OpsCenter と他の AWS のサービス との統合 - AWS Systems Manager
OpsCenter と Amazon CloudWatch の統合についてOpsCenter と Amazon CloudWatch Application Insights の統合についてOpsCenter と Amazon DevOps Guru の統合についてOpsCenter と Amazon EventBridge の統合についてOpsCenter と AWS Config の統合についてOpsCenter と AWS Security Hub の統合についてOpsCenter と Incident Manager の統合について

OpsCenter と他の AWS のサービス との統合

AWS Systems Manager のツールである OpsCenter は、複数の AWS のサービスを統合して、AWS リソースに関する問題を診断して修正します。OpsCenter と統合する前に、AWS のサービス を設定する必要があります。

デフォルトでは、次の AWS のサービス が OpsCenter と統合されており、OpsItems を自動的に作成できます。

OpsItems を自動的に作成するには、次のサービスを OpsCenter と統合する必要があります。

これらのサービスのいずれかが OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。詳細については、OpsItems を管理するおよびOpsItem の問題を修正するを参照してください。

AWS のサービス の詳細および OpsCenter との統合方法については、以下のトピックを参照してください。

OpsCenter と Amazon CloudWatch の統合について

Amazon CloudWatch は AWS リソースとサービスをモニタリングし、使用しているすべての AWS のサービス でメトリクスを表示します。アラームがアラーム状態になると、CloudWatch は OpsItem を作成します。例えば、Application Load Balancer によって生成された HTTP エラーが急増した場合に、OpsItem を自動的に作成するようにアラームを設定できます。

CloudWatch で OpsItems を作成するように設定できるアラームを以下のリストに示します。

  • Amazon DynamoDB: データベースの読み取りおよび書き込みアクションがしきい値に達する

  • Amazon EC2: CPU 使用率がしきい値に達する

  • AWS 請求: 推定請求額がしきい値に達する

  • Amazon EC2: インスタンスがステータスチェックに失敗する

  • Amazon Elastic Block Store (EBS): ディスク領域の使用率がしきい値に達する

アラームを作成するか、既存のアラームを編集して OpsItem を作成できます。詳細については、「OpsItems を作成するように CloudWatch を設定する」を参照してください。

統合セットアップ使用して OpsCenter を有効にすると、CloudWatch が OpsCenterと統合されます。

OpsCenter と Amazon CloudWatch Application Insights の統合について

Amazon CloudWatch Application Insights を使用すると、アプリケーションのリソースをモニタリングする最適な条件を設定し、データを継続的に分析してアプリケーションの問題の徴候を検出できます。CloudWatch Application Insights でアプリケーションリソースを設定する際に、システムが OpsCenter で OpsItems を作成するように選択できます。アプリケーションで検出された問題ごとに、OpsCenter コンソールに 1 つの OpsItem が作成されます。詳細については、「Amazon CloudWatch ユーザーガイド」の「モニタリングするアプリケーションをセットアップ、設定、管理する」を参照してください。

注記

2023 年 10 月 16 日以降、CloudWatch Application Insights によって作成された OpsItems のタイトルと説明は、以下の改良されたフォーマットを使用するようになりました。

OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY>

OpsItem description:       

CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>.
Problem summary: <PROBLEM SUMMARY>
Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page)
Problem Status: <PROBLEM STATUS>
Insight: <INSIGHT>

以下がその例です。

CloudWatch Application Insights から作成された OpsItem の新しいフォーマットを示すスクリーンショット。

OpsCenter と Amazon DevOps Guru の統合について

Amazon DevOps Guru は、機械学習を適用して、運用データ、アプリケーションのメトリクス、およびアプリケーションのイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru を有効にして OpsCenter で OpsItem を生成すると、各インサイトが新しい OpsItem を生成します。OpsItems は OpsCenter を使用して管理することができます。

DevOps Guru は自動的に OpsItems を作成します。Systems Manager のツールである Quick Setup を使用すると、Amazon DevOps Guru が OpsItems を作成できるようになります。システムは、AWSServiceRoleForDevOpsGuru AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用して OpsItems を作成します。

OpsCenter とDevOps Guru を統合するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Quick Setup] を選択します。

