As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # AWS DevOps Guia de integração do Agent CLI ## Visão geral do Com o AWS DevOps Agent, você pode monitorar e gerenciar sua AWS infraestrutura. Este guia explica como configurar o AWS DevOps Agente usando a Interface de Linha de AWS Comando (AWS CLI). Você cria funções do IAM, configura um espaço de agente e associa sua AWS conta. Você também ativa o aplicativo do operador e, opcionalmente, conecta integrações de terceiros. Este guia leva aproximadamente 20 minutos para ser concluído. AWS DevOps O agente está disponível em seis AWS regiões: Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Europa (Frankfurt) e Europa (Irlanda). Para obter mais informações sobre as regiões suportadas, consulte[Regiões aceitas](about-aws-devops-agent-supported-regions.md). ## Pré-requisitos Antes de começar, verifique se você tem o seguinte: + AWS CLI versão 2 instalada e configurada + Autenticação em sua conta AWS de monitoramento + Permissões para criar funções de AWS Identity and Access Management (IAM) e anexar políticas + Uma AWS conta para usar como conta de monitoramento + Familiaridade com a AWS CLI e a sintaxe JSON Ao longo deste guia, substitua os seguintes valores de espaço reservado pelos seus próprios: + ``— Seu ID de AWS conta de 12 dígitos para a conta de monitoramento (primária) + ``— O ID da AWS conta de 12 dígitos da conta secundária a ser monitorada (usado na etapa 4) + ``— O código AWS da região do seu espaço de agente (por exemplo, `us-east-1` ou`eu-central-1`) + ``— O identificador do espaço do agente que é retornado pelo `create-agent-space` comando ## Configuração de funções do IAM ### 1. Crie a função de espaço do DevOps agente Crie a política de confiança do IAM executando o seguinte comando: ``` cat > devops-agentspace-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Crie o perfil do IAM: ``` aws iam create-role \ --region \ --role-name DevOpsAgentRole-AgentSpace \ --assume-role-policy-document file://devops-agentspace-trust-policy.json ``` Salve o ARN da função executando o seguinte comando: ``` aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text ``` Anexe a política AWS gerenciada: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Crie e anexe uma política em linha para permitir a criação da função vinculada ao serviço Resource Explorer: ``` cat > devops-agentspace-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-agentspace-additional-policy.json ``` ### 2. Crie a função IAM do aplicativo do operador Crie a política de confiança do IAM executando o seguinte comando: ``` cat > devops-operator-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:::agentspace/*" } } } ] } EOF ``` Crie o perfil do IAM: ``` aws iam create-role \ --role-name DevOpsAgentRole-WebappAdmin \ --assume-role-policy-document file://devops-operator-trust-policy.json \ --region ``` Salve o ARN da função executando o seguinte comando: ``` aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text ``` Anexe a política do aplicativo AWS gerenciado do operador: ``` aws iam attach-role-policy \ --role-name DevOpsAgentRole-WebappAdmin \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy ``` Essa política gerenciada concede ao aplicativo do operador permissões para acessar os recursos do espaço do agente. Esses recursos incluem investigações, recomendações, gerenciamento de conhecimento, bate-papo e integração com o AWS Support. A política define o escopo do acesso ao espaço específico do agente usando a `aws:PrincipalTag/AgentSpaceId` condição. Para obter mais informações sobre a lista completa de ações, consulte[DevOps Permissões do Agent IAM](aws-devops-agent-security-devops-agent-iam-permissions.md). ## Etapas de integração ### 1. Crie um espaço para agentes Execute o comando a seguir para criar um espaço de agente: ``` aws devops-agent create-agent-space \ --name "MyAgentSpace" \ --description "AgentSpace for monitoring my application" \ --region ``` Opcionalmente, especifique `--kms-key-arn` o uso de uma chave AWS KMS gerenciada pelo cliente para criptografia. Você também pode usar `--tags` para adicionar tags de recursos e `--locale` definir o idioma das respostas do agente. Salve o `agentSpaceId` da resposta (localizada em`agentSpace.agentSpaceId`). Para listar seus espaços de agente posteriormente, execute o seguinte comando: ``` aws devops-agent list-agent-spaces \ --region ``` ### 2. Associe sua AWS conta Associe sua AWS conta para ativar a descoberta de topologia. Defina o `accountType` para um dos seguintes valores: + `monitor`— A conta principal em que o espaço do agente existe. Essa conta hospeda o agente e é usada para descoberta de topologia. + `source`— Uma conta adicional que o agente monitora. Use esse tipo ao associar contas externas na etapa 4. