다른 AWS 서비스와 OpsCenter 통합
AWS Systems Manager의 기능인 OpsCenter는 여러 AWS 서비스와 통합되어 AWS 리소스 관련 문제를 진단하고 해결합니다. OpsCenter와 통합하기 전에 AWS 서비스를 설정해야 합니다.
기본적으로 다음 AWS 서비스는 OpsCenter와 통합되어 있으며 OpsItems를 자동으로 생성할 수 있습니다.
OpsItems를 자동으로 생성하려면 다음 서비스를 OpsCenter와 통합해야 합니다.
이러한 서비스 중 하나가 OpsItem을 생성하면 OpsCenter에서 OpsItem을 관리하고 수정할 수 있습니다. 자세한 내용은 OpsItems 관리 및 OpsItem 문제 해결 단원을 참조하세요.
각 AWS 서비스 및 서비스와 OpsCenter 통합 방식에 대한 자세한 내용은 다음 주제를 참조하세요.
주제
Amazon CloudWatch
Amazon CloudWatch는 AWS 리소스와 서비스를 모니터링하고 사용하는 모든 AWS 서비스에 대한 지표를 표시합니다. CloudWatch는 경보가 경보 상태가 되면 OpsItem을 생성합니다. 예를 들어 Application Load Balancer에서 생성된 HTTP 오류가 급증하는 경우 자동으로 OpsItem을 생성하도록 경보를 구성할 수 있습니다.
OpsItems를 생성하기 위해 CloudWatch에서 구성할 수 있는 일부 경보는 다음 목록에 나와 있습니다.
-
Amazon DynamoDB: 데이터베이스 읽기 및 쓰기 작업이 임계값에 도달함
-
Amazon EC2: CPU 사용률이 임계값에 도달함
-
AWS 결제: 예상 요금이 임계값에 도달함
-
Amazon EC2: 인스턴스 상태 확인 실패
-
Amazon Elastic Block Store(EBS): 디스크 공간 사용률이 임계값에 도달함
경보를 생성하거나 기존 경보를 편집하여 OpsItem을 생성할 수 있습니다. 자세한 내용은 OpsItems를 생성하도록 CloudWatch 경보 구성 단원을 참조하십시오.
통합 설정을 사용하여 OpsCenter를 활성화하면 CloudWatch가 OpsCenter와 통합됩니다.
Amazon CloudWatch Application Insights
Amazon CloudWatch Application Insights를 사용하면 애플리케이션 리소스에 가장 적합한 모니터를 설정하여 애플리케이션의 문제 징후에 대한 데이터를 지속적으로 분석할 수 있습니다. CloudWatch Application Insights에서 애플리케이션 리소스를 구성할 때 시스템이 OpsCenter에 OpsItems를 생성하도록 선택할 수 있습니다. 애플리케이션에서 감지된 모든 문제에 대한 OpsItem이 OpsCenter 콘솔에 생성됩니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 모니터링을 위해 애플리케이션 설정, 구성, 관리를 참조하세요.
참고
2023년 10월 16일부터 CloudWatch Application Insights에서 생성된 OpsItems의 제목과 설명에 다음과 같은 개선된 형식이 사용됩니다.
OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY> OpsItem description: CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>. Problem summary: <PROBLEM SUMMARY> Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page) Problem Status: <PROBLEM STATUS> Insight: <INSIGHT>
예:
Amazon DevOps Guru
Amazon DevOps Guru는 운영 데이터, 애플리케이션 지표 및 애플리케이션 이벤트를 분석하여 정상적인 운영 패턴에서 벗어나는 동작을 식별하기 위해 기계 학습을 적용합니다. DevOps Guru가 OpsCenter에서 OpsItem을 생성하도록 설정하면 각 인사이트가 새 OpsItem을 생성합니다. OpsCenter를 사용하여 OpsItems를 관리할 수 있습니다.
DevOps Guru에서 자동으로 OpsItems가 생성됩니다. Amazon DevOps Guru를 활성화하여 Systems Manager의 기능인 Quick Setup을 사용하여 OpsItems를 생성할 수 있습니다. 시스템은 AWSServiceRoleForDevOpsGuru AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용하여 OpsItems를 생성합니다.
DevOps Guru와 OpsCenter 통합
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
탐색 창에서 Quick Setup를 선택합니다.
-
DevOps Guru 구성 옵션 사용자 지정 페이지에서 라이브러리 탭을 선택합니다.
-
DevOps Guru 창에서 생성을 선택합니다.
-
구성 옵션에서 AWS Systems Manager OpsItems 활성화를 선택합니다.
-
설정을 완료한 후 생성을 선택합니다.
Amazon EventBridge
Amazon EventBridge는 AWS 리소스의 변경 사항을 설명하는 이벤트의 스트림을 거의 제공합니다. 통합 설정을 사용하여 OpsCenter를 활성화하면 EventBridge가 OpsCenter와 통합되고 기본 EventBridge 규칙이 활성화됩니다. 이러한 규칙에 따라 EventBridge는 OpsItems를 생성합니다. 규칙을 사용하여 조사 및 수정을 위해 이벤트를 필터링하고 OpsCenter 라우팅할 수 있습니다.
