翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# パブリックプレビューから一般提供への移行
パブリックプレビュー中に AWS DevOps エージェントを使用した場合は、GA リリース前に IAM ロールを更新する必要があります。このガイドでは、アカウントのモニタリングロールとオペレーターロールの更新について説明します。
## 変更点
1. [プレビュー中のオンデマンドチャット履歴にアクセスできなくなります](#on-demand-chat-history-from-public-preview)
1. [新しい マネージドポリシーは、プレビュー中に利用可能なポリシーを置き換えます](#new-managed-policies)
1. [エージェントスペースには、古い IAM Identity Center アプリケーションアクセススコープがある可能性があります](#reconnect-iam-identity-center-if-applicable)
## パブリックプレビューからのオンデマンドチャット履歴
GA リリースでは、チャット履歴のアクセスコントロールを強化するための追加のセキュリティ対策が導入されています。これらの変更により、パブリックプレビュー期間 (2026 年 3 月 30 日以前) のオンデマンドチャット履歴にアクセスできなくなります。公開プレビュー中に作成された調査ジャーナルや調査結果は影響を受けません。**この変更は、オンデマンドチャット会話にのみ適用されます。**
## 新しい管理ポリシー
GA の場合、 はプレビュー時代のポリシーを置き換える新しい管理ポリシー AWS を提供します。
| ロールタイプ | 削除 | Add |
| --- | --- | --- |
| モニタリング | AIOpsAssistantPolicy マネージドポリシー | AIDevOpsAgentAccessPolicy マネージドポリシー |
| オペレーター (IAM および IDC) | インラインポリシー | AIDevOpsOperatorAppAccessPolicy マネージドポリシー |
さらに、オペレータロールには更新された信頼ポリシーが必要であり、IDC オペレータロールには新しいインラインポリシーが必要です。
### 前提条件
+ DevOps エージェントロールが設定されている AWS アカウントへのアクセス (プライマリアカウントとすべてのセカンダリアカウント)
+ ロール、ポリシー、信頼関係を変更する IAM アクセス許可
+ エージェントスペース ID、 AWS アカウント ID、リージョン (DevOps エージェントコンソールで表示)
### ステップ 1: モニタリングロールを更新する
プライマリアカウントと各セカンダリアカウントのモニタリングロールを更新します。これらは、エージェントスペースの **Capabilities** タブで設定されたプライマリ/セカンダリソースロールです (プライマリ/セカンダリロールの例: `DevOpsAgentRole-AgentSpace-3xj2396z`)。
1. DevOps エージェントコンソールで、エージェントスペースに移動し、**機能**タブを選択します。
1. プライマリ/セカンダリソース ( など`DevOpsAgentRole-AgentSpace-3xj2396z`) のモニタリングロールを見つけ、**編集**を選択します。
1. アクセス**許可ポリシー**で、 `AIOpsAssistantPolicy` AWS 管理ポリシーを削除します。
1. アクセス**許可の追加**、**ポリシーのア**タッチ、`AIDevOpsAgentAccessPolicy`管理ポリシーのアタッチを選択します。
1. インラインポリシーを編集し、その内容を以下に置き換えて、アカウント ID を置き換えます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. モニタリングロールの信頼ポリシーは変更を必要としません。以下と一致することを確認します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ 各セカンダリアカウントのモニタリングロールに対してステップ 2~6 を繰り返します。
### ステップ 2: オペレーターロールを更新する (IAM)
1. DevOps エージェントコンソールで、**アクセス**タブを選択し、オペレーターロールを見つけます。
1. IAM コンソールで、オペレーターロールから既存のインラインポリシーを削除します。
1. アクセス**許可の追加**、**ポリシーのアタッチ**、`AIDevOpsOperatorAppAccessPolicy`管理ポリシーのアタッチを選択します。
1. **信頼関係**タブを選択し、**信頼ポリシーの編集**を選択します。信頼ポリシーを以下に置き換え、アカウント ID、リージョン、エージェントスペース ID を置き換えます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### ステップ 3: オペレーターロールを更新する (IDC)
DevOps エージェントで IAM Identity Center を使用する場合は、各 IDC オペレーターロールを更新します。
1. IAM コンソールで、 **ロール**に移動し、 を検索`WebappIDC`して DevOps エージェント IDC ロール ( など) を検索します`DevOpsAgentRole-WebappIDC-`。
1. 各 IDC ロールについて:
