Mengintegrasikan runbook Otomasi Systems Manager di Incident Manager untuk remediasi insiden - Incident Manager
Izin IAM diperlukan untuk memulai dan menjalankan alur kerja runbookBekerja dengan parameter runbookTentukan runbookTemplat runbook Manajer Insiden

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengintegrasikan runbook Otomasi Systems Manager di Incident Manager untuk remediasi insiden

Anda dapat menggunakan runbook dari AWS Systems Manager Automation, alat di AWS Systems Manager, untuk mengotomatiskan tugas aplikasi dan infrastruktur umum di lingkungan Anda AWS Cloud .

Setiap runbook mendefinisikan alur kerja runbook, yang terdiri dari tindakan yang dilakukan Systems Manager pada node terkelola atau jenis sumber daya lainnya. AWS Anda dapat menggunakan runbook untuk mengotomatiskan pemeliharaan, penyebaran, dan remediasi sumber daya Anda. AWS

Di Manajer Insiden, runbook mendorong respons dan mitigasi insiden, dan Anda menentukan runbook yang akan digunakan sebagai bagian dari rencana respons.

Dalam paket respons Anda, Anda dapat memilih dari lusinan runbook yang telah dikonfigurasi sebelumnya untuk tugas yang biasanya otomatis, atau Anda dapat membuat runbook khusus. Saat Anda menentukan runbook dalam definisi rencana respons, sistem dapat secara otomatis memulai buku runbook saat insiden dimulai.

penting

Insiden yang dibuat oleh failover lintas wilayah tidak memanggil runbook yang ditentukan dalam paket respons.

Untuk informasi selengkapnya tentang Otomasi Systems Manager, runbook, dan menggunakan runbook dengan Manajer Insiden, lihat topik berikut:

Izin IAM diperlukan untuk memulai dan menjalankan alur kerja runbook

Manajer Insiden memerlukan izin untuk menjalankan runbook sebagai bagian dari respons insiden Anda. Untuk memberikan izin ini, Anda menggunakan peran AWS Identity and Access Management (IAM), peran layanan Runbook, dan Otomasi. AssumeRole

Peran layanan Runbook adalah peran layanan yang diperlukan. Peran ini memberi Manajer Insiden izin yang diperlukan untuk mengakses dan memulai alur kerja untuk runbook.

Otomasi AssumeRole menyediakan izin yang diperlukan untuk menjalankan perintah individual yang ditentukan dalam runbook.

catatan

Jika no AssumeRole ditentukan, Systems Manager Automation mencoba menggunakan peran layanan Runbook untuk perintah individual. Jika Anda tidak menentukanAssumeRole, Anda harus menambahkan izin yang diperlukan ke peran layanan Runbook. Jika tidak, runbook gagal menjalankan perintah tersebut.

Namun, sebagai praktik terbaik keamanan, kami sarankan menggunakan yang terpisahAssumeRole. Dengan terpisahAssumeRole, Anda dapat membatasi izin yang diperlukan yang harus Anda tambahkan ke setiap peran.

Untuk informasi selengkapnya tentang OtomasiAssumeRole, lihat Mengonfigurasi akses peran layanan (mengambil peran) untuk otomatisasi 'di AWS Systems Manager Panduan Pengguna.

Anda dapat membuat salah satu jenis peran secara manual sendiri di konsol IAM.- Anda juga dapat membiarkan Manajer Insiden membuat salah satu untuk Anda saat Anda membuat atau memperbarui rencana respons.

Izin peran layanan Runbook

Izin peran layanan Runbook disediakan melalui kebijakan yang serupa dengan berikut ini.

Pernyataan pertama memungkinkan Incident Manager untuk memulai StartAutomationExecution operasi Systems Manager. Operasi ini kemudian berjalan pada sumber daya yang diwakili oleh tiga format Amazon Resource Name (ARN).

