Utilisation des runbooks Systems Manager Automation dans Incident Manager - Incident Manager
Autorisations IAM requises pour démarrer et exécuter les flux de travail du runbookUtilisation des paramètres du runbookDéfinir un runbookModèle de runbook d'Incident Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des runbooks Systems Manager Automation dans Incident Manager

Vous pouvez utiliser les runbooks d'AWS Systems ManagerAutomation, une fonctionnalité deAWS Systems Manager, pour automatiser les tâches d'application et d'infrastructure courantes dans votre AWS Cloud environnement.

Chaque runbook définit un workflow de runbook, qui est composé des actions que Systems Manager effectue sur vos nœuds gérés ou d'autres types de AWS ressources. Vous pouvez utiliser des runbooks pour automatiser la maintenance, le déploiement et la correction de vos AWS ressources.

Dans Incident Manager, un runbook gère la réponse aux incidents et leur atténuation, et vous spécifiez un runbook à utiliser dans le cadre d'un plan de réponse.

Dans vos plans de réponse, vous pouvez choisir parmi des dizaines de runbooks préconfigurés pour les tâches fréquemment automatisées, ou vous pouvez créer des runbooks personnalisés. Lorsque vous spécifiez un runbook dans la définition d'un plan de réponse, le système peut démarrer automatiquement le runbook lorsqu'un incident commence.

Important

Les incidents créés par un basculement entre régions n'invoquent pas les runbooks spécifiés dans les plans de réponse.

Pour plus d'informations sur l'automatisation de Systems Manager, les runbooks et l'utilisation des runbooks avec Incident Manager, consultez les rubriques suivantes :

Autorisations IAM requises pour démarrer et exécuter les flux de travail du runbook

Incident Manager nécessite des autorisations pour exécuter des runbooks dans le cadre de votre réponse aux incidents. Pour fournir ces autorisations, vous utilisez des rôles AWS Identity and Access Management (IAM), le rôle de service Runbook et l'Automation. AssumeRole

Le rôle de service Runbook est un rôle de service obligatoire. Ce rôle fournit à Incident Manager les autorisations dont il a besoin pour accéder au flux de travail du runbook et le démarrer.

L'automatisation AssumeRole fournit les autorisations nécessaires pour exécuter les commandes individuelles spécifiées dans le runbook.

Note

Si aucun n'AssumeRoleest spécifié, Systems Manager Automation tente d'utiliser le rôle de service Runbook pour des commandes individuelles. Si vous ne spécifiez pas deAssumeRole, vous devez ajouter les autorisations nécessaires au rôle de service Runbook. Si vous ne le faites pas, le runbook ne parviendra pas à exécuter ces commandes.

Toutefois, pour des raisons de sécurité, nous vous recommandons d'utiliser une solution distincteAssumeRole. À l'aide d'une autorisation distincteAssumeRole, vous pouvez limiter les autorisations nécessaires que vous devez ajouter à chaque rôle.

Pour plus d'informations sur l'automatisationAssumeRole, consultez la section « Configuration d'un accès à un rôle de service (rôle d'acteur) pour les automatisations » dans le Guide de l'AWS Systems Managerutilisateur.

Vous pouvez créer vous-même l'un ou l'autre type de rôle manuellement dans la console IAM.- Vous pouvez également laisser Incident Manager créer l'un ou l'autre pour vous lorsque vous créez ou mettez à jour un plan de réponse.

Autorisations relatives aux rôles dans le service Runbook

Les autorisations relatives aux rôles dans le service Runbook sont fournies par le biais d'une politique similaire à la suivante.

La première instruction permet à Incident Manager de démarrer l'StartAutomationExecutionopération Systems Manager. Cette opération s'exécute ensuite sur les ressources représentées par les trois formats Amazon Resource Name (ARN).

La deuxième instruction permet au rôle de service Runbook d'assumer un rôle dans un autre compte lorsque ce runbook s'exécute sur le compte concerné. Pour plus d'informations, consultez la section Exécution d'automatisations sur plusieurs comptes Régions AWS et dans le Guide de l'AWS Systems Managerutilisateur.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
AssumeRoleAutorisations d'automatisation

Lorsque vous créez ou mettez à jour un plan de réponse, vous pouvez choisir parmi plusieurs politiques AWS gérées à associer au plan créé par AssumeRole Incident Manager. Ces politiques fournissent des autorisations pour exécuter un certain nombre d'opérations courantes utilisées dans les scénarios du runbook d'Incident Manager. Vous pouvez choisir une ou plusieurs de ces politiques gérées pour accorder des autorisations à votre AssumeRole politique. Le tableau suivant décrit les politiques que vous pouvez choisir lorsque vous créez et à AssumeRole partir de la console Incident Manager.

