Integration von Systems Manager Automation-Runbooks in Incident Manager zur Behebung von Vorfällen - Incident Manager
IAMBerechtigungen, die zum Starten und Ausführen von Runbook-Workflows erforderlich sindArbeiten mit Runbook-ParameternDefinieren Sie ein RunbookRunbook-Vorlage für Incident Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration von Systems Manager Automation-Runbooks in Incident Manager zur Behebung von Vorfällen

Sie können Runbooks von AWS Systems Manager Automation, einer Funktion von, verwenden AWS Systems Manager, um allgemeine Anwendungs- und Infrastrukturaufgaben in Ihrer Umgebung zu automatisieren. AWS Cloud

Jedes Runbook definiert einen Runbook-Workflow, der sich aus den Aktionen zusammensetzt, die Systems Manager auf Ihren verwalteten Knoten oder anderen AWS Ressourcentypen ausführt. Sie können Runbooks verwenden, um die Wartung, Bereitstellung und Wiederherstellung Ihrer Ressourcen zu automatisieren. AWS

In Incident Manager steuert ein Runbook die Reaktion auf Vorfälle und deren Behebung, und Sie geben ein Runbook an, das als Teil eines Reaktionsplans verwendet werden soll.

In Ihren Reaktionsplänen können Sie aus Dutzenden von vorkonfigurierten Runbooks für häufig automatisierte Aufgaben wählen oder benutzerdefinierte Runbooks erstellen. Wenn Sie in einer Reaktionsplandefinition ein Runbook angeben, kann das System das Runbook automatisch starten, wenn ein Vorfall auftritt.

Wichtig

Durch ein regionsübergreifendes Failover verursachte Vorfälle rufen keine Runbooks auf, die in den Reaktionsplänen angegeben sind.

Weitere Informationen zu Systems Manager Automation, Runbooks und zur Verwendung von Runbooks mit Incident Manager finden Sie in den folgenden Themen:

IAMBerechtigungen, die zum Starten und Ausführen von Runbook-Workflows erforderlich sind

Incident Manager benötigt im Rahmen Ihrer Incident-Response Berechtigungen zum Ausführen von Runbooks. Um diese Berechtigungen bereitzustellen, verwenden Sie die Rollen AWS Identity and Access Management (IAM), die Runbook-Servicerolle und die Automatisierung. AssumeRole

Die Runbook-Dienstrolle ist eine erforderliche Servicerolle. Diese Rolle gewährt Incident Manager die erforderlichen Berechtigungen, um auf den Workflow für das Runbook zuzugreifen und ihn zu starten.

Die Automatisierung AssumeRole stellt die Berechtigungen bereit, die für die Ausführung der einzelnen Befehle erforderlich sind, die im Runbook angegeben sind.

Anmerkung

Wenn nein angegeben AssumeRole ist, versucht Systems Manager Automation, die Runbook-Dienstrolle für einzelne Befehle zu verwenden. Wenn Sie keine angebenAssumeRole, müssen Sie der Runbook-Dienstrolle die erforderlichen Berechtigungen hinzufügen. Wenn Sie dies nicht tun, kann das Runbook diese Befehle nicht ausführen.

Aus Sicherheitsgründen empfehlen wir jedoch, eine separate AssumeRole Methode zu verwenden. Mit einer separaten AssumeRole Option können Sie die erforderlichen Berechtigungen einschränken, die Sie jeder Rolle hinzufügen müssen.

Weitere Informationen zur Automatisierung AssumeRole finden Sie unter Konfiguration des Zugriffs auf eine Servicerolle (Rolle übernehmen) für Automatisierungen 'im AWS Systems Manager Benutzerhandbuch.

Sie können beide Rollentypen manuell selbst in der IAM Konsole erstellen.- Sie können Incident Manager auch eine der Rollen für Sie erstellen lassen, wenn Sie einen Reaktionsplan erstellen oder aktualisieren.

Berechtigungen für die Runbook-Servicerolle

Berechtigungen für Runbook-Dienstrollen werden über eine Richtlinie bereitgestellt, die der folgenden ähnelt.

Die erste Anweisung ermöglicht es Incident Manager, den Systems Manager StartAutomationExecution Manager-Betrieb zu starten. Dieser Vorgang wird dann auf Ressourcen ausgeführt, die durch die drei Amazon Resource Name (ARN) -Formate repräsentiert werden.

