View a markdown version of this page

Supprimer un espace d'agent - AWS DevOps Agent

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimer un espace d'agent

Cette page explique comment supprimer un espace AWS DevOps agent et supprimer les ressources IAM créées dans votre AWS compte lorsque vous avez activé AWS DevOps l'agent. AWS DevOps L'agent ne fournit aucune action de désactivation ou de désinstallation automatique. Vous pouvez supprimer des ressources en suivant les procédures décrites sur cette page.

Important

La suppression de l'espace des agents entraîne la suppression définitive de toutes les données d'investigation, de l'historique des discussions, des journaux des agents, des recommandations et du graphe topologique de l'application. La suppression des rôles IAM supprime l'accès de l'agent à votre AWS compte et l'accès des utilisateurs à l'application Web de l'opérateur. Ces actions ne peuvent pas être annulées.

Conditions préalables

Avant de commencer, assurez-vous de disposer des éléments suivants :

  • Sign-in accès à la console AWS de gestion en tant qu'utilisateur IAM ou utilisateur dans IAM Identity Center.

  • Autorisations permettant de supprimer des espaces d' AWS DevOps agent dans le service Agent (aidevops:ListAgentSpacesetaidevops:DeleteAgentSpace).

  • Autorisations permettant de gérer les rôles et les politiques IAM dans votre AWS compte (iam:ListRolesiam:ListPolicies,iam:ListAttachedRolePolicies,iam:DetachRolePolicy,iam:DeleteRole, etiam:DeletePolicy).

AWS DevOps L'agent est un service régional. L'espace de l'agent et les données qu'il génère sont stockés dans la AWS région où vous avez activé l'agent. Vous devez effectuer la procédure de suppression de l'espace agent dans chaque région où votre compte dispose d'un espace agent. Les ressources IAM étant globales, vous ne les supprimez qu'une seule fois. Pour consulter la liste des régions dans lesquelles AWS DevOps l'agent est disponible, consultezRégions prises en charge.

Important

Vous devez supprimer les ressources dans l'ordre suivant. Les rôles IAM ne peuvent pas être supprimés en toute sécurité tant que l'espace agent y fait toujours référence.

Le tableau suivant répertorie les ressources créées lorsque vous activez AWS DevOps l'Agent. Utilisez-le comme liste de contrôle pendant que vous suivez les procédures.

AWS service Type de ressource Nom de la ressource
AWS DevOps Agent Espace réservé aux agents Le nom que vous avez attribué à l'espace de l'agent (par défaut :DevOpsAgentSpace)
AWS Identity and Access Management (IAM) Role AgentSpace rôle (généralement nomméDevOpsAgentRole-AgentSpace-*)
AWS Identity and Access Management (IAM) Role WebappAdmin rôle (généralement nomméDevOpsAgentRole-WebappAdmin-*)
AWS Identity and Access Management (IAM) Customer-managed politique Toutes les politiques gérées par le client associées au rôle AgentSpace

Le rôle exact et le nom des politiques dépendent de votre parcours d'intégration. Utilisez les procédures AWS CLI ci-dessous ou effectuez une recherche par DevOpsAgentRole- préfixe dans la console IAM pour trouver les noms réels de votre compte.

Note

Les deux politiques AWS gérées associées aux rôles IAM (AIDevOpsAgentAccessPolicyetAIDevOpsOperatorAppAccessPolicy) sont détenues par AWS et ne sont pas supprimées. Vous ne les détachez que dans le cadre de la suppression des rôles.

Supprimer l'espace d'agent

La suppression de l'espace agent entraîne la suppression de son association de services, de la configuration de son application opérateur, ainsi que de toutes les données d'investigation, de l'historique des discussions, des journaux des agents, des recommandations et du graphe de topologie de l'application.

Utilisation de AWS DevOps Console de l'agent

  1. Ouvrez la console de AWS DevOps l'agent à l'adresse https://console.aws.amazon.com/aidevops/.

  2. Changez votre AWS région pour la région où se trouve l'espace des agents.

  3. Dans le volet de navigation, choisissez Agent spaces.

  4. Dans le tableau, sélectionnez l'espace d'agent que vous souhaitez supprimer. La page de détails de l'espace agent s'ouvre.

  5. Dans Actions, choisissez Supprimer l'espace de l'agent.

  6. Dans la boîte de dialogue qui s'ouvre, vérifiez les informations pour vous assurer qu'elles sont exactes, entrez le nom de l'espace agent pour confirmer, puis choisissez Supprimer.

