View a markdown version of this page

Migração da versão prévia pública para a disponibilidade geral - AWS DevOps Agente
O que está mudandoHistórico de bate-papo sob demanda a partir da pré-visualização públicaNovas políticas gerenciadasReconecte o IAM Identity Center (se aplicável)VerificaçãoSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Migração da versão prévia pública para a disponibilidade geral

Se você usou o AWS DevOps Agent durante a pré-visualização pública, você deve atualizar suas funções do IAM antes do lançamento do GA. Este guia explica como atualizar as funções de monitoramento e as funções do operador em suas contas.

O que está mudando

  1. Os históricos de bate-papo sob demanda durante a pré-visualização não estão mais acessíveis

  2. Novas políticas gerenciadas substituem as políticas disponíveis durante a versão prévia

  3. Os Agent Spaces podem ter um escopo de acesso ao aplicativo IAM Identity Center desatualizado

Histórico de bate-papo sob demanda a partir da pré-visualização pública

A versão GA introduz medidas de segurança adicionais para fortalecer os controles de acesso aos históricos de bate-papo. Como resultado dessas mudanças, os históricos de bate-papo sob demanda do período de pré-visualização pública (antes de 30 de março de 2026) não estão mais acessíveis. Os diários de investigação e as descobertas criadas durante a pré-visualização pública não são afetados. Essa alteração se aplica somente às conversas de bate-papo sob demanda.

Novas políticas gerenciadas

Para o GA, AWS fornece novas políticas gerenciadas que substituem as políticas da era de pré-visualização:

Tipo de função Remover Adicionar
Monitoramento Política gerenciada pelo AIOpsAssistantPolicy Política gerenciada pelo AIDevOpsAgentAccessPolicy
Operador (IAM e IDC) Política em linha Política gerenciada pelo AIDevOpsOperatorAppAccessPolicy

Além disso, as funções do operador exigem políticas de confiança atualizadas, e as funções do operador da IDC exigem uma nova política em linha.

Pré-requisitos

  • Acesso às AWS contas em que suas funções de DevOps agente estão configuradas (contas primárias e todas as secundárias)

  • Permissões do IAM para modificar funções, políticas e relações de confiança

  • Seu ID do Agent Space, ID da AWS conta e região (visíveis no console do DevOps agente)

Etapa 1: atualizar as funções de monitoramento

Atualize a função de monitoramento em sua conta principal e em cada conta secundária. Essas são as funções de Primary/Secondary origem configuradas na guia Capacidades em seu espaço de agente (exemplo de primary/secondary função:DevOpsAgentRole-AgentSpace-3xj2396z).

  1. No console do DevOps agente, acesse seu Espaço do agente e escolha a guia Capacidades.

  2. Encontre a função de monitoramento de suas Primary/Secondary fontes (por exemplo,DevOpsAgentRole-AgentSpace-3xj2396z) e escolha Editar.

  3. Em Políticas de permissões, remova a política AIOpsAssistantPolicy AWS gerenciada.

  4. Escolha Adicionar permissões, Anexar políticas e anexar a política AIDevOpsAgentAccessPolicy gerenciada.

  5. Edite a política em linha e substitua seu conteúdo pelo seguinte, substituindo o ID da sua conta:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateServiceLinkedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
            ]
        }
    ]
}

  1. A política de confiança para a função de monitoramento não exige alterações. Verifique se ele corresponde ao seguinte:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*"
                }
            }
        }
    ]
}

  • Repita as etapas de 2 a 6 para a função de monitoramento em cada conta secundária.

Etapa 2: atualizar a função do operador (IAM)

  1. No console do DevOps agente, escolha a guia Acesso e encontre a função do operador.

  2. No console do IAM, remova a política embutida existente da função de operador.

  3. Escolha Adicionar permissões, Anexar políticas e anexar a política AIDevOpsOperatorAppAccessPolicy gerenciada.

  4. Escolha a guia Relações de confiança e escolha Editar política de confiança. Substitua a política de confiança pela seguinte, substituindo seu ID da conta, região e ID do espaço do agente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        }
    ]
}

Etapa 3: Atualizar as funções do operador (IDC)

Se você usa o IAM Identity Center com o DevOps Agent, atualize cada função de operador da IDC.

  1. No console do IAM, acesse Roles e pesquise WebappIDC para encontrar suas funções do DevOps Agent IDC (por exemplo,DevOpsAgentRole-WebappIDC-<id>).

