Integración de los manuales de automatización de Systems Manager en Incident Manager para la solución de incidentes - Incident Manager
Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientosUso de los parámetros del manual de procedimientosDefinición de un manual de procedimientosPlantilla de manual de procedimientos de Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de los manuales de automatización de Systems Manager en Incident Manager para la solución de incidentes

Puede usar los manuales de AWS Systems Manager automatización, una herramienta incluida AWS Systems Manager, para automatizar las tareas comunes de aplicaciones e infraestructura en su entorno. Nube de AWS

Cada runbook define un flujo de trabajo runbook, que se compone de las acciones que Systems Manager realiza en los nodos gestionados u otros tipos de AWS recursos. Puede utilizar los manuales de procedimientos para automatizar el mantenimiento, la implementación y la corrección de sus recursos de AWS .

En Incident Manager, un manual de procedimientos dirige la respuesta y mitigación de incidentes, y usted especifica un manual de procedimientos para utilizarlo como parte de un plan de respuesta.

En sus planes de respuesta, puede elegir entre docenas de manuales de procedimientos preconfigurados para tareas automatizadas habituales, o puede crear manuales de procedimientos personalizados. Al especificar un manual de procedimientos en la definición de un plan de respuesta, el sistema puede iniciarlo automáticamente al producirse un incidente.

importante

Los incidentes creados por una conmutación por error entre regiones no invocan los manuales de procedimientos especificados en los planes de respuesta.

Para obtener más información sobre Systems Manager Automation, los manuales de procedimientos y el uso de los mismos con Incident Manager, consulte los siguientes temas:

Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientos

Incident Manager requiere permisos para ejecutar manuales de procedimientos como parte de su respuesta a incidentes. Para proporcionar estos permisos, utiliza las funciones AWS Identity and Access Management (IAM), la función de servicio Runbook y la función de automatización. AssumeRole

El rol de servicio del manual de procedimientos es un rol de servicio obligatorio. Este rol proporciona a Incident Manager los permisos que necesita para acceder e iniciar el flujo de trabajo del manual de procedimientos.

El AssumeRole de automatización proporciona los permisos necesarios para ejecutar los comandos individuales especificados dentro del manual de procedimientos.

nota

Si no se especifica ningún AssumeRole, Systems Manager Automation intenta utilizar el rol de servicio del manual de procedimientos para los comandos individuales. Si no especifica un AssumeRole, debe añadir los permisos necesarios al rol de servicio del manual de procedimientos. Si no lo hace, el manual de procedimientos no podrá ejecutar esos comandos.

Sin embargo, como práctica recomendada en materia de seguridad, recomendamos utilizar un AssumeRole separado. Con un AssumeRole separado, puede limitar los permisos necesarios que debe añadir a cada rol.

Para obtener más información sobre el AssumeRole de automatización, consulte Configuración de un rol de servicio (asumir rol) de acceso para automatizaciones en la Guía del usuario de AWS Systems Manager .

Puede crear usted mismo de forma manual cualquiera de los dos tipos de rol en la consola de IAM. También puede dejar que Incident Manager cree cualquiera de los dos por usted al crear o actualizar un plan de respuesta.

Permisos del rol de servicio del manual de procedimientos

Los permisos del rol de servicio dle manual de procedimientos se proporcionan a través de una política similar a la siguiente.

La primera declaración permite a Incident Manager iniciar la operación StartAutomationExecution de Systems Manager. A continuación, esta operación se ejecuta en los recursos representados por los tres formatos de nombre de recurso de Amazon (ARN).

La segunda declaración permite que el rol de servicio del manual de procedimientos asuma un rol en otra cuenta cuando ese manual de procedimientos se ejecuta en la cuenta afectada. Para obtener más información, consulte Ejecutar automatizaciones en varias cuentas Regiones de AWS y en la Guía del AWS Systems Manager usuario.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
Permisos de automatización AssumeRole

Al crear o actualizar un plan de respuesta, puede elegir entre varias políticas AWS gestionadas para adjuntarlas a las AssumeRole que cree Incident Manager. Estas políticas proporcionan permisos para ejecutar una serie de operaciones comunes utilizadas en los escenarios del manual de procedimientos de Incident Manager. Puede elegir una o más de estas políticas administradas para proporcionar permisos a su política AssumeRole. En la siguiente tabla se describen las políticas entre las que puede elegir al crear un AssumeRole desde la consola de Incident Manager.

