Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS DevOps Guida all'onboarding CLI per agenti
Panoramica di
Con AWS DevOps Agent, puoi monitorare e gestire la tua infrastruttura. AWS Questa guida illustra come configurare l' AWS DevOps agente utilizzando l'interfaccia a riga di AWS comando (AWS CLI). Puoi creare ruoli IAM, configurare uno spazio per agenti e associare il tuo AWS account. Puoi anche abilitare l'app dell'operatore e, facoltativamente, collegare integrazioni di terze parti. Il completamento di questa guida richiede circa 20 minuti.
AWS DevOps L'agente è disponibile in sei AWS regioni: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Europa (Francoforte) ed Europa (Irlanda). Per ulteriori informazioni sulle regioni supportate, consulta. Regioni supportate
Prerequisiti
Prima di iniziare, assicurati di disporre di:
AWS CLI versione 2 installata e configurata
Autenticazione al tuo account AWS di monitoraggio
Autorizzazioni per creare ruoli AWS Identity and Access Management (IAM) e allegare policy
Un AWS account da utilizzare come account di monitoraggio
Familiarità con la AWS CLI e la sintassi JSON
In questa guida, sostituisci i seguenti valori segnaposto con i tuoi:
<MONITORING_ACCOUNT_ID>— L'ID dell'account a 12 cifre per l' AWS account di monitoraggio (principale)<EXTERNAL_ACCOUNT_ID>— L'ID dell'account a 12 cifre dell' AWS account secondario da monitorare (utilizzato nella fase 4)<REGION>— Il codice AWS regionale dello spazio riservato all'agente (ad esempio,us-east-1o)eu-central-1<AGENT_SPACE_ID>— L'identificatore dello spazio dell'agente restituito dal comandocreate-agent-space
Configurazione dei ruoli IAM
1. Crea il ruolo DevOps Agent Space
Crea la policy di fiducia IAM eseguendo il seguente comando:
cat > devops-agentspace-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*" } } } ] } EOF
Crea il ruolo IAM:
aws iam create-role \ --region <REGION> \ --role-name DevOpsAgentRole-AgentSpace \ --assume-role-policy-document file://devops-agentspace-trust-policy.json
Salvate il ruolo ARN eseguendo il seguente comando:
aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text
Allega la policy AWS gestita:
aws iam attach-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy
Crea e allega una policy in linea per consentire la creazione del ruolo collegato al servizio Resource Explorer:
cat > devops-agentspace-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentRole-AgentSpace \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-agentspace-additional-policy.json
2. Crea il ruolo IAM dell'app operatore
Crea la policy di fiducia IAM eseguendo il seguente comando:
cat > devops-operator-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>" }, "ArnLike": { "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*" } } } ] } EOF
Crea il ruolo IAM:
aws iam create-role \ --role-name DevOpsAgentRole-WebappAdmin \ --assume-role-policy-document file://devops-operator-trust-policy.json \ --region <REGION>
Salvate il ruolo ARN eseguendo il seguente comando:
aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text
Allega la policy dell'app per operatori AWS gestiti:
aws iam attach-role-policy \ --role-name DevOpsAgentRole-WebappAdmin \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy
Questa politica gestita concede all'app dell'operatore le autorizzazioni per accedere alle funzionalità dello spazio agente. Queste funzionalità includono indagini, consigli, gestione delle conoscenze, chat e integrazione con AWS Support. La policy prevede l'accesso allo spazio specifico dell'agente utilizzando la aws:PrincipalTag/AgentSpaceId condizione. Per ulteriori informazioni sull'elenco completo delle azioni, vedereDevOps Autorizzazioni Agent IAM.
Fasi di onboarding
1. Crea uno spazio per agenti
Eseguite il seguente comando per creare uno spazio agente:
aws devops-agent create-agent-space \ --name "MyAgentSpace" \ --description "AgentSpace for monitoring my application" \ --region <REGION>
Facoltativamente, specificare --kms-key-arn di utilizzare una chiave AWS KMS gestita dal cliente per la crittografia. Puoi anche utilizzarla --tags per aggiungere tag di risorsa e --locale impostare la lingua per le risposte degli agenti.
Salva il file agentSpaceId dalla risposta (che si trova inagentSpace.agentSpaceId).
Per elencare gli spazi degli agenti in un secondo momento, esegui il seguente comando:
aws devops-agent list-agent-spaces \ --region <REGION>
2. Associa il tuo AWS account
Associa il tuo AWS account per attivare l'individuazione della topologia. accountTypeImposta uno dei seguenti valori:
monitor— L'account principale in cui esiste lo spazio dell'agente. Questo account ospita l'agente e viene utilizzato per il rilevamento della topologia.source— Un account aggiuntivo monitorato dall'agente. Utilizza questo tipo quando associ account esterni nel passaggio 4.
