Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Migrazione dall'anteprima pubblica alla disponibilità generale
Se hai utilizzato AWS DevOps Agent durante l'anteprima pubblica, devi aggiornare i ruoli IAM prima della versione GA. Questa guida illustra l'aggiornamento dei ruoli di monitoraggio e dei ruoli di operatore nei tuoi account.
## Cosa sta cambiando
1. [Le cronologie delle chat su richiesta durante l'anteprima non sono più accessibili](#on-demand-chat-history-from-public-preview)
1. [Le nuove politiche gestite sostituiscono le politiche disponibili durante l'anteprima](#new-managed-policies)
1. [Agent Spaces potrebbe avere un ambito di accesso alle applicazioni IAM Identity Center obsoleto](#reconnect-iam-identity-center-if-applicable)
## Cronologia delle chat su richiesta dall'anteprima pubblica
La versione GA introduce misure di sicurezza aggiuntive per rafforzare i controlli di accesso alle cronologie delle chat. A seguito di queste modifiche, le cronologie delle chat su richiesta del periodo di anteprima pubblica (prima del 30 marzo 2026) non sono più accessibili. I diari di indagine e i risultati creati durante l'anteprima pubblica non sono interessati. **Questa modifica si applica solo alle conversazioni in chat su richiesta.**
## Nuove politiche gestite
Per GA, AWS fornisce nuove politiche gestite che sostituiscono le politiche dell'era di anteprima:
| Tipo di ruolo | Rimuovi | Add (Aggiungi) |
| --- | --- | --- |
| Monitoraggio | Policy gestita di AIOpsAssistantPolicy | Policy gestita di AIDevOpsAgentAccessPolicy |
| Operatore (IAM e IDC) | Politica in linea | Policy gestita di AIDevOpsOperatorAppAccessPolicy |
Inoltre, i ruoli dell'operatore richiedono politiche di fiducia aggiornate e i ruoli dell'operatore IDC richiedono una nuova politica in linea.
### Prerequisiti
+ Accesso agli AWS account in cui sono configurati i ruoli di DevOps agente (account primari e tutti gli account secondari)
+ Autorizzazioni IAM per modificare ruoli, politiche e relazioni di fiducia
+ L'ID Agent Space, l'ID AWS dell'account e la regione (visibili nella console dell' DevOps agente)
### Fase 1: Aggiornare i ruoli di monitoraggio
Aggiorna il ruolo di monitoraggio nel tuo account principale e in ogni account secondario. Questi sono i ruoli di Primary/Secondary origine configurati nella scheda **Capacità** nello spazio degli agenti (esempio di primary/secondary ruolo:`DevOpsAgentRole-AgentSpace-3xj2396z`).
1. Nella console dell' DevOps agente, vai al tuo Agent Space e scegli la scheda **Funzionalità**.
1. Trova il ruolo di monitoraggio per le tue Primary/Secondary Fonti (ad esempio`DevOpsAgentRole-AgentSpace-3xj2396z`) e scegli **Modifica**.
1. In **Politiche di autorizzazione**, rimuovi la politica `AIOpsAssistantPolicy` AWS gestita.
1. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsAgentAccessPolicy` gestita.
1. Modifica la politica in linea e sostituisci il suo contenuto con quanto segue, sostituendo l'ID del tuo account:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. La politica di fiducia per il ruolo di monitoraggio non richiede modifiche. Verifica che corrisponda a quanto segue:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ Ripeti i passaggi da 2 a 6 per il ruolo di monitoraggio in ogni account secondario.
### Fase 2: Aggiornare il ruolo dell'operatore (IAM)
1. Nella console dell' DevOps agente, scegli la scheda **Accesso** e trova il ruolo dell'operatore.
1. Nella console IAM, rimuovi la policy in linea esistente dal ruolo dell'operatore.
1. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsOperatorAppAccessPolicy` gestita.
1. Scegli la scheda **Relazioni di fiducia** e scegli **Modifica politica di fiducia**. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### Fase 3: Aggiornamento dei ruoli degli operatori (IDC)
Se utilizzi IAM Identity Center with DevOps Agent, aggiorna ogni ruolo di operatore IDC.
1. Nella console IAM, vai su **Ruoli e cerca per `WebappIDC` trovare i ruoli** di DevOps Agent IDC (ad esempio,`DevOpsAgentRole-WebappIDC-`).
