Arbeiten mit Systems Manager Automation-Runbooks in Incident Manager

Sie können Runbooks von AWS Systems ManagerAutomation, einer Funktion von, verwendenAWS Systems Manager, um allgemeine Anwendungs- und Infrastrukturaufgaben in Ihrer AWS Cloud Umgebung zu automatisieren.

Jedes Runbook definiert einen Runbook-Workflow, der sich aus den Aktionen zusammensetzt, die Systems Manager auf Ihren verwalteten Knoten oder anderen AWS Ressourcentypen ausführt. Sie können Runbooks verwenden, um die Wartung, Bereitstellung und Problembehebung Ihrer AWS Ressourcen zu automatisieren.

In Incident Manager steuert ein Runbook die Reaktion auf Vorfälle und deren Abwehr, und Sie geben ein Runbook an, das als Teil eines Reaktionsplans verwendet werden soll.

In Ihren Reaktionsplänen können Sie aus Dutzenden von vorkonfigurierten Runbooks für häufig automatisierte Aufgaben wählen oder benutzerdefinierte Runbooks erstellen. Wenn Sie in einer Reaktionsplandefinition ein Runbook angeben, kann das System das Runbook automatisch starten, wenn ein Vorfall beginnt.

Wichtig

Durch einen regionsübergreifenden Failover verursachte Vorfälle rufen keine in den Reaktionsplänen angegebenen Runbooks auf.

Weitere Informationen zu Systems Manager Automation, Runbooks und der Verwendung von Runbooks mit Incident Manager finden Sie in den folgenden Themen:

• Informationen zum Hinzufügen eines Runbooks zu einem Reaktionsplan finden Sie unterArbeiten mit Reaktionsplänen in Incident Manager.

• Weitere Informationen zu Runbooks finden Sie unter AWS Systems ManagerAutomatisierung im AWS Systems ManagerBenutzerhandbuch und in der AWS Systems ManagerAutomation-Runbook-Referenz.

• Informationen zu den Kosten für die Verwendung von Runbooks finden Sie unter Systems Manager-Preise.

• Informationen zum automatischen Aufrufen von Runbooks, wenn ein Incident durch einen CloudWatch Amazon-Alarm oder ein EventBridge Amazon-Ereignis ausgelöst wird, finden Sie unter Tutorial: Verwenden von Systems Manager Automation-Runbooks mit Incident Manager.

IAM-Berechtigungen sind erforderlich, um Runbook-Workflows zu starten und auszuführen

Incident Manager benötigt Berechtigungen, um Runbooks als Teil Ihrer Incident-Response ausführen zu können. Um diese Berechtigungen bereitzustellen, verwenden Sie AWS Identity and Access Management (IAM-) Rollen, die Runbook-Servicerolle und die Automatisierung. AssumeRole

Die Runbook-Servicerolle ist eine erforderliche Servicerolle. Diese Rolle gewährt dem Incident Manager die Berechtigungen, die er benötigt, um auf den Workflow für das Runbook zuzugreifen und ihn zu starten.

Die Automatisierung AssumeRole bietet die erforderlichen Berechtigungen, um die einzelnen Befehle auszuführen, die im Runbook angegeben sind.

Anmerkung

Wenn nein angegeben AssumeRole ist, versucht Systems Manager Automation, die Runbook-Servicerolle für einzelne Befehle zu verwenden. Wenn Sie keine angebenAssumeRole, müssen Sie der Runbook-Servicerolle die erforderlichen Berechtigungen hinzufügen. Wenn Sie dies nicht tun, kann das Runbook diese Befehle nicht ausführen.

Aus Sicherheitsgründen empfehlen wir jedoch, eine separate Methode zu verwendenAssumeRole. Mit einer separaten AssumeRole Funktion können Sie die erforderlichen Berechtigungen einschränken, die Sie jeder Rolle hinzufügen müssen.

