本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
事件管理員中的跨區域和跨帳戶事件管理
您可以設定事件管理員 (的功能)AWS Systems Manager,以處理多個帳戶AWS 區域和帳戶。本節說明跨區域和跨帳戶的最佳做法、設定步驟以及已知的限制。
跨區域事件管理
事件管理器支持自動和手動創建事件的幾個AWS 區域。當您最初使用 [準備就緒] 精靈使用事件管理員上線時,您最多可以AWS 區域為複製組指定三個。對於 Amazon CloudWatch 警示或 Amazon 事件自動建立的 EventBridge 事件,事件管理員會嘗試以事件規則或警示AWS 區域相同的方式建立事件。如果無法在中使用事件管理員AWS 區域, CloudWatch 或 EventBridge 將在複製組中指定的其中一個可用區域中自動建立事件。
重要
請注意以下重要詳細資訊。
-
我們建議您至少在複製組AWS 區域中指定兩個。如果您沒有指定至少兩個區域,系統將無法在事件管理員無法使用期間建立事件。
跨區域容錯移轉所建立的事件不會叫用回應計畫中指定的 Runbook。
如需使用事件管理員入職及指定其他區域的詳細資訊,請參閱開始使用事件管理員。
跨帳戶事件管理
事件管理員使用 AWS Resource Access Manager (AWS RAM) 在管理和應用程式帳戶之間共用事件管理員資源。本節說明跨帳戶最佳做法、如何為事件管理員設定跨帳戶功能,以及事件管理員中跨帳戶功能的已知限制。
管理帳戶是您從中執行作業管理的帳戶。在組織設定中,管理帳戶擁有回應計劃、連絡人、升級計劃、執行手冊和其他AWS Systems Manager資源。
應用程式帳戶是擁有組成應用程式之資源的帳戶。這些資源可以是 Amazon EC2 執行個體、Amazon DynamoDB 表格,或是您用來在中建立應用程式的任何其他資源。AWS 雲端應用程式帳戶也擁有 Amazon CloudWatch 警示和 Amazon 事件,這些 EventBridge 事件會在事件管理器中建立事件。
AWS RAM使用資源共用率在帳號之間共用資源。您可以在中的帳號之間共用回應計劃和聯絡資源AWS RAM。透過共用這些資源,應用程式帳戶和管理帳戶可以與互動和事件互動。共用回應計劃會共用使用該回應計劃建立的所有過去和 future 事件。共享聯繫人共享聯繫人或響應計劃的所有過去和 future 參與。
最佳實務
在不同帳戶之間共用事件管理員資源時,請遵循下列最佳做法
-
定期更新回應計畫和聯絡人的資源共用。
-
定期檢閱資源共用主體。
-
在您的管理帳戶中設定事件管理員、手冊和聊天頻道。
設定和設定跨帳戶事件管理
下列步驟說明如何設定和設定事件管理員資源,並將其用於跨帳戶功能。您過去可能已經為跨帳戶功能配置了一些服務和資源。使用跨帳戶資源開始您的第一個事件之前,請使用這些步驟作為需求檢查清單。
-
(選擇性) 使用建立組織和組織單位AWS Organizations。請遵循《使用指南》中〈教學課程:建立和配置組織AWS Organizations〉中的步驟。
-
(選擇性) 使用「Systems Manager 快速設定」功能來設定正確的AWS Identity and Access Management角色,供您在設定跨帳戶手冊時使用。如需詳細資訊,請參閱《使用指南》中的AWS Systems Manager〈快速設定〉。
-
請依照AWS Systems Manager使用者指南中的多個執行自動化AWS 區域和帳戶中列出的步驟,在 Systems Manager 自動化文件中建立 Runbook。runbook 可以由管理帳戶或您的應用程式帳戶之一執行。根據您的使用案例,您需要為在事件期間建立和檢視 Runbook 所需的角色安裝適當的AWS CloudFormation範本。
-
在管理帳戶中執行工作流程簿。管理帳戶必須下載並安裝
AWS-SystemsManager-AutomationReadOnlyRole
