將 OpsCenter 與其他 AWS 服務 整合 - AWS Systems Manager
了解 OpsCenter 與 Amazon CloudWatch 的整合了解 OpsCenter 與 Amazon CloudWatch Application Insights 的整合了解 OpsCenter 與 Amazon DevOps Guru 的整合了解 OpsCenter 與 Amazon EventBridge 的整合了解 OpsCenter 與 AWS Config 的整合了解 OpsCenter 與 AWS Security Hub 的整合了解 OpsCenter 與 Incident Manager 的整合

將 OpsCenter 與其他 AWS 服務 整合

OpsCenter (AWS Systems Manager 的功能) 會與多個 AWS 服務 整合,以診斷並修復 AWS 資源的問題。您必須先設定 AWS 服務,才能將其與 OpsCenter 整合。

依預設,下列 AWS 服務 會與 OpsCenter 整合,且可以自動建立 OpsItems:

您必須將下列服務與 OpsCenter 整合,才能自動建立 OpsItems:

這些服務中的任何一項建立 OpsItem 後,您可以在 OpsCenter 中管理並修復 OpsItem。如需詳細資訊,請參閱 管理 OpsItems修正 OpsItem 問題

如需有關每個 AWS 服務 和它是如何與如何與 OpsCenter 整合的詳細資訊,請參閱下列主題。

了解 OpsCenter 與 Amazon CloudWatch 的整合

Amazon CloudWatch 會監控您的 AWS 資源和服務,並在您使用的每個 AWS 服務 上顯示指標。警示進入警示狀態時,CloudWatch 會建立 OpsItem。例如,如果 Application Load Balancer 產生的 HTTP 錯誤突然增加,則您可以設定警示來自動建立 OpsItem。

以下清單顯示了您可在 CloudWatch 中設定以建立 OpsItems 的一些警示:

  • Amazon DynamoDB:資料庫讀取和寫入動作達到閾值

  • Amazon EC2:CPU 使用率達到閾值

  • AWS 計費:估計費用達到閾值

  • Amazon EC2:執行個體未通過狀態檢查

  • Amazon Elastic Block Store (EBS):磁碟空間使用率達到閾值

您可以建立警示,也可以編輯現有警示來建立 OpsItem。如需詳細資訊,請參閱設定 CloudWatch 警示以建立 OpsItems

使用整合式設定啟用 OpsCenter 後,它會將 CloudWatch 與 OpsCenter 整合。

了解 OpsCenter 與 Amazon CloudWatch Application Insights 的整合

使用 Amazon CloudWatch Application Insights,您可以為您應用程式資源設定最佳監控器,以持續分析應用程式問題跡象資料。在 CloudWatch Application Insights 中設定應用程式資源時,可以選擇讓系統在 OpsCenter 中建立 OpsItems。針對應用程式偵測到的每個問題,會在 OpsCenter 主控台上建立一個 OpsItem。如需相關資訊,請參閱《Amazon CloudWatch 使用者指南》中的設定、配置和管理應用程式以進行監控

注意

從 2023 年 10 月 16 日起,CloudWatch Application Insights 所建立之 OpsItems 的標題和描述現在會使用下述改良格式:

OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY>

OpsItem description:       

CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>.
Problem summary: <PROBLEM SUMMARY>
Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page)
Problem Status: <PROBLEM STATUS>
Insight: <INSIGHT>

請見此處範例:

顯示從 CloudWatch Insights 建立的 OpsItem 之新格式的螢幕擷取畫面。

了解 OpsCenter 與 Amazon DevOps Guru 的整合

Amazon DevOps Guru 採用機器學習來分析操作資料、應用程式指標和應用程式事件,以識別偏離正常操作模式的行為。如果啟用 DevOps Guru 以在 OpsCenter 中產生 OpsItem,則每個洞見都會產生一個新的 OpsItem。您可以使用 OpsCenter 來管理您的 OpsItems。

DevOps Guru 會自動建立 OpsItems。您可以啟用 Amazon DevOps Guru 來使用 Quick Setup (Systems Manager 的功能) 建立 OpsItems。系統會使用 AWSServiceRoleForDevOpsGuru AWS Identity and Access Management (IAM) 服務連結角色建立 OpsItems。