Weitere Informationen zur Automatisierung AssumeRole finden Sie unter „Konfiguration eines Zugriffs mit einer Servicerolle (Rolle übernehmen) für Automatisierungen“ im AWS Systems ManagerBenutzerhandbuch.

Sie können beide Rollentypen manuell selbst in der IAM-Konsole erstellen.- Sie können Incident Manager auch einen Rollentyp für Sie erstellen lassen, wenn Sie einen Reaktionsplan erstellen oder aktualisieren.

Berechtigungen für Runbook-Servicerolle

Runbook-Servicerollenberechtigungen werden über eine Richtlinie bereitgestellt, die der folgenden ähnelt.

Die erste Anweisung ermöglicht es Incident Manager, den Systems StartAutomationExecution Manager-Betrieb zu starten. Dieser Vorgang wird dann auf Ressourcen ausgeführt, die durch die drei Amazon Resource Name (ARN) -Formate repräsentiert werden.

Die zweite Anweisung ermöglicht es der Runbook-Servicerolle, eine Rolle in einem anderen Konto anzunehmen, wenn dieses Runbook in dem betroffenen Konto ausgeführt wird. Weitere Informationen finden Sie im Benutzerhandbuch unter Automatisierungen in mehreren AWS-Regionen Endkonten ausführen. AWS Systems Manager

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}

AssumeRole Automatisierungsberechtigungen

Wenn Sie einen Reaktionsplan erstellen oder aktualisieren, können Sie aus mehreren AWS verwalteten Richtlinien wählen, die Sie an AssumeRole die vom Incident Manager erstellten Richtlinien anhängen möchten. Diese Richtlinien gewähren Berechtigungen zur Ausführung einer Reihe gängiger Operationen, die in Incident Manager-Runbook-Szenarien verwendet werden. Sie können eine oder mehrere dieser verwalteten Richtlinien auswählen, um Berechtigungen für Ihre AssumeRole Richtlinie bereitzustellen. In der folgenden Tabelle werden die Richtlinien beschrieben, aus denen Sie bei der Erstellung und in der Incident Manager-Konsole wählen können. AssumeRole

Name der von AWS verwalteten Richtlinie	Beschreibung der Richtlinie
AmazonSSMAutomationRole	Erteilt dem Systems Manager Automation-Dienst Berechtigungen zum Ausführen von Aktivitäten, die in Runbooks definiert sind. Weisen Sie diese Richtlinie Administratoren und vertrauenswürdigen Hauptbenutzern zu.
AWSIncidentManagerResolverAccess	Erteilt Benutzern die Berechtigung, Vorfälle zu starten, anzusehen und zu aktualisieren. Sie können sie auch verwenden, um im Incident-Dashboard Kunden-Timeline, Ereignisse und verwandte Elemente zu erstellen.

Sie können diese verwalteten Richtlinien verwenden, um Berechtigungen für viele gängige Szenarien zur Reaktion auf Vorfälle zu gewähren. Die für die spezifischen Aufgaben, die Sie benötigen, erforderlichen Berechtigungen können jedoch variieren. In diesen Fällen müssen Sie zusätzliche Richtlinienberechtigungen für Ihre bereitstellenAssumeRole. Informationen finden Sie in der AWS Systems ManagerAutomation-Runbook-Referenz.

Arbeiten mit Runbook-Parametern

Wenn Sie einem Antwortplan ein Runbook hinzufügen, können Sie die Parameter angeben, die das Runbook zur Laufzeit verwenden soll. Reaktionspläne unterstützen Parameter mit statischen und dynamischen Werten. Für statische Werte geben Sie den Wert ein, wenn Sie den Parameter im Reaktionsplan definieren. Für dynamische Werte ermittelt das System den richtigen Parameterwert, indem es Informationen aus dem Vorfall sammelt. Incident Manager unterstützt die folgenden dynamischen Parameter:

Incident ARN

Wenn Incident Manager einen Vorfall erstellt, erfasst das System den Amazon-Ressourcennamen (ARN) des entsprechenden Vorfalls-Datensatzes und trägt ihn für diesen Parameter in das Runbook ein.

