在事件管理器 AWS 账户 中管理跨地区的事件 - Incident Manager
跨区域事件管理跨账户事件管理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在事件管理器 AWS 账户 中管理跨地区的事件

您可以将 Incident Manager(一种功能为)配置为使用多个 AWS 区域 和帐户。 AWS Systems Manager该部分介绍跨区域和跨账户的最佳实践、设置步骤和已知限制。

跨区域事件管理

Incident Manager 支持在多个 AWS 区域中自动和手动创建事件。当您使用做准备向导初次使用 Incident Manager 时,最多可为复制集指定三个 AWS 区域 。对于由亚马逊 CloudWatch 警报或亚马逊 EventBridge 事件自动创建的事件,事件管理器会尝试创建与事件规则或警报 AWS 区域 相同的事件。如果 Incident Manager AWS 区域 在最初设置时遇到中断, CloudWatch 或者在为复制集指定的另一个可用区域中 EventBridge 自动创建事件。

重要

请注意以下重要详细信息。

  • 我们建议您在复制集中至少指定两个 AWS 区域 。如果您未指定至少两个区域,系统将无法在 Incident Manager 不可用期间创建事件。

  • 跨区域失效转移创建的事件不会调用响应计划中指定的运行手册。

有关使用 Incident Manager 和指定其他区域的更多信息,请参阅 开始使用 Incident Manager

跨账户事件管理

事件管理器使用 AWS Resource Access Manager (AWS RAM) 在管理和应用程序帐户之间共享事件管理器资源。该部分介绍跨账户最佳实践、如何为 Incident Manager 设置跨账户功能以及 Incident Manager 中跨账户功能的已知限制。

管理账户是您用来执行操作管理的账户。在组织设置中,管理账户拥有响应计划、联系人、升级计划、运行手册和其他 AWS Systems Manager 资源。

应用程序账户是拥有构成应用程序的资源的账户。这些资源可以是亚马逊EC2实例、Amazon DynamoDB 表,也可以是您用来在中构建应用程序的任何其他资源。 AWS Cloud应用程序账户还拥有在事件管理器中造成 EventBridge 事件的 Amazon CloudWatch 警报和亚马逊事件。

AWS RAM 使用资源共享在账户之间共享资源。您可以在 AWS RAM账户之间共享响应计划和联系人资源。通过共享这些资源,应用程序账户和管理账户可以与互动和事件进行互动。共享响应计划可共享使用该响应计划创建的所有过去和未来事件。共享联系人会共享该联系人或响应计划过去和未来的所有互动。

最佳实践

在跨账户共享 Incident Manager 资源时,请遵循以下最佳实践:

  • 定期更新资源共享中的响应计划和联系人。

  • 定期审查资源共享原则。

  • 在您的管理账户中设置 Incident Manager、运行手册和聊天频道。

设置和配置跨账户事件管理

以下步骤介绍了如何设置和配置 Incident Manager 资源并将其用于跨账户功能。您过去可能已经为跨账户功能配置了一些服务和资源。在使用跨账户资源开始您的第一次事件之前,请将这些步骤作为需求清单。

  1. (可选)使用创建组织和组织单位 AWS Organizations。请按照《AWS Organizations 用户指南》中的教程:创建和配置组织中的步骤。

  2. (可选)使用 Systems Manager 快速设置功能来设置正确的 AWS Identity and Access Management 角色,供您在配置跨账户运行手册时使用。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的快速设置功能

  3. 按照《AWS Systems Manager 用户指南》中多账户运行自动化中列出的步骤 AWS 区域 ,在 Systems Manager 自动化文档中创建运行手册。运行手册既可以由管理账户运行,也可以由应用程序账户运行。根据您的用例,您需要为事件发生期间创建和查看运行手册所需的角色安装相应的 AWS CloudFormation 模板。

    • 在管理账户中运行运行手册。管理账户必须下载并安装 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 模板。安装时 AWS-SystemsManager-AutomationReadOnlyRole,指定所有应用程序帐户IDs的帐户。该角色将允许您的应用程序帐户从事件详细信息页面读取运行手册的状态。应用程序帐户必须安装 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 模板。事件详细信息页面使用该角色从管理账户获取自动化状态。

    • 在应用程序帐户中运行运行手册。管理账户必须下载并安装 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 模板。该角色允许管理账户读取应用程序账户中运行手册的状态。应用程序帐户必须下载并安装 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 模板。安装 AWS-SystemsManager-AutomationReadOnlyRole 时,请指定管理账户和其他应用程序账户的账户 ID。管理账户和其他应用程序账户代入该角色,以读取运行手册的状态。

  4. (可选)在组织中的每个应用程序帐户中,下载并安装 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation 模板。安装时 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole,指定管理账户的账户 ID。此角色提供事件管理员访问有关 AWS CodeDeploy 部署和 AWS CloudFormation 堆栈更新的信息所需的权限。如果启用了调查发现特征,则会将此信息报告为事件的调查发现。有关更多信息,请参阅 在事件管理器中将来自其他服务的事件的潜在原因确定为 “调查结果”

  5. 要设置和创建联系人、上报计划、聊天渠道和响应计划,请按照 在 Incident Manager 中为事件做准备 中的详细步骤操作。

  6. 将您的联系人和响应计划资源添加到您的现有资源共享或 AWS RAM中的新资源共享。有关更多信息,请参阅《AWS RAM 用户指南》中的开始使用 AWS RAM。添加响应计划以 AWS RAM 使应用程序帐户能够访问使用响应计划创建的事件和事件仪表板。应用程序帐户还可以将 CloudWatch 警报和 EventBridge 事件与响应计划关联起来。添加联系人和升级计划, AWS RAM 使应用程序帐户能够从事件仪表板查看互动并与联系人互动。

  7. 向您的 CloudWatch 控制台添加跨账户跨区域功能。有关步骤和信息,请参阅 A mazon CloudWatch 用户指南中的跨账户跨区域 CloudWatch 控制台。添加该功能可确保您创建的应用程序账户和管理账户能够查看和编辑事件和分析控制面板中的指标。

  8. 创建跨账户的 Amazon EventBridge 事件总线。有关步骤和信息,请参阅在AWS 账户之间发送和接收 Amazon EventBridge 事件。然后,您可以使用该事件总线创建事件规则,以检测应用程序账户中的事件并在管理账户中创建事件。

限制

以下是 Incident Manager 跨账户功能的已知限制:

  • 创建事后分析的帐户是唯一可以查看和更改该分析的帐户。如果您使用应用程序帐户创建事件后分析,则只有该帐户的成员才能查看和更改。如果使用管理账户创建事故后分析,也会发生同样的情况。

  • 在应用程序账户中运行的自动化文档不会弹出时间轴事件。在应用程序帐户中运行的自动化文档的更新可在事件的运行手册 选项卡中查看。

  • Amazon Simple Notification Service 主题不能跨账户使用。Amazon SNS 主题必须在与其使用的响应计划相同的区域和账户中创建。我们建议使用管理账户创建所有SNS主题和回应计划。

  • 上报计划只能使用同一账户中的联系人创建。已与您共享的联系人无法添加到您账户的上报计划中。

  • 应用于响应计划、事件记录和联系人的标签只能通过资源所有者账户查看和修改。