將 OpsCenter 與 DevOps Guru 整合

  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Quick Setup

  3. 自訂 DevOps Guru 組態選項頁面中,選擇程式庫索引標籤。

  4. DevOps Guru 窗格中,選擇建立

  5. 組態選項中,請選取啟用 AWS Systems Manager OpsItems。

  6. 完成設定後,選取建立

了解 OpsCenter 與 Amazon EventBridge 的整合

Amazon EventBridge 可傳送事件串流,以說明 AWS 資源發生的變動。使用整合式設定啟用 OpsCenter 後,它會將 EventBridge 與 OpsCenter 整合,並啟用預設的 EventBridge 規則。EventBridge 會根據這些規則建立 OpsItems。您可以使用規則篩選事件並將事件路由至 OpsCenter,以進行調查和修復。

注意

Amazon EventBridge (前稱為 Amazon CloudWatch Events) 不僅提供 CloudWatch Events 的所有功能,還提供一些新功能,例如自訂事件匯流排、第三方事件來源和結構描述登錄檔。

以下是一些您可以在 EventBridge 中設定以建立 OpsItem 的規則:

  • Security Hub:已發出安全提醒

  • Amazon DynamoDB 限流事件

  • Amazon Elastic Compute Cloud Auto Scaling:無法啟動執行個體

  • Systems Manager:無法執行自動化

  • AWS Health:排定維護的提醒

  • Amazon EC2:執行個體狀態從「執行中」變更為「停止」

您可以根據需求建立規則或編輯現有規則來建立 OpsItems。如需有關如何編輯規則以建立 OpsItem 的詳細資訊,請參閱設定 EventBridge 規則以建立 OpsItems

了解 OpsCenter 與 AWS Config 的整合

AWS Config - 提供您 AWS 帳戶 中 AWS 資源組態的詳細檢視。

AWS Config 無法與 OpsCenter 直接整合。您需要建立將事件傳送至 Amazon EventBridge 的 AWS Config 規則,例如在 AWS Config 偵測到不合規的執行個體時進行傳送的規則。然後,EventBridge 會根據您建立的 EventBridge 規則評估該事件。如果事件與規則相符,則 EventBridge 會將事件轉換為 OpsItem,並將其傳送至目的地目標 OpsCenter。

使用此 OpsItem,您可以追蹤不合規資源的詳細資訊、記錄調查動作,並提供對一致修復動作的存取權。

相關資訊

設定 EventBridge 規則以建立 OpsItems

使用 AWS Systems Manager OpsCenter 和 AWS Config 進行合規監控

了解 OpsCenter 與 AWS Security Hub 的整合

AWS Security Hub 會跨 AWS 帳戶 和服務收集安全性資料 (稱為 調查結果)。Security Hub 使用一組規則來偵測並產生調查結果,可協助您識別您所管理資源的安全性問題、排定其優先順序並進行修補。設定整合之後,如本主題所述,Systems Manager 會在 OpsCenter 中針對 Security Hub 的調查結果建立 OpsItems。

注意

OpsCenter 具有與 Security Hub 的雙向整合。這表示如果您更新與安全性調查結果相關的 OpsItem 的狀態嚴重性欄位,系統會將變更同步到 Security Hub。同樣的,對調查結果所做的任何變更都會自動在 OpsCenter 中的對應 OpsItems 中得到更新。

從 Security Hub 調查結果建立 OpsItem 時,Security Hub 中繼資料會自動新增至 OpsItem 的操作資料欄位。如果刪除這些中繼資料,雙向更新將無法再運作。

根據預設,Systems Manager 可為「關鍵」和「高」安全性調查結果建立 OpsItems。您可以手動設定 OpsCenter 為中低嚴重性調查結果建立 OpsItems。OpsCenter 不會為資訊性調查結果建立 OpsItems,因為此類調查結果不要求採取修補措施。如需有關 Security Hub 嚴重性等級的詳細資訊,請參閱 AWS Security Hub API 參考中的安全性一節。

開始之前

在您設定 OpsCenter 以根據 Security Hub 調查結果建立 OpsItems 之前,請確認您已完成 Security Hub 設定步驟。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的建立 Security Hub

將 Security Hub 與 OpsCenter 整合後,系統會使用 AWSServiceRoleForSystemsManagerOpsDataSync IAM 服務連結角色建立 OpsItems。如需有關此角色的詳細資訊,請參閱 使用角色為 OpsItems 建立 OpsData 和 Explorer:

