기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Incident Manager에서 AWS 계정 및 리전 간 인시던트 관리
의 기능인 Incident Manager를 구성하여 여러 AWS 리전 및 계정에서 작업 AWS Systems Manager할 수 있습니다. 이 섹션에서는 크로스 리전 및 크로스 계정 모범 사례, 설정 단계, 알려진 제한 사항에 대해 설명합니다.
크로스 리전 인시던트 관리
Incident Manager는 여러 AWS 리전에서 자동 및 수동 인시던트 생성을 지원합니다. 준비하기 마법사를 사용하여 Incident Manager에 처음 온보딩할 때는 복제 세트에 최대 3개까지 AWS 리전 을 지정할 수 있습니다. Amazon CloudWatch 경보 또는 Amazon EventBridge 이벤트에 의해 자동으로 생성된 인시던트의 경우 Incident Manager는 이벤트 규칙 또는 경보 AWS 리전 와 동일한 에서 인시던트를 생성하려고 시도합니다. Incident Manager가 먼저 설정된 AWS 리전 위치에서 중단이 발생하거나 가 복제 세트에 지정된 사용 가능한 리전 중 다른 리전에서 인시던트를 CloudWatch EventBridge 자동으로 생성하는 경우.
중요
다음과 같은 중요 세부 정보에 주의합니다.
-
복제 세트 AWS 리전 에 최소 2개를 지정하는 것이 좋습니다. 리전을 두 개 이상 지정하지 않으면 Incident Manager를 사용할 수 없는 기간 동안 시스템에서 인시던트를 생성하지 못합니다.
크로스 리전 장애 조치로 생성된 인시던트는 대응 계획에 지정된 런북을 호출하지 않습니다.
Incident Manager 온보딩 및 추가 리전 지정에 대한 자세한 내용은 Incident Manager 시작하기를 참조하세요.
크로스 계정 인시던트 관리
Incident Manager는 AWS Resource Access Manager (AWS RAM)를 사용하여 관리 및 애플리케이션 계정 간에 Incident Manager 리소스를 공유합니다. 이 섹션에서는 크로스 계정 모범 사례, Incident Manager의 크로스 계정 기능을 설정하는 방법, Incident Manager의 크로스 계정 기능에 대한 알려진 제한 사항에 대해 설명합니다.
관리 계정은 운영 관리를 수행하는 데 사용하는 계정입니다. 조직 설정에서 관리 계정은 대응 계획, 연락처, 에스컬레이션 계획, 실행서 및 기타 AWS Systems Manager 리소스를 소유합니다.
애플리케이션 계정은 애플리케이션을 구성하는 리소스를 소유하고 있는 계정입니다. 이러한 리소스는 Amazon EC2 인스턴스, Amazon DynamoDB 테이블 또는 에서 애플리케이션을 빌드하는 데 사용하는 기타 리소스일 수 있습니다 AWS 클라우드. 애플리케이션 계정은 Incident Manager에서 인시던트를 생성하는 Amazon CloudWatch 경보 및 Amazon EventBridge 이벤트도 소유합니다.
AWS RAM 는 리소스 공유를 사용하여 계정 간에 리소스를 공유합니다. AWS RAM에서 계정 간에 대응 계획 및 연락처 리소스를 공유할 수 있습니다. 이러한 리소스를 공유하면 애플리케이션 계정과 관리 계정이 참여 및 인시던트와 상호 작용할 수 있습니다. 대응 계획을 공유하면 해당 대응 계획을 사용하여 생성된 모든 과거 및 미래 인시던트를 공유할 수 있습니다. 연락처를 공유하면 연락처 또는 대응 계획의 모든 과거 및 미래 참여가 공유됩니다.
모범 사례
여러 계정에서 Incident Manager 리소스를 공유할 때는 다음 모범 사례를 따르십시오.
-
대응 계획 및 연락처와 함께 리소스 공유를 정기적으로 업데이트하세요.
-
리소스 공유 보안 주체를 정기적으로 검토하세요.
-
관리 계정에서 Incident Manager, 런북, 채팅 채널을 설정하세요.
크로스 계정 인시던트 관리를 설정 및 구성합니다.
다음 단계에서는 Incident Manager 리소스를 설정 및 구성하고 이를 크로스 계정 기능에 사용하는 방법을 설명합니다. 과거에 크로스 계정 기능을 위해 일부 서비스와 리소스를 구성했을 수 있습니다. 크로스 계정 리소스를 사용하여 첫 번째 인시던트를 시작하기 전에 다음 단계를 요구 사항 체크리스트로 활용하세요.
-
(선택 사항) 를 사용하여 조직 및 조직 단위를 생성합니다 AWS Organizations. AWS Organizations 사용 설명서의 자습서: 조직 생성 및 구성의 단계를 수행합니다.
-
(선택 사항) Systems Manager 빠른 설정 기능을 사용하여 크로스 계정 런북을 구성할 때 사용할 올바른 AWS Identity and Access Management 역할을 설정합니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 빠른른 설정을 참조하세요.
-
AWS Systems Manager 사용 설명서의 여러 AWS 리전 및 계정에서 자동화 실행에 나열된 단계에 따라 Systems Manager 자동화 문서에서 런북을 생성합니다. 런북은 관리 계정 또는 애플리케이션 계정 중 하나로 실행할 수 있습니다. 사용 사례에 따라 인시던트 중에 런북을 생성하고 보는 데 필요한 역할에 적합한 AWS CloudFormation 템플릿을 설치해야 합니다.