Pernyataan kedua memungkinkan peran layanan Runbook untuk mengambil peran di akun lain ketika runbook tersebut berjalan di akun yang terkena dampak. Untuk informasi selengkapnya, lihat Menjalankan otomatisasi di beberapa akun Wilayah AWS dan di Panduan AWS Systems Manager Pengguna.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
AssumeRole Izin otomatisasi

Saat membuat atau memperbarui rencana respons, Anda dapat memilih dari beberapa kebijakan AWS terkelola untuk dilampirkan ke Manajer Insiden AssumeRole yang dibuat. Kebijakan ini memberikan izin untuk menjalankan sejumlah operasi umum yang digunakan dalam skenario runbook Manajer Insiden. Anda dapat memilih satu atau beberapa kebijakan terkelola ini untuk memberikan izin bagi AssumeRole kebijakan Anda. Tabel berikut menjelaskan kebijakan yang dapat Anda pilih saat membuat dari konsol Manajer Insiden. AssumeRole

Nama kebijakan terkelola AWS Deskripsi kebijakan
AmazonSSMAutomationRole Memberikan izin untuk layanan Otomasi Systems Manager untuk menjalankan aktivitas yang ditentukan dalam runbook. Menetapkan kebijakan ini untuk administrator dan pengguna daya terpercaya.
AWSIncidentManagerResolverAccess

Memberikan izin bagi pengguna untuk memulai, melihat, dan memperbarui insiden. Anda juga dapat menggunakannya untuk membuat peristiwa timeline pelanggan dan item terkait di dasbor insiden.

Anda dapat menggunakan kebijakan terkelola ini untuk memberikan izin bagi banyak skenario respons insiden umum. Namun, izin yang diperlukan untuk tugas tertentu yang Anda butuhkan dapat bervariasi. Dalam kasus ini, Anda perlu memberikan izin kebijakan tambahan untuk AndaAssumeRole. Untuk selengkapnya, lihat referensi buku runbook AWS Systems Manager Otomasi.

Bekerja dengan parameter runbook

Saat menambahkan runbook ke rencana respons, Anda dapat menentukan parameter yang harus digunakan runbook saat runtime. Rencana respons mendukung parameter dengan nilai statis dan dinamis. Untuk nilai statis, Anda memasukkan nilai saat Anda menentukan parameter dalam rencana respons. Untuk nilai dinamis, sistem menentukan nilai parameter yang benar dengan mengumpulkan informasi dari insiden tersebut. Manajer Insiden mendukung parameter dinamis berikut:

Incident ARN

Ketika Manajer Insiden membuat insiden, sistem menangkap Nama Sumber Daya Amazon (ARN) dari catatan insiden yang sesuai dan memasukkannya untuk parameter ini di runbook.

catatan

Nilai ini hanya dapat ditetapkan ke parameter tipeString. Jika ditetapkan ke parameter jenis lain, runbook gagal dijalankan.

Involved resources

Ketika Manajer Insiden menciptakan insiden, sistem menangkap sumber ARNs daya yang terlibat dalam insiden tersebut. Sumber daya ARNs ini kemudian ditetapkan ke parameter ini di runbook.

Tentang sumber daya terkait

Manajer Insiden dapat mengisi nilai parameter runbook dengan AWS sumber daya ARNs yang ditentukan dalam CloudWatch alarm, EventBridge peristiwa, dan insiden yang dibuat secara manual. Bagian ini menjelaskan berbagai jenis sumber daya yang dapat ditangkap oleh Manajer Insiden ARNs saat mengisi parameter ini.

CloudWatch alarm

Ketika insiden dibuat dari tindakan CloudWatch alarm, Manajer Insiden secara otomatis mengekstrak jenis sumber daya berikut dari metrik terkait. Kemudian mengisi parameter yang dipilih dengan sumber daya yang terlibat berikut:

AWS layanan Jenis sumber daya

Amazon DynamoDB

Indeks sekunder global

Pengaliran

Tabel

Amazon EC2

Citra

Instans

AWS Lambda

Alias fungsi

Versi fungsi

Fungsi

Amazon Relational Database Service (Amazon RDS)

Klaster

Contoh database

Amazon Simple Storage Service (Amazon S3)

Bucket
EventBridge aturan

Ketika sistem membuat insiden dari suatu EventBridge peristiwa, Manajer Insiden mengisi parameter yang dipilih dengan Resources properti dalam acara tersebut. Untuk informasi selengkapnya, lihat EventBridgeAcara Amazon di Panduan EventBridge Pengguna Amazon.