Anmerkung

Dieser Wert kann nur Parametern des Typs String zugewiesen werden. Wenn er einem Parameter eines anderen Typs zugewiesen wird, kann das Runbook nicht ausgeführt werden.

Involved resources

Wenn Incident Manager einen Vorfall erstellt, erfasst das System die ARNs der an dem Vorfall beteiligten Ressourcen. Diese Ressourcen-ARNs werden dann diesem Parameter im Runbook zugewiesen.

Über zugehörige Ressourcen

Incident Manager kann Runbook-Parameterwerte mit den ARNs der AWS Ressourcen füllen, die in CloudWatch Alarmen, EventBridge Ereignissen und manuell erstellten Incidents angegeben sind. In diesem Abschnitt werden die verschiedenen Arten von Ressourcen beschrieben, für die Incident Manager beim Ausfüllen dieses Parameters ARNs erfassen kann.

CloudWatch-Alarme

Wenn aus einer CloudWatch Alarmaktion ein Vorfall entsteht, extrahiert Incident Manager automatisch die folgenden Arten von Ressourcen aus den zugehörigen Metriken. Anschließend werden die ausgewählten Parameter mit den folgenden beteiligten Ressourcen gefüllt:

AWS-Service	Ressourcentyp
Amazon DynamoDB	Globale sekundäre Indizes Streams Tabellen
Amazon EC2	Images Instances
AWS Lambda	Funktionsaliase Funktionsversionen Funktionen
Amazon Relational Database Service (Amazon RDS)	Cluster Datenbankinstanzen
Amazon Simple Storage Service (Amazon S3)	Buckets

EventBridge-Regeln

Wenn das System aus einem EventBridge Ereignis einen Incident erstellt, füllt der Incident Manager die ausgewählten Parameter mit der Resources Eigenschaft im Ereignis auf. Weitere Informationen finden Sie unter EventBridgeAmazon-Events im EventBridgeAmazon-Benutzerhandbuch.

Manuell erstellte Vorfälle

Wenn Sie mithilfe der StartIncidentAPI-Aktion einen Incident erstellen, füllt der Incident Manager die ausgewählten Parameter anhand der Informationen im API-Aufruf auf. Insbesondere füllt es Parameter auf, indem es Elemente des Typs verwendetINVOLVED_RESOURCE, die im relatedItems Parameter übergeben werden.

Anmerkung

Der INVOLVED_RESOURCES Wert kann nur Parametern vom Typ zugewiesen werdenStringList. Wenn er einem Parameter eines anderen Typs zugewiesen wird, kann das Runbook nicht ausgeführt werden.

Definieren Sie ein Runbook

Wenn Sie ein Runbook erstellen, können Sie die hier aufgeführten Schritte befolgen oder die detailliertere Anleitung im Abschnitt Arbeiten mit Runbooks im Systems Manager-Benutzerhandbuch befolgen. Wenn Sie ein Runbook mit mehreren Konten AWS-Regionenund Regionen erstellen, finden Sie weitere Informationen unter Automatisierungen in mehreren Endkonten ausführen im Systems Manager-Benutzerhandbuch.

Definieren Sie ein Runbook

1. Öffnen Sie die Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

3. Wählen Sie Create automation (Automation erstellen).

4. Geben Sie einen eindeutigen und identifizierbaren Runbook-Namen ein.

5. Geben Sie eine Beschreibung des Runbooks ein.

6. Geben Sie eine IAM-Rolle an, die das Automatisierungsdokument übernehmen soll. Dadurch kann das Runbook Befehle automatisch ausführen. Weitere Informationen finden Sie unter Konfiguration eines Servicerollenzugriffs für Automatisierungs-Workflows.

