本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從公開預覽遷移到一般可用性
如果您在公開預覽期間使用 AWS DevOps 代理程式,您必須在 GA 發行之前更新您的 IAM 角色。本指南會逐步解說更新 帳戶中的監控角色和運算子角色。
正在變更的內容
來自公開預覽的隨需聊天歷史記錄
GA 版本引進額外的安全措施,以強化聊天歷史記錄的存取控制。由於這些變更,來自公開預覽期間 (2026 年 3 月 30 日之前) 的隨需聊天歷史記錄將無法再存取。在公開預覽期間建立的調查日誌和調查結果不受影響。此變更僅適用於隨需聊天對話。
新的 受管政策
對於 GA, AWS 提供取代預覽時代政策的新受管政策:
| 角色類型 | 移除 | 加 |
|---|---|---|
| 監控 | AIOpsAssistantPolicy 受管政策 |
AIDevOpsAgentAccessPolicy 受管政策 |
| 運算子 (IAM 和 IDC) | 內嵌政策 | AIDevOpsOperatorAppAccessPolicy 受管政策 |
此外,運算子角色需要更新的信任政策,而 IDC 運算子角色需要新的內嵌政策。
先決條件
存取已設定 DevOps 代理程式角色 AWS 的帳戶 (主要和所有次要帳戶)
修改角色、政策和信任關係的 IAM 許可
您的客服人員空間 ID、 AWS 帳戶 ID 和區域 (DevOps Agent 主控台中可見)
步驟 1:更新監控角色
更新主要帳戶中和每個次要帳戶中的監控角色。這些是在您的客服人員空間的功能索引標籤下設定的主要/次要來源角色 (範例主要/次要角色:DevOpsAgentRole-AgentSpace-3xj2396z)。
在 DevOps Agent 主控台中,前往您的 Agent Space,然後選擇功能索引標籤。
尋找主要/次要來源的監控角色 (例如
DevOpsAgentRole-AgentSpace-3xj2396z),然後選擇編輯。在許可政策下,移除
AIOpsAssistantPolicyAWS 受管政策。選擇新增許可、連接政策,以及連接
AIDevOpsAgentAccessPolicy受管政策。編輯內嵌政策,並以下列內容取代其內容,以取代您的帳戶 ID:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] }
監控角色的信任政策不需要變更。驗證是否符合下列各項:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/*" } } } ] }
為每個次要帳戶中的監控角色重複步驟 2-6。
步驟 2:更新運算子角色 (IAM)
在 DevOps Agent 主控台中,選擇存取索引標籤並尋找運算子角色。
在 IAM 主控台中,從運算子角色移除現有的內嵌政策。
選擇新增許可、連接政策,以及連接
AIDevOpsOperatorAppAccessPolicy受管政策。選擇信任關係索引標籤,然後選擇編輯信任政策。將信任政策取代為下列項目,取代您的帳戶 ID、區域和客服人員空間 ID:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": ["sts:AssumeRole", "sts:TagSession"], "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>" } } } ] }
步驟 3:更新運算子角色 (IDC)
如果您使用 IAM Identity Center 搭配 DevOps Agent,請更新每個 IDC 運算子角色。
在 IAM 主控台中,前往角色並搜尋
WebappIDC以尋找您的 DevOps 代理程式 IDC 角色 (例如DevOpsAgentRole-WebappIDC-<id>)。對於每個 IDC 角色:
a. 移除現有的內嵌政策。
b. 選擇新增許可、連接政策,以及連接AIDevOpsOperatorAppAccessPolicy受管政策。
c. 選擇信任關係索引標籤,然後選擇編輯信任政策。將信任政策取代為下列項目,取代您的帳戶 ID、區域和客服人員空間 ID:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": ["sts:AssumeRole", "sts:TagSession"], "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>" } } }, { "Sid": "TrustedIdentityPropagation", "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:aidevops:<region>:<account-id>:agentspace/<agentspace-id>" }, "ForAllValues:ArnEquals": { "sts:RequestContextProviders": [ "arn:aws:iam::aws:contextProvider/IdentityCenter" ] }, "Null": { "sts:RequestContextProviders": "false" } } } ] }