警告

請注意以下有關 OpsCenter 與 Security Hub 整合的定價的重要資訊:

  • 如果您在設定 OpsCenter 與 Security Hub 整合時使用 Security Hub 管理員帳戶登入,則系統會針對管理員所有成員帳戶中的調查結果建立 OpsItems。所有 OpsItems 都會在管理員帳戶中建立。取決於各種因素,這可能導致您需要向 AWS 支付超乎預期的大帳單。

    如果您在設定整合時使用成員帳戶登入,則系統只會針對該個別帳戶中的調查結果建立 OpsItems。如需有關 Security Hub 管理員帳戶、成員帳戶及其與調查結果 EventBridge 事件摘要之關係的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Security Hub 與 EventBridge 整合的類型一節。

  • 針對每個建立 OpsItem 的調查結果,系統會按照標準價格向您收取建立 OpsItem 的費用。如果您編輯 OpsItem 或對應的調查結果已在 Security Hub 中更新 (會觸發 OpsItem 更新),系統也會向您收取費用。

設定 OpsCenter 以針對 Security Hub 調查結果建立 OpsItems

  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 OpsCenter

  3. 選擇設定

  4. Security Hub 調查結果區段中,選擇編輯

  5. 選擇滑桿以將已停用變更為已啟用

  6. 如果您希望系統針對中度或低嚴重性調查結果建立 OpsItems,請切換這些選項。

  7. 選擇 Save (儲存) 以儲存您的組態。

如果您不再希望系統針對 Security Hub 調查結果建立 OpsItems,請使用以下程序。

停止接收針對 Security Hub 調查結果的 OpsItems

  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 OpsCenter

  3. 選擇設定

  4. Security Hub 調查結果區段中,選擇編輯

  5. 選擇滑桿以將已啟用變更為已停用。如果您無法切換滑桿,表示 Security Hub 尚未為您的 AWS 帳戶 啟用。

  6. 選擇儲存以儲存您的組態。OpsCenter 不再根據 Security Hub 調查結果建立 OpsItems。

重要

Systems Manager 委派管理員或 AWS Organizations 管理帳戶可以透過在 Explorer 中建立資源資料同步,為多個帳戶和 AWS 區域啟用 OpsCenter 中的 Security Hub 調查結果。如果在 Explorer 中啟用了 Security Hub 來源,且存在以您停用 Security Hub 整合的成員帳戶為目標的資源資料同步,則管理員選取的設定優先。OpsCenter 會繼續為 Security Hub 調查結果建立 OpsItems。若要停止在資源資料同步鎖定的成員帳戶中為 Security Hub 調查結果建立 OpsItems,請聯絡您的管理員,並要求其從資源資料同步中移除您的帳戶,或在 Explorer 中關閉 Security Hub 來源。如需有關變更 Explorer 中設定的詳細資訊,請參閱編輯 Systems Manager Explorer 資料來源

了解 OpsCenter 與 Incident Manager 的整合

Incident Manager (AWS Systems Manager 的功能) 可提供事件管理主控台,協助您緩解影響 AWS 託管應用程式的事件並從中復原。事件是指任何意外中斷或服務質量下降。設定和配置 Incident Manager 後,系統會自動在 OpsCenter 中建立 OpsItems。

系統在 Incident Manager 中建立事件時,它也會在 OpsCenter 中建立 OpsItem,並將事件顯示為相關項目。如果 OpsItem 已存在,則 Incident Manager 不會建立 OpsItem。第一個 OpsItem 稱為父系 OpsItem。如果事件的規模和範圍成長,則您可以新增事件至現有 OpsItem。如有必要,您可以為 OpsItem 手動建立事件。事件關閉後,您可以在 Incident Manager 中建立分析,以檢閱並改進類似問題的修復程序。

依預設,OpsCenter 會與 Incident Manager 整合。如果未設定 Incident Manager,OpsCenter 頁面會顯示設定 Incident Manager 的訊息。Incident Manager 建立 OpsItem 後,您可以在 OpsCenter 中管理並修復 OpsItem。如需有關為 OpsItem 建立事件的指示,請參閱為 OpsItem 建立事件