7. (Optional) Fügen Sie alle Eingabeparameter hinzu, mit denen das Runbook beginnt. Sie können dynamische oder statische Parameter verwenden, wenn Sie ein Runbook starten. Dynamische Parameter verwenden Werte aus dem Incident, bei dem das Runbook gestartet wurde. Statische Parameter verwenden den von Ihnen angegebenen Wert.

8. (Optional) Fügen Sie einen Zieltyp hinzu.

9. (Optional) Fügen Sie Schlagworte hinzu.

10. Geben Sie die Schritte ein, die das Runbook ausführen wird, wenn es ausgeführt wird. Jeder Schritt erfordert:

    • Ein Name.

    • Eine Beschreibung des Zwecks des Schritts.

    • Die Aktion, die während des Schritts ausgeführt werden soll. Runbooks verwenden den Aktionstyp Pause, um einen manuellen Schritt zu beschreiben.

    • (Optional) Befehlseigenschaften.

11. Nachdem Sie alle erforderlichen Runbook-Schritte hinzugefügt haben, wählen Sie Create Automation aus.

Um die kontoübergreifende Funktionalität zu aktivieren, teilen Sie das Runbook in Ihrem Verwaltungskonto mit allen Anwendungskonten, die das Runbook während eines Vorfalls verwenden.

Ein Runbook teilen

1. Öffnen Sie die Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

3. Wählen Sie in der Dokumentenliste das Dokument aus, das Sie teilen möchten, und wählen Sie dann Details anzeigen. Überprüfen Sie dann auf der Registerkarte Permissions, ob Sie der Besitzer des Dokuments sind. Nur der Eigentümer eines Dokuments kann ein Dokument freigeben.

4. Wählen Sie Edit (Bearbeiten) aus.

5. Um den Befehl öffentlich freizugeben, wählen Sie Public und dann die Option Save. Wählen Sie zur privaten Freigabe des Befehls die Option Private aus, geben Sie die AWS-Konto-ID ein und wählen Sie Add permission sowie anschließend die Option Save aus.

Incident Manager-Runbook-Vorlage

Incident Manager stellt die folgende Runbook-Vorlage bereit, um Ihrem Team zu helfen, mit der Erstellung von Runbooks in Systems Manager Automation zu beginnen. Sie können diese Vorlage unverändert verwenden oder sie bearbeiten, um spezifische Informationen zu Ihrer Anwendung und Ihren Ressourcen hinzuzufügen.

Suchen Sie nach der Incident Manager-Runbook-Vorlage

1. Öffnen Sie die Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

3. Geben Sie AWSIncidents- im Bereich Dokumente das Suchfeld ein, um alle Incident Manager-Runbooks anzuzeigen.

   Tipp

   Geben Sie den Text AWSIncidents- als freien Text ein, anstatt die Filteroption für das Präfix für den Dokumentennamen zu verwenden.

Verwenden einer Vorlage

1. Öffnen Sie die Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

3. Wählen Sie die Vorlage, die Sie aktualisieren möchten, aus der Dokumentenliste aus.

4. Wählen Sie die Registerkarte Inhalt und kopieren Sie dann den Inhalt des Dokuments.

5. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

6. Wählen Sie Create automation (Automation erstellen).

7. Geben Sie einen eindeutigen und identifizierbaren Namen ein.

8. Wählen Sie den Tab Editor.

9. Wählen Sie Edit (Bearbeiten) aus.

10. Fügen Sie die kopierten Details in den Bereich des Dokumenteditors ein oder geben Sie sie ein.

11. Wählen Sie Create automation (Automation erstellen).

AWSIncidents-CriticalIncidentRunbookTemplate

Das AWSIncidents-CriticalIncidentRunbookTemplate ist eine Vorlage, die den Incident Manager-Incident-Lebenszyklus in manuellen Schritten darstellt. Diese Schritte sind allgemein genug, um sie in den meisten Anwendungen zu verwenden, aber detailliert genug, damit die Einsatzkräfte mit der Problemlösung beginnen können.