As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Migração da versão prévia pública para a disponibilidade geral
Se você usou o AWS DevOps Agent durante a pré-visualização pública, você deve atualizar suas funções do IAM antes do lançamento do GA. Este guia explica como atualizar as funções de monitoramento e as funções do operador em suas contas.
## O que está mudando
1. [Os históricos de bate-papo sob demanda durante a pré-visualização não estão mais acessíveis](#on-demand-chat-history-from-public-preview)
1. [Novas políticas gerenciadas substituem as políticas disponíveis durante a versão prévia](#new-managed-policies)
1. [Os Agent Spaces podem ter um escopo de acesso ao aplicativo IAM Identity Center desatualizado](#reconnect-iam-identity-center-if-applicable)
## Histórico de bate-papo sob demanda a partir da pré-visualização pública
A versão GA introduz medidas de segurança adicionais para fortalecer os controles de acesso aos históricos de bate-papo. Como resultado dessas mudanças, os históricos de bate-papo sob demanda do período de pré-visualização pública (antes de 30 de março de 2026) não estão mais acessíveis. Os diários de investigação e as descobertas criadas durante a pré-visualização pública não são afetados. **Essa alteração se aplica somente às conversas de bate-papo sob demanda.**
## Novas políticas gerenciadas
Para o GA, AWS fornece novas políticas gerenciadas que substituem as políticas da era de pré-visualização:
| Tipo de função | Remover | Adicionar |
| --- | --- | --- |
| Monitoramento | Política gerenciada pelo AIOpsAssistantPolicy | Política gerenciada pelo AIDevOpsAgentAccessPolicy |
| Operador (IAM e IDC) | Política em linha | Política gerenciada pelo AIDevOpsOperatorAppAccessPolicy |
Além disso, as funções do operador exigem políticas de confiança atualizadas, e as funções do operador da IDC exigem uma nova política em linha.
### Pré-requisitos
+ Acesso às AWS contas em que suas funções de DevOps agente estão configuradas (contas primárias e todas as secundárias)
+ Permissões do IAM para modificar funções, políticas e relações de confiança
+ Seu ID do Agent Space, ID da AWS conta e região (visíveis no console do DevOps agente)
### Etapa 1: atualizar as funções de monitoramento
Atualize a função de monitoramento em sua conta principal e em cada conta secundária. Essas são as funções de Primary/Secondary origem configuradas na guia **Capacidades** em seu espaço de agente (exemplo de primary/secondary função:`DevOpsAgentRole-AgentSpace-3xj2396z`).
1. No console do DevOps agente, acesse seu Espaço do agente e escolha a guia **Capacidades**.
1. Encontre a função de monitoramento de suas Primary/Secondary fontes (por exemplo,`DevOpsAgentRole-AgentSpace-3xj2396z`) e escolha **Editar**.
1. Em **Políticas de permissões**, remova a política `AIOpsAssistantPolicy` AWS gerenciada.
1. Escolha **Adicionar permissões**, **Anexar políticas** e anexar a política `AIDevOpsAgentAccessPolicy` gerenciada.
1. Edite a política em linha e substitua seu conteúdo pelo seguinte, substituindo o ID da sua conta:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. A política de confiança para a função de monitoramento não exige alterações. Verifique se ele corresponde ao seguinte:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ Repita as etapas de 2 a 6 para a função de monitoramento em cada conta secundária.
### Etapa 2: atualizar a função do operador (IAM)
1. No console do DevOps agente, escolha a guia **Acesso** e encontre a função do operador.
1. No console do IAM, remova a política embutida existente da função de operador.
1. Escolha **Adicionar permissões**, **Anexar políticas** e anexar a política `AIDevOpsOperatorAppAccessPolicy` gerenciada.
1. Escolha a guia **Relações de confiança** e escolha **Editar política de confiança**. Substitua a política de confiança pela seguinte, substituindo seu ID da conta, região e ID do espaço do agente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### Etapa 3: Atualizar as funções do operador (IDC)
Se você usa o IAM Identity Center com o DevOps Agent, atualize cada função de operador da IDC.
1. No console do IAM, acesse **Roles** e pesquise `WebappIDC` para encontrar suas funções do DevOps Agent IDC (por exemplo,`DevOpsAgentRole-WebappIDC-`).
