Regions- und kontenübergreifendes Incident-Management im Incident Manager - Incident Manager
Regionsübergreifendes VorfallmanagementKontoübergreifendes Incident-Management

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regions- und kontenübergreifendes Incident-Management im Incident Manager

Sie können den Incident Manager, der über eine Funktion von verfügt, so konfigurierenAWS Systems Manager, dass er mit mehreren AWS-Regionen AND-Konten arbeitet. In diesem Abschnitt werden bewährte Methoden, Einrichtungsschritte und bekannte Einschränkungen für alle Regionen und Konten beschrieben.

Regionsübergreifendes Vorfallmanagement

Incident Manager unterstützt die automatisierte und manuelle Erstellung von Vorfällen in mehreren AWS-Regionen Fällen. Wenn Sie Incident Manager zum ersten Mal mithilfe des Assistenten Get Prepared nutzen, können Sie bis zu drei AWS-Regionen für Ihren Replikationssatz angeben. Bei Vorfällen, die automatisch durch CloudWatch Amazon-Alarme oder EventBridge Amazon-Ereignisse erstellt werden, versucht Incident Manager, einen Vorfall in derselben Weise AWS-Region wie die Ereignisregel oder der Alarm zu erstellen. Wenn Incident Manager in einer der verfügbaren RegionenAWS-Region, die in Ihrem Replikationssatz angegeben sind, nicht verfügbar ist CloudWatch oder EventBridge den Vorfall automatisch in einer der verfügbaren Regionen erstellt.

Wichtig

Beachten Sie die folgenden wichtigen Details.

  • Wir empfehlen, dass Sie mindestens zwei AWS-Regionen in Ihrem Replikationssatz angeben. Wenn Sie nicht mindestens zwei Regionen angeben, kann das System in dem Zeitraum, in dem Incident Manager nicht verfügbar ist, keine Incidents erstellen.

  • Incidents, die durch ein regionsübergreifendes Failover erstellt wurden, rufen keine Runbooks auf, die in den Reaktionsplänen angegeben sind.

Weitere Informationen zur Integration mit Incident Manager und zur Angabe zusätzlicher Regionen finden Sie unter. Erste Schritte mit Incident Manager

Kontoübergreifendes Incident-Management

Incident Manager verwendet AWS Resource Access Manager (AWS RAM), um Incident Manager-Ressourcen für alle Management- und Anwendungskonten gemeinsam zu nutzen. In diesem Abschnitt werden bewährte Methoden für kontenübergreifende Anwendungen, die Einrichtung kontenübergreifender Funktionen für Incident Manager und bekannte Einschränkungen der kontenübergreifenden Funktionalität in Incident Manager beschrieben.

Ein Verwaltungskonto ist das Konto, von dem aus Sie die Betriebsverwaltung durchführen. In einer Organisation ist das Verwaltungskonto für die Reaktionspläne, Kontakte, Eskalationspläne, Runbooks und andere AWS Systems Manager Ressourcen verantwortlich.

Ein Anwendungskonto ist das Konto, dem die Ressourcen gehören, aus denen Ihre Anwendungen bestehen. Bei diesen Ressourcen kann es sich um Amazon EC2 EC2-Instances, Amazon DynamoDB-Tabellen oder andere Ressourcen handeln, die Sie zum Erstellen von Anwendungen in der verwenden. AWS Cloud Anwendungskonten besitzen auch die CloudWatch Amazon-Alarme und EventBridge Amazon-Ereignisse, die zu Vorfällen in Incident Manager führen.

AWS RAMverwendet gemeinsam genutzte Ressourcen, um Ressourcen zwischen Konten gemeinsam zu nutzen. In können Sie den Reaktionsplan und die Kontaktressourcen zwischen Konten gemeinsam nutzenAWS RAM. Durch die gemeinsame Nutzung dieser Ressourcen können Anwendungskonten und Verwaltungskonten mit Interaktionen und Vorfällen interagieren. Wenn Sie einen Reaktionsplan teilen, werden alle vergangenen und future Vorfälle geteilt, die mit diesem Reaktionsplan verursacht wurden. Wenn Sie einen Kontakt teilen, werden alle vergangenen und future Interaktionen des Kontakt- oder Antwortplans geteilt.

