Mengelola insiden di seluruh Akun AWS dan Wilayah di Manajer Insiden - Incident Manager
Manajemen insiden lintas wilayahManajemen insiden lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola insiden di seluruh Akun AWS dan Wilayah di Manajer Insiden

Anda dapat mengonfigurasi Manajer Insiden, kemampuan AWS Systems Manager, untuk bekerja dengan banyak Wilayah AWS dan akun. Bagian ini menjelaskan praktik terbaik lintas wilayah dan lintas akun, langkah-langkah pengaturan, dan batasan yang diketahui.

Manajemen insiden lintas wilayah

Incident Manager mendukung pembuatan insiden otomatis dan manual di beberapa Wilayah AWS. Saat Anda pertama kali bergabung dengan Manajer Insiden dengan menggunakan wizard Get prepared, Anda dapat menentukan hingga tiga Wilayah AWS untuk set replikasi Anda. Untuk insiden yang dibuat secara otomatis oleh CloudWatch alarm Amazon atau EventBridge peristiwa Amazon, Manajer Insiden mencoba membuat insiden yang Wilayah AWS sama dengan aturan acara atau alarm. Jika Manajer Insiden mengalami pemadaman di Wilayah AWS tempat pertama pengaturan, CloudWatch atau EventBridge secara otomatis membuat insiden di Wilayah lain yang tersedia yang ditentukan untuk set replikasi Anda.

penting

Perhatikan detail penting berikut.

  • Kami menyarankan Anda menentukan setidaknya dua Wilayah AWS di set replikasi Anda. Jika Anda tidak menentukan setidaknya dua Wilayah, sistem akan gagal membuat insiden selama periode ketika Manajer Insiden tidak tersedia.

  • Insiden yang dibuat oleh failover lintas wilayah tidak memanggil runbook yang ditentukan dalam paket respons.

Untuk informasi lebih lanjut tentang on-boarding dengan Manajer Insiden dan menentukan Wilayah tambahan, lihat. Memulai dengan Manajer Insiden

Manajemen insiden lintas akun

Manajer Insiden menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi sumber daya Manajer Insiden di seluruh akun manajemen dan aplikasi. Bagian ini menjelaskan praktik terbaik lintas akun, cara mengatur fungsionalitas lintas akun untuk Manajer Insiden, dan batasan fungsionalitas lintas akun yang diketahui di Manajer Insiden.

Akun manajemen adalah akun tempat Anda melakukan manajemen operasi. Dalam pengaturan organisasi, akun manajemen memiliki rencana respons, kontak, rencana eskalasi, runbook, dan sumber daya lainnya. AWS Systems Manager

Akun aplikasi adalah akun yang memiliki sumber daya yang membentuk aplikasi Anda. Sumber daya ini dapat berupa EC2 instans Amazon, tabel Amazon DynamoDB, atau sumber daya lain yang Anda gunakan untuk membangun aplikasi di file. AWS Cloud Akun aplikasi juga memiliki CloudWatch alarm Amazon dan EventBridge peristiwa Amazon yang membuat insiden di Manajer Insiden.

AWS RAM menggunakan pembagian sumber daya untuk berbagi sumber daya antar akun. Anda dapat membagikan paket respons dan sumber daya kontak antar akun di AWS RAM. Dengan berbagi sumber daya ini, akun aplikasi dan akun manajemen dapat berinteraksi dengan keterlibatan dan insiden. Berbagi rencana respons membagikan semua insiden masa lalu dan masa depan yang dibuat menggunakan rencana respons tersebut. Berbagi kontak membagikan semua keterlibatan masa lalu dan masa depan dari rencana kontak atau respons.

Praktik terbaik

Ikuti praktik terbaik ini saat membagikan sumber daya Manajer Insiden Anda di seluruh akun:

  • Perbarui pembagian sumber daya secara teratur dengan rencana respons dan kontak.

  • Tinjau prinsip berbagi sumber daya secara teratur.

  • Siapkan Manajer Insiden, runbook, dan saluran obrolan di akun manajemen Anda.

Siapkan dan konfigurasikan manajemen insiden lintas akun

Langkah-langkah berikut menjelaskan cara mengatur dan mengonfigurasi sumber daya Manajer Insiden dan menggunakannya untuk fungsionalitas lintas akun. Anda mungkin telah mengonfigurasi beberapa layanan dan sumber daya untuk fungsionalitas lintas akun di masa lalu. Gunakan langkah-langkah ini sebagai daftar persyaratan sebelum memulai insiden pertama Anda menggunakan sumber daya lintas akun.

  1. (Opsional) Buat organisasi dan unit organisasi menggunakan AWS Organizations. Ikuti langkah-langkah dalam Tutorial: Membuat dan mengkonfigurasi organisasi di Panduan AWS Organizations Pengguna.

  2. (Opsional) Gunakan kemampuan Systems Manager Quick Setup untuk mengatur AWS Identity and Access Management peran yang benar untuk Anda gunakan saat mengonfigurasi runbook lintas akun Anda. Untuk informasi selengkapnya, lihat Pengaturan Cepat di Panduan AWS Systems Manager Pengguna.

