 단계에 따라 업데이트합니다.
### IAM Identity Center를 다시 연결하는 방법
AWS 관리형 IAM Identity Center 애플리케이션의 액세스 범위는 직접 업데이트할 수 없습니다. 연결을 끊었다가 다시 연결해야 합니다.
1. AWS DevOps 에이전트 콘솔에서 에이전트 공간으로 이동하여 **액세스** 탭을 선택합니다.
1. IAM Identity Center 구성 옆에 있는 **연결 해제**를 선택합니다.
1. 연결 해제를 확인합니다.
1. **연결을** 선택하여 IAM Identity Center를 다시 설정합니다. 서비스는 올바른 범위를 가진 새 IAM Identity Center 애플리케이션을 생성합니다.
1. IAM Identity Center 콘솔에서 새 애플리케이션에 사용자 및 그룹을 재할당합니다.
**중요**
연결을 해제하면 IAM Identity Center 사용자 계정과 연결된 개별 사용자 채팅 및 아티팩트 기록이 제거됩니다. 사용자는 다시 연결한 후 다시 로그인해야 합니다.
## Verification(확인)
모든 단계를 완료한 후:
1. DevOps 에이전트 콘솔로 돌아가 에이전트 스페이스 **액세스** 탭에 권한 오류가 나타나지 않는지 확인합니다.
1. 연산자 웹 앱을 테스트하여 올바르게 로드되고 작동하는지 확인합니다.
1. IDC를 사용하는 경우 사용자가 운영자 환경을 인증하고 액세스할 수 있는지 확인합니다.
## 문제 해결
**마이그레이션 후 권한 거부 오류**
+ 이 제거`AIOpsAssistantPolicy`되었고 모니터링 역할에 `AIDevOpsAgentAccessPolicy` 연결되어 있는지 확인합니다.
+ 이전 인라인 정책`AIDevOpsOperatorAppAccessPolicy`이 제거되었고 운영자 역할에 연결되어 있는지 확인합니다.
+ 연산자 신뢰 정책에가 포함되어 있는지 확인합니다`sts:TagSession`.
+ 모든 자리 표시자 값(``, ``, ``)을 실제 값으로 바꾸었는지 확인합니다.
**보조 계정이 작동하지 않음**
+ 각 보조 계정의 모니터링 역할은 독립적으로 업데이트해야 합니다. 각 계정에 로그인하고 1단계를 반복합니다.
**IDC 인증 실패**
+ IDC 신뢰 정책에 `sts:AssumeRole`/`sts:TagSession` 문과 `TrustedIdentityPropagation` 문이 모두 포함되어 있는지 확인합니다.
+ `sso:ListInstances`, `sso:DescribeInstance`및를 사용하여 인라인 정책이 생성`identitystore:DescribeUser`되었는지 확인합니다.
**마이그레이션 후 온디맨드 채팅 기록 누락**
+ GA 릴리스 후에는 공개 미리 보기 기간의 온디맨드 채팅 기록에 액세스할 수 없습니다. 이는 GA에 도입된 향상된 보안 조치로 인해 예상되는 동작입니다. 조사 저널 및 공개 미리 보기 결과는 영향을 받지 않습니다.