在 Incident Manager 中管理跨 AWS 帳戶 和 區域的事件 - Incident Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Incident Manager 中管理跨 AWS 帳戶 和 區域的事件

您可以設定 的 Incident Manager AWS Systems Manager,以使用多個 AWS 區域 和 帳戶。本節說明跨區域和跨帳戶最佳實務、設定步驟和已知限制。

跨區域事件管理

Incident Manager 支援在數個 AWS 區域中自動和手動建立事件。當您使用 Get prepared 精靈初次加入 Incident Manager 時,您最多可以為複寫集 指定三個 AWS 區域 。對於 Amazon CloudWatch 警示或 Amazon EventBridge 事件自動建立的事件,Invent Manager 會嘗試在 AWS 區域 與事件規則或警示相同的 中建立事件。如果 Incident Manager 一開始在設定 AWS 區域 時遇到中斷, CloudWatch 或在為您的複寫集指定的其他可用區域中 EventBridge 自動建立事件。

重要

請注意以下重要詳細資訊。

  • 建議您在 AWS 區域 複寫集中至少指定兩個 。如果您未指定至少兩個區域,系統將無法在無法使用 Incident Manager 期間建立事件。

  • 跨區域容錯移轉建立的事件不會叫用回應計劃中指定的 Runbook。

如需使用 Incident Manager 加入和指定其他區域的詳細資訊,請參閱 Incident Manager 入門

跨帳戶事件管理

Incident Manager 使用 AWS Resource Access Manager (AWS RAM) 跨管理和應用程式帳戶共用 Incident Manager 資源。本節說明跨帳戶最佳實務、如何為 Incident Manager 設定跨帳戶功能,以及 Incident Manager 中跨帳戶功能的已知限制。

管理帳戶是您執行操作管理的帳戶。在組織設定中,管理帳戶擁有回應計劃、聯絡人、升級計劃、 Runbook 和其他 AWS Systems Manager 資源。

應用程式帳戶是擁有組成應用程式之資源的帳戶。這些資源可以是 Amazon EC2執行個體、Amazon DynamoDB 資料表,或您用來在 中建置應用程式的任何其他資源 AWS 雲端。應用程式帳戶也擁有在 Incident Manager 中建立事件的 Amazon CloudWatch 警示和 Amazon EventBridge 事件。

AWS RAM 使用資源共用在帳戶之間共用資源。您可以在 中的帳戶之間共用回應計劃和聯絡資源 AWS RAM。透過共用這些資源,應用程式帳戶和管理帳戶可以與參與和事件互動。共用回應計劃會共用使用該回應計劃建立的所有過去和未來事件。共用聯絡人會共用聯絡人或回應計劃的所有過去和未來的參與。

最佳實務

在跨帳戶共用您的 Incident Manager 資源時,請遵循下列最佳實務:

  • 定期使用回應計劃和聯絡人更新資源共用。

  • 定期檢閱資源共用主體。

  • 在管理帳戶中設定 Incident Manager、runbook 和聊天頻道。

設定跨帳戶事件管理

下列步驟說明如何設定和設定 Incident Manager 資源,並將其用於跨帳戶功能。您過去可能已為跨帳戶功能設定了一些服務和資源。使用跨帳戶資源啟動第一個事件之前,請使用這些步驟做為需求的檢查清單。

  1. (選用) 使用 建立組織和組織單位 AWS Organizations。請遵循 AWS Organizations 使用者指南 中的教學課程:建立和設定組織的步驟。

  2. (選用) 使用 Systems Manager Quick Setup 功能,設定設定跨帳戶 Runbook 時要使用的正確 AWS Identity and Access Management 角色。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的 快速設定

  3. 請遵循 AWS Systems Manager 使用者指南 中在多個 AWS 區域 和 帳戶中執行自動化中列出的步驟,在 Systems Manager 自動化文件中建立 Runbook。Runbook 可以由管理帳戶或您的其中一個應用程式帳戶執行。根據您的使用案例,您將需要為在事件期間建立和檢視 Runbook 所需的角色安裝適當的 AWS CloudFormation 範本。