Bewährte Methoden

Folgen Sie diesen bewährten Methoden, wenn Sie Ihre Incident Manager-Ressourcen für mehrere Konten gemeinsam nutzen:

  • Aktualisieren Sie den Resource Share regelmäßig mit Reaktionsplänen und Kontakten.

  • Überprüfen Sie regelmäßig die Grundsätze für die gemeinsame Nutzung von Ressourcen.

  • Richten Sie Incident Manager, Runbooks und Chat-Kanäle in Ihrem Verwaltungskonto ein.

Richten Sie das kontenübergreifende Incident-Management ein und konfigurieren Sie es

In den folgenden Schritten wird beschrieben, wie Sie Incident Manager-Ressourcen einrichten und konfigurieren und sie für kontenübergreifende Funktionen verwenden. Möglicherweise haben Sie in der Vergangenheit einige Dienste und Ressourcen für kontoübergreifende Funktionen konfiguriert. Verwenden Sie diese Schritte als Checkliste mit den Anforderungen, bevor Sie Ihren ersten Vorfall mit kontenübergreifenden Ressourcen starten.

  1. (Optional) Erstellen Sie Organisationen und Organisationseinheiten mithilfe von. AWS Organizations Folgen Sie den Schritten im Tutorial: Organisation erstellen und konfigurieren im AWS OrganizationsBenutzerhandbuch.

  2. (Optional) Verwenden Sie die Systems Manager Quick Setup-Funktion, um die richtigen AWS Identity and Access Management Rollen einzurichten, die Sie bei der Konfiguration Ihrer kontoübergreifenden Runbooks verwenden können. Weitere Informationen finden Sie unter Quick Setup im AWS Systems Manager-Benutzerhandbuch.

  3. Folgen Sie den Schritten, die im AWS Systems ManagerBenutzerhandbuch unter Automationen in mehreren AWS-Regionen und Konten ausführen aufgeführt sind, um Runbooks in Ihren Systems Manager Manager-Automatisierungsdokumenten zu erstellen. Ein Runbook kann entweder über ein Verwaltungskonto oder über eines Ihrer Anwendungskonten ausgeführt werden. Je nach Anwendungsfall müssen Sie die entsprechende AWS CloudFormation Vorlage für die Rollen installieren, die zum Erstellen und Anzeigen von Runbooks während eines Vorfalls erforderlich sind.

    • Ein Runbook im Verwaltungskonto ausführen. Das Verwaltungskonto muss die AWS-SystemsManager-AutomationReadOnlyRole CloudFormation Vorlage herunterladen und installieren. Geben Sie bei der Installation AWS-SystemsManager-AutomationReadOnlyRole die Konto-IDs aller Anwendungskonten an. Diese Rolle ermöglicht es Ihren Anwendungskonten, den Status des Runbooks auf der Seite mit den Vorfalldetails zu lesen. Das Anwendungskonto muss die AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation Vorlage installieren. Die Seite mit den Vorfalldetails verwendet diese Rolle, um den Automatisierungsstatus vom Verwaltungskonto abzurufen.

    • Ein Runbook in einem Anwendungskonto ausführen. Das Verwaltungskonto muss die AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation Vorlage herunterladen und installieren. Diese Rolle ermöglicht es dem Verwaltungskonto, den Status des Runbooks im Anwendungskonto zu lesen. Das Anwendungskonto muss die AWS-SystemsManager-AutomationReadOnlyRole CloudFormation Vorlage herunterladen und installieren. Geben Sie bei der Installation AWS-SystemsManager-AutomationReadOnlyRole die Konto-ID des Verwaltungskontos und anderer Anwendungskonten an. Das Verwaltungskonto und andere Anwendungskonten übernehmen diese Rolle, um den Status des Runbooks zu lesen.

  4. (Optional) Laden Sie die AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation Vorlage für jedes Anwendungskonto in der Organisation herunter und installieren Sie sie. Geben Sie bei der Installation AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole die Konto-ID des Verwaltungskontos an. Diese Rolle bietet die Berechtigungen, die Incident Manager für den Zugriff auf Informationen über AWS CodeDeploy Bereitstellungen und AWS CloudFormation Stack-Updates benötigt. Diese Informationen werden als Ergebnisse für einen Vorfall gemeldet, wenn die Funktion „Ergebnisse“ aktiviert ist. Weitere Informationen finden Sie unter Arbeiten mit Ergebnissen in Incident Manager.