a. 既存のインラインポリシーを削除します。
b. アクセス**許可の追加**、**ポリシーのアタッチ**、`AIDevOpsOperatorAppAccessPolicy`管理ポリシーのアタッチを選択します。
c。**信頼関係**タブを選択し、**信頼ポリシーの編集**を選択します。信頼ポリシーを以下に置き換え、アカウント ID、リージョン、エージェントスペース ID を置き換えます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d。アカウント ID を置き換えて、次のアクセス許可を持つ新しいインラインポリシーを作成します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## IAM アイデンティティセンターを再接続する (該当する場合)
パブリックプレビュー中に作成されたエージェントスペースには、IAM Identity Center アプリケーションが古いアクセススコープで設定されている場合があります。GA の場合、正しいスコープは です**`aidevops:read_write`**。IAM Identity Center アプリケーションに以前のスコープ (**`awsaidevops:read_write`**) がある場合は、IAM Identity Center を切断して再接続する必要があります。
### IAM Identity Center アプリケーションの範囲を確認する方法
次の AWS CLI コマンドを実行して、IAM Identity Center アプリケーションのスコープを確認します。アプリケーション ARN は、**「アプリケーション**」の IAM Identity Center コンソールにあります。
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
出力には正しいスコープ が表示されます**`aidevops:read_write`**。
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
スコープに が表示されている場合は**`awsaidevops:read_write`**、古いものです。以下の手順に従って更新します。
### IAM Identity Center を再接続する方法
AWS マネージド IAM アイデンティティセンターアプリケーションのアクセススコープを直接更新することはできません。切断して再接続する必要があります。
1. AWS DevOps エージェントコンソールで、エージェントスペースに移動し、**アクセス**タブを選択します。
1. IAM Identity Center 設定の横にある**切断**を選択します。
1. 切断を確認します。
1. **Connect** を選択して、IAM Identity Center を再度セットアップします。サービスは、正しいスコープを持つ新しい IAM Identity Center アプリケーションを作成します。
1. IAM Identity Center コンソールでユーザーとグループを新しいアプリケーションに再割り当てします。
**重要**
切断すると、IAM Identity Center ユーザーアカウントに関連付けられた個々のユーザーチャットとアーティファクト履歴が削除されます。ユーザーは再接続後に再度ログインする必要があります。
## 検証
すべてのステップを完了した後:
1. DevOps エージェントコンソールに戻り、エージェントスペース**アクセス**タブにアクセス許可エラーが表示されないことを確認します。
1. オペレーターウェブアプリをテストして、正しくロードおよび機能することを確認します。
1. IDC を使用する場合は、ユーザーがオペレーターエクスペリエンスを認証してアクセスできることを確認します。
## トラブルシューティング
**移行後のアクセス許可拒否エラー**
+ `AIOpsAssistantPolicy` が削除され、モニタリングロールにアタッチ`AIDevOpsAgentAccessPolicy`されていることを確認します。
+ 古いインラインポリシーが削除され、オペレーターロールに`AIDevOpsOperatorAppAccessPolicy`アタッチされていることを確認します。
+ 演算子の信頼ポリシーに が含まれていることを確認します`sts:TagSession`。
+ すべてのプレースホルダー値 (``、``、``) を実際の値に置き換えたことを確認します。
**セカンダリアカウントが機能しない**
+ 各セカンダリアカウントのモニタリングロールは個別に更新する必要があります。各アカウントにログインし、ステップ 1 を繰り返します。
**IDC 認証の失敗**
+ IDC 信頼ポリシーに `sts:AssumeRole`/`sts:TagSession` ステートメントと `TrustedIdentityPropagation`ステートメントの両方が含まれていることを確認します。
+ インラインポリシーが `sso:ListInstances`、`sso:DescribeInstance`、および で作成された`identitystore:DescribeUser`ことを確認します。
**移行後にオンデマンドチャット履歴が欠落している**
+ GA リリース後は、パブリックプレビュー期間のオンデマンドチャット履歴にアクセスできません。これは、GA で導入されたセキュリティ対策の強化による予想される動作です。調査ジャーナルやパブリックプレビューの結果は影響を受けません。