Incident Manager でのクロスリージョンおよびクロスアカウントのインシデント管理 - Incident Manager
クロスリージョンのインシデント管理クロスアカウントインシデント管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Incident Manager でのクロスリージョンおよびクロスアカウントのインシデント管理

AWS Systems Manager の一機能である Incident Manager を、複数の AWS リージョン およびアカウントと連携するように設定できます。このセクションでは、クロスリージョンおよびクロスアカウントのベストプラクティス、セットアップ手順、既知の制限事項について説明します。

クロスリージョンのインシデント管理

Incident Manager は、複数の AWS リージョン で自動および手動によるインシデント作成をサポートしています。[準備] ウィザードを使用して Incident Manager で初めてオンボードする場合、レプリケーションセットには最大 3 つの AWS リージョン を指定できます。Amazon CloudWatch アラームまたは Amazon EventBridge イベントによって自動的に作成されたインシデントの場合、Incident Manager はイベントルールまたはアラームと同じ AWS リージョン にインシデントを作成しようとします。Incident Manager が AWS リージョン で利用できない場合、CloudWatch または EventBridge は、レプリケーションセットで指定されている使用可能なリージョンのいずれかにインシデントを自動的に作成します。

重要

次の重要な詳細に留意してください。

  • レプリケーションセットには、少なくとも 2 つの AWS リージョン を指定することをお勧めします。リージョンを少なくとも 2 つ指定しないと、Incident Manager が使用できない間、システムはインシデントを作成できません。

  • クロスリージョンフェイルオーバーによって作成されたインシデントは、対応計画で指定されているランブックを呼び出しません。

Incident Manager を使用したオンボーディングおよび追加リージョンの指定の詳細については、「Incident Manager の使用開始」を参照してください。

クロスアカウントインシデント管理

Incident Manager は、AWS Resource Access Manager (AWS RAM) を使用して、管理アカウントおよびアプリケーションアカウントで Incident Manager リソースを共有します。このセクションでは、クロスアカウントのベストプラクティス、Incident Manager のクロスアカウント機能の設定方法、および Incident Manager でのクロスアカウント機能の既知の制限について説明します。

管理アカウントは、オペレーション管理を実行するアカウントです。組織の設定では、管理アカウントは、対応計画、連絡先、エスカレーション計画、ランブック、およびその他の AWS Systems Manager リソースを所有します。

アプリケーションアカウントは、アプリケーションを構成するリソースを所有するアカウントです。これらのリソースは、Amazon EC2 インスタンス、Amazon DynamoDB テーブル、または AWS クラウド でアプリケーションを構築するために使用するその他のリソースです。アプリケーションアカウントは、Incident Manager でインシデントを作成する Amazon CloudWatch アラームと Amazon EventBridge イベントも所有しています。

AWS RAM は、リソース共有を使用して、アカウント間でリソースを共有します。対応計画と連絡先リソースは、AWS RAMのアカウント間で共有できます。これらのリソースを共有することで、アプリケーションアカウントと管理アカウントはエンゲージメントやインシデントと対話できます。対応計画を共有すると、その対応計画を使用して作成された過去と今後のインシデントがすべて共有されます。連絡先の共有は、連絡先または対応計画の過去と今後のすべてのエンゲージメントを共有します。

ベストプラクティス

アカウント間で Incident Manager リソースを共有する場合は、次のベストプラクティスに従います。

  • 対応計画と連絡先を使用して、リソース共有を定期的に更新します。

  • リソース共有プリンシパルを定期的に確認します。

  • 管理アカウントで Incident Manager、ランブック、チャットチャネルを設定します。

クロスアカウントインシデント管理のセットアップと設定

次のステップでは、Incident Manager リソースを設定・構成し、クロスアカウント機能に使用する方法について説明します。過去に、クロスアカウント機能用にいくつかのサービスとリソースを設定したことがあるかもしれません。クロスアカウントリソースを使用して最初のインシデントを開始する前に、このステップを要件のチェックリストとして使用してください。

  1. (オプション) AWS Organizationsを使用して組織と組織単位を作成します。「AWS Organizations ユーザーガイド」の「チュートリアル: 組織の作成と設定」のステップに従います。

  2. (オプション) Systems Manager Quick Setup 機能を使用して、クロスアカウントのランブックを設定する際に使用する正しい AWS Identity and Access Management ロールをセットアップします。詳細については、「AWS Systems Manager ユーザーガイド」の「Quick Setup」を参照してください。

  3. 「AWS Systems Manager ユーザーガイド」の「複数の AWS リージョン とアカウントでのオートメーションの実行」にリストされている手順に従って、Systems Manager オートメーションドキュメントにランブックを作成します。ランブックは、管理アカウントまたはアプリケーションアカウントのいずれかで実行できます。ユースケースに応じて、インシデント中にランブックを作成・表示するのに必要なロールに応じて、適切な AWS CloudFormation テンプレートをインストールする必要があります。