Die zweite Anweisung ermöglicht es der Runbook-Servicerolle, eine Rolle in einem anderen Konto anzunehmen, wenn dieses Runbook in dem betroffenen Konto ausgeführt wird. Weitere Informationen finden Sie im Benutzerhandbuch unter Ausführen von Automatisierungen in mehreren AWS-Regionen Konten.AWS Systems Manager 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
Berechtigungen für die Automatisierung AssumeRole

Wenn Sie einen Reaktionsplan erstellen oder aktualisieren, können Sie aus mehreren AWS verwalteten Richtlinien wählen, die Sie an AssumeRole die von Incident Manager erstellten Richtlinien anhängen können. Diese Richtlinien bieten Berechtigungen zur Ausführung einer Reihe gängiger Operationen, die in Incident Manager-Runbook-Szenarien verwendet werden. Sie können eine oder mehrere dieser verwalteten Richtlinien auswählen, um Berechtigungen für Ihre AssumeRole Richtlinie bereitzustellen. In der folgenden Tabelle werden die Richtlinien beschrieben, aus denen Sie wählen können, wenn Sie sie in der Incident Manager-Konsole erstellen. AssumeRole

AWSName der verwalteten Richtlinie Beschreibung der Richtlinie
AmazonSSMAutomationRole Erteilt dem Systems Manager Automation-Dienst Berechtigungen zur Ausführung von Aktivitäten, die in Runbooks definiert sind. Weisen Sie diese Richtlinie Administratoren und vertrauenswürdigen Hauptbenutzern zu.
AWSIncidentManagerResolverAccess

Erteilt Benutzern die Berechtigung, Vorfälle zu starten, anzuzeigen und zu aktualisieren. Sie können sie auch verwenden, um Ereignisse in der Kundenzeitleiste und verwandte Elemente im Incident-Dashboard zu erstellen.

Sie können diese verwalteten Richtlinien verwenden, um Berechtigungen für viele gängige Szenarien zur Reaktion auf Vorfälle zu gewähren. Die für die spezifischen Aufgaben, die Sie benötigen, erforderlichen Berechtigungen können jedoch variieren. In diesen Fällen müssen Sie zusätzliche Richtlinienberechtigungen für Ihre bereitstellenAssumeRole. Weitere Informationen finden Sie in der AWS Systems Manager Automation-Runbook-Referenz.

Arbeiten mit Runbook-Parametern

Wenn Sie einem Antwortplan ein Runbook hinzufügen, können Sie die Parameter angeben, die das Runbook zur Laufzeit verwenden soll. Reaktionspläne unterstützen Parameter mit statischen und dynamischen Werten. Für statische Werte geben Sie den Wert ein, wenn Sie den Parameter im Reaktionsplan definieren. Für dynamische Werte ermittelt das System den richtigen Parameterwert, indem es Informationen aus dem Vorfall sammelt. Incident Manager unterstützt die folgenden dynamischen Parameter:

Incident ARN

Wenn Incident Manager einen Incident erstellt, erfasst das System den Amazon-Ressourcennamen (ARN) des entsprechenden Incident-Datensatzes und trägt ihn für diesen Parameter in das Runbook ein.

Anmerkung

Dieser Wert kann nur Parametern des Typs String zugewiesen werden. Wenn er einem Parameter eines anderen Typs zugewiesen wird, kann das Runbook nicht ausgeführt werden.

Involved resources

Wenn Incident Manager einen Vorfall erstellt, erfasst das System die ARNs Ressourcen, die an dem Vorfall beteiligt waren. Diese Ressourcen ARNs werden dann diesem Parameter im Runbook zugewiesen.

Über zugehörige Ressourcen

Incident Manager kann Runbook-Parameterwerte mit den AWS Ressourcen füllen, die ARNs in CloudWatch Alarmen, EventBridge Ereignissen und manuell erstellten Incidents angegeben sind. In diesem Abschnitt werden die verschiedenen Ressourcentypen beschrieben, für die Incident Manager Daten erfassen kann, ARNs wenn dieser Parameter aufgefüllt wird.

CloudWatch Alarme

Wenn aufgrund einer CloudWatch Alarmaktion ein Vorfall ausgelöst wird, extrahiert Incident Manager automatisch die folgenden Ressourcentypen aus den zugehörigen Metriken. Anschließend werden die ausgewählten Parameter mit den folgenden beteiligten Ressourcen aufgefüllt:

AWS Dienst Ressourcentyp

Amazon-DynamoDB

Globale sekundäre Indizes

Streams

Tabellen

Amazon EC2

Bilder

Instances

AWS Lambda

Aliase für Funktionen

Funktionsversionen

Funktionen

Amazon Relational Database Service (AmazonRDS)

Cluster

Datenbank-Instances

Amazon-Simple-Storage-Service (Amazon-S3)

Buckets
EventBridge Regeln

Wenn das System aus einem EventBridge Ereignis einen Incident erstellt, füllt Incident Manager die ausgewählten Parameter mit der Resources Eigenschaft des Ereignisses auf. Weitere Informationen finden Sie unter EventBridgeAmazon-Veranstaltungen im EventBridge Amazon-Benutzerhandbuch.

Manuell erstellte Vorfälle

Wenn Sie mithilfe der StartIncidentAPIAktion einen Incident erstellen, füllt Incident Manager die ausgewählten Parameter anhand der Informationen aus dem API Call aus. Insbesondere werden Parameter mithilfe von Elementen des Typs aufgefülltINVOLVED_RESOURCE, die relatedItems im Parameter übergeben wurden.

Anmerkung

Der INVOLVED_RESOURCES Wert kann nur Parametern des Typs StringList zugewiesen werden. Wenn er einem Parameter eines anderen Typs zugewiesen wird, kann das Runbook nicht ausgeführt werden.