Nom de la politique gérée par AWS Description de la politique
AmazonSSMAutomationRole Autorise le service Systems Manager Automation à exécuter les activités définies dans les runbooks. Attribuez cette politique aux administrateurs et aux utilisateurs avancés de confiance.
AWSIncidentManagerResolverAccess

Autorise les utilisateurs à démarrer, à consulter et à mettre à jour des incidents. Vous pouvez également les utiliser pour créer des événements liés à la chronologie des clients et des éléments connexes dans le tableau de bord des incidents.

Vous pouvez utiliser ces politiques gérées pour accorder des autorisations pour de nombreux scénarios courants de réponse aux incidents. Toutefois, les autorisations requises pour les tâches spécifiques dont vous avez besoin peuvent varier. Dans ces cas, vous devez fournir des autorisations de politique supplémentaires pour votreAssumeRole. Pour plus d'informations, consultez la référence du runbook AWS Systems Manager Automation.

Utilisation des paramètres du runbook

Lorsque vous ajoutez un runbook à un plan de réponse, vous pouvez spécifier les paramètres que le runbook doit utiliser lors de l'exécution. Les plans de réponse prennent en charge les paramètres avec des valeurs statiques et dynamiques. Pour les valeurs statiques, vous saisissez la valeur lorsque vous définissez le paramètre dans le plan de réponse. Pour les valeurs dynamiques, le système détermine la valeur de paramètre correcte en collectant des informations provenant de l'incident. Incident Manager prend en charge les paramètres dynamiques suivants :

Incident ARN

Lorsqu'Incident Manager crée un incident, le système capture l'Amazon Resource Name (ARN) de l'enregistrement d'incident correspondant et le saisit pour ce paramètre dans le runbook.

Note

Cette valeur ne peut être affectée qu'aux paramètres de type String. Si elle est affectée à un paramètre d'un autre type, le runbook ne s'exécute pas.

Involved resources

Lorsqu'Incident Manager crée un incident, le système capture les ARN des ressources impliquées dans l'incident. Ces ARN de ressources sont ensuite affectés à ce paramètre dans le runbook.

À propos des ressources associées

Incident Manager peut renseigner les valeurs des paramètres du runbook avec les ARN des AWS ressources spécifiées dans les CloudWatch alarmes, les EventBridge événements et les incidents créés manuellement. Cette section décrit les différents types de ressources pour lesquels Incident Manager peut capturer des ARN lors du remplissage de ce paramètre.

Alarmes CloudWatch

Lorsqu'un incident est créé à partir CloudWatch d'une action d'alarme, Incident Manager extrait automatiquement les types de ressources suivants à partir des mesures associées. Il renseigne ensuite les paramètres choisis avec les ressources impliquées suivantes :

AWS service Type de ressource

Amazon DynamoDB

Index secondaires globaux

Streams

Tables

Amazon EC2

Images

instances

AWS Lambda

Alias de fonction

Versions de la fonction

Fonctions

Amazon Relational Database Service (Amazon RDS)

Clusters

instances de base de données

Amazon Simple Storage Service (Amazon S3)

Compartiments
Règles EventBridge

Lorsque le système crée un incident à partir d'un EventBridge événement, Incident Manager renseigne les paramètres choisis avec la Resources propriété de l'événement. Pour plus d'informations, consultez les EventBridgeévénements Amazon dans le Guide de EventBridge l'utilisateur Amazon.

Incidents créés manuellement

Lorsque vous créez un incident à l'aide de l'action d'StartIncidentAPI, Incident Manager renseigne les paramètres choisis en utilisant les informations de l'appel d'API. Plus précisément, il renseigne les paramètres à l'aide d'éléments du type INVOLVED_RESOURCE transmis dans le relatedItems paramètre.