Nombre de la política administrada de AWS Descripción de la política
AmazonSSMAutomationRole Concede permisos para que el servicio de Systems Manager Automation ejecute las actividades definidas en los manuales de procedimientos. Asigne esta política a los administradores y a los usuarios de confianza avanzados.
AWSIncidentManagerResolverAccess

Concede permiso a los usuarios para iniciar, ver y actualizar incidentes. También puede utilizarlas para crear eventos de línea temporal de clientes y elementos relacionados en el panel de control de incidentes.

Puede utilizar estas políticas administradas para conceder permisos para muchos escenarios comunes de respuesta a incidentes. Sin embargo, los permisos requeridos para las tareas específicas que necesite pueden variar. En estos casos, debe proporcionar permisos de políticas adicionales para su AssumeRole. Para obtener información, consulte la Referencia del manual de procedimientos de automatización de AWS Systems Manager.

Uso de los parámetros del manual de procedimientos

Cuando se añade un manual de procedimiento a un plan de respuesta, se pueden especificar los parámetros que el manual debe utilizar en tiempo de puesta en marcha. Los planes de respuesta admiten parámetros con valores tanto estáticos como dinámicos. Para los valores estáticos, se introduce el valor cuando se define el parámetro en el plan de respuesta. En el caso de los valores dinámicos, el sistema determina el valor correcto del parámetro recopilando información del incidente. Incident Manager es compatible con los siguientes parámetros dinámicos:

Incident ARN

Cuando Incident Manager crea un incidente, el sistema captura el nombre de recurso de Amazon (ARN) del registro de incidentes correspondiente y lo ingresa para este parámetro en el manual de procedimiento.

nota

Este valor solo puede asignarse a parámetros de tipo String. Si se asigna a un parámetro de cualquier otro tipo, el manual de procedimientos no se pone en marcha.

Involved resources

Cuando Incident Manager crea un incidente, el sistema captura ARNs los recursos involucrados en el incidente. A continuación, estos recursos ARNs se asignan a este parámetro en el manual de ejecución.

Acerca de los recursos asociados

El administrador de incidentes puede rellenar los valores de los parámetros ARNs del manual con los AWS recursos especificados en CloudWatch las alarmas, los EventBridge eventos y los incidentes creados manualmente. En esta sección se describen los distintos tipos de recursos que Incident Manager puede capturar ARNs al rellenar este parámetro.

CloudWatch alarmas

Cuando se crea un incidente a partir de una acción de CloudWatch alarma, Incident Manager extrae automáticamente los siguientes tipos de recursos de las métricas asociadas. A continuación, rellena los parámetros elegidos con los siguientes recursos implicados:

AWS servicio Tipo de recurso

Amazon DynamoDB

Índices secundarios globales

Transmisión

Tablas

Amazon EC2

Imágenes

instancias

AWS Lambda

Aliases de rol

Versiones de funciones

Funciones

Amazon Relational Database Service (Amazon RDS)

Clústeres

Instancias de base de datos

Amazon Simple Storage Service (Amazon S3)

Buckets
EventBridge reglas

Cuando el sistema crea un incidente a partir de un EventBridge evento, Incident Manager rellena los parámetros elegidos con la Resources propiedad del evento. Para obtener más información, consulta EventBridgelos eventos de Amazon en la Guía del EventBridge usuario de Amazon.

Incidentes creados manualmente

Al crear un incidente mediante la acción de la StartIncidentAPI, Incident Manager rellena los parámetros elegidos utilizando la información de la llamada a la API. En concreto, rellena los parámetros utilizando elementos de tipo INVOLVED_RESOURCE que se pasan en el parámetro relatedItems.

nota

El valor INVOLVED_RESOURCES solo puede asignarse a parámetros de tipo StringList. Si se asigna a un parámetro de cualquier otro tipo, el manual de procedimientos no se pone en marcha.

