View a markdown version of this page

刪除客服人員空間 - AWS DevOps 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

刪除客服人員空間

此頁面說明如何刪除 an AWS DevOps 代理程式空間,並移除您啟用 AWS DevOps 代理程式時在 AWS 帳戶中建立的 IAM 資源。 AWS DevOps 代理程式不提供自動停用或解除安裝動作。您可以遵循此頁面上的程序來移除資源。

重要

刪除客服人員空間會永久移除所有調查資料、聊天歷史記錄、客服人員日誌、建議和應用程式拓撲圖。刪除 IAM 角色會移除代理程式對您 AWS 帳戶的存取權,以及使用者對操作員 Web 應用程式的存取權。這些動作無法復原。

先決條件

開始前,請確定您有下列項目:

  • 以 IAM 使用者或 IAM Identity Center 中的使用者身分登入 AWS 管理主控台。

  • 在 AWS DevOps Agent 服務 (aidevops:ListAgentSpaces 和 ) 中刪除代理程式空間的許可aidevops:DeleteAgentSpace

  • 管理 AWS 帳戶中 IAM 角色和政策的許可 (iam:ListRolesiam:ListPoliciesiam:ListAttachedRolePoliciesiam:DetachRolePolicy、、 iam:DeleteRoleiam:DeletePolicy)。

AWS DevOps 代理程式是區域服務。代理程式空間及其產生的資料會存放在您啟用代理程式的 AWS 區域中。您必須在帳戶具有客服人員空間的每個區域中執行客服人員空間刪除程序。IAM 資源是全域的,因此您只刪除一次。如需可使用 AWS DevOps 代理程式的區域清單,請參閱 支援的區域

重要

您必須依下列順序刪除資源。當客服人員空間仍參考 IAM 角色時,無法安全地移除這些角色。

下表列出您啟用 AWS DevOps 代理程式時建立的資源。當您進行程序時,請使用它做為檢查清單。

AWS 服務 Resource Type (資源類型) 資源名稱
AWS DevOps 代理程式 客服人員空間 您為客服人員空間提供的名稱 (預設:DevOpsAgentSpace)
AWS Identity and Access Management (IAM) Role AgentSpace 角色 (通常名為 DevOpsAgentRole-AgentSpace-*)
AWS Identity and Access Management (IAM) Role WebappAdmin 角色 (通常名為 DevOpsAgentRole-WebappAdmin-*)
AWS Identity and Access Management (IAM) 客戶受管政策 連接到 AgentSpace 角色的任何客戶受管政策

確切的角色和政策名稱取決於您的加入路徑。使用以下 AWS CLI 程序,或在 IAM 主控台中依DevOpsAgentRole-字首搜尋,以尋找您帳戶中的實際名稱。

注意

連接到 IAM 角色 (AIDevOpsAgentAccessPolicyAIDevOpsOperatorAppAccessPolicy) 的兩個 AWS 受管政策由 擁有 AWS ,不會刪除。您只將其分離為角色刪除的一部分。

刪除代理程式空間

刪除客服人員空間會移除其服務關聯、其操作員應用程式組態,以及所有調查資料、聊天歷史記錄、客服人員日誌、建議和應用程式拓撲圖。

使用 AWS DevOps 代理程式主控台

  1. 開啟位於 https://https://console.aws.amazon.com/aidevops/ 的 AWS DevOps 代理程式主控台。

  2. 將您的 AWS 區域變更為客服人員空間所在的區域。

  3. 在導覽窗格中,選擇客服人員空格

  4. 從資料表中,選取要移除的客服人員空間。客服人員空間詳細資訊頁面隨即開啟。

  5. 動作中,選擇刪除客服人員空間

  6. 在開啟的對話方塊中,檢閱資訊以確保其準確,輸入要確認的客服人員空間名稱,然後選擇刪除

使用 AWS CLI

步驟 1. 列出您區域中的代理程式空間以尋找您的 agentSpaceId。儲存回應中的值。REGION 將 取代為代理程式空間所在的區域,例如 us-east-1

aws devops-agent list-agent-spaces --region REGION

步驟 2. 刪除代理程式空間。將 取代AGENT_SPACE_ID為步驟 1 中的值。

aws devops-agent delete-agent-space --agent-space-id AGENT_SPACE_ID --region REGION