Note

La INVOLVED_RESOURCES valeur ne peut être attribuée qu'à des paramètres de typeStringList. Si elle est affectée à un paramètre d'un autre type, le runbook ne s'exécute pas.

Définir un runbook

Lorsque vous créez un runbook, vous pouvez suivre les étapes décrites ici ou suivre le guide plus détaillé fourni dans la section Utilisation des runbooks du Guide de l'utilisateur de Systems Manager. Si vous créez un runbook multi-comptes et multirégions, consultez la section Exécution d'automatisations dans plusieurs comptes Régions AWS et dans le Guide de l'utilisateur de Systems Manager.

Définir un runbook

  1. Ouvrez la console Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Sélectionnez Create automation (Créer une automatisation).

  4. Entrez un nom de runbook unique et identifiable.

  5. Entrez une description du runbook.

  6. Indiquez le rôle IAM que le document d'automatisation doit assumer. Cela permet au runbook d'exécuter des commandes automatiquement. Pour plus d'informations, consultez la section Configuration d'un accès à un rôle de service pour les flux de travail d'automatisation.

  7. (Facultatif) Ajoutez tous les paramètres d'entrée par lesquels le runbook commence. Vous pouvez utiliser des paramètres dynamiques ou statiques lors du démarrage d'un runbook. Les paramètres dynamiques utilisent les valeurs de l'incident au cours duquel le runbook est démarré. Les paramètres statiques utilisent la valeur que vous fournissez.

  8. (Facultatif) Ajoutez un type de cible.

  9. (Facultatif) Ajoutez des balises.

  10. Renseignez les étapes que suivra le runbook lors de son exécution. Chaque étape nécessite :

    • Un nom

    • Description de l'objectif de l'étape.

    • Action à exécuter au cours de l'étape. Les runbooks utilisent le type d'action Pause pour décrire une étape manuelle.

    • (Facultatif) Propriétés des commandes.

  11. Après avoir ajouté toutes les étapes requises du runbook, choisissez Create Automation.

Pour activer la fonctionnalité multicompte, partagez le runbook de votre compte de gestion avec tous les comptes d'applications qui utilisent le runbook lors d'un incident.

Partager un runbook

  1. Ouvrez la console Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Dans la liste des documents, choisissez le document que vous souhaitez partager, puis choisissez Afficher les détails. Sur l'onglet Permissions (Autorisations), vérifiez que vous êtes le propriétaire du document. Seul le propriétaire d'un document peut le partager.

  4. Sélectionnez Edit (Modifier).

  5. Pour partager la commande publiquement, sélectionnez Public, puis Save. Pour partager la commande de façon privée, sélectionnez Private (Privé), saisissez l'ID de compte Compte AWS, puis sélectionnez Add permission (Ajouter une autorisation et Save (Enregistrer).

Modèle de runbook d'Incident Manager

Incident Manager fournit le modèle de runbook suivant pour aider votre équipe à commencer à créer des runbooks dans Systems Manager Automation. Vous pouvez utiliser ce modèle tel quel ou le modifier pour inclure des détails spécifiques à votre application et à vos ressources.

Trouvez le modèle de runbook d'Incident Manager

  1. Ouvrez la console Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Dans la zone Documents, entrez AWSIncidents- dans le champ de recherche pour afficher tous les runbooks d'Incident Manager.

    Astuce

    Entrez AWSIncidents- sous forme de texte libre au lieu d'utiliser l'option de filtre de préfixe de nom de document.

Utilisation d'un modèle

  1. Ouvrez la console Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Choisissez le modèle que vous souhaitez mettre à jour dans la liste des documents.

  4. Choisissez l'onglet Contenu, puis copiez le contenu du document.

  5. Dans le panneau de navigation, cliquez sur Documents.

  6. Sélectionnez Create automation (Créer une automatisation).

  7. Entrez un nom unique et identifiable.

  8. Choisissez l'onglet Éditeur.

  9. Choisissez Edit (Modifier).

  10. Collez ou saisissez les informations copiées dans la zone de l'éditeur de documents.

  11. Sélectionnez Create automation (Créer une automatisation).

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplateIl s'agit d'un modèle qui fournit le cycle de vie des incidents d'Incident Manager en étapes manuelles. Ces étapes sont suffisamment génériques pour être utilisées dans la plupart des applications, mais suffisamment détaillées pour que les intervenants puissent commencer à résoudre les incidents.