Intégration des OpsCenter à d'autres Services AWS - AWS Systems Manager
Comprendre l’intégration d’OpsCenter avec Amazon CloudWatchComprendre l’intégration de OpsCenter avec Amazon CloudWatch Application InsightsComprendre l’intégration d’OpsCenter avec Amazon DevOps GuruComprendre l’intégration de OpsCenter avec Amazon EventBridgeComprendre l’intégration d’OpsCenter avec AWS ConfigComprendre l’intégration d’OpsCenter avec AWS Security HubComprendre l’intégration de OpsCenter avec Incident Manager

Intégration des OpsCenter à d'autres Services AWS

OpsCenter, une fonctionnalité AWS Systems Manager, s'intègre à plusieurs Services AWS pour diagnostiquer et résoudre les problèmes liés aux ressources AWS. Vous devez configurer le Service AWS avant de l'intégrer à OpsCenter.

Par défaut, les Services AWS suivants sont intégrés à OpsCenter et peuvent créer des OpsItems automatiquement :

Vous devez intégrer les services suivants à OpsCenter pour créer des OpsItems automatiquement :

Lorsque l'un de ces services crée un OpsItem, vous pouvez gérer et corriger l'OpsItem depuis OpsCenter. Pour plus d'informations, consultez Gestion des OpsItems et Correction des problèmes d'OpsItem.

Pour plus d'informations sur chaque Service AWS et la façon dont il s'intègre à OpsCenter, consultez les rubriques suivantes :

Comprendre l’intégration d’OpsCenter avec Amazon CloudWatch

Amazon CloudWatch surveille vos ressources et vos services AWS et affiche des métriques sur chaque Service AWS que vous utilisez. Lorsque l'alarme entre dans l'état d'alarme, CloudWatch crée un nouvel OpsItem. Par exemple, vous pouvez configurer une alarme pour créer automatiquement un OpsItem en cas de pic d'erreurs HTTP générées par votre Application Load Balancer.

Certaines alarmes que vous pouvez configurer dans CloudWatch pour créer des OpsItems sont répertoriées dans la liste suivante :

  • Amazon DynamoDB : les actions de lecture et d'écriture de la base de données atteignent un seuil

  • Amazon EC2 : l'utilisation du processeur atteint un seuil

  • Facturation AWS : les frais estimés atteignent un seuil

  • Amazon EC2 : une instance échoue à une vérification de son statut

  • Amazon Elastic Block Store (EBS) : l'utilisation de l'espace disque atteint un seuil

Vous pouvez créer une alarme ou modifier une alarme existante pour créer un OpsItem. Pour en savoir plus, consultez Configurer les alarmes CloudWatch pour créer des OpsItems.

Lorsque vous activez OpsCenter à l'aide de la configuration intégrée, elle intègre CloudWatch à OpsCenter.

Comprendre l’intégration de OpsCenter avec Amazon CloudWatch Application Insights

À l'aide d' Amazon CloudWatch Application Insights, vous pouvez configurer les meilleurs moniteurs pour vos ressources d'application, afin d'analyser en continu des données à la recherche de problèmes liés à vos applications. Lors de la configuration de ressources d'application dans CloudWatch Application Insights, vous pouvez choisir que le système crée des OpsItems dans OpsCenter. Un OpsItem est créé dans la console OpsCenter pour chaque problème détecté avec l'application. Pour plus d'informations, consultez Configuration et gestion de votre application pour la surveillance dans le Guide de l'utilisateur Amazon CloudWatch.

Note

À compter du 16 octobre 2023, le titre et la description for OpsItems created by CloudWatch Application Insights utilisent désormais le format amélioré suivant :

OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY>

OpsItem description:       

CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>.
Problem summary: <PROBLEM SUMMARY>
Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page)
Problem Status: <PROBLEM STATUS>
Insight: <INSIGHT>

Voici un exemple :

Capture d'écran montrant le nouveau format d'un OpsItem créé à partir d'un CloudWatch Insight.

Comprendre l’intégration d’OpsCenter avec Amazon DevOps Guru

Amazon DevOps Guru applique le machine learning pour analyser vos données opérationnelles, les métriques et les événements applicatifs afin d'identifier les comportements qui s'écartent des modèles de fonctionnement normaux. Si vous autorisez DevOps Guru à générer un OpsItem dans OpsCenter, chaque aperçu génère un nouveau OpsItem. Vous pouvez utiliser OpsCenter pour gérer vos OpsItems.

DevOps Guru crée automatiquement OpsItems. Vous pouvez autoriser Amazon DevOps Guru à créer des OpsItems à l'aide de Quick Setup, une fonctionnalité de Systems Manager. Le system crée des OpsItems en utilisant le rôle lié au service AWS Identity and Access Management (IAM) suivant : AWSServiceRoleForDevOpsGuru.

Pour intégrer OpsCenter à DevOps Guru, procédez comme suit :

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Quick Setup.

