本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在 Incident Manager 中处理调查发现

在 Incident Manager 中，调查发现是有关在事件发生前后发生的 AWS CodeDeploy 部署和 AWS CloudFormation 堆栈更新的信息，这些信息涉及一个或多个可能与事件相关的资源。可以将每项调查发现视为事件的潜在原因进行审查。有关这些潜在原因的信息已添加到事件的事件详细信息页面。由于有关这些部署和变更的信息随时可用，响应者无需手动搜索这些信息。这样可以减少评估潜在原因所需的时间，从而缩短从事件中恢复的平均时间 (MTTR)。

目前，Incident Manager 支持从两个方面收集调查发现 AWS 服务：AWS CodeDeploy 和 AWS CloudFormation。

调查发现是一项可选特征。您可以在做准备向导中启用它，也可以在首次加入 Incident Manager 时启用，也可以稍后在设置页面上启用。

启用调查发现特征后，Incident Manager 会为您创建一个服务角色。该服务角色包括从 CodeDeploy 和 CloudFormation 检索调查发现所需的权限。

要在跨账户场景中使用调查发现，请在管理账户中启用该特征。之后，AWS Resource Access Manager(AWS RAM) 组织中的每个应用程序帐户都必须创建相应的服务角色。

请参阅以下主题，可帮助您使用调查发现特征。

为调查发现启用和创建服务角色

启用调查发现特征后，Incident Manager 会代表您创建一个名为 IncidentManagerIncidentAccessServiceRole 的服务角色。该服务角色提供 Incident Manager 所需的权限，用于收集有关事件创建前后发生的 CodeDeploy 部署和 CloudFormation 堆栈更新的信息。

此服务角色与 AWS 托管式策略相关联。有关该策略中权限的信息，请参阅 AWS 托管策略： AWSIncidentManagerIncidentAccessServiceRolePolicy。

有关在 Incident Manager 引导过程中启用调查发现的信息，请参阅 开始使用 Incident Manager。

有关在完成引导过程后启用调查发现的信息，请参阅 管理调查发现特征。

配置支持跨账户调查发现的权限

要在 AWS RAM 中设置了组织的账户中使用调查发现特征，每个应用程序帐户都必须配置权限，让 Incident Manager 代表其代入管理账户的服务角色。

可以通过部署由 AWS 提供的 AWS CloudFormation 模板在应用程序账户中配置这些权限，该模板将创建角色 IncidentManagerIncidentAccessServiceRole。

有关在应用程序账户中下载和部署该模板的信息，请参阅 Incident Manager 中的跨区域和跨账户事件管理 中的步骤 4。