View a markdown version of this page

Excluindo um espaço de agente - AWS DevOps Agente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluindo um espaço de agente

Esta página explica como excluir um espaço de AWS DevOps agente do Agente e remover os recursos do IAM que foram criados na sua AWS conta quando você ativou o AWS DevOps Agente. AWS DevOps O agente não fornece uma ação automática de desativação ou desinstalação. Você remove recursos seguindo os procedimentos desta página.

Importante

A exclusão do espaço do agente remove permanentemente todos os dados da investigação, o histórico do bate-papo, os diários do agente, as recomendações e o gráfico da topologia do aplicativo. A exclusão das funções do IAM remove o acesso do agente à sua AWS conta e o acesso dos usuários ao aplicativo web da operadora. Essas ações não podem ser desfeitas.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Sign-in acesso ao AWS Management Console como usuário do IAM ou usuário no IAM Identity Center.

  • Permissões para excluir espaços do AWS DevOps agente no serviço do agente (aidevops:ListAgentSpaceseaidevops:DeleteAgentSpace).

  • Permissões para gerenciar funções e políticas do IAM em sua AWS conta (iam:ListRolesiam:ListPolicies,iam:ListAttachedRolePolicies,iam:DetachRolePolicy,iam:DeleteRole, eiam:DeletePolicy).

AWS DevOps O agente é um serviço regional. O espaço do agente e os dados que ele gera são armazenados na AWS região em que você habilitou o agente. Você deve executar o procedimento de exclusão do espaço do agente em cada região em que sua conta tem um espaço do agente. Os recursos do IAM são globais, então você só os exclui uma vez. Para obter a lista de regiões em que o AWS DevOps Agente está disponível, consulteRegiões aceitas.

Importante

Você deve excluir recursos na seguinte ordem. As funções do IAM não podem ser removidas com segurança enquanto o espaço do agente ainda fizer referência a elas.

A tabela a seguir lista os recursos criados quando você ativa o AWS DevOps Agente. Use-o como uma lista de verificação enquanto trabalha nos procedimentos.

AWS serviço Tipo de atributo Nome do recurso
AWS DevOps Agente Espaço do agente O nome que você deu ao espaço do agente (padrão:DevOpsAgentSpace)
AWS Identity and Access Management (IAM) Perfil AgentSpace função (normalmente chamadaDevOpsAgentRole-AgentSpace-*)
AWS Identity and Access Management (IAM) Perfil WebappAdmin função (normalmente chamadaDevOpsAgentRole-WebappAdmin-*)
AWS Identity and Access Management (IAM) Customer-managed política Qualquer política gerenciada pelo cliente vinculada à função AgentSpace

Os nomes exatos da função e da política dependem do seu caminho de integração. Use os procedimentos da AWS CLI abaixo ou pesquise pelo DevOpsAgentRole- prefixo no console do IAM para encontrar os nomes reais em sua conta.

nota

As duas políticas AWS gerenciadas anexadas às funções do IAM (AIDevOpsAgentAccessPolicyeAIDevOpsOperatorAppAccessPolicy) são de propriedade AWS e não são excluídas. Você só os separa como parte da exclusão da função.

Excluir o espaço do agente

A exclusão do espaço do agente remove sua associação de serviços, a configuração do aplicativo do operador e todos os dados de investigação, histórico de bate-papo, diários do agente, recomendações e o gráfico de topologia do aplicativo.

Usar o AWS DevOps Console do agente

  1. Abra o console do AWS DevOps agente em https://console.aws.amazon.com/aidevops/.

  2. Mude sua AWS região para a região em que reside o espaço do agente.

  3. No painel de navegação, escolha Espaços do agente.

  4. Na tabela, selecione o espaço do agente que você deseja remover. A página de detalhes do espaço do agente é aberta.

  5. Em Ações, escolha Excluir espaço do agente.

  6. Na caixa de diálogo que se abre, revise as informações para verificar se estão corretas, insira o nome do espaço do agente para confirmar e escolha Excluir.