  3. Sur la page Personnaliser les options de configuration de DevOps Guru, choisissez l'onglet Bibliothèque.

  4. Dans le volet DevOps Guru, choisissez Créer.

  5. Sous Options de configuration, sélectionnez Activer les OpsItems AWS Systems Manager.

  6. Sélectionnez Créer après avoir terminé la configuration.

Comprendre l’intégration de OpsCenter avec Amazon EventBridge

Amazon EventBridge fournit un flux d'événements qui décrivent les modifications apportées aux ressources AWS. Lorsque vous activez OpsCenter à l'aide de la configuration intégrée, il s'intègre à EventBridge avec OpsCenter et active les règles par défaut d'EventBridge. Sur la base de ces règles, EventBridge crée des OpsItems. À l'aide de règles, vous pouvez filtrer les événements et les acheminer vers OpsCenter afin d'y mener un examen et d'appliquer des correctifs.

Note

Amazon EventBridge (anciennement Amazon CloudWatch Events) fournit toutes les fonctionnalités de CloudWatch Events ainsi que de nouvelles fonctionnalités, telles que des bus d'événements personnalisés, des sources d'événements tierces et un registre de schémas.

Voici quelques règles que vous pouvez configurer dans EventBridge pour créer un OpsItem :

  • Security Hub : alerte de sécurité émise

  • Amazon DynamoDB : un événement de limitation

  • Amazon EC2 Auto Scaling : échec du lancement d'une instance

  • Systems Manager : échec de l'exécution d'une automatisation

  • AWS Health : une alerte pour la maintenance planifiée

  • Amazon EC2 : l'état de l'instance est passé de « en cours d'exécution » à « arrêté »

En fonction de vos besoins, vous pouvez créer une règle ou modifier une règle existante pour créer un OpsItems. Pour obtenir des instructions sur la modification d'une règle pour créer un OpsItem, consultez Configurer des règles EventBridge pour créer des OpsItems.

Comprendre l’intégration d’OpsCenter avec AWS Config

AWS Config fournit une vue détaillée de la configuration des ressources AWS de votre Compte AWS.

AWS Config ne s'intègre pas directement à OpsCenter. Au lieu de cela, vous créez une règle AWS Config qui envoie un événement à Amazon EventBridge, par exemple lorsque AWS Config détecte une instance non conforme. EventBridge évalue ensuite cet événement par rapport à une règle EventBridge que vous avez créée. Si la règle correspond, EventBridge transforme l'événement en un OpsItem et le transmet à OpsCenter tant que cible de destination.

Utiliser cet OpsItem vous permet de suivre les détails de la ressource non conforme, d'enregistrer les actions d'investigation et de donner accès à des mesures correctives cohérentes.

Informations connexes

Configurer des règles EventBridge pour créer des OpsItems

Utilisation de AWS Systems Manager OpsCenter et d’AWS Config pour la surveillance de la conformité

Comprendre l’intégration d’OpsCenter avec AWS Security Hub

AWS Security Hub collecte des données de sécurité, appelées résultats, provenant de l'ensemble des Comptes AWS et des services. En utilisant un ensemble de règles pour détecter et générer des résultats, Security Hub vous aide à identifier, prioriser et remédier aux problèmes de sécurité pour les ressources que vous gérez. Après avoir configuré l'intégration, comme décrit dans cette rubrique, Systems Manager crée des OpsItems pour les résultats de Security Hub dans OpsCenter.

Note

L'intégration de OpsCenter à Security Hub est bidirectionnelle. Cela signifie que si vous mettez à jour le champ Statut ou Gravité d'un OpsItem lié à un résultat de sécurité, le système synchronise les modifications avec Security Hub. De même, toute modification apportée à un résultat est automatiquement mise à jour dans les OpsItems correspondant de l'OpsCenter.

Lorsqu’un OpsItem est créé à partir d’un résultat du Security Hub, les métadonnées du Security Hub sont automatiquement ajoutées au champ de données opérationnelles du OpsItem. Si ces métadonnées sont supprimées, les mises à jour bidirectionnelles ne fonctionnent plus.

Par défaut, Systems Manager crée OpsItems pour les résultats critiques et de gravité élevée. Vous pouvez configurer manuellement OpsCenter pour créer OpsItems pour les résultats de gravité moyenne et faible. OpsCenter ne crée pas d'OpsItems pour les résultats informationnels, car ils ne nécessitent pas de remédiation. Pour plus d'informations sur les niveaux de gravité de Security Hub, consultez Gravité (français non garanti) dans la Référence d'API AWS Security Hub.

Avant de commencer

Avant de configurer OpsCenter pour créer OpsItems en fonction des résultats de Security Hub, vérifiez que vous avez terminé les tâches de configuration de Security Hub. Pour de plus amples informations, veuillez consulter Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub.

Lorsque vous intégrez Security Hub à OpsCenter, le système crée OpsItems en utilisant le rôle lié à un service IAM AWSServiceRoleForSystemsManagerOpsDataSync. Pour plus d’informations sur ce rôle, consultez Utilisation de rôles pour créer des OpsData et des OpsItems pour Explorer.