Definición de un manual de procedimientos

Al crear un manual de procedimientos, puede seguir los pasos que se proporcionan aquí, o seguir la guía más detallada que se proporciona en la sección Uso de los manuales de procedimientos de la Guía del usuario de Systems Manager. Si va a crear un manual de varias cuentas y regiones, consulte Ejecución de automatizaciones en varias cuentas Regiones de AWS y en la Guía del usuario de Systems Manager.

Definición de un manual de procedimientos

  1. Abra la consola de Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. Elija Create automation (Crear automatización).

  4. Introduzca un nombre de manual de procedimientos único e identificable.

  5. Introduzca una descripción del manual de procedimientos.

  6. Proporcione un rol de IAM para que el documento de automatización lo asuma. Esto permite al manual de procedimientos ejecutar comandos automáticamente. Para obtener más información, consulte Configuración de un acceso de rol de servicio para flujos de trabajo de automatización.

  7. (Opcional) Añada cualquier parámetro de entrada con el que se inicie el manual de procedimientos. Puede utilizar parámetros dinámicos o estáticos al iniciar un manual de procedimientos. Los parámetros dinámicos utilizan valores del incidente en el que se inicia el manual de procedimientos. Los parámetros estáticos utilizan el valor que usted proporciona.

  8. (Opcional) Añada un tipo de Objetivo.

  9. (Opcional) Añada etiquetas.

  10. Complete los pasos que el manual de procedimientos seguirá al ejecutarse. Cada paso requiere:

    • Un nombre.

    • Una descripción del propósito del paso.

    • La acción que se va a ejecutar durante el paso. Los manuales de procedimientos utilizan el tipo de acción Pausa para describir un paso manual.

    • (Opcional) Propiedades del comando.

  11. Después de añadir todos los pasos necesarios del manual de procedimientos, elija Crear automatización.

Para habilitar la funcionalidad entre cuentas, comparta el manual de procedimientos de su cuenta de administración con todas las cuentas de la aplicación que utilicen el manual de procedimientos durante un incidente.

Uso compartido de un manual de procedimientos

  1. Abra la consola de Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. En la lista de documentos, elija el documento que desee compartir y, a continuación, elija Ver detalles. En la pestaña Permisos, verifique que es usted el propietario del documento. Solo el propietario del documento puede compartirlo.

  4. Elija Editar.

  5. Para compartir el comando públicamente, seleccione Public y, a continuación, Guardar. Para compartir el comando de forma privada, elija Privado, introduzca el Cuenta de AWS ID, elija Añadir permiso y, a continuación, seleccione Guardar.

Plantilla de manual de procedimientos de Incident Manager

Incident Manager proporciona la siguiente plantilla de manual de procedimientos para ayudar a su equipo a empezar a crear manuales de procedimientos en Systems Manager Automation. Puede utilizar esta plantilla tal cual o editarla para incluir detalles específicos de su aplicación y sus recursos.

Localización de la plantilla de manual de procedimientos de Incident Manager

  1. Abra la consola de Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. En el área Documentos, introduzca AWSIncidents- en el campo de búsqueda para mostrar todos los manuales de procedimientos de Incident Manager.

    sugerencia

    Introduzca AWSIncidents- como texto libre en lugar de utilizar la opción de filtro Prefijo de nombre de documento.

Uso de una plantilla

  1. Abra la consola de Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. Elija la plantilla que desee actualizar en la lista de documentos.

  4. Elija la pestaña Contenido y, a continuación, copie el contenido del documento.

  5. En el panel de navegación, elija Documentos.

  6. Elija Create automation (Crear automatización).

  7. Introduzca un nombre único e identificable.

  8. Elija la pestaña Editor.

  9. Elija Editar.

  10. Pegue o introduzca los datos copiados en el área Editor de documentos.

  11. Elija Create automation (Crear automatización).

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplate es una plantilla que proporciona el ciclo de vida de Incident Manager en pasos manuales. Estos pasos son suficientemente genéricos como para utilizarlos en la mayoría de las aplicaciones, pero también suficientemente detallados como para que los respondedores puedan iniciarse en la resolución de incidentes.