  2. Para cada função da IDC:

a. Remova a política embutida existente.

b. Escolha Adicionar permissões, Anexar políticas e anexar a política AIDevOpsOperatorAppAccessPolicy gerenciada.

c. Escolha a guia Relações de confiança e escolha Editar política de confiança. Substitua a política de confiança pela seguinte, substituindo seu ID da conta, região e ID do espaço do agente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": ["sts:AssumeRole", "sts:TagSession"],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                }
            }
        },
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Allow",
            "Principal": {
                "Service": "aidevops.amazonaws.com"
            },
            "Action": "sts:SetContext",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>"
                },
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "Null": {
                    "sts:RequestContextProviders": "false"
                }
            }
        }
    ]
}

d. Crie uma nova política em linha com as seguintes permissões, substituindo o ID da sua conta:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDevOpsAgentSSOAccess",
            "Effect": "Allow",
            "Action": [
                "sso:ListInstances",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDevOpsAgentIDCUserAccess",
            "Effect": "Allow",
            "Action": "identitystore:DescribeUser",
            "Resource": [
                "arn:aws:identitystore::<account-id>:identitystore/*",
                "arn:aws:identitystore:::user/*"
            ]
        }
    ]
}

Reconecte o IAM Identity Center (se aplicável)

Os Agent Spaces criados durante a pré-visualização pública podem ter um aplicativo IAM Identity Center configurado com um escopo de acesso desatualizado. Para GA, o escopo correto é aidevops:read_write. Se seu aplicativo do IAM Identity Center tiver o escopo anterior (awsaidevops:read_write), você deverá desconectar e reconectar o IAM Identity Center.

Como verificar o escopo do aplicativo do IAM Identity Center

Execute o seguinte comando da AWS CLI para verificar o escopo do seu aplicativo do IAM Identity Center. Você pode encontrar o ARN do aplicativo no console do IAM Identity Center em Aplicativos.

aws sso-admin list-application-access-scopes \
  --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>

A saída deve mostrar o escopo correto aidevops:read_write:

{
    "Scopes": [
        {
            "Scope": "aidevops:read_write"
        }
    ]
}

Se o escopo aparecer awsaidevops:read_write, ele está desatualizado. Siga as etapas abaixo para atualizá-lo.

Como reconectar o IAM Identity Center

O escopo de acesso em um aplicativo AWS gerenciado do IAM Identity Center não pode ser atualizado diretamente. Você deve desconectar e reconectar:

  1. No console do AWS DevOps agente, acesse seu Espaço do agente e escolha a guia Acesso.

  2. Escolha Desconectar ao lado da configuração do IAM Identity Center.

  3. Confirme a desconexão.

  4. Escolha Connect para configurar o IAM Identity Center novamente. O serviço cria um novo aplicativo do IAM Identity Center com o escopo correto.

  5. Reatribua usuários e grupos ao novo aplicativo no console do IAM Identity Center.

Importante

A desconexão remove o bate-papo individual do usuário e o histórico de artefatos associados às contas de usuário do IAM Identity Center. Os usuários precisarão fazer login novamente após a reconexão.

Verificação

Depois de concluir todas as etapas:

  1. Retorne ao console do DevOps Agente e verifique se nenhum erro de permissão aparece na guia Acesso ao Espaço do Agente.

  2. Teste o aplicativo web do operador para confirmar se ele carrega e funciona corretamente.

  3. Se você usa o IDC, verifique se os usuários podem autenticar e acessar a experiência do operador.

Solução de problemas

Erros de permissão negada após a migração

  • Verifique se AIOpsAssistantPolicy foi removido e AIDevOpsAgentAccessPolicy está vinculado às funções de monitoramento.

  • Verifique se as políticas embutidas antigas foram removidas e AIDevOpsOperatorAppAccessPolicy se estão vinculadas às funções do operador.

  • Verifique se as políticas de confiança da operadora incluemsts:TagSession.

  • Confirme se você substituiu todos os valores de espaço reservado (<account-id><region>,,<agentspace-id>) por valores reais.

Contas secundárias não funcionam

  • A função de monitoramento de cada conta secundária deve ser atualizada de forma independente. Faça login em cada conta e repita a Etapa 1.

Falhas de autenticação do IDC

  • Verifique se a política de confiança da IDC inclui tanto a sts:TagSession declaraçãosts:AssumeRole/quanto a TrustedIdentityPropagation declaração.

  • Confirme se a política em linha comsso:ListInstances,sso:DescribeInstance, e identitystore:DescribeUser foi criada.

Histórico de bate-papo sob demanda ausente após a migração

  • Os históricos de bate-papo sob demanda do período de pré-visualização pública não estão acessíveis após o lançamento do GA. Esse é o comportamento esperado devido às medidas de segurança aprimoradas introduzidas no GA. Os diários de investigação e as descobertas da prévia pública não são afetados.