Bekerja dengan runbook Otomasi Manajer Sistem di Manajer Insiden - Incident Manager
Izin IAM diperlukan untuk memulai dan menjalankan alur kerja runbookBekerja dengan parameter runbookTentukan runbookTemplat runbook Manajer Insiden

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan runbook Otomasi Manajer Sistem di Manajer Insiden

Anda dapat menggunakan runbook dari AWS Systems ManagerAutomation, kemampuanAWS Systems Manager, untuk mengotomatiskan tugas aplikasi dan infrastruktur umum di lingkungan AndaAWS Cloud.

Setiap runbook mendefinisikan alur kerja runbook, yang terdiri dari tindakan yang dilakukan Manajer Sistem pada node yang dikelola atau jenis sumber daya lainnya. AWS Anda dapat menggunakan runbook untuk mengotomatiskan pemeliharaan, penyebaran, dan perbaikan sumber daya Anda. AWS

Di Incident Manager, runbook mendorong respons dan mitigasi insiden, dan Anda menentukan runbook untuk digunakan sebagai bagian dari rencana respons.

Dalam rencana respons Anda, Anda dapat memilih dari lusinan runbook yang telah dikonfigurasi sebelumnya untuk tugas yang umum otomatis, atau Anda dapat membuat runbook khusus. Ketika Anda menentukan runbook dalam definisi rencana respons, sistem dapat secara otomatis memulai runbook ketika insiden dimulai.

penting

Insiden yang dibuat oleh failover lintas wilayah tidak memanggil runbook yang ditentukan dalam rencana respons.

Untuk informasi selengkapnya tentang Otomasi Manajer Sistem, runbook, dan penggunaan runbook dengan Incident Manager, lihat topik berikut:

Izin IAM diperlukan untuk memulai dan menjalankan alur kerja runbook

Incident Manager memerlukan izin untuk menjalankan runbook sebagai bagian dari respons insiden Anda. Untuk memberikan izin ini, Anda menggunakan peran AWS Identity and Access Management (IAM), peran layanan Runbook, dan Otomasi. AssumeRole

Peran layanan Runbook adalah peran layanan yang diperlukan. Peran ini menyediakan Incident Manager dengan izin yang dibutuhkan untuk mengakses dan memulai alur kerja untuk runbook.

Otomasi AssumeRole menyediakan izin yang diperlukan untuk menjalankan perintah individual yang ditentukan dalam runbook.

catatan

Jika tidak AssumeRole ada yang ditentukan, Otomasi Manajer Sistem mencoba menggunakan peran layanan Runbook untuk perintah individual. Jika Anda tidak menentukanAssumeRole, Anda harus menambahkan izin yang diperlukan untuk peran layanan Runbook. Jika tidak, runbook gagal menjalankan perintah tersebut.

Namun, sebagai praktik terbaik keamanan, kami sarankan menggunakan terpisahAssumeRole. Dengan terpisahAssumeRole, Anda dapat membatasi izin yang diperlukan yang harus Anda tambahkan ke setiap peran.

Untuk informasi selengkapnya tentang OtomatisasiAssumeRole, lihat Mengonfigurasi akses peran layanan (asumsikan peran) untuk otomatisasi 'di AWS Systems ManagerPanduan Pengguna.

Anda dapat membuat salah satu jenis peran secara manual sendiri di konsol IAM.- Anda juga dapat membiarkan Insiden Manajer membuat salah satu untuk Anda ketika Anda membuat atau memperbarui rencana respons.

Izin peran layanan Runbook

Izin peran layanan Runbook disediakan melalui kebijakan yang mirip dengan berikut ini.

Pernyataan pertama memungkinkan Incident Manager untuk memulai StartAutomationExecution operasi Systems Manager. Operasi ini kemudian berjalan pada sumber daya yang diwakili oleh tiga format Amazon Resource Name (ARN).