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id aws \ --configuration '{ "aws": { "assumableRoleArn": "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-AgentSpace", "accountId": "<MONITORING_ACCOUNT_ID>", "accountType": "monitor" } }' \ --region <REGION>
3. Abilita l'app dell'operatore
I flussi di autenticazione possono utilizzare IAM, IAM Identity Center (IDC) o un provider di identità esterno (IdP). Esegui il comando seguente per abilitare l'app dell'operatore per lo spazio del tuo agente:
aws devops-agent enable-operator-app \ --agent-space-id <AGENT_SPACE_ID> \ --auth-flow iam \ --operator-app-role-arn "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-WebappAdmin" \ --region <REGION>
Per l'autenticazione IAM Identity Center, usa --auth-flow idc e fornisci--idc-instance-arn. Per un provider di identità esterno, utilizza --auth-flow idp e fornisci --issuer-url e--idp-client-secret. --idp-client-id Per ulteriori informazioni, consultare Configurazione dell'autenticazione IAM Identity Center e Configurazione dell'autenticazione tramite provider di identità esterno (IdP).
4. (Facoltativo) Associa account di origine aggiuntivi
Per monitorare account aggiuntivi con AWS DevOps Agent, crea un ruolo IAM tra account.
Crea il ruolo tra account diversi nell'account esterno
Passa all'account esterno e crea la politica di fiducia. MONITORING_ACCOUNT_IDÈ l'account principale che ospita lo spazio agente configurato nel passaggio 2. Questa configurazione consente al servizio AWS DevOps Agent di assumere un ruolo negli account di origine secondari per conto dell'account di monitoraggio.
Esegui il comando seguente per creare la politica di fiducia:
cat > devops-cross-account-trust-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aidevops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>", "sts:ExternalId": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/<AGENT_SPACE_ID>" } } } ] } EOF
Crea il ruolo IAM tra account:
aws iam create-role \ --role-name DevOpsAgentCrossAccountRole \ --assume-role-policy-document file://devops-cross-account-trust-policy.json
Salvate il ruolo ARN eseguendo il seguente comando:
aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text
Allega la policy AWS gestita:
aws iam attach-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy
Allega la policy in linea per consentire la creazione del ruolo collegato al servizio Resource Explorer nell'account esterno:
cat > devops-cross-account-additional-policy.json << 'EOF' { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateServiceLinkedRoles", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] } EOF aws iam put-role-policy \ --role-name DevOpsAgentCrossAccountRole \ --policy-name AllowCreateServiceLinkedRoles \ --policy-document file://devops-cross-account-additional-policy.json
Associa l'account esterno
Torna al tuo account di monitoraggio, quindi esegui il seguente comando per associare l'account esterno:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id aws \ --configuration '{ "sourceAws": { "accountId": "<EXTERNAL_ACCOUNT_ID>", "accountType": "source", "assumableRoleArn": "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/DevOpsAgentCrossAccountRole" } }' \ --region <REGION>
5. (Facoltativo) Associa GitHub
Per istruzioni sulla registrazione GitHub tramite la console, consulta. Connessione alle CI/CD tubazioni
Elenca i servizi registrati:
aws devops-agent list-services \ --region <REGION>
Salva il <SERVICE_ID> per ServiceType:. github
Dopo esserti registrato GitHub nella console, associa i GitHub repository eseguendo il seguente comando:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "github": { "repoName": "<GITHUB_REPO_NAME>", "repoId": "<GITHUB_REPO_ID>", "owner": "<GITHUB_OWNER>", "ownerType": "organization" } }' \ --region <REGION>
6. (Facoltativo) Registrazione e associazione ServiceNow
Innanzitutto, registra il ServiceNow servizio con OAuth le credenziali:
aws devops-agent register-service \ --service servicenow \ --service-details '{ "servicenow": { "instanceUrl": "<SERVICENOW_INSTANCE_URL>", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "<SERVICENOW_CLIENT_NAME>", "clientId": "<SERVICENOW_CLIENT_ID>", "clientSecret": "<SERVICENOW_CLIENT_SECRET>" } } } }' \ --region <REGION>
Salva il file restituito<SERVICE_ID>, quindi associa ServiceNow:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "servicenow": { "instanceUrl": "<SERVICENOW_INSTANCE_URL>" } }' \ --region <REGION>
7. (Facoltativo) Registrare e associare Dynatrace
Innanzitutto, registra il servizio Dynatrace con le credenziali: OAuth
aws devops-agent register-service \ --service dynatrace \ --service-details '{ "dynatrace": { "accountUrn": "<DYNATRACE_ACCOUNT_URN>", "authorizationConfig": { "oAuthClientCredentials": { "clientName": "<DYNATRACE_CLIENT_NAME>", "clientId": "<DYNATRACE_CLIENT_ID>", "clientSecret": "<DYNATRACE_CLIENT_SECRET>" } } } }' \ --region <REGION>
Salva il file restituito<SERVICE_ID>, quindi associa Dynatrace. Le risorse sono facoltative. L'ambiente specifica a quale ambiente Dynatrace associarsi.
