Gestión de incidentes en todas Cuentas de AWS las regiones en Incident Manager - Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de incidentes en todas Cuentas de AWS las regiones en Incident Manager

Puede configurar Incident Manager, una capacidad de AWS Systems Manager, para que funcione con varias cuentas Regiones de AWS y. En esta sección se describen las prácticas recomendadas, los pasos de configuración y las limitaciones conocidas entre regiones y entre cuentas.

Administración de incidentes entre regiones

Incident Manager admite la creación automatizada y manual de incidentes en múltiples Regiones de AWS. Al incorporar por primera vez Incident Manager mediante el asistente Preparación, puede especificar hasta tres Regiones de AWS para su conjunto de réplica. En el caso de los incidentes creados automáticamente por CloudWatch las alarmas o EventBridge los eventos de Amazon, Incident Manager intenta crear un incidente al mismo tiempo Región de AWS que la regla o la alarma del evento. Si Incident Manager sufre una interrupción en el primer lugar Región de AWS donde está configurado, CloudWatch o crea EventBridge automáticamente el incidente en otra de las regiones disponibles especificadas para su conjunto de replicaciones.

importante

Tenga en cuenta los siguientes detalles importantes.

  • Le recomendamos que especifique al menos dos Regiones de AWS en su conjunto de replicaciones. Si no especifica al menos dos regiones, el sistema no podrá crear incidentes durante el periodo en que Incident Manager no esté disponible.

  • Los incidentes creados por una conmutación por error entre regiones no invocan los manuales de procedimientos especificados en los planes de respuesta.

Para obtener más información sobre la iniciación con Incident Manager y la especificación de regiones adicionales, consulte Introducción a Incident Manager.

Administración de incidentes entre cuentas

Incident Manager usa AWS Resource Access Manager (AWS RAM) para compartir los recursos de Incident Manager entre las cuentas de administración y de aplicaciones. En esta sección se describen las prácticas recomendadas entre cuentas, cómo configurar la funcionalidad entre cuentas y las limitaciones conocidas de funcionalidad entre cuentas en Incident Manager.

Una cuenta de administración es la cuenta desde la que se administran las operaciones. En la configuración de una organización, la cuenta de administración es propietaria de los planes de respuesta, los contactos, los planes de escalamiento, los manuales de instrucciones y otros AWS Systems Manager recursos.

Una cuenta de aplicación es la cuenta propietaria de los recursos que componen sus aplicaciones. Estos recursos pueden ser EC2 instancias de Amazon, tablas de Amazon DynamoDB o cualquier otro recurso que utilice para crear aplicaciones en. Nube de AWS Las cuentas de aplicación también poseen las CloudWatch alarmas de Amazon y EventBridge los eventos de Amazon que crean incidentes en Incident Manager.

AWS RAM utiliza recursos compartidos para compartir recursos entre cuentas. Puede compartir el plan de respuesta y los recursos de contacto entre cuentas en AWS RAM. Al compartir estos recursos, las cuentas de aplicación y las cuentas de administración pueden interactuar con las participaciones y los incidentes. Al compartir un plan de respuesta se comparten todos los incidentes pasados y futuros creados mediante ese plan de respuesta. Al compartir un contacto se comparten todas las participaciones pasadas y futuras del contacto o del plan de respuesta.

Prácticas recomendadas

Observe estas prácticas recomendadas al compartir recursos de Incident Manager entre cuentas:

  • Actualice regularmente el uso compartido de recursos con los planes de respuesta y los contactos.

  • Revise regularmente las entidades principales del recurso compartido.

  • Configure Incident Manager, los manuales de procedimientos y los canales de chat en su cuenta de administración.

Instalación y configuración de la administración de incidentes entre cuentas

Los siguientes pasos describen cómo instalar y configurar los recursos de Incident Manager y utilizarlos para la funcionalidad entre cuentas. Es posible que ya haya configurado anteriormente algunos servicios y recursos para la funcionalidad entre cuentas. Utilice estos pasos como una lista de comprobación de los requisitos antes de iniciar su primer incidente utilizando recursos entre cuentas.

  1. (Opcional) Cree organizaciones y unidades organizativas utilizando AWS Organizations. Siga los pasos del Tutorial: Creación y configuración de una organización en la Guía del usuario de AWS Organizations .

  2. (Opcional) Utilice la función de configuración rápida de Systems Manager para configurar los roles de AWS Identity and Access Management correctos para que los utilice al configurar sus manuales de procedimientos entre cuentas. Para obtener más información, consulte Configuración rápida en la Guía del usuario de AWS Systems Manager .

  3. Siga los pasos que se indican en Ejecución de automatizaciones en múltiples cuentas Regiones de AWS y de la Guía del AWS Systems Manager usuario para crear manuales de ejecución en los documentos de automatización de Systems Manager. Un manual de procedimientos puede ser ejecutado por una cuenta de administración o por una de sus cuentas de aplicación. Según su caso de uso, necesitará instalar la AWS CloudFormation plantilla adecuada para las funciones necesarias para crear y ver los manuales de ejecución durante un incidente.