참고
Amazon EventBridge(이전 Amazon CloudWatch Events)는 CloudWatch Events의 모든 기능과 사용자 지정 이벤트 버스, 타사 이벤트 소스, 스키마 레지스트리 등의 몇 가지 새로운 기능을 제공합니다.
다음은 OpsItem을 생성하기 위해 EventBridge에서 구성할 수 있는 몇 가지 규칙입니다.
-
Security Hub: 보안 경보 발생
-
Amazon DynamoDB 제한 이벤트
-
Amazon Elastic Compute Cloud Auto Scaling 인스턴스 시작 실패
-
Systems Manager: 자동화 실행 실패
-
AWS Health: 예약된 유지 관리에 대한 알림
-
Amazon EC2: 인스턴스 상태가 실행 중에서 중지로 변경됨
요구 사항에 따라 규칙을 생성하거나 기존 규칙을 편집하여 OpsItems를 생성할 수 있습니다. 규칙을 편집하여 OpsItem을 생성하는 방법에 대한 지침은 OpsItems를 생성하도록 EventBridge 규칙 구성 섹션을 참조하세요.
AWS Config
AWS Config은 귀하의 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여줍니다.
AWS Config는 직접 OpsCenter와 통합되지 않습니다. 그 대신에 Amazon EventBridge로 이벤트를 보내는 AWS Config 규칙을 사용자가 생성합니다(예: AWS Config에서 규정 미준수 인스턴스를 탐지하는 경우). 그러면 EventBridge에서는 사용자가 생성한 EventBridge 규칙에 따라 해당 이벤트를 평가합니다. 규칙이 일치하면 EventBridge에서는 이벤트를 OpsItem으로 변환하여 OpsCenter에 대상 타겟으로 전송합니다.
이 OpsItem을 사용하여 비준수 리소스의 세부 정보를 추적하고, 조사 작업을 기록하고, 일관된 수정 작업에 대한 액세스를 제공할 수 있습니다.
관련 정보
OpsItems를 생성하도록 EventBridge 규칙 구성
규정 준수 모니터링에 AWS Systems ManagerOpsCenter 및 AWS Config 사용
AWS Security Hub
AWS Security Hub에서는 AWS 계정 및 서비스에서 조사 결과라는 보안 데이터를 수집합니다. 규칙 세트를 사용하여 조사 결과를 탐지하고 생성하는 Security Hub는 사용자가 관리하는 리소스의 보안 문제를 식별하고, 우선순위를 지정하고, 해결하는 데 도움이 됩니다. 이 주제에 설명된 대로 통합을 구성하면 Systems Manager에서는 OpsCenter의 Security Hub 조사 결과에 대한 OpsItems가 생성됩니다.
참고
OpsCenter는 Security Hub와 양방향으로 통합되어 있습니다. 즉, 보안 조사 결과와 관련된 OpsItem에 대한 상태 또는 심각도 필드를 업데이트하면 시스템에서는 변경 사항이 Security Hub와 동기화됩니다. 마찬가지로, 조사 결과의 변경 사항이 OpsCenter의 해당 OpsItems에서 자동으로 업데이트됩니다.
Security Hub 검색 결과에서 OpsItem을 생성하면 Security Hub 메타데이터가 OpsItem의 운영 데이터 필드에 자동으로 추가됩니다. 이 메타데이터를 삭제하면 양방향 업데이트가 더 이상 작동하지 않습니다.
기본적으로 Systems Manager에서는 심각도 심각 및 높음 조사 결과에 대한 OpsItems가 생성됩니다. 심각도 중간 및 낮음 조사 결과에 대한 OpsItems가 생성되도록 OpsCenter를 수동으로 구성할 수 있습니다. 정보를 제공하는 조사 결과는 해결이 필요하지 않아서 OpsCenter에서 OpsItems가 생성되지 않습니다. Security Hub 심각도 수준에 대한 자세한 내용은 AWS Security Hub API 참조의 심각도를 참조하세요.
시작하기 전 준비 사항
Security Hub 조사 결과에 따라 OpsItems가 생성되도록 OpsCenter를 구성하기 전에 Security Hub 설정 작업을 완료했는지 확인하세요. 자세한 내용은 AWS Security Hub User Guide의 Setting up Security Hub를 참조하세요.
Security Hub를 OpsCenter와 통합하면 시스템에서는 AWSServiceRoleForSystemsManagerOpsDataSync IAM 서비스 연결 역할을 사용하여 OpsItems를 생성합니다. 이에 대한 자세한 내용은 역할을 사용하여 Explorer용 OpsData 및 OpsItems 생성 섹션을 참조하세요.
주의
Security Hub와 OpsCenter 통합 요금에 대한 다음과 같은 중요한 정보를 참고합니다.