Avertissement

Notez les informations importantes suivantes concernant la tarification de l'intégration de OpsCenter avec Security Hub :

  • Si vous êtes connecté au compte d'administrateur Security Hub lorsque vous configurez OpsCenter et l'intégration de Security Hub, le système crée des OpsItems pour les résultats dans le compte d'administrateur et dans tous les comptes membres. Les OpsItems sont tous créés dans le compte administrateur. En fonction de divers facteurs, cela peut entraîner une facture inhabituellement élevée de la part d'AWS.

    Si vous êtes connecté à un compte membre lorsque vous configurez l'intégration, le système crée uniquement des OpsItems pour les résultats de ce compte individuel. Pour plus d'informations sur le compte administrateur de Security Hub, les comptes membres et leur relation avec le flux d'événements EventBridge pour les résultats, consultez Types d'intégration de Security Hub avec EventBridge (français non garanti) dans le Guide de l'utilisateur AWS Security Hub.

  • Pour chaque résultat qui crée un OpsItem, le prix normal de la création de l'OpsItem vous est facturé. Vous êtes également facturé si vous modifiez le OpsItem ou si le résultat correspondant est mis à jour dans Security Hub (ce qui déclenche une mise à jour du OpsItem).

Pour configurer OpsCenter afin de créer OpsItems pour les résultats de Security Hub

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez OpsCenter.

  3. Sélectionnez Settings (Paramètres).

  4. Dans la section Résultats de Security Hub, sélectionnez Modifier.

  5. Cliquez sur le curseur pour passer de Désactivé à Activé.

  6. Si vous voulez que le système crée des OpsItems pour les résultats de gravité moyenne ou faible, activez ces options.

  7. Choisissez Save (Enregistrer) pour enregistrer votre configuration.

Suivez la procédure suivante si vous ne voulez plus que le système crée des OpsItems pour les résultats de Security Hub.

Pour ne plus recevoir des OpsItems pour les résultats de Security Hub

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez OpsCenter.

  3. Sélectionnez Settings (Paramètres).

  4. Dans la section Résultats de Security Hub, sélectionnez Modifier.

  5. Cliquez sur le curseur pour faire passer l'option Activé à Désactivé. Si vous ne parvenez pas à basculer le curseur, Security Hub n'est pas activé pour votre Compte AWS.

  6. Sélectionnez Enregistrer pour sauvegarder votre configuration. OpsCenter ne créera plus de OpsItems sur la base des résultats de Security Hub.

Important

Un administrateur délégué de Systems Manager ou le compte de gestion AWS Organizations peut activer les résultats de Security Hub dans OpsCenter pour plusieurs comptes et Régions AWS en créant une synchronisation des données de ressources dans Explorer. Si la source Security Hub est activée dans Explorer et qu’il existe une synchronisation des données de ressources ciblant le compte membre pour lequel vous avez désactivé l’intégration de Security Hub, les paramètres sélectionnés par votre administrateur sont prioritaires. OpsCenter continue de créer des OpsItems pour les résultats de Security Hub. Pour arrêter de créer des OpsItems pour les résultats du Security Hub dans un compte membre ciblé par une synchronisation des données de ressources, contactez votre administrateur et demandez-lui de supprimer votre compte de la synchronisation des données de ressources ou de désactiver la source Security Hub dans Explorer. Pour plus d’informations sur la modification des paramètres dans Explorer, consultez Modification de sources de données Systems Manager Explorer.

Comprendre l’intégration de OpsCenter avec Incident Manager

Incident Manager, une fonctionnalité AWS Systems Manager, fournit une console de gestion des incidents qui vous aide à atténuer les incidents affectant vos applications hébergées par AWS et à récupérer après ces incidents. Un incident est une interruption ou une réduction non planifiée de la qualité des services. Une fois Incident Manager paramétré et configuré, le système crée automatiquement des OpsItems dans OpsCenter.

Lorsque le système crée un incident dans Incident Manager, il crée également un OpsItem dans OpsCenter, et affiche l'incident comme élément connexe. S'il existe déjà des OpsItem, Incident Manager ne crée pas d'OpsItem. Ce premier OpsItem est appelé l'OpsItem parent. Si l'échelle et la portée d'un incident augmentent, vous pouvez ajouter des incidents supplémentaires à un OpsItem existant. Si nécessaire, vous pouvez créer un incident manuellement pour un OpsItem. Après la fermeture d'un incident, vous pouvez créer une analyse dans Incident Manager pour examiner et améliorer le processus de correction pour des problèmes similaires.

Par défaut, OpsCenter s'intègre à Incident Manager. Si Incident Manager n'est pas configuré, la page OpsCenter affiche un message pour configurer Incident Manager. Lorsque Incident Manager crée un OpsItem, vous pouvez gérer et corriger l'OpsItem d'OpsCenter. Pour obtenir des instructions sur la création d'un incident pour un OpsItem, consultez Création d'un incident pour un OpsItem.