  3. [DevOps Guru 設定オプションのカスタマイズ] ページで、[ライブラリ] タブをクリックします。

  4. [DevOps Guru] ペインで [作成] をクリックします。

  5. [設定オプション] で、[AWS Systems Manager OpsItems を有効化] をクリックします。

  6. セットアップが完了したら、[作成] をクリックします。

OpsCenter と Amazon EventBridge の統合について

Amazon EventBridge は、AWS リソースの変更を記述するイベントのストリームを配信します。統合セットアップを使用して OpsCenter を有効にすると、EventBridge と OpsCenter が統合され、デフォルトの EventBridge ルールが有効になります。これらのルールに基づいて、EventBridge が OpsItems を作成します。ルールを使用すると、イベントをフィルターして OpsCenter に振り分けて、調査や修正を行うことができます。

注記

Amazon EventBridge (以前の Amazon CloudWatch Events) は、CloudWatch Events のすべての機能の他に、カスタムイベントバス、サードパーティーのイベントソース、スキーマレジストリなどのいくつかの新機能を提供します。

OpsItem を作成するために EventBridge で 設定できるルールは次のとおりです。

  • Security Hub: セキュリティアラートが発行されました

  • Amazon DynamoDB: スロットリングイベント

  • Amazon Elastic Compute Cloud Auto Scaling: インスタンスの起動に失敗しました

  • Systems Manager: オートメーションを実行できませんでした

  • AWS Health: スケジュールされたメンテナンスのアラート

  • Amazon EC2: インスタンスの状態が実行中から停止に変わりました

必要に応じて、ルールを作成するか、既存のルールを編集して OpsItems ルールを作成できます。ルールを編集して OpsItem を作成する方法については、「EventBridge ルールを設定して OpsItems を作成する」を参照してください。

OpsCenter と AWS Config の統合について

AWS Config は、AWS アカウント にある AWS リソースの設定詳細ビューを提供します。

AWS Config は OpsCenter と直接統合されません。代わりに、AWS Config が非準拠インスタンスを検出した場合などに、Amazon EventBridge にイベントを送信する AWS Config ルールを作成します。次に、EventBridge は、作成した EventBridge ルールと照らし合わせてそのイベントを評価します。ルールが一致すると、EventBridge はイベントを OpsItem に変換し、宛先 OpsCenter に送信します。

この OpsItem を使用すると、非準拠のリソースの詳細を追跡して、調査アクションを記録し、一貫した改善措置へのアクセスを提供できます。

関連情報

EventBridge ルールを設定して OpsItems を作成する

AWS Systems Manager、OpsCenter、AWS Config を使用してコンプライアンスモニタリングを行う

OpsCenter と AWS Security Hub の統合について

AWS Security Hub は AWS アカウント やさまざまなサービスからセキュリティデータ、呼び出された検出結果を収集します。Security Hub は、一連のルールを使用して検出結果を検出して生成することで、管理するリソースのセキュリティ問題の特定、優先順位付け、修正を支援します。このトピックで説明されているように統合を設定すると、Systems Manager は OpsCenter の Security Hub 検出結果に対する OpsItems を作成します。

注記

OpsCenter は、Security Hub との双方向の統合を実現しています。つまり、セキュリティの検出結果に基づいて、OpsItem の [ステータス] または [重大度] フィールドを更新すると、システムはその変更を Security Hub と同期します。同様に、検出結果に変更を加えると、OpsCenter の対応する OpsItems 項目に自動的に更新されます。

Security Hub 検出結果から OpsItem を作成すると、Security Hub メタデータが OpsItem の運用データフィールドに自動的に追加されます。このメタデータが削除されると、双方向更新は機能しなくなります。

デフォルトでは、Systems Manager は重大度が Critical と High の検出結果に OpsItems を作成します。また、重要度が Medium および Low の検出結果に対して OpsItems を作成するように OpsCenter を設定することもできます。OpsCenter では、情報提供のための検出結果に対する OpsItems は、修正が必要ないため作成されません。Security Hub 重大度レベルの詳細については、「AWS Security Hub API リファレンス」の「重大度」を参照してください。

[開始する前に]

Security Hub の検出結果をもとに、OpsItems を作成するよう OpsCenter を設定する前に、Security Hub セットアップタスクを完了したことを確認します。詳細については、AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。

Security Hub と OpsCenter を統合すると、システムは AWSServiceRoleForSystemsManagerOpsDataSync IAM サービスにリンクされたロールを使用して OpsItems を作成します。このロールの詳細については、「ロールを使用して、Explorer の OpsData および OpsItems を作成」を参照してください。