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "aws": { "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentRole-AgentSpace", "accountId": "", "accountType": "monitor" } }' \ --region ``` ### 3. Ativar o aplicativo do operador Os fluxos de autenticação podem usar o IAM, o IAM Identity Center (IDC) ou um provedor de identidade externo (IdP). Execute o comando a seguir para habilitar o aplicativo do operador para seu espaço de agente: ``` aws devops-agent enable-operator-app \ --agent-space-id \ --auth-flow iam \ --operator-app-role-arn "arn:aws:iam:::role/DevOpsAgentRole-WebappAdmin" \ --region ``` Para autenticação do IAM Identity Center, use `--auth-flow idc` e forneça`--idc-instance-arn`. Para um provedor de identidade externo, use `--auth-flow idp` e forneça `--issuer-url``--idp-client-id`, `--idp-client-secret` e. Para obter mais informações, consulte [Configurando a autenticação do IAM Identity Center](aws-devops-agent-security-setting-up-iam-identity-center-authentication.md) e [Configurando a autenticação do provedor de identidade externo (IdP)](aws-devops-agent-security-setting-up-external-identity-provider-idp-authentication.md). **Observação:** se você criou anteriormente uma função de aplicativo de operador para outro espaço de agente em sua conta, você pode reutilizar o ARN dessa função. ### 4. (Opcional) Associar contas de origem adicionais Para monitorar contas adicionais com o AWS DevOps Agent, crie uma função entre contas do IAM. #### Crie a função entre contas na conta externa Mude para a conta externa e crie a política de confiança. `MONITORING_ACCOUNT_ID`É a conta principal que hospeda o espaço do agente que você configurou na etapa 2. Essa configuração permite que o serviço do AWS DevOps Agente assuma uma função nas contas de origem secundária em nome da conta de monitoramento. Execute o comando a seguir para criar a política de confiança: ``` cat > devops-cross-account-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "", "sts:ExternalId": "arn:aws:aidevops:::agentspace/" } } } ] } EOF ``` Crie a função do IAM entre contas: ``` aws iam create-role \ --role-name DevOpsAgentCrossAccountRole \ --assume-role-policy-document file://devops-cross-account-trust-policy.json ``` Salve o ARN da função executando o seguinte comando: ``` aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text ``` Anexe a política AWS gerenciada: ``` aws iam attach-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy ``` Anexe a política em linha para permitir a criação da função vinculada ao serviço Resource Explorer na conta externa: ``` cat > devops-cross-account-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-cross-account-additional-policy.json ``` #### Associar a conta externa Volte para sua conta de monitoramento e execute o seguinte comando para associar a conta externa: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id aws \ --configuration '{ "sourceAws": { "accountId": "", "accountType": "source", "assumableRoleArn": "arn:aws:iam:::role/DevOpsAgentCrossAccountRole" } }' \ --region ``` ### 5. (Opcional) Associado GitHub **Observação:** primeiro, você deve se registrar GitHub por meio do console do AWS DevOps agente usando o OAuth fluxo antes de poder associá-lo por meio da CLI. Para obter instruções sobre como se registrar GitHub por meio do console, consulte[Conexão a CI/CD tubulações](configuring-capabilities-for-aws-devops-agent-connecting-to-cicd-pipelines-index.md). Liste os serviços registrados: ``` aws devops-agent list-services \ --region ``` Salve o `` para ServiceType:. `github` Depois de se registrar GitHub no console, associe GitHub repositórios executando o seguinte comando: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "github": { "repoName": "", "repoId": "", "owner": "", "ownerType": "organization" } }' \ --region ``` ### 6. (Opcional) Registre-se e associe-se ServiceNow Primeiro, registre o ServiceNow serviço com OAuth as credenciais: ``` aws devops-agent register-service \ --service servicenow \ --service-details '{ "servicenow": { "instanceUrl": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Salve o retornado `` e associe ServiceNow: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "servicenow": { "instanceUrl": "" } }' \ --region ``` ### 7. (Opcional) Registre e associe o Dynatrace Primeiro, registre o serviço Dynatrace com OAuth as credenciais: ``` aws devops-agent register-service \ --service dynatrace \ --service-details '{ "dynatrace": { "accountUrn": "", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "", "clientId": "", "clientSecret": "" } } } }' \ --region ``` Salve o retornado `` e associe o Dynatrace. Os recursos são opcionais. O ambiente especifica a qual ambiente Dynatrace se associar. ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "dynatrace": { "envId": "", "resources": [ "", "" ] } }' \ --region ``` A resposta inclui informações de webhook para integração. Você pode usar esse webhook para acionar uma investigação da Dynatrace. Para obter mais informações, consulte [Conectando o Dynatrace](connecting-telemetry-sources-connecting-dynatrace.md). ### 8. (Opcional) Registre e associe o Splunk Primeiro, registre o serviço Splunk com BearerToken as credenciais. O endpoint usa o seguinte formato: `https://.api.scs.splunk.com//mcp/v1/` ``` aws devops-agent register-service \ --service mcpserversplunk \ --service-details '{ "mcpserversplunk": { "name": "", "endpoint": "", "authorizationConfig": { "bearerToken": { "tokenName": "", "tokenValue": "" } } } }' \ --region ``` Salve o retornado `` e associe o Splunk: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserversplunk": { "name": "", "endpoint": "" } }' \ --region ``` A resposta inclui informações de webhook para integração. Você pode usar esse webhook para acionar uma investigação da Splunk. Para obter mais informações, consulte [Conectando o Splunk](connecting-telemetry-sources-connecting-splunk.md). ### 9. (Opcional) Registre e associe a New Relic Primeiro, registre o serviço New Relic com as credenciais da chave de API. Região: `US` Ou`EU`. Campos opcionais:`applicationIds`,`entityGuids`, `alertPolicyIds` ``` aws devops-agent register-service \ --service mcpservernewrelic \ --service-details '{ "mcpservernewrelic": { "authorizationConfig": { "apiKey": { "apiKey": "", "accountId": "", "region": "US", "applicationIds": ["", ""], "entityGuids": [""], "alertPolicyIds": [""] } } } }' \ --region ``` Salve o retornado `` e, em seguida, associe o New Relic: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpservernewrelic": { "accountId": "", "endpoint": "https://mcp.newrelic.com/mcp/" } }' \ --region ``` A resposta inclui informações de webhook para integração. Você pode usar esse webhook para iniciar uma investigação da New Relic. Para obter mais informações, consulte [Conectando a New Relic](connecting-telemetry-sources-connecting-new-relic.md). ### 10. (Opcional) Registre e associe o Datadog Primeiro, você deve registrar o Datadog por meio do console do AWS DevOps agente usando o OAuth fluxo antes de poder associá-lo por meio da CLI. Para obter mais informações, consulte [Conectando DataDog](connecting-telemetry-sources-connecting-datadog.md). Liste os serviços registrados: ``` aws devops-agent list-services \ --region ``` Salve o `` para ServiceType:. `mcpserverdatadog` Em seguida, associe o Datadog: ``` aws devops-agent associate-service \ --agent-space-id \ --service-id \ --configuration '{ "mcpserverdatadog": { "name": "Datadog-MCP-Server", "endpoint": "" } }' \ --region ``` A resposta inclui informações de webhook para integração. Você pode usar esse webhook para acionar uma investigação do Datadog. Para obter mais informações, consulte [Conectando DataDog](connecting-telemetry-sources-connecting-datadog.md). ### 11. (Opcional) Excluir um espaço de agente A exclusão de um espaço de agente remove todas as associações, configurações e dados de investigação desse espaço de agente. Esta ação não pode ser desfeita. Para excluir um espaço de agente, execute o seguinte comando: ``` aws devops-agent delete-agent-space \ --agent-space-id \ --region ``` ## Verificação Para verificar sua configuração, execute os seguintes comandos: ``` # List your agent spaces aws devops-agent list-agent-spaces \ --region # Get details of a specific agent space aws devops-agent get-agent-space \ --agent-space-id \ --region # List associations for an agent space aws devops-agent list-associations \ --agent-space-id \ --region ``` ## Próximas etapas + Para conectar integrações adicionais, consulte[Configurando recursos para AWS DevOps o Agent](configuring-capabilities-for-aws-devops-agent.md). + Para saber mais sobre as habilidades e capacidades dos agentes, consulte[DevOps Habilidades do agente](about-aws-devops-agent-devops-agent-skills.md). + Para entender o aplicativo web do operador, consulte[O que é um DevOps Agent Web App?](about-aws-devops-agent-what-is-a-devops-agent-web-app.md). ## Observações + Substitua ````,``,``, e assim por diante por seus valores reais. + Para obter uma lista de regiões compatíveis, consulte [Regiões aceitas](about-aws-devops-agent-supported-regions.md).