Pernyataan kedua memungkinkan peran layanan Runbook untuk mengambil peran di akun lain ketika runbook berjalan di akun yang terkena dampak. Untuk informasi selengkapnya, lihat Menjalankan otomatisasi di beberapa akun Wilayah AWS dan di Panduan AWS Systems Manager Pengguna.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
AssumeRoleIzin otomatisasi

Saat membuat atau memperbarui rencana respons, Anda dapat memilih dari beberapa kebijakan AWS terkelola untuk dilampirkan ke Manajer Insiden AssumeRole yang dibuat. Kebijakan ini memberikan izin untuk menjalankan sejumlah operasi umum yang digunakan dalam skenario runbook Incident Manager. Anda dapat memilih satu atau beberapa kebijakan terkelola ini untuk memberikan izin untuk AssumeRole kebijakan Anda. Tabel berikut menjelaskan kebijakan yang dapat Anda pilih saat membuat AssumeRole konsol Incident Manager.

Nama kebijakan terkelola AWS Deskripsi kebijakan
AmazonSSMAutomationRole Memberikan izin untuk layanan Otomasi Manajer Sistem untuk menjalankan aktivitas yang ditentukan dalam runbook. Menetapkan kebijakan ini untuk administrator dan pengguna daya terpercaya.
AWSIncidentManagerResolverAccess

Memberikan izin bagi pengguna untuk memulai, melihat, dan memperbarui insiden. Anda juga dapat menggunakannya untuk membuat peristiwa timeline pelanggan dan item terkait di dasbor insiden.

Anda dapat menggunakan kebijakan terkelola ini untuk memberikan izin untuk banyak skenario respons insiden umum. Namun, izin yang diperlukan untuk tugas spesifik yang Anda butuhkan dapat bervariasi. Dalam kasus ini, Anda perlu memberikan izin kebijakan tambahan untuk AndaAssumeRole. Untuk informasi, lihat referensi runbook AWS Systems Manager Otomasi.

Bekerja dengan parameter runbook

Saat Anda menambahkan runbook ke rencana respons, Anda dapat menentukan parameter yang harus digunakan runbook saat runtime. Rencana respons mendukung parameter dengan nilai statis dan dinamis. Untuk nilai statis, Anda memasukkan nilai saat menentukan parameter dalam rencana respons. Untuk nilai dinamis, sistem menentukan nilai parameter yang benar dengan mengumpulkan informasi dari insiden tersebut. Incident Manager mendukung parameter dinamis berikut:

Incident ARN

Saat Insiden Manajer membuat insiden, sistem menangkap Amazon Resource Name (ARN) dari catatan insiden terkait dan memasukkannya untuk parameter ini di runbook.

catatan

Nilai ini hanya dapat ditugaskan untuk parameter jenisString. Jika ditugaskan ke parameter dari jenis lain, runbook gagal dijalankan.

Involved resources

Ketika Insiden Manajer menciptakan insiden, sistem menangkap ARN sumber daya yang terlibat dalam insiden tersebut. ARN sumber daya ini kemudian ditugaskan ke parameter ini di runbook.

Tentang sumber daya terkait

Incident Manager dapat mengisi nilai parameter runbook dengan ARN AWS sumber daya yang ditentukan dalam CloudWatch alarm, EventBridge peristiwa, dan insiden yang dibuat secara manual. Bagian ini menjelaskan berbagai jenis sumber daya yang Manajer Insiden dapat menangkap ARN saat mengisi parameter ini.

Alarm CloudWatch

Saat insiden dibuat dari tindakan CloudWatch alarm, Incident Manager secara otomatis mengekstrak jenis sumber daya berikut dari metrik terkait. Kemudian mengisi parameter yang dipilih dengan sumber daya yang terlibat berikut:

AWS layanan Tipe sumber daya

Amazon DynamoDB

Indeks sekunder global

Pengaliran

Tabel

Amazon EC2

Citra

Instans

AWS Lambda

Fungsi alias

Versi fungsi

Fungsi

Amazon Relational Database Service (Amazon RDS)

Klaster

Instans database

Amazon Simple Storage Service (Amazon S3)

Bucket
EventBridgeaturan

Ketika sistem membuat insiden dari suatu EventBridge peristiwa, Incident Manager mengisi parameter yang dipilih dengan Resources properti dalam acara tersebut. Untuk informasi selengkapnya, lihat EventBridgeperistiwa Amazon di Panduan EventBridge Pengguna Amazon.