Insiden yang dibuat secara manual

Saat Anda membuat insiden menggunakan tindakan StartIncidentAPI, Manajer Insiden mengisi parameter yang dipilih dengan menggunakan informasi dalam panggilan API. Secara khusus, ini mengisi parameter dengan menggunakan item dari jenis INVOLVED_RESOURCE yang diteruskan dalam relatedItems parameter.

catatan

INVOLVED_RESOURCESNilai hanya dapat ditetapkan ke parameter tipeStringList. Jika ditetapkan ke parameter jenis lain, runbook gagal dijalankan.

Tentukan runbook

Saat membuat runbook, Anda dapat mengikuti langkah-langkah yang disediakan di sini, atau Anda dapat mengikuti panduan lebih rinci yang disediakan di bagian Bekerja dengan runbook di Panduan Pengguna Systems Manager. Jika Anda membuat runbook multi-akun multi-wilayah, lihat Menjalankan otomatisasi di beberapa akun Wilayah AWS dan akun di Panduan Pengguna Systems Manager.

Tentukan runbook

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Pilih Buat otomatisasi.

  4. Masukkan nama runbook yang unik dan dapat diidentifikasi.

  5. Masukkan deskripsi runbook.

  6. Berikan peran IAM untuk diasumsikan oleh dokumen otomatisasi. Hal ini memungkinkan runbook untuk menjalankan perintah secara otomatis. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan untuk alur kerja Otomasi.

  7. (Opsional) Tambahkan parameter input apa pun yang dimulai dengan runbook. Anda dapat menggunakan parameter dinamis atau statis saat memulai runbook. Parameter dinamis menggunakan nilai dari insiden tempat runbook dimulai. Parameter statis menggunakan nilai yang Anda berikan.

  8. (Opsional) Tambahkan tipe Target.

  9. (Opsional) Tambahkan tanda.

  10. Isi langkah-langkah yang akan diambil runbook saat berjalan. Setiap langkah membutuhkan:

    • Nama.

    • Deskripsi tujuan langkah.

    • Tindakan untuk dijalankan selama langkah. Runbook menggunakan tipe tindakan Jeda untuk menjelaskan langkah manual.

    • (Opsional) Properti perintah.

  11. Setelah menambahkan semua langkah runbook yang diperlukan, pilih Buat Otomasi.

Untuk mengaktifkan fungsionalitas lintas akun, bagikan runbook di akun manajemen Anda dengan semua akun aplikasi yang menggunakan runbook selama insiden terjadi.

Bagikan buku runbook

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Dalam daftar dokumen, pilih dokumen yang ingin Anda bagikan, lalu pilih Lihat detail. Pada tab Izin, verifikasi bahwa Anda adalah pemilik dokumen. Hanya pemilik dokumen yang dapat berbagi dokumen.

  4. Pilih Edit.

  5. Untuk berbagi perintah secara publik, pilih publik lalu pilih Simpan. Untuk membagikan perintah secara pribadi, pilih Pribadi, masukkan Akun AWS ID, pilih Tambah izin, lalu pilih Simpan.

Templat runbook Manajer Insiden

Incident Manager menyediakan template runbook berikut untuk membantu tim Anda mulai membuat runbook dalam otomatisasi Systems Manager. Anda dapat menggunakan template ini apa adanya, atau mengeditnya untuk menyertakan detail khusus untuk aplikasi dan sumber daya Anda.

Temukan templat runbook Manajer Insiden

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Di area Dokumen, masukkan AWSIncidents- di bidang pencarian untuk menampilkan semua runbook Manajer Insiden.

    Tip

    Masukkan AWSIncidents- sebagai teks gratis alih-alih menggunakan opsi filter awalan nama Dokumen.

Menggunakan template

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Pilih template yang ingin Anda perbarui dari daftar dokumen.

  4. Pilih tab Konten, lalu salin konten dokumen.

  5. Di panel navigasi, pilih Dokumen.

  6. Pilih Buat otomatisasi.

  7. Masukkan nama yang unik dan dapat diidentifikasi.

  8. Pilih tab Editor.

  9. Pilih Edit.

  10. Tempel atau masukkan detail yang disalin di area editor Dokumen.

  11. Pilih Buat otomatisasi.

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplateIni adalah template yang menyediakan siklus hidup insiden Manajer Insiden dalam langkah-langkah manual. Langkah-langkah ini cukup umum untuk digunakan di sebagian besar aplikasi, tetapi cukup rinci bagi responden untuk memulai dengan resolusi insiden.