    • 在 管理帳戶中執行 Runbook。管理帳戶必須下載並安裝 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 範本。安裝 時 AWS-SystemsManager-AutomationReadOnlyRole,指定IDs所有應用程式帳戶的帳戶。此角色會讓您的應用程式帳戶從事件詳細資訊頁面讀取 Runbook 的狀態。應用程式帳戶必須安裝 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 範本。事件詳細資訊頁面使用此角色從管理帳戶取得自動化狀態。

    • 在應用程式帳戶中執行 Runbook。管理帳戶必須下載並安裝 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 範本。此角色允許管理帳戶讀取應用程式帳戶中 Runbook 的狀態。應用程式帳戶必須下載並安裝 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 範本。安裝 時AWS-SystemsManager-AutomationReadOnlyRole,請指定 管理帳戶和其他應用程式帳戶的帳戶 ID。管理帳戶和其他應用程式帳戶擔任此角色,以讀取 Runbook 的狀態。

  4. (選用) 在組織中的每個應用程式帳戶中,下載並安裝 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation 範本。安裝 時 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole,指定 管理帳戶的帳戶 ID。此角色提供 Incident Manager 存取部署和 AWS CloudFormation 堆疊更新相關資訊 AWS CodeDeploy 所需的許可。如果啟用調查結果功能,則會將此資訊報告為事件的調查結果。如需詳細資訊,請參閱在 Incident Manager 中將來自其他服務的事件的潛在原因識別為「尋找」

  5. 若要設定和建立聯絡人、升級計劃、聊天管道和回應計劃,請遵循 中詳述的步驟為 Incident Manager 中的事件做準備

  6. 將聯絡人和回應計畫資源新增至現有的資源共用或 中的新資源共用 AWS RAM。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的 AWS RAM入門 新增回應計劃, AWS RAM 讓應用程式帳戶能夠存取使用回應計劃建立的事件和事件儀表板。應用程式帳戶也能夠將 CloudWatch 警示和 EventBridge 事件與回應計劃建立關聯。新增聯絡人和升級計劃, AWS RAM 讓應用程式帳戶能夠檢視參與,並從事件儀表板吸引聯絡人。

  7. 將跨帳戶跨區域功能新增至您的 CloudWatch 主控台。如需步驟和資訊,請參閱 Amazon CloudWatch 使用者指南 中的跨帳戶跨區域 CloudWatch 主控台。新增此功能可確保您建立的應用程式帳戶和管理帳戶可以從事件和分析儀表板檢視和編輯指標。

  8. 建立跨帳戶 Amazon EventBridge 事件匯流排。如需步驟和資訊,請參閱在AWS 帳戶 之間傳送和接收 Amazon EventBridge 事件。然後,您可以使用此事件匯流排建立事件規則,以偵測應用程式帳戶中的事件,並在管理帳戶中建立事件。

限制

以下是 Incident Manager 跨帳戶功能的已知限制:

  • 建立事後分析的帳戶是唯一可以檢視和變更的帳戶。如果您使用應用程式帳戶建立事後分析,則只有該帳戶的成員可以檢視和變更它。如果您使用 管理帳戶建立事件後分析,也是如此。

  • 在應用程式帳戶中執行的自動化文件不會填入時間軸事件。在應用程式帳戶中執行的自動化文件更新,可見於事件的 Runbook 索引標籤。

  • Amazon Simple Notification Service 主題無法跨帳戶使用。Amazon SNS主題必須在與其使用的回應計劃相同的 區域和帳戶中建立。我們建議您使用 管理帳戶來建立所有SNS主題和回應計劃。

  • 呈報計畫只能使用相同帳戶中的聯絡人建立。與您共用的聯絡人無法新增至您帳戶中的升級計畫。

  • 套用至回應計劃、事件記錄和聯絡人的標籤只能從資源擁有者帳戶檢視和修改。