1. Para cada função da IDC:
a. Remova a política embutida existente.
b. Escolha **Adicionar permissões**, **Anexar políticas** e anexar a política `AIDevOpsOperatorAppAccessPolicy` gerenciada.
c. Escolha a guia **Relações de confiança** e escolha **Editar política de confiança**. Substitua a política de confiança pela seguinte, substituindo seu ID da conta, região e ID do espaço do agente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. Crie uma nova política em linha com as seguintes permissões, substituindo o ID da sua conta:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## Reconecte o IAM Identity Center (se aplicável)
Os Agent Spaces criados durante a pré-visualização pública podem ter um aplicativo IAM Identity Center configurado com um escopo de acesso desatualizado. Para GA, o escopo correto é **`aidevops:read_write`**. Se seu aplicativo do IAM Identity Center tiver o escopo anterior (**`awsaidevops:read_write`**), você deverá desconectar e reconectar o IAM Identity Center.
### Como verificar o escopo do aplicativo do IAM Identity Center
Execute o seguinte comando da AWS CLI para verificar o escopo do seu aplicativo do IAM Identity Center. **Você pode encontrar o ARN do aplicativo no console do IAM Identity Center em Aplicativos.**
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
A saída deve mostrar o escopo correto **`aidevops:read_write`**:
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
Se o escopo aparecer **`awsaidevops:read_write`**, ele está desatualizado. Siga as etapas abaixo para atualizá-lo.
### Como reconectar o IAM Identity Center
O escopo de acesso em um aplicativo AWS gerenciado do IAM Identity Center não pode ser atualizado diretamente. Você deve desconectar e reconectar:
1. No console do AWS DevOps agente, acesse seu Espaço do agente e escolha a guia **Acesso**.
1. Escolha **Desconectar** ao lado da configuração do IAM Identity Center.
1. Confirme a desconexão.
1. Escolha **Connect** para configurar o IAM Identity Center novamente. O serviço cria um novo aplicativo do IAM Identity Center com o escopo correto.
1. Reatribua usuários e grupos ao novo aplicativo no console do IAM Identity Center.
**Importante**
A desconexão remove o bate-papo individual do usuário e o histórico de artefatos associados às contas de usuário do IAM Identity Center. Os usuários precisarão fazer login novamente após a reconexão.
## Verificação
Depois de concluir todas as etapas:
1. Retorne ao console do DevOps Agente e verifique se nenhum erro de permissão aparece na guia **Acesso ao** Espaço do Agente.
1. Teste o aplicativo web do operador para confirmar se ele carrega e funciona corretamente.
1. Se você usa o IDC, verifique se os usuários podem autenticar e acessar a experiência do operador.
## Solução de problemas
**Erros de permissão negada após a migração**
+ Verifique se `AIOpsAssistantPolicy` foi removido e `AIDevOpsAgentAccessPolicy` está vinculado às funções de monitoramento.
+ Verifique se as políticas embutidas antigas foram removidas e `AIDevOpsOperatorAppAccessPolicy` se estão vinculadas às funções do operador.
+ Verifique se as políticas de confiança da operadora incluem`sts:TagSession`.
+ Confirme se você substituiu todos os valores de espaço reservado (````,,``) por valores reais.
**Contas secundárias não funcionam**
+ A função de monitoramento de cada conta secundária deve ser atualizada de forma independente. Faça login em cada conta e repita a Etapa 1.
**Falhas de autenticação do IDC**
+ Verifique se a política de confiança da IDC inclui tanto a `sts:TagSession` declaração`sts:AssumeRole`/quanto a `TrustedIdentityPropagation` declaração.
+ Confirme se a política em linha com`sso:ListInstances`,`sso:DescribeInstance`, e `identitystore:DescribeUser` foi criada.
**Histórico de bate-papo sob demanda ausente após a migração**
+ Os históricos de bate-papo sob demanda do período de pré-visualização pública não estão acessíveis após o lançamento do GA. Esse é o comportamento esperado devido às medidas de segurança aprimoradas introduzidas no GA. Os diários de investigação e as descobertas da prévia pública não são afetados.