1. Per ogni ruolo IDC:
a. Rimuovi la politica in linea esistente.
b. Scegli **Aggiungi autorizzazioni**, **Allega politiche e allega** la politica `AIDevOpsOperatorAppAccessPolicy` gestita.
c. Scegli la scheda **Relazioni di fiducia** e scegli **Modifica politica di fiducia**. Sostituisci la politica di fiducia con la seguente, sostituendo l'ID dell'account, la regione e l'ID di Agent Space:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. Crea una nuova politica in linea con le seguenti autorizzazioni, sostituendo l'ID del tuo account:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## Ricollega IAM Identity Center (se applicabile)
Gli Agent Spaces creati durante l'anteprima pubblica possono avere un'applicazione IAM Identity Center configurata con un ambito di accesso obsoleto. Per GA, l'ambito corretto è **`aidevops:read_write`**. Se la tua applicazione IAM Identity Center ha l'ambito precedente (**`awsaidevops:read_write`**), devi disconnettere e ricollegare IAM Identity Center.
### Come verificare l'ambito dell'applicazione IAM Identity Center
Esegui il seguente comando AWS CLI per controllare l'ambito sulla tua applicazione IAM Identity Center. **Puoi trovare l'ARN dell'applicazione nella console IAM Identity Center alla voce Applicazioni.**
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
L'output dovrebbe mostrare l'ambito **`aidevops:read_write`**corretto:
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
Se l'ambito viene visualizzato **`awsaidevops:read_write`**, è obsoleto. Segui i passaggi seguenti per aggiornarlo.
### Come riconnettere IAM Identity Center
L'ambito di accesso su un'applicazione IAM Identity Center AWS gestita non può essere aggiornato direttamente. È necessario disconnettersi e riconnettersi:
1. Nella console dell' AWS DevOps agente, vai al tuo Agent Space e scegli la scheda **Accesso**.
1. Scegli **Disconnect** accanto alla configurazione di IAM Identity Center.
1. Conferma la disconnessione.
1. Scegli **Connect** per configurare nuovamente IAM Identity Center. Il servizio crea una nuova applicazione IAM Identity Center con l'ambito corretto.
1. Riassegna utenti e gruppi alla nuova applicazione nella console IAM Identity Center.
**Importante**
La disconnessione rimuove la chat dei singoli utenti e la cronologia degli artefatti associati agli account utente IAM Identity Center. Gli utenti dovranno effettuare nuovamente l'accesso dopo la riconnessione.
## Verifica
Dopo aver completato tutti i passaggi:
1. Tornate alla console dell' DevOps agente e verificate che non compaiano errori di autorizzazione nella scheda Agent Space **Access**.
1. Testa l'app web dell'operatore per confermare che si carichi e funzioni correttamente.
1. Se utilizzi IDC, verifica che gli utenti possano autenticarsi e accedere all'esperienza dell'operatore.
## Risoluzione dei problemi
**Errori di autorizzazione negata dopo la migrazione**
+ Verifica che sia `AIOpsAssistantPolicy` stato rimosso e `AIDevOpsAgentAccessPolicy` sia associato ai ruoli di monitoraggio.
+ Verifica che le vecchie politiche in linea siano state rimosse e che `AIDevOpsOperatorAppAccessPolicy` siano associate ai ruoli dell'operatore.
+ Verifica che le politiche di fiducia degli operatori includano`sts:TagSession`.
+ Conferma di aver sostituito tutti i valori segnaposto (``,``,``) con valori effettivi.
**Gli account secondari non funzionano**
+ Il ruolo di monitoraggio di ogni account secondario deve essere aggiornato in modo indipendente. Accedi a ciascun account e ripeti il passaggio 1.
**Errori di autenticazione IDC**
+ Verifica che la policy di fiducia di IDC includa sia l'`sts:TagSession`istruzione`sts:AssumeRole`/che l'istruzione. `TrustedIdentityPropagation`
+ Conferma la politica in linea con `sso:ListInstances``sso:DescribeInstance`, ed `identitystore:DescribeUser` è stata creata.
**Manca la cronologia delle chat su richiesta dopo la migrazione**
+ Le cronologie delle chat su richiesta del periodo di anteprima pubblica non sono accessibili dopo il rilascio della versione GA. Questo è un comportamento previsto dovuto alle misure di sicurezza avanzate introdotte in GA. Le riviste investigative e i risultati dell'anteprima pubblica non sono interessati.