    • 管理アカウントでランブックを実行します。管理アカウントは、AWS-SystemsManager-AutomationReadOnlyRole CloudFormation テンプレートをダウンロードしてインストールする必要があります。AWS-SystemsManager-AutomationReadOnlyRoleをインストールする際には、すべてのアプリケーションアカウントのアカウント ID を指定してください。このロールにより、アプリケーションアカウントはインシデントの詳細ページからランブックのステータスを読み取ることができます。アプリケーションアカウントは、AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation テンプレートをインストールする必要があります。インシデントの詳細ページでは、このロールを使用して、管理アカウントから自動化ステータスを取得します。

    • アプリケーションアカウントでランブックを実行します。管理アカウントは、AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation テンプレートをダウンロードしてインストールする必要があります。このロールは、管理アカウントがアプリケーションアカウント内のランブックのステータスを読み取ることを許可します。アプリケーションアカウントは、AWS-SystemsManager-AutomationReadOnlyRole CloudFormationテンプレートをダウンロードしてインストールする必要があります。AWS-SystemsManager-AutomationReadOnlyRoleをインストールする際には、管理アカウントやその他のアプリケーションアカウントのアカウント ID を指定してください。管理アカウントおよびその他のアプリケーションアカウントは、ランブックのステータスを読み取るために、このロールを引き受けます。

  4. (オプション) 組織の各アプリケーションアカウントで、AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation テンプレートをダウンロードしてインストールします。AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole をインストールする際には、管理アカウントのアカウント ID を指定してください。このロールは、Incident Manager が AWS CodeDeploy デプロイおよび AWS CloudFormation スタックの更新に関する情報にアクセスするために必要なアクセス許可を付与します。検出結果機能が有効になっている場合、この情報はインシデントの検出結果として報告されます。詳細については、「Incident Manager での検出結果の使用」を参照してください。

  5. 連絡先、エスカレーションプラン、チャットチャネル、および応答プランを設定して作成するには、「Incident Manager でのインシデントへの準備」で説明されているステップに従います。

  6. 連絡先や対応計画のリソースを既存のリソース共有または新規のリソース共有に AWS RAMで追加できます。詳細については、「AWS RAM ユーザーガイド」の「AWS RAM の使用開始」を参照してください。対応計画を AWS RAM に追加すると、アプリケーションアカウントが、対応計画を使用して作成されたインシデントとインシデントダッシュボードにアクセスできるようになります。また、アプリケーションアカウントは、CloudWatch のアラームや EventBridge のイベントを対応計画に関連付けることができるようになります。連絡先とエスカレーション計画を AWS RAM に追加すると、アプリケーションアカウントがインシデントダッシュボードからエンゲージメントを表示し、連絡先をエンゲージできるようになります。

  7. クロスアカウントクロスリージョン機能を CloudWatch コンソールに追加します。ステップおよび情報については、「Amazon CloudWatch ユーザーガイド」の「クロスアカウントクロスリージョン CloudWatch コンソール」を参照してください。この機能を追加すると、作成したアプリケーションアカウントと管理アカウントが、インシデントと分析ダッシュボードのメトリクスの表示と編集ができるようになります。

  8. クロスアカウントの Amazon EventBridge イベントバスを作成します。ステップおよび情報については、「AWS アカウント間での Amazon EventBridge イベントの送受信」を参照してください。次に、このイベントバスを使用して、アプリケーションアカウントのインシデントを検出し、管理アカウントにインシデントを作成するイベントルールを作成できます。

制限事項

Incident Manager のクロスアカウント機能の既知の制限事項を次に示します。

  • インシデント後分析を作成したアカウントが、その分析を表示および変更できる唯一のアカウントです。アプリケーションアカウントを使用してインシデント後分析を作成した場合、そのアカウントのメンバーだけがその分析を表示および変更できます。管理アカウントを使用してインシデント後分析を作成した場合も同様です。

  • アプリケーションアカウントで実行されるオートメーションドキュメントでは、タイムラインイベントは入力されません。アプリケーションアカウントで実行されるオートメーションドキュメントの更新は、インシデントの [ランブック] タブに表示されます。

  • Amazon Simple Notification Service トピックは、クロスアカウントで使用できません。Amazon SNS トピックは、それを使用する対応計画と同じリージョンおよびアカウントで作成する必要があります。管理アカウントを使用して、すべての SNS トピックと対応計画を作成することをお勧めします。

  • エスカレーション計画は、同じアカウントの連絡先を使用してのみ作成できます。共有されている連絡先は、アカウントのエスカレーション計画に追加できません。

  • 対応計画、インシデントレコード、連絡先に適用されたタグは、リソース所有者アカウントからのみ表示および変更できます。