  3. Ikuti langkah-langkah yang tercantum dalam Menjalankan otomatisasi di beberapa Wilayah AWS dan akun di Panduan AWS Systems Manager Pengguna untuk membuat runbook di dokumen otomatisasi Systems Manager Anda. Runbook dapat dijalankan oleh akun manajemen, atau oleh salah satu akun aplikasi Anda. Tergantung pada kasus penggunaan Anda, Anda perlu menginstal AWS CloudFormation template yang sesuai untuk peran yang diperlukan untuk membuat dan melihat runbook selama insiden.

    • Menjalankan runbook di akun manajemen. Akun manajemen harus mengunduh dan menginstal AWS-SystemsManager-AutomationReadOnlyRole CloudFormation templat. Saat memasang AWS-SystemsManager-AutomationReadOnlyRole, tentukan akun IDs semua akun aplikasi. Peran ini akan memungkinkan akun aplikasi Anda membaca status runbook dari halaman detail insiden. Akun aplikasi harus menginstal AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation templat. Halaman detail insiden menggunakan peran ini untuk mendapatkan status otomatisasi dari akun manajemen.

    • Menjalankan runbook di akun aplikasi. Akun manajemen harus mengunduh dan menginstal AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation templat. Peran ini memungkinkan akun manajemen untuk membaca status runbook di akun aplikasi. Akun aplikasi harus mengunduh dan menginstal AWS-SystemsManager-AutomationReadOnlyRole CloudFormation templat. Saat menginstalAWS-SystemsManager-AutomationReadOnlyRole, tentukan ID akun akun manajemen dan akun aplikasi lainnya. Akun manajemen dan akun aplikasi lainnya mengambil peran ini untuk membaca status runbook.

  4. (Opsional) Di setiap akun aplikasi di organisasi, unduh dan instal AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation templat. Saat memasang AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole, tentukan ID akun akun manajemen. Peran ini memberikan izin yang dibutuhkan Manajer Insiden untuk mengakses informasi tentang AWS CodeDeploy penerapan dan AWS CloudFormation pembaruan tumpukan. Informasi ini dilaporkan sebagai temuan untuk suatu insiden jika fitur Temuan diaktifkan. Untuk informasi selengkapnya, lihat Mengidentifikasi potensi penyebab insiden dari layanan lain sebagai “temuan” di Manajer Insiden.

  5. Untuk menyiapkan dan membuat kontak, rencana eskalasi, saluran obrolan, dan rencana respons, ikuti langkah-langkah yang dijelaskan di dalamnyaMempersiapkan Insiden di Manajer Insiden.

  6. Tambahkan sumber daya kontak dan rencana respons ke pembagian sumber daya yang ada atau pembagian sumber daya baru AWS RAM. Untuk informasi selengkapnya, lihat Memulai dengan AWS RAM dalam Panduan Pengguna AWS RAM . Menambahkan rencana respons untuk AWS RAM memungkinkan akun aplikasi mengakses insiden dan dasbor insiden yang dibuat menggunakan rencana respons. Akun aplikasi juga mendapatkan kemampuan untuk mengaitkan CloudWatch alarm dan EventBridge peristiwa ke rencana respons. Menambahkan kontak dan rencana eskalasi untuk AWS RAM memungkinkan akun aplikasi melihat keterlibatan dan melibatkan kontak dari dasbor insiden.

  7. Tambahkan fungsionalitas lintas wilayah lintas akun ke konsol Anda CloudWatch . Untuk langkah dan informasi, lihat CloudWatch Konsol lintas wilayah lintas akun di CloudWatch Panduan Pengguna Amazon. Menambahkan fungsi ini memastikan bahwa akun aplikasi dan akun manajemen yang Anda buat dapat melihat dan mengedit metrik dari dasbor insiden dan analisis.

  8. Buat bus EventBridge acara Amazon lintas akun. Untuk langkah dan informasi, lihat Mengirim dan menerima EventBridge peristiwa Amazon antar AWS akun. Anda kemudian dapat menggunakan bus acara ini untuk membuat aturan acara yang mendeteksi insiden di akun aplikasi dan membuat insiden di akun manajemen.

Batasan

Berikut ini adalah batasan yang diketahui dari fungsionalitas lintas akun Manajer Insiden:

  • Akun yang membuat analisis pasca-insiden adalah satu-satunya akun yang dapat melihat dan mengubahnya. Jika Anda menggunakan akun aplikasi untuk membuat analisis pasca-insiden, hanya anggota akun tersebut yang dapat melihat dan mengubahnya. Hal yang sama berlaku jika Anda menggunakan akun manajemen untuk membuat analisis pasca-insiden.

  • Peristiwa timeline tidak diisi untuk dokumen otomatisasi yang dijalankan di akun aplikasi. Pembaruan dokumen otomatisasi yang dijalankan di akun aplikasi terlihat di tab Runbook insiden tersebut.

  • Topik Layanan Pemberitahuan Sederhana Amazon tidak dapat digunakan lintas akun. SNSTopik Amazon harus dibuat di Wilayah dan akun yang sama dengan paket respons yang digunakan. Kami merekomendasikan menggunakan akun manajemen untuk membuat semua SNS topik dan rencana respons.

  • Paket eskalasi hanya dapat dibuat menggunakan kontak di akun yang sama. Kontak yang telah dibagikan dengan Anda tidak dapat ditambahkan ke paket eskalasi di akun Anda.

  • Tag yang diterapkan pada rencana respons, catatan insiden, dan kontak hanya dapat dilihat dan dimodifikasi dari akun pemilik sumber daya.