本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

將 Systems Manager Automation Runbook 整合在 Incident Manager 中以修復事件

您可以使用 中的工具 AWS Systems Manager Automation 的 Runbook AWS Systems Manager，來自動化 AWS 雲端 環境中常見的應用程式和基礎設施任務。

每個 Runbook 都會定義 Runbook 工作流程，由 Systems Manager 在您的受管節點或其他 AWS 資源類型上執行的動作組成。您可以使用 Runbook 自動化資源 AWS 的維護、部署和修復。

在 Incident Manager 中， Runbook 會驅動事件回應和緩解，而您會指定 Runbook 做為回應計劃的一部分。

在您的回應計劃中，您可以從數十個預先設定的執行手冊中，為一般自動化任務進行選擇，也可以建立自訂執行手冊。當您在回應計劃定義中指定 Runbook 時，系統可在事件開始時自動啟動 Runbook。

如需 Systems Manager 自動化、執行手冊和搭配 Incident Manager 使用執行手冊的詳細資訊，請參閱下列主題：

啟動和執行 Runbook 工作流程所需的 IAM 許可

Incident Manager 需要許可，才能在事件回應中執行 Runbook。若要提供這些許可，您可以使用 AWS Identity and Access Management (IAM) 角色、 Runbook 服務角色和 Automation AssumeRole。

Runbook 服務角色是必要的服務角色。此角色為 Incident Manager 提供存取和啟動 Runbook 工作流程所需的許可。

自動化AssumeRole提供執行 Runbook 中指定的個別命令所需的許可。

如需自動化 的詳細資訊AssumeRole，請參閱AWS Systems Manager 《 使用者指南》中的設定自動化的服務角色 （擔任角色） 存取。

您可以在 IAM 主控台中自行手動建立任一類型的角色。- 您也可以讓 Incident Manager 在建立或更新回應計劃時為您建立任一類型的角色。

Runbook 服務角色許可

Runbook 服務角色許可是透過類似下列的政策提供。

第一個陳述式可讓 Incident Manager 啟動 Systems Manager StartAutomationExecution操作。然後，此操作會在由三種 Amazon Resource Name (ARN) 格式表示的資源上執行。

第二個陳述式允許 Runbook 服務角色在受影響的帳戶中執行 Runbook 時，在另一個帳戶中擔任角色。如需詳細資訊，請參閱AWS Systems Manager 《 使用者指南》中的在多個 AWS 區域 和 帳戶中執行自動化。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}

Automation AssumeRole 許可

當您建立或更新回應計劃時，您可以從數個 AWS 受管政策中選擇連接到 Incident Manager 建立的 AssumeRole。這些政策提供許可，以執行在 Incident Manager Runbook 案例中使用的許多常見操作。您可以選擇一或多個這些受管政策來提供AssumeRole政策的許可。下表說明從 AssumeRole Incident Manager 主控台建立 時可以選擇的政策。

您可以使用這些受管政策，授予許多常見事件回應案例的許可。不過，您需要的特定任務所需的許可可能會有所不同。在這些情況下，您需要為 提供額外的政策許可AssumeRole。如需詳細資訊，請參閱 AWS Systems Manager Automation Runbook 參考。

使用 Runbook 參數

將 Runbook 加入回應計劃時，您可以指定 Runbook 在執行時間應使用的參數。回應計劃支援具有靜態和動態值的參數。對於靜態值，您可以在定義回應計劃中的參數時輸入值。對於動態值，系統會透過從事件中收集資訊來確定正確的參數值。Incident Manager 支援以下動態參數：

關於相關聯的資源

Incident Manager 可以將 CloudWatch 警示、EventBridge 事件和手動建立的事件中指定的 AWS 資源 ARNs 填入 Runbook 參數值。本節說明在填入此參數時，Invent Manager 可以擷取 ARNs的不同類型的資源。

CloudWatch 警示

從 CloudWatch 警示動作建立事件時，Invent Manager 會自動從相關聯的指標擷取下列類型的資源。然後，它會將下列涉及的資源填入所選的參數：

EventBridge 規則

當系統從 EventBridge 事件建立事件時，Invent Manager 會在事件中將所選參數填入 Resources 屬性。如需詳細資訊，請參閱《Amazon EventBridge 使用者指南》中的 Amazon EventBridge 事件。

手動建立的事件

當您使用 StartIncident API 動作來建立事件時，Incident Manager 會使用 API 呼叫中的資訊填入選取的參數。具體而言，它會使用在 參數中傳遞的類型項目INVOLVED_RESOURCE來填入relatedItems參數。

定義 Runbook

建立 Runbook 時，您可以遵循此處提供的步驟，也可以遵循 Systems Manager 使用者指南中的使用 Runbook 一節所提供的更詳細指南。 如果您要建立多帳戶、多區域 Runbook，請參閱 Systems Manager 使用者指南中的在多個 AWS 區域 和 帳戶中執行自動化。

若要啟用跨帳戶功能，請將管理帳戶中的 Runbook 與事件期間使用 Runbook 的所有應用程式帳戶共用。

Incident Manager Runbook 範本

Incident Manager 提供下列 Runbook 範本，以協助您的團隊開始在 Systems Manager 自動化中編寫 Runbook。您可以照原樣使用此範本，或對其進行編輯，以包含應用程式和資源的特定詳細資訊。

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplate 是一個範本，可在手動步驟中提供 Incident Manager 事件生命週期。這些步驟非常通用，可用於大多數應用程式，但詳細程度足以讓回應者開始使用事件解決。