    • Ejecución de un manual de procedimientos en la cuenta de administración. La cuenta de administración debe descargar e instalar el AWS-SystemsManager-AutomationReadOnlyRole CloudFormation plantilla. Al instalar AWS-SystemsManager-AutomationReadOnlyRole, especifique la cuenta IDs de todas las cuentas de la aplicación. Este rol permitirá a sus cuentas de aplicación leer el estado del manual de procedimientos desde la página de detalles del incidente. La cuenta de la aplicación debe instalar el AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation plantilla. La página de detalles del incidente utiliza este rol para obtener el estado de la automatización de la cuenta de administración.

    • Ejecución de un manual de procedimientos en una cuenta de aplicación. La cuenta de administración debe descargar e instalar la AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation plantilla. Este rol permite a la cuenta de administración leer el estado del manual de procedimientos en la cuenta de aplicación. La cuenta de la aplicación debe descargar e instalar la AWS-SystemsManager-AutomationReadOnlyRole CloudFormation plantilla. Al instalar AWS-SystemsManager-AutomationReadOnlyRole, especifique el ID de cuenta de la cuenta de administración y de otras cuentas de aplicación. La cuenta de administración y otras cuentas de aplicación asumen este rol para leer el estado del manual de procedimientos.

  4. (Opcional) En cada cuenta de aplicación de la organización, descargue e instale la AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation plantilla. Al instalar AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole, especifique el ID de cuenta de la cuenta de administración. Esta función proporciona los permisos que Incident Manager necesita para acceder a la información sobre las AWS CodeDeploy implementaciones y las actualizaciones de la AWS CloudFormation pila. Esta información se notifica como resultados de un incidente si la característica Resultados está habilitada. Para obtener más información, consulte Identificar las posibles causas de los incidentes de otros servicios como «hallazgos» en Incident Manager.

  5. Para configurar y crear contactos, planes de escalada, canales de chat y planes de respuesta, siga los pasos que se detallan en Preparación para incidentes en Incident Manager.

  6. Añada sus contactos y recursos de planes de respuesta a su recurso compartido existente o a un nuevo recurso compartido en AWS RAM. Para obtener más información, consulte el Cómo empezar a usar AWS RAM en la Guía del usuario de AWS RAM . Agregar planes de respuesta para permitir que AWS RAM las cuentas de las aplicaciones accedan a los incidentes y a los paneles de incidentes creados con los planes de respuesta. Las cuentas de aplicación también permiten asociar CloudWatch alarmas y EventBridge eventos a un plan de respuesta. Al añadir los contactos y los planes de escalamiento, las cuentas de las aplicaciones pueden ver las interacciones e interactuar con los contactos desde el panel de control de incidentes. AWS RAM

  7. Añada la funcionalidad multicuenta y multiregión a su consola. CloudWatch Para ver los pasos y la información, consulta la CloudWatch consola multicuentas entre regiones en la Guía CloudWatch del usuario de Amazon. La adición de esta funcionalidad garantiza que las cuentas de la aplicación y la cuenta de administración que haya creado puedan ver y editar las métricas de los paneles de control de incidentes y análisis.

  8. Crea un bus de EventBridge eventos de Amazon multicuenta. Para ver los pasos y la información, consulta Enviar y recibir EventBridge eventos de Amazon entre AWS cuentas. A continuación, puede utilizar este bus de eventos para crear reglas de eventos que detecten incidentes en las cuentas de aplicaciones y creen incidentes en la cuenta de administración.

Limitaciones

A continuación se indican las limitaciones conocidas de la funcionalidad entre cuentas de Incident Manager:

  • La cuenta que crea un análisis post-incidente es la única que puede verlo y modificarlo. Si utiliza una cuenta de aplicación para crear un análisis post-incidente, solo los miembros de esa cuenta podrán verlo y modificarlo. Lo mismo ocurre si utiliza una cuenta de administración para crear un análisis post-incidente.

  • Los eventos de línea temporal no se rellenan para los documentos de automatización ejecutados en cuentas de aplicación. Las actualizaciones de los documentos de automatización ejecutados en las cuentas de aplicación son visibles en la pestaña Manual de procedimientos de la incidencia.

  • Los temas de Amazon Simple Notification Service no se pueden utilizar entre cuentas. SNSLos temas de Amazon deben crearse en la misma región y cuenta que el plan de respuesta en el que se utilizan. Recomendamos usar la cuenta de administración para crear todos los SNS temas y planes de respuesta.

  • Los planes de escalada solo se pueden crear utilizando contactos de la misma cuenta. No es posible añadir un contacto que se haya compartido con usted a un plan de escalada de su cuenta.

  • Las etiquetas aplicadas a los planes de respuesta, los registros de incidentes y los contactos solo pueden verse y modificarse desde la cuenta del propietario del recurso.