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "dynatrace": { "envId": "<DYNATRACE_ENVIRONMENT_ID>", "resources": [ "<DYNATRACE_RESOURCE_1>", "<DYNATRACE_RESOURCE_2>" ] } }' \ --region <REGION>
La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da parte di Dynatrace. Per ulteriori informazioni, consulta Connessione di Dynatrace.
8. (Facoltativo) Registrati e associa Splunk
Innanzitutto, registra il servizio Splunk con BearerToken le credenziali.
L'endpoint utilizza il seguente formato: https://<XXX>.api.scs.splunk.com/<XXX>/mcp/v1/
aws devops-agent register-service \ --service mcpserversplunk \ --service-details '{ "mcpserversplunk": { "name": "<SPLUNK_NAME>", "endpoint": "<SPLUNK_ENDPOINT>", "authorizationConfig": { "bearerToken": { "tokenName": "<SPLUNK_TOKEN_NAME>", "tokenValue": "<SPLUNK_TOKEN_VALUE>" } } } }' \ --region <REGION>
Salva il file restituito<SERVICE_ID>, quindi associa Splunk:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "mcpserversplunk": { "name": "<SPLUNK_NAME>", "endpoint": "<SPLUNK_ENDPOINT>" } }' \ --region <REGION>
La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da Splunk. Per ulteriori informazioni, consulta Connessione a Splunk.
9. (Facoltativo) Registrati e associa New Relic
Innanzitutto, registrate il servizio New Relic con le credenziali della chiave API.
Regione: o. US EU
Campi opzionali:applicationIds,entityGuids, alertPolicyIds
aws devops-agent register-service \ --service mcpservernewrelic \ --service-details '{ "mcpservernewrelic": { "authorizationConfig": { "apiKey": { "apiKey": "<YOUR_NEW_RELIC_API_KEY>", "accountId": "<YOUR_ACCOUNT_ID>", "region": "US", "applicationIds": ["<APP_ID_1>", "<APP_ID_2>"], "entityGuids": ["<ENTITY_GUID_1>"], "alertPolicyIds": ["<POLICY_ID_1>"] } } } }' \ --region <REGION>
Salva il risultato restituito<SERVICE_ID>, quindi associa New Relic:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "mcpservernewrelic": { "accountId": "<YOUR_ACCOUNT_ID>", "endpoint": "https://mcp.newrelic.com/mcp/" } }' \ --region <REGION>
La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da parte di New Relic. Per ulteriori informazioni, consulta Collegamento di New Relic.
10. (Facoltativo) Registrati e associa Datadog
È necessario innanzitutto registrare Datadog tramite la console dell' AWS DevOps agente utilizzando il OAuth flusso prima di poterlo associare tramite la CLI. Per ulteriori informazioni, consulta Connessione DataDog.
Elenca i servizi registrati:
aws devops-agent list-services \ --region <REGION>
Salva il <SERVICE_ID> per ServiceType:. mcpserverdatadog
Quindi associa Datadog:
aws devops-agent associate-service \ --agent-space-id <AGENT_SPACE_ID> \ --service-id <SERVICE_ID> \ --configuration '{ "mcpserverdatadog": { "name": "Datadog-MCP-Server", "endpoint": "<DATADOG_MCP_ENDPOINT>" } }' \ --region <REGION>
La risposta include informazioni sui webhook per l'integrazione. Puoi utilizzare questo webhook per avviare un'indagine da Datadog. Per ulteriori informazioni, consulta Connessione DataDog.
11. (Facoltativo) Eliminare uno spazio per agenti
L'eliminazione di uno spazio agente rimuove tutte le associazioni, le configurazioni e i dati di indagine relativi a tale spazio agente. Questa azione non può essere annullata.
Per eliminare uno spazio agente, esegui il seguente comando:
aws devops-agent delete-agent-space \ --agent-space-id <AGENT_SPACE_ID> \ --region <REGION>
Verifica
Per verificare la configurazione, esegui i seguenti comandi:
# List your agent spaces aws devops-agent list-agent-spaces \ --region <REGION> # Get details of a specific agent space aws devops-agent get-agent-space \ --agent-space-id <AGENT_SPACE_ID> \ --region <REGION> # List associations for an agent space aws devops-agent list-associations \ --agent-space-id <AGENT_SPACE_ID> \ --region <REGION>
Fasi successive
Per connettere integrazioni aggiuntive, consultaConfigurazione delle funzionalità per Agent AWS DevOps.
Per ulteriori informazioni sulle competenze e le funzionalità degli agenti, consultaDevOps Competenze degli agenti.
Per comprendere l'app web dell'operatore, consultaCos'è un'app Web per DevOps agenti?.
Note
Sostituisci
<AGENT_SPACE_ID><MONITORING_ACCOUNT_ID>,<EXTERNAL_ACCOUNT_ID>,<REGION>, e così via con i tuoi valori effettivi.Per un elenco delle regioni supportate, consulta Regioni supportate.