警告

Security Hub と OpsCenter の統合の価格設定に関する重要な情報に注意してください。

  • 設定時に Security Hub 管理者アカウントにログインしていて、OpsCenter と Security Hub の統合を設定すると、システムは管理者とすべてのメンバーアカウントの検出結果に OpsItems を作成します。OpsItems は管理者アカウントですべて作成されます。さまざまな要因によっては、これにより AWS から予想外に多額の請求が発生する可能性があります。

    統合を設定するときにログインしていたのがメンバーアカウントであった場合、システムは個人のアカウントの検出結果にのみ OpsItems を作成します。Security Hub 管理者アカウント、メンバーアカウント、および検出結果の EventBridge イベントフィードとの関係の詳細については、「AWS Security Hubユーザーガイド」で「EventBridge との Security Hub 統合のタイプ」を参照してください。

  • 検出結果が OpsItem を作成するたびに、OpsItem の作成には通常料金がかかります。また、OpsItem を編集した場合や、対応する検出結果が Security Hub で更新された (OpsItem がトリガーされる) 場合にも課金されます。

Security Hub の調査結果に対し OpsCenter を作成するために OpsItems を設定するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[OpsCenter] を選択します。

  3. [設定] を選択します。

  4. [Security Hub の検出結果] セクションで、[編集] を選択します。

  5. スライダーを選択して [無効][有効] に変更します。

  6. 重大度の検出結果が Medium または Low に対して、システムで OpsItems を作成するには、これらのオプションを切り替えます。

  7. [Save (保存)] を選択して設定を保存します。

Security Hub の検出結果に対し、システムで OpsItems を作成する必要がなければ、次の手順を使用してください。

Security Hub の検出結果に対する OpsItems の受信を停止するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[OpsCenter] を選択します。

  3. [設定] を選択します。

  4. [Security Hub の検出結果] セクションで、[編集] を選択します。

  5. スライダーを選択して [有効][無効] に変更します。スライダーを切り替えられない場合は、AWS アカウント の Security Hub が有効になっていません。

  6. [保存] を選択して設定を保存します。OpsCenter は Security Hub の検出結果に基づいて OpsItems を作成しなくなります。

重要

Systems Manager の委任管理者または AWS Organizations 管理アカウントは、Explorer でリソースデータ同期を作成して、複数のアカウントまたは AWS リージョン に対して OpsCenter の Security Hub 検出結果を有効にできます。Explorer で Security Hub ソースが有効になっていて、Security Hub 統合を無効にしたメンバーアカウントをターゲットとするリソースデータ同期が存在する場合、管理者が選択した設定が優先されます。OpsCenter は、Security Hub 検出結果に対して引き続き OpsItems を作成します。リソースデータ同期のターゲットとなるメンバーアカウントで Security Hub 検出結果に対する OpsItems の作成を停止するには、管理者に連絡してリソースデータ同期からアカウントを削除するよう依頼するか、Explorer の Security Hub ソースをオフにします。Explorer での設定の変更については、「Systems Manager Explorer のデータソースを編集する」を参照してください。

OpsCenter と Incident Manager の統合について

AWS Systems Manager のツールである Incident Manager は、AWS でホストされたアプリケーションに影響を与えるインシデントを軽減し、回復させるのに役立つインシデント管理コンソールを提供します。インシデントとは、サービスの品質の計画外の中断または低下です。Incident Manager をセットアップして設定すると、システムが OpsCenter で OpsItems を自動的に作成します。

システムが Incident Manager でインシデントを作成すると、OpsCenter で OpsItem も作成され、そのインシデントが関連アイテムとして表示されます。OpsItem が既に存在する場合、Incident Manager は OpsItem を作成しません。この最初の OpsItem は、親 OpsItem と呼ばれます。インシデントの規模と範囲が大きくなる場合は、インシデントを既存の OpsItem に追加できます。必要に応じて、OpsItem のインシデントを手動で作成することができます。インシデントを閉じた後、Incident Manager で分析を作成し、類似した問題に対する改善プロセスの見直しを行い、改善することができます。

デフォルトでは、OpsCenter は Incident Manager と統合されています。Incident Manager が設定されていない場合、OpsCenter ページには Incident Manager を設定するためのメッセージが表示されます。Incident Manager が OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。OpsItem のインシデントを作成する手順については、「OpsItem のインシデントを作成する」を参照してください。