  5. Gehen Sie wie unter beschrieben vor, um Kontakte, Eskalationspläne, Chat-Kanäle und Reaktionspläne einzurichten und zu erstellen. Vorbereitung auf Vorfälle im Incident Manager

  6. Fügen Sie Ihre Kontakte und Ressourcen für den Reaktionsplan entweder zu Ihrer vorhandenen oder zu einer neuen Ressourcenfreigabe in AWS RAM hinzu. Weitere Informationen finden Sie unter Erste Schritte in AWS RAM im AWS RAM-Benutzerhandbuch. Durch das Hinzufügen von Reaktionsplänen AWS RAM können Anwendungskonten auf Vorfälle und Vorfall-Dashboards zugreifen, die mithilfe der Reaktionspläne erstellt wurden. Anwendungskonten bieten außerdem die Möglichkeit, CloudWatch Alarme und EventBridge Ereignisse einem Reaktionsplan zuzuordnen. Durch das Hinzufügen von Kontakten und Eskalationsplänen AWS RAM können Anwendungskonten über das Incident-Dashboard Interaktionen einsehen und Kontakte kontaktieren.

  7. Fügen Sie Ihrer Konsole kontoübergreifende, regionsübergreifende Funktionen hinzu. CloudWatch Schritte und Informationen finden Sie unter Kontoübergreifende regionsübergreifende CloudWatch Konsole im CloudWatch Amazon-Benutzerhandbuch. Durch das Hinzufügen dieser Funktion wird sichergestellt, dass die von Ihnen erstellten Anwendungskonten und das Verwaltungskonto Metriken in den Incident- und Analyse-Dashboards anzeigen und bearbeiten können.

  8. Erstellen Sie einen kontenübergreifenden EventBridge Amazon-Eventbus. Schritte und Informationen finden Sie unter EventBridge Amazon-Ereignisse zwischen AWS Konten senden und empfangen. Anschließend können Sie diesen Event-Bus verwenden, um Ereignisregeln zu erstellen, die Vorfälle in Anwendungskonten erkennen und Vorfälle im Verwaltungskonto erstellen.

Einschränkungen

Im Folgenden sind die Einschränkungen der kontenübergreifenden Funktionalität von Incident Manager bekannt:

  • Das Konto, das eine Analyse nach dem Vorfall erstellt, ist das einzige Konto, das diese einsehen und ändern kann. Wenn Sie ein Anwendungskonto verwenden, um eine Analyse nach einem Vorfall zu erstellen, können nur Mitglieder dieses Kontos diese einsehen und ändern. Das Gleiche gilt, wenn Sie ein Verwaltungskonto verwenden, um eine Analyse nach einem Vorfall zu erstellen.

  • Timeline-Ereignisse werden für Automatisierungsdokumente, die in Anwendungskonten ausgeführt werden, nicht aufgefüllt. Aktualisierungen von Automatisierungsdokumenten, die in Anwendungskonten ausgeführt werden, sind auf der Registerkarte Runbook des Vorfalls sichtbar.

  • Amazon Simple Notification Service-Themen können nicht kontoübergreifend verwendet werden. Amazon SNS SNS-Themen müssen in derselben Region und demselben Konto erstellt werden wie der Reaktionsplan, in dem sie verwendet werden. Wir empfehlen, das Verwaltungskonto zu verwenden, um alle SNS-Themen und Reaktionspläne zu erstellen.

  • Eskalationspläne können nur mithilfe von Kontakten im selben Konto erstellt werden. Ein Kontakt, der mit Ihnen geteilt wurde, kann nicht zu einem Eskalationsplan in Ihrem Konto hinzugefügt werden.

  • Schlagworte, die Reaktionsplänen, Vorfalldatensätzen und Kontakten zugewiesen wurden, können nur über das Konto des Ressourcenbesitzers eingesehen und geändert werden.