本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 DevOps 代理空间?
DevOps 代理空间是一个逻辑容器,用于定义 AWS DevOps 代理可以访问的工具和基础架构。每个 Agent Space 都独立运营,拥有自己的 AWS 账户访问权限、第三方集成和用户权限。
代理空间代表了 AWS DevOps 代理在事件响应期间可以访问和调查的边界。创建 Agent Space 时,您可以定义代理可以访问哪些 AWS 帐户、可以连接到哪些外部工具以及组织中的哪些用户可以与代理进行交互。
每个代理空间都充当 AWS DevOps 代理的独立部署。您可以通过 AWS 管理控制台配置座席空间,而您的运营团队则使用座席空间的 Web 应用程序在该空间内进行调查和查看建议。
代理空间是如何隔离的
Agent Spaces 保持隔离,以确保安全并防止跨不同环境或团队的意外访问:
AWS 账户隔离 — 每个代理空间都使用专用 IAM 角色,这些角色仅授予对特定 AWS 账户和资源的访问权限。代理无法访问为代理空间明确配置的 AWS 资源之外的资源。
用户访问隔离-您可以控制哪些用户或组可以访问每个代理空间。这使您可以将访问权限与您的组织结构保持一致,从而确保团队仅与其指定的代理空间进行交互。
数据隔离 — 调查数据、事件历史记录和建议在每个代理空间中单独维护。来自一个代理空间的信息不可见,也无法从另一个代理空间访问。
聊天数据隔离-聊天对话历史记录也隔离在每个代理空间中。一个座席空间中的对话和查询不可见,也无法从另一个座席空间访问。
特工空间 Web 应用程序
每个 Agent Space 都有一个专用 Web 应用程序,可在 AWS 管理控制台之外进行访问。什么是 DevOps 代理 Web 应用程序?要了解有关 Web 应用程序的更多信息,请参阅。
何时使用多个代理空间
考虑创建多个座席空间以支持不同的组织需求:
团队分离 — 为不同的应用程序团队或业务部门创建专用的代理空间,以保持代理空间中明确的所有权界限。
环境隔离 — 将生产环境和非生产环境分成不同的代理空间,以防止意外跨环境访问。
服务边界 — 使代理空间与特定的服务或应用程序边界保持一致,以保持调查的重点和相关性。
合规性要求 — 使用不同的访问控制或数据驻留设置配置单独的代理空间,以满足监管要求。
注意
创建多个代理空间时,您可以使用专用 AWS 帐户作为代理空间的主帐户,并将不同的应用程序帐户作为辅助帐户进行连接。这种方法允许您保持精细的访问控制,同时确保即使使用自动角色创建功能,每个代理空间也只能访问特定于其预期范围的资源。