Insiden yang dibuat secara manual

Saat Anda membuat insiden dengan menggunakan tindakan StartIncidentAPI, Incident Manager akan mengisi parameter yang dipilih dengan menggunakan informasi dalam panggilan API. Secara khusus, itu mengisi parameter dengan menggunakan item dari jenis INVOLVED_RESOURCE yang dilewatkan dalam relatedItems parameter.

catatan

INVOLVED_RESOURCESNilai hanya dapat ditugaskan untuk parameter jenisStringList. Jika ditugaskan ke parameter dari jenis lain, runbook gagal dijalankan.

Tentukan runbook

Saat membuat runbook, Anda dapat mengikuti langkah-langkah yang disediakan di sini, atau Anda dapat mengikuti panduan lebih rinci yang disediakan di bagian Working with runbook di Panduan Pengguna Manajer Sistem. Jika Anda membuat runbook multi-akun, multi-wilayah, lihat Menjalankan otomatisasi di beberapa akun Wilayah AWS dan akun di Panduan Pengguna Manajer Sistem.

Tentukan runbook

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Pilih Buat otomatisasi.

  4. Masukkan nama runbook yang unik dan dapat diidentifikasi.

  5. Masukkan deskripsi runbook.

  6. Berikan peran IAM untuk dokumen otomatisasi untuk diasumsikan. Hal ini memungkinkan runbook untuk menjalankan perintah secara otomatis. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan untuk alur kerja Otomasi.

  7. (Opsional) Tambahkan parameter masukan apa pun yang dimulai dengan runbook. Anda dapat menggunakan parameter dinamis atau statis saat memulai runbook. Parameter dinamis menggunakan nilai dari insiden tempat runbook dimulai. Parameter statis menggunakan nilai yang Anda berikan.

  8. (Opsional) Tambahkan tipe Target.

  9. (Opsional) Tambahkan tag.

  10. Isi langkah-langkah yang akan diambil runbook saat berjalan. Setiap langkah membutuhkan:

    • Nama.

    • Deskripsi tujuan langkah.

    • Tindakan untuk dijalankan selama langkah. Runbook menggunakan jenis tindakan Jeda untuk menggambarkan langkah manual.

    • (Opsional) properti Command.

  11. Setelah menambahkan semua langkah runbook yang diperlukan, pilih Create Automation.

Untuk mengaktifkan fungsionalitas lintas akun, bagikan runbook di akun manajemen Anda dengan semua akun aplikasi yang menggunakan runbook selama insiden.

Berbagi runbook

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Dalam daftar dokumen, pilih dokumen yang ingin Anda bagikan, lalu pilih Lihat detail. Pada tab Izin, verifikasi bahwa Anda adalah pemilik dokumen. Hanya pemilik dokumen yang dapat berbagi dokumen.

  4. Pilih Edit.

  5. Untuk berbagi perintah secara publik, pilih publik lalu pilih Simpan. Untuk berbagi perintah secara pribadi, pilih Pribadi, masukkan ID Akun AWS, pilih Tambah izin, lalu pilih Simpan.

Templat runbook Manajer Insiden

Incident Manager menyediakan template runbook berikut untuk membantu tim Anda mulai authoring runbook di otomatisasi Systems Manager. Anda dapat menggunakan template ini apa adanya, atau mengeditnya untuk menyertakan detail khusus untuk aplikasi dan sumber daya Anda.

Temukan templat runbook Manajer Insiden

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Di area Documents, masukkan AWSIncidents- di kolom pencarian untuk menampilkan semua runbook Incident Manager.

    Tip

    Masukkan AWSIncidents- sebagai teks gratis alih-alih menggunakan opsi filter awalan nama dokumen.

Menggunakan template

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Pilih template yang ingin Anda perbarui dari daftar dokumen.

  4. Pilih tab Konten, lalu salin konten dokumen.

  5. Di panel navigasi, pilih Dokumen.

  6. Pilih Buat otomatisasi.

  7. Masukkan nama yang unik dan dapat diidentifikasi.

  8. Pilih tab Editor.

  9. Pilih Edit.

  10. Tempel atau masukkan detail yang disalin di area Editor dokumen.

  11. Pilih Buat otomatisasi.

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplateIni adalah template yang menyediakan siklus hidup insiden Manajer Insiden dalam langkah-langkah manual. Langkah-langkah ini cukup umum untuk digunakan di sebagian besar aplikasi, tetapi cukup rinci bagi responden untuk memulai dengan resolusi insiden.