d. 使用下列許可建立新的內嵌政策,以取代您的帳戶 ID:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDevOpsAgentSSOAccess", "Effect": "Allow", "Action": [ "sso:ListInstances", "sso:DescribeInstance" ], "Resource": "*" }, { "Sid": "AllowDevOpsAgentIDCUserAccess", "Effect": "Allow", "Action": "identitystore:DescribeUser", "Resource": [ "arn:aws:identitystore::<account-id>:identitystore/*", "arn:aws:identitystore:::user/*" ] } ] }
重新連線 IAM Identity Center (如適用)
在公開預覽期間建立的 代理程式空間,可能有已設定過時存取範圍的 IAM Identity Center 應用程式。對於 GA,正確的範圍為 aidevops:read_write。如果您的 IAM Identity Center 應用程式有先前的範圍 (awsaidevops:read_write),您必須中斷連線並重新連線 IAM Identity Center。
如何檢查您的 IAM Identity Center 應用程式範圍
執行下列 AWS CLI 命令來檢查 IAM Identity Center 應用程式上的範圍。您可以在應用程式下的 IAM Identity Center 主控台中找到應用程式 ARN。
aws sso-admin list-application-access-scopes \ --application-arn arn:aws:sso::<account-id>:application/<instance-id>/<application-id>
輸出應會顯示正確的範圍 aidevops:read_write:
{ "Scopes": [ { "Scope": "aidevops:read_write" } ] }
如果範圍顯示 awsaidevops:read_write,則會過期。請依照下列步驟進行更新。
如何重新連線 IAM Identity Center
AWS 受管 IAM Identity Center 應用程式的存取範圍無法直接更新。您必須中斷連線並重新連線:
在 AWS DevOps 代理程式主控台中,前往您的代理程式空間,然後選擇存取索引標籤。
選擇 IAM Identity Center 組態旁的中斷連線。
確認中斷連線。
選擇連線以再次設定 IAM Identity Center。服務會以正確的範圍建立新的 IAM Identity Center 應用程式。
在 IAM Identity Center 主控台中將使用者和群組重新指派給新應用程式。
重要
中斷連線會移除與 IAM Identity Center 使用者帳戶相關聯的個別使用者聊天和成品歷史記錄。重新連線後,使用者將需要再次登入。
驗證
完成所有步驟後:
返回 DevOps Agent 主控台,並確認 Agent Space Access 索引標籤上沒有出現許可錯誤。
測試 運算子 Web 應用程式,以確認其正確載入和運作。
如果您使用 IDC,請確認使用者可以驗證和存取運算子體驗。
疑難排解
遷移後許可遭拒錯誤
確認
AIOpsAssistantPolicy已移除AIDevOpsAgentAccessPolicy並連接至監控角色。確認舊的內嵌政策已移除
AIDevOpsOperatorAppAccessPolicy並連接至運算子角色。檢查運算子信任政策是否包含
sts:TagSession。確認您已將所有預留位置值 (
<account-id>、<region>、<agentspace-id>) 取代為實際值。
次要帳戶無法運作
每個次要帳戶的監控角色都必須獨立更新。登入每個帳戶並重複步驟 1。
IDC 身分驗證失敗
驗證 IDC 信任政策同時包含
sts:AssumeRole/sts:TagSession陳述式和TrustedIdentityPropagation陳述式。使用
sso:ListInstances、sso:DescribeInstance和 確認內嵌政策identitystore:DescribeUser已建立。
遷移後缺少隨需聊天歷史記錄
在 GA 發行之後,無法存取來自公開預覽期間的隨需聊天歷史記錄。這是由於 GA 中引入的增強型安全措施而預期的行為。來自公開預覽的調查日誌和調查結果不受影響。