-
관리 계정에서 런북 실행 관리 계정은 AWS-SystemsManager-AutomationReadOnlyRole
CloudFormation 템플릿. 설치 시 AWS-SystemsManager-AutomationReadOnlyRole에서 모든 애플리케이션 계정IDs의 계정을 지정합니다. 이 역할을 통해 애플리케이션 계정은 인시던트 세부 정보 페이지에서 런북의 상태를 읽을 수 있습니다. 애플리케이션 계정은 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 템플릿. 인시던트 세부 정보 페이지는 이 역할을 사용하여 관리 계정으로부터 자동화 상태를 가져옵니다. -
애플리케이션 계정에서 런북 실행. 관리 계정은 AWS-SystemsManager-AutomationAdministrationReadOnlyRole
CloudFormation 템플릿. 이 역할을 통해 관리 계정은 애플리케이션 계정의 런북 상태를 읽을 수 있습니다. 애플리케이션 계정은 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 템플릿. AWS-SystemsManager-AutomationReadOnlyRole
설치 시 관리 계정 및 다른 애플리케이션 계정의 계정 ID를 사용해야 합니다. 관리 계정과 다른 애플리케이션 계정이 이 역할을 수임하여 런북의 상태를 읽습니다.
-
-
(선택 사항) 조직의 각 애플리케이션 계정에서 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole
CloudFormation 템플릿. 설치 시 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole에서 관리 계정의 계정 ID를 지정합니다. 이 역할은 Incident Manager가 배포 및 AWS CloudFormation 스택 업데이트에 대한 AWS CodeDeploy 정보에 액세스하는 데 필요한 권한을 제공합니다. 조사 결과 기능이 활성화된 경우 이 정보가 인시던트에 대한 조사 결과로 보고됩니다. 자세한 내용은 Incident Manager에서 다른 서비스의 잠재적 인시던트 원인을 '결과'로 식별 단원을 참조하십시오. -
연락처, 에스컬레이션 계획, 채팅 채널, 대응 계획을 설정하고 생성하려면 Incident Manager에서 인시던트 준비에 설명된 단계를 따르세요.
-
AWS RAM에서 연락처 및 대응 계획 리소스를 기존 리소스 공유 또는 새 리소스 공유에 추가합니다. 자세한 내용은 AWS RAM 사용 설명서의 AWS RAM시작하기를 참조하세요. 에 대응 계획을 추가 AWS RAM 하면 애플리케이션 계정이 대응 계획을 사용하여 생성된 인시던트 및 인시던트 대시보드에 액세스할 수 있습니다. 애플리케이션 계정은 CloudWatch 경보 및 EventBridge 이벤트를 대응 계획에 연결할 수도 있습니다. 고객 응대 및 에스컬레이션 계획을 추가하여 애플리케이션 계정이 인시던트 대시보드에서 참여를 보고 고객 응대를 참여할 수 AWS RAM 있도록 합니다.
-
크로스 계정 크로스 리전 기능을 CloudWatch 콘솔에 추가합니다. 단계 및 정보는 Amazon CloudWatch 사용 설명서의 교차 계정 교차 리전 CloudWatch 콘솔을 참조하세요. 이 기능을 추가하면 생성한 애플리케이션 계정과 관리 계정이 인시던트 및 분석 대시보드에서 지표를 보고 편집할 수 있습니다.
-
교차 계정 Amazon EventBridge 이벤트 버스를 생성합니다. 단계 및 정보는 AWS 계정 간 Amazon EventBridge 이벤트 전송 및 수신을 참조하세요. 그런 다음 이 이벤트 버스를 사용하여 애플리케이션 계정에서 인시던트를 탐지하고 관리 계정에서 인시던트를 생성하는 이벤트 규칙을 생성할 수 있습니다.
제한 사항
다음은 Incident Manager의 크로스 계정 기능에 대한 알려진 제한 사항입니다.
-
인시던트 사후 분석을 생성하는 계정은 분석을 보고 변경할 수 있는 유일한 계정입니다. 애플리케이션 계정을 사용하여 인시던트 사후 분석을 만드는 경우 해당 계정의 구성원만 분석을 보고 변경할 수 있습니다. 관리 계정을 사용하여 인시던트 사후 분석을 만드는 경우에도 동일합니다.
-
애플리케이션 계정에서 실행되는 자동화 문서에는 타임라인 이벤트가 채워지지 않습니다. 애플리케이션 계정에서 실행되는 자동화 문서의 업데이트는 인시던트의 Runbook 탭에서 확인할 수 있습니다.
-
Amazon CloudWatch 리전 및 Amazon EventBridge 이벤트 Amazon SNS 주제는 Amazon 주제가 사용되는 대응 계획과 동일한 리전 및 계정에서 생성되어야 합니다. 관리 계정을 사용하여 모든 SNS 주제와 대응 계획을 생성하는 것이 좋습니다.
-
에스컬레이션 계획은 동일한 계정의 연락처를 사용해서만 생성할 수 있습니다. 공유된 연락처는 계정의 에스컬레이션 플랜에 추가할 수 없습니다.
-
대응 계획, 인시던트 기록 및 연락처에 적용된 태그는 자원 소유자 계정에서만 보고 수정할 수 있습니다.