CloudFormation 範本。安裝時 AWS-SystemsManager-AutomationReadOnlyRole
,請指定所有應用程式帳戶的帳戶 ID。這個角色可讓您的應用程式帳戶從事件詳細資料頁面讀取 runbook 的狀態。應用程式帳戶必須安裝AWS-SystemsManager-AutomationAdministrationReadOnlyRole
CloudFormation 範本。事件詳細資料頁面會使用此角色從管理帳戶取得自動化狀態。 -
在應用程式帳戶中執行 Runbook。管理帳戶必須下載並安裝
AWS-SystemsManager-AutomationAdministrationReadOnlyRole
CloudFormation 範本。這個角色可讓管理帳戶讀取應用程式帳戶中 runbook 的狀態。應用程式帳戶必須下載並安裝 AWS-SystemsManager-AutomationReadOnlyRole
CloudFormation 範本。安裝時 AWS-SystemsManager-AutomationReadOnlyRole
,請指定管理帳戶和其他應用程式帳戶的帳戶 ID。管理帳戶和其他應用程式帳戶會擔任此角色來讀取 runbook 的狀態。
-
-
(選擇性) 在組織中的每個應用程式帳戶中,下載並安裝
AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole
CloudFormation 範本。安裝時 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole
,請指定管理帳戶的帳號 ID。此角色提供事件管理員存取AWS CodeDeploy部署和AWS CloudFormation堆疊更新相關資訊所需的權限。如果啟用「發現項目」功能,則會將此資訊報告為未預期事件的發現項目。如需詳細資訊,請參閱在事件管理員中使用發現項目。 -
若要設定和建立聯絡人、升級計畫、聊天頻道和回應計劃,請遵循中詳述的步驟事件管理員中的事件做好準備。
-
將您的聯絡人和回應計劃資源新增至您現有的資源共用或中的新資源共用AWS RAM。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的 AWS RAM 入門 新增回應計畫,AWS RAM讓應用程式帳戶能夠存取使用回應計劃建立的事件和事件儀表板。應用程式帳戶也可以將 CloudWatch 警示和 EventBridge 事件與回應計劃建立關聯。新增連絡人和升級計畫,AWS RAM讓應用程式帳戶能夠從事件儀表板檢視互動並與聯絡人互動。
-
將跨帳戶跨區域功能新增至您的 CloudWatch 主控台。有關步驟和資訊,請參閱 Amazon CloudWatch 使用者指南中的跨帳戶跨區域 CloudWatch 主控台。新增此功能可確保您建立的應用程式帳戶和管理帳戶可以從事件和分析儀表板檢視和編輯指標。
-
創建一個跨帳戶 Amazon EventBridge 事件總線。有關步驟和資訊,請參閱在AWS帳戶之間傳送和接收 Amazon EventBridge 事件。然後,您可以使用此事件匯流排建立事件規則,以偵測應用程式帳戶中的事件,並在管理帳戶中建立事件。
限制
以下是事件管理員跨帳戶功能的已知限制:
-
建立事件後分析的帳戶是唯一可以檢視和變更它的帳戶。如果您使用應用程式帳戶建立事件後分析,則只有該帳戶的成員可以檢視和變更它。如果您使用管理帳戶建立事件後分析,也是如此。
-
不會為在應用程式帳戶中執行的自動化文件填入時間軸事件。在應用程式帳戶中執行的自動化文件更新會顯示在事件的 Runbook 索引標籤中。
-
Amazon 簡易通知服務主題無法跨帳戶使用。Amazon SNS 主題必須在與其使用的回應計劃相同的區域和帳戶中建立。我們建議您使用管理帳戶來建立所有 SNS 主題和回應計劃。
-
升級計劃只能使用同一帳戶中的聯絡人來建立。已與您分享的聯絡人無法新增至您帳戶中的升級計劃。
-
套用至回應計劃、事件記錄和連絡人的標籤只能從資源擁有者帳號檢視和修改。