Utilisation de AWS INTERFACE DE LIGNE DE COMMANDE (CLI)

Étape 1. Répertoriez les espaces réservés aux agents dans votre région pour trouver votreagentSpaceId. Enregistrez la valeur de la réponse. Remplacez REGION par la région dans laquelle se trouve votre espace d'agent, par exempleus-east-1.

aws devops-agent list-agent-spaces --region REGION

Étape 2. Supprimez l'espace d'agent. Remplacez AGENT_SPACE_ID par la valeur de l'étape 1.

aws devops-agent delete-agent-space --agent-space-id AGENT_SPACE_ID --region REGION

Vérifier que l'espace agent est supprimé

Exécutez la commande suivante et vérifiez que la réponse contient une liste vide.

aws devops-agent list-agent-spaces --region REGION

Supprimer des ressources IAM

Ces procédures vous expliquent comment supprimer les rôles IAM et toutes les politiques IAM gérées par le client qui ont été créées dans votre AWS compte lorsque vous avez activé l'Agent. AWS DevOps Étant donné que les noms des rôles et des politiques dépendent de votre parcours d'intégration, les procédures ci-dessous les recherchent par préfixe dans la console IAM ou découvrent leur nom complet via la CLI. AWS

Important

Le fait de conserver les politiques gérées par le client dans votre compte est la cause la plus courante d'échec lors de la prochaine réactivation de l' AWS DevOps Agent par le biais du même processus d'intégration. Effectuez toutes les étapes de cette section pour éviter les problèmes si vous le réactivez ultérieurement.

Suppression du AWS DevOps Rôles de l'agent IAM (console)

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles.

  3. Dans le tableau, recherchez les rôles portant le nom DevOpsAgentRole. Deux rôles sont renvoyés, avec les noms du formulaire DevOpsAgentRole-AgentSpace-<suffix> etDevOpsAgentRole-WebappAdmin-<suffix>.

  4. Pour chaque rôle du tableau, cochez la case correspondante, choisissez Supprimer, puis dans la boîte de dialogue de confirmation, entrez le nom du rôle pour confirmer et choisissez Supprimer.

Suppression de toutes les politiques IAM gérées par le client (console)

Si votre parcours d'intégration a associé au rôle une politique gérée par le client, supprimez la politique après avoir supprimé le AgentSpace rôle.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Filtrez par type : géré par le client et recherchez les politiques dont le nom commence par AIDevOps ou tout autre identifiant que vous avez utilisé lors de l'intégration.

  4. Pour chaque politique que vous souhaitez supprimer, cochez la case correspondante, choisissez Actions, puis choisissez Supprimer dans le menu déroulant. Dans la boîte de dialogue qui s'ouvre, passez en revue les informations, entrez le nom de la politique à confirmer, puis choisissez Supprimer.

Utilisation de AWS INTERFACE DE LIGNE DE COMMANDE (CLI)

Étape 1. Découvrez les noms de rôles créés par activation. Enregistrez les noms des rôles à partir des réponses pour les utiliser dans les étapes suivantes.

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-AgentSpace')].RoleName" --output text aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-WebappAdmin')].RoleName" --output text

Étape 2. Répertoriez les politiques associées à chaque rôle. ROLE_NAMERemplacez-le par le nom de chaque rôle indiqué à l'étape 1.

aws iam list-attached-role-policies --role-name ROLE_NAME

Dans la réponse, les ARN des politiques gérées par le client contiennent votre identifiant de AWS compte à 12 chiffres (par exemple,). arn:aws:iam::123456789012:policy/... AWS les ARN des politiques gérées contiennent le littéral aws (par exemple,arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy). Enregistrez les ARN des politiques gérées par le client pour l'étape 4.

Étape 3. Détachez toutes les politiques de chaque rôle, puis supprimez le rôle. Exécutez la detach-role-policy commande une fois pour chaque ARN de politique renvoyé par l'étape précédente. Remplacez ROLE_NAME par le nom du rôle et POLICY_ARN par chaque ARN.

aws iam detach-role-policy --role-name ROLE_NAME --policy-arn POLICY_ARN aws iam delete-role --role-name ROLE_NAME

Étape 4. Supprimez toutes les politiques gérées par le client que vous avez enregistrées à l'étape 2. Remplacez CUSTOMER_POLICY_ARN par chaque ARN.

aws iam delete-policy --policy-arn CUSTOMER_POLICY_ARN

Vérifier que les ressources IAM sont supprimées

Exécutez les commandes suivantes. Le premier appel doit renvoyer un résultat vide. Le deuxième appel ne doit renvoyer aucune politique que vous possédiez et que vous avez supprimée.

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-')].RoleName" --output text aws iam list-policies --scope Local --query "Policies[?starts_with(PolicyName, 'AIDevOps')].PolicyName" --output text

Re-enabling AWS DevOps Agent après le nettoyage

Si vous avez supprimé les ressources de l' AWS DevOps agent en suivant les procédures ci-dessus et que vous souhaitez réactiver AWS DevOps l'agent ultérieurement, consultezCommencer à utiliser AWS DevOps Agent. Gardez à l’esprit les points suivants :

  • Si vous n'avez pas supprimé les politiques IAM gérées par le client, la prochaine tentative d'activation via le même processus d'intégration risque d'échouer avec une erreur role-alreadyexists. Supprimez d'abord les politiques restantes.

  • Une fois que vous avez supprimé un espace d'agent, le nom est réservé pour une courte période. Si vous le réactivez immédiatement et que vous utilisez le même nom, la création peut être retardée.