確認代理程式空間已刪除

執行下列命令並確認回應包含空白清單。

aws devops-agent list-agent-spaces --region REGION

刪除 IAM 資源

這些程序會逐步解說如何移除 IAM 角色,以及啟用 AWS DevOps 代理程式時在 AWS 帳戶中建立的任何客戶受管 IAM 政策。由於角色和政策名稱取決於您的加入路徑,以下程序會在 IAM 主控台中依字首搜尋,或透過 AWS CLI 探索其全名。

重要

下次透過相同的加入路徑重新啟用 AWS DevOps 代理程式時,將客戶受管政策留在帳戶中是最常見的失敗原因。完成本節中的所有步驟,以避免稍後重新啟用時發生問題。

刪除 AWS DevOps 代理程式 IAM 角色 (主控台)

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇角色

  3. 從 資料表中,搜尋名稱為 DevOpsAgentRole 的角色。會傳回兩個角色,其名稱為 DevOpsAgentRole-AgentSpace-<suffix>DevOpsAgentRole-WebappAdmin-<suffix>

  4. 對於資料表中的每個角色,選取角色的核取方塊,選擇刪除,然後在確認對話方塊中輸入角色名稱以確認,然後選擇刪除

刪除任何客戶管理的 IAM 政策 (主控台)

如果您的加入路徑將客戶受管政策連接至 AgentSpace 角色,請在刪除角色後刪除政策。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇政策

  3. 類型篩選:客戶受管,並尋找名稱開頭為 的任何政策,AIDevOps或是您在加入期間使用的任何其他識別符。

  4. 對於您要移除的每個政策,選取政策的核取方塊,選擇動作,然後從下拉式功能表中選擇刪除。在開啟的對話方塊中,檢閱資訊,輸入要確認的政策名稱,然後選擇刪除

使用 AWS CLI

步驟 1. 探索啟用所建立的角色名稱。儲存回應中的角色名稱,以用於下列步驟。

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-AgentSpace')].RoleName" --output text aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-WebappAdmin')].RoleName" --output text

步驟 2. 列出連接到每個角色的政策。ROLE_NAME 將 取代為步驟 1 中的每個角色名稱。

aws iam list-attached-role-policies --role-name ROLE_NAME

在回應中,客戶受管政策 ARNs 包含您的 12 位數 AWS 帳戶 ID (例如 arn:aws:iam::123456789012:policy/...)。 AWS 受管政策 ARNs 包含常值 aws(例如 arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy)。儲存步驟 4 的客戶受管政策 ARNs。

步驟 3. 從每個角色分離所有政策,然後刪除角色。針對上一個步驟傳回的每個政策 ARN 執行detach-role-policy命令一次。ROLE_NAME 將 取代為角色名稱,將 POLICY_ARN取代為每個 ARN。

aws iam detach-role-policy --role-name ROLE_NAME --policy-arn POLICY_ARN aws iam delete-role --role-name ROLE_NAME

步驟 4. 刪除您在步驟 2 中儲存的任何客戶受管政策。將 取代CUSTOMER_POLICY_ARN為每個 ARN。

aws iam delete-policy --policy-arn CUSTOMER_POLICY_ARN

驗證是否已移除 IAM 資源

執行下列命令。第一次呼叫應該會傳回空的結果。第二個呼叫不應傳回您擁有和刪除的任何政策。

aws iam list-roles --query "Roles[?starts_with(RoleName, 'DevOpsAgentRole-')].RoleName" --output text aws iam list-policies --scope Local --query "Policies[?starts_with(PolicyName, 'AIDevOps')].PolicyName" --output text

清除後重新啟用 AWS DevOps 代理程式

如果您遵循上述程序移除 AWS DevOps 代理程式資源,之後又想要再次啟用 AWS DevOps 代理程式,請參閱 開始使用 AWS DevOps 代理程式。請謹記以下幾點:

  • 如果您未刪除客戶管理的 IAM 政策,則透過相同加入路徑的下一次啟用嘗試可能會失敗,並role-already-exists的錯誤。先刪除剩餘的政策。

  • 刪除客服人員空間後,名稱會保留一小段時間。如果您立即重新啟用並使用相同的名稱,則建立可能會延遲。