Definieren Sie ein Runbook

Beim Erstellen eines Runbooks können Sie die hier angegebenen Schritte befolgen, oder Sie können der ausführlicheren Anleitung folgen, die im Abschnitt Arbeiten mit Runbooks im Systems Manager Manager-Benutzerhandbuch bereitgestellt wird. Wenn Sie ein Runbook mit mehreren Konten AWS-Regionen und Regionen erstellen, finden Sie weitere Informationen unter Ausführen von Automatisierungen in mehreren Konten im Systems Manager Manager-Benutzerhandbuch.

Definieren Sie ein Runbook

  1. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie Create automation (Automation erstellen).

  4. Geben Sie einen eindeutigen und identifizierbaren Runbook-Namen ein.

  5. Geben Sie eine Beschreibung des Runbooks ein.

  6. Geben Sie eine IAM Rolle an, die das Automatisierungsdokument übernehmen soll. Dadurch kann das Runbook Befehle automatisch ausführen. Weitere Informationen finden Sie unter Konfiguration eines Zugriffs auf eine Servicerolle für Automatisierungsworkflows.

  7. (Optional) Fügen Sie alle Eingabeparameter hinzu, mit denen das Runbook beginnt. Sie können dynamische oder statische Parameter verwenden, wenn Sie ein Runbook starten. Dynamische Parameter verwenden Werte aus dem Vorfall, bei dem das Runbook gestartet wurde. Statische Parameter verwenden den von Ihnen angegebenen Wert.

  8. (Optional) Fügen Sie einen Zieltyp hinzu.

  9. (Optional) Fügen Sie Tags hinzu.

  10. Geben Sie die Schritte ein, die das Runbook ausführen soll, wenn es ausgeführt wird. Jeder Schritt erfordert:

    • Ein Name.

    • Eine Beschreibung des Zwecks des Schritts.

    • Die Aktion, die während des Schritts ausgeführt werden soll. Runbooks verwenden den Aktionstyp Pause, um einen manuellen Schritt zu beschreiben.

    • (Optional) Befehlseigenschaften.

  11. Nachdem Sie alle erforderlichen Runbook-Schritte hinzugefügt haben, wählen Sie Create Automation aus.

Um die kontoübergreifende Funktionalität zu aktivieren, geben Sie das Runbook in Ihrem Verwaltungskonto für alle Anwendungskonten frei, die das Runbook während eines Vorfalls verwenden.

Teilen Sie ein Runbook

  1. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie in der Dokumentenliste das Dokument aus, das Sie teilen möchten, und klicken Sie dann auf Details anzeigen. Überprüfen Sie dann auf der Registerkarte Permissions, ob Sie der Besitzer des Dokuments sind. Nur der Eigentümer eines Dokuments kann ein Dokument freigeben.

  4. Wählen Sie Edit (Bearbeiten) aus.

  5. Um den Befehl öffentlich freizugeben, wählen Sie Public und dann die Option Save. Um den Befehl privat zu teilen, wählen Sie Privat aus, geben Sie die AWS-Konto ID ein, wählen Sie „Berechtigung hinzufügen“ und dann „Speichern“.

Runbook-Vorlage für Incident Manager

Incident Manager bietet die folgende Runbook-Vorlage, mit der Ihr Team mit der Erstellung von Runbooks in Systems Manager Automation beginnen kann. Sie können diese Vorlage unverändert verwenden oder sie so bearbeiten, dass sie spezifische Details zu Ihrer Anwendung und Ihren Ressourcen enthält.

Suchen Sie die Incident Manager-Runbook-Vorlage

  1. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Geben Sie im Bereich Dokumente AWSIncidents- in das Suchfeld ein, um alle Incident Manager-Runbooks anzuzeigen.

    Tipp

    Geben Sie Text AWSIncidents- als Freitext ein, anstatt die Filteroption für das Präfix des Dokumentnamens zu verwenden.

Verwenden Sie eine Vorlage

  1. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie die Vorlage, die Sie aktualisieren möchten, aus der Dokumentenliste aus.

  4. Wählen Sie die Registerkarte Inhalt und kopieren Sie dann den Inhalt des Dokuments.

  5. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  6. Wählen Sie Create automation (Automation erstellen).

  7. Geben Sie einen eindeutigen und identifizierbaren Namen ein.

  8. Wählen Sie die Registerkarte Editor.

  9. Wählen Sie Edit (Bearbeiten) aus.

  10. Fügen Sie die kopierten Details in den Dokumenteditor ein oder geben Sie sie ein.

  11. Wählen Sie Create automation (Automation erstellen).

AWSIncidents-CriticalIncidentRunbookTemplate

Das AWSIncidents-CriticalIncidentRunbookTemplate ist eine Vorlage, die den Incident Manager-Incident-Lebenszyklus in manuellen Schritten bereitstellt. Diese Schritte sind allgemein genug, um sie in den meisten Anwendungen zu verwenden, aber detailliert genug, damit die Einsatzkräfte mit der Lösung von Vorfällen beginnen können.