-
OpsCenter 및 Security Hub 통합을 구성할 때 Security Hub 관리자 계정으로 로그인한 경우 시스템에서는 관리자 및 모든 멤버 계정의 조사 결과에 대한 OpsItems가 생성됩니다. OpsItems는 모두 관리자 계정에서 생성됩니다. 다양한 요인에 따라 예상외로 많은 요금이 AWS에서 청구될 수 있습니다.
통합을 구성할 때 멤버 계정에 로그인한 경우 시스템에서는 해당 개별 계정의 조사 결과에 대한 OpsItems만 생성됩니다. Security Hub 관리자 계정, 멤버 계정, 조사 결과에 대한 EventBridge 이벤트 피드 관련성에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 EventBridge와 Security Hub 통합 유형을 참조하세요.
-
OpsItem이 생성되는 조사 결과마다 정상 OpsItem 생성 가격이 부과됩니다. OpsItem을(를) 편집하거나 Security Hub에서 해당 조사 결과가 업데이트된 경우(OpsItem 업데이트가 트리거된 경우)에도 요금이 부과됩니다.
Security Hub 조사 결과의 OpsItems가 생성되도록 OpsCenter를 구성하는 방법
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
탐색 창에서 OpsCenter를 선택합니다.
-
설정을 선택합니다.
-
Security Hub 조사 결과 섹션에서 편집을 선택합니다.
-
슬라이더를 선택하여 비활성화됨을 활성화됨으로 변경합니다.
-
시스템에서 심각도 중간 또는 낮음 조사 결과의 OpsItems가 생성되도록 하려면 이러한 옵션을 전환합니다.
-
저장을 선택하여 구성을 저장합니다.
시스템에서 Security Hub 조사 결과의 OpsItems가 더는 생성되지 않도록 하려면 다음 절차를 사용합니다.
Security Hub 조사 결과의 OpsItems 수신을 중지하는 방법
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
탐색 창에서 OpsCenter를 선택합니다.
-
설정을 선택합니다.
-
Security Hub 조사 결과 섹션에서 편집을 선택합니다.
-
슬라이더를 선택하여 활성화됨을 비활성화됨으로 변경합니다. 슬라이더를 전환할 수 없으면 Security Hub가 AWS 계정에 대해 활성화되지 않은 것입니다.
-
저장을 선택하여 구성을 저장합니다.OpsCenter에서 더는 Security Hub 조사 결과에 따라 OpsItems가 생성되지 않습니다.
중요
Systems Manager가 위임한 관리자 또는 AWS Organizations 관리 계정은 Explorer에서 리소스 데이터 동기화를 생성하여 여러 계정과 AWS 리전에 대해 OpsCenter에서 Security Hub 조사 결과를 활성화할 수 있습니다. Explorer에서 Security Hub 소스가 활성화되고 Security Hub 통합을 비활성화한 구성원 계정을 대상으로 하는 리소스 데이터 동기화가 있는 경우 관리자가 선택한 설정이 우선합니다. OpsCenter는 Security Hub 조사 결과에 대해 OpsItems를 계속 생성합니다. 리소스 데이터 동기화 대상 멤버 계정에서 Security Hub 조사 결과에 대한 OpsItems 생성을 중지하려면 관리자에게 문의하여 리소스 데이터 동기화에서 계정을 제거하거나 Explorer에서 Security Hub 소스를 비활성화하도록 요청하세요. Explorer의 설정 변경에 대한 자세한 내용은 Systems Manager Explorer 데이터 원본 편집 섹션을 참조하세요.
Incident Manager
AWS Systems Manager의 기능인 Incident Manager는 AWS 호스팅 애플리케이션에 영향을 주는 인시던트를 완화하고 복구하는 데 사용할 수 있는 인시던트 관리 콘솔을 제공합니다. 인시던트는 서비스 품질의 계획되지 않은 중단 또는 감소입니다. Incident Manager를 설정하고 구성한 후에는 OpsCenter에 OpsItems이 자동으로 생성됩니다.
시스템이 Incident Manager에서 인시던트를 생성하면 OpsCenter에도 OpsItem이 생성되고 인시던트가 관련 항목으로 표시됩니다. OpsItem이 이미 있는 경우 Incident Manager는 OpsItem을 생성하지 않습니다. 첫 번째 OpsItem은 상위 OpsItem이라고 합니다. 인시던트의 규모와 범위가 커지면 기존 OpsItem에 인시던트를 추가할 수 있습니다. 필요한 경우 OpsItem에 대한 인시던트를 수동으로 생성할 수 있습니다. 인시던트가 종결된 후 Incident Manager에서 분석을 생성하여 유사한 문제에 대한 수정 프로세스를 검토하고 개선할 수 있습니다.
기본적으로 OpsCenter는 Incident Manager와 통합됩니다. Incident Manager가 설정되지 않은 경우 OpsCenter 페이지에 Incident Manager를 설정하라는 메시지가 표시됩니다. Incident Manager가 OpsItem을 생성하면 OpsCenter에서 OpsItem을 관리하고 수정할 수 있습니다. OpsItem에 대한 인시던트 생성 지침은 OpsItem에 대한 인시던트 생성 섹션을 참조하세요.