Usar o AWS CLI

Etapa 1. Liste os espaços dos agentes em sua região para encontrar seusagentSpaceId. Salve o valor da resposta. REGIONSubstitua pela região em que seu espaço de agente reside, por exemplo,us-east-1.

aws devops-agent list-agent-spaces --region REGION

Etapa 2. Exclua o espaço do agente. AGENT_SPACE_IDSubstitua pelo valor da Etapa 1.

aws devops-agent delete-agent-space --agent-space-id AGENT_SPACE_ID --region REGION

Verificando se o espaço do agente foi excluído

Execute o comando a seguir e confirme se a resposta contém uma lista vazia.

aws devops-agent list-agent-spaces --region REGION

Excluir recursos do IAM

Esses procedimentos explicam como remover as funções do IAM e todas as políticas do IAM gerenciadas pelo cliente que foram criadas em sua AWS conta quando você AWS DevOps ativou o Agente. Como os nomes da função e da política dependem do seu caminho de integração, os procedimentos abaixo pesquisam por prefixo no console do IAM ou descobrem seus nomes completos por meio da CLI AWS .

Importante

Deixar políticas gerenciadas pelo cliente em sua conta é a causa mais comum de falhas na próxima vez que você reativar o AWS DevOps Agente pelo mesmo caminho de integração. Conclua todas as etapas desta seção para evitar problemas se você reativar posteriormente.

Excluindo o AWS DevOps Funções do Agent IAM (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis.

  3. Na tabela, pesquise funções com o nome DevOpsAgentRole. Duas funções são retornadas, com os nomes do formulário DevOpsAgentRole-AgentSpace-<suffix> DevOpsAgentRole-WebappAdmin-<suffix> e.

  4. Para cada função na tabela, marque a caixa de seleção da função, escolha Excluir e, na caixa de diálogo de confirmação, insira o nome da função a ser confirmada e escolha Excluir.

Excluir qualquer política de IAM gerenciada pelo cliente (console)

Se o seu caminho de integração anexou uma política gerenciada pelo cliente à AgentSpace função, exclua a política depois de excluir a função.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas.

  3. Filtre por tipo: gerenciado pelo cliente e procure todas as políticas cujo nome comece com AIDevOps ou qualquer outro identificador que você tenha usado durante a integração.

  4. Para cada política que você deseja remover, marque a caixa de seleção da política, escolha Ações e escolha Excluir no menu suspenso. Na caixa de diálogo que se abre, revise as informações, insira o nome da política a ser confirmada e escolha Excluir.

Usar o AWS CLI

Etapa 1. Descubra os nomes das funções criados pela ativação. Salve os nomes das funções das respostas para uso nas etapas a seguir.

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-AgentSpace')].RoleName" --output text aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-WebappAdmin')].RoleName" --output text

Etapa 2. Liste as políticas anexadas a cada função. ROLE_NAMESubstitua por cada nome de função da Etapa 1.

aws iam list-attached-role-policies --role-name ROLE_NAME

Na resposta, os ARNs da política gerenciada pelo cliente contêm seu ID de AWS conta de 12 dígitos (por exemplo,). arn:aws:iam::123456789012:policy/... AWS os ARNs da política gerenciada contêm o literal aws (por exemplo,arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy). Salve os ARNs da política gerenciada pelo cliente para a Etapa 4.

Etapa 3. Separe todas as políticas de cada função e, em seguida, exclua a função. Execute o detach-role-policy comando uma vez para cada ARN de política retornado pela etapa anterior. ROLE_NAMESubstitua pelo nome da função e POLICY_ARN por cada ARN.

aws iam detach-role-policy --role-name ROLE_NAME --policy-arn POLICY_ARN aws iam delete-role --role-name ROLE_NAME

Etapa 4. Exclua todas as políticas gerenciadas pelo cliente que você salvou na Etapa 2. CUSTOMER_POLICY_ARNSubstitua por cada ARN.

aws iam delete-policy --policy-arn CUSTOMER_POLICY_ARN

Verificando se os recursos do IAM foram removidos

Execute os seguintes comandos. A primeira chamada deve retornar um resultado vazio. A segunda chamada não deve retornar nenhuma política que você possuía e excluiu.

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-')].RoleName" --output text aws iam list-policies --scope Local --query "Policies[?starts_with(PolicyName, 'AIDevOps')].PolicyName" --output text

Re-enabling AWS DevOps Agente após a limpeza

Se você removeu os recursos do AWS DevOps Agente seguindo os procedimentos acima e depois quiser habilitar o AWS DevOps Agente novamente, consulteComeçando com o AWS DevOps Agent. Lembre-se do seguinte:

  • Se você não excluiu as políticas do IAM gerenciadas pelo cliente, a próxima tentativa de habilitação por meio do mesmo caminho de integração pode falhar com um erro de função já existente. Exclua primeiro as políticas restantes.

  • Depois de excluir um espaço de agente, o nome é reservado por um curto período. Se você reativar imediatamente e usar o mesmo nome, a criação poderá ser adiada.