Administración de incidentes entre regiones y entre cuentas en Incident Manager - Incident Manager
Administración de incidentes entre regionesAdministración de incidentes entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de incidentes entre regiones y entre cuentas en Incident Manager

Puede configurar Incident Manager, una capacidad de AWS Systems Manager, para que funcione con múltiples Regiones de AWS y cuentas. En esta sección se describen las prácticas recomendadas, los pasos de configuración y las limitaciones conocidas entre regiones y entre cuentas.

Administración de incidentes entre regiones

Incident Manager admite la creación automatizada y manual de incidentes en múltiples Regiones de AWS. Al incorporar por primera vez Incident Manager mediante el asistente Preparación, puede especificar hasta tres Regiones de AWS para su conjunto de réplica. Para incidentes creados automáticamente por alarmas de Amazon CloudWatch o eventos de Amazon EventBridge, Incident Manager intenta crear un incidente en la misma Región de AWS que la regla o alarma del evento. Si Incident Manager no esté disponible en la Región de AWS, CloudWatch o EventBridge crearán automáticamente el incidente en una de las regiones disponibles especificadas en su conjunto de réplica.

importante

Tenga en cuenta los siguientes detalles importantes.

  • Le recomendamos que especifique al menos dos Regiones de AWS en su conjunto de réplica. Si no especifica al menos dos regiones, el sistema no podrá crear incidentes durante el periodo en que Incident Manager no esté disponible.

  • Los incidentes creados por una conmutación por error entre regiones no invocan los manuales de procedimientos especificados en los planes de respuesta.

Para obtener más información sobre la iniciación con Incident Manager y la especificación de regiones adicionales, consulte Introducción a Incident Manager.

Administración de incidentes entre cuentas

Incident Manager utiliza AWS Resource Access Manager (AWS RAM) para compartir recursos de Incident Manager entre cuentas de administración y de aplicaciones. En esta sección se describen las prácticas recomendadas entre cuentas, cómo configurar la funcionalidad entre cuentas y las limitaciones conocidas de funcionalidad entre cuentas en Incident Manager.

Una cuenta de administración es la cuenta desde la que se administran las operaciones. En la configuración de una organización, la cuenta de administración es la propietaria de los planes de respuesta, los contactos, los planes de escalada, los manuales de procedimientos y otros recursos de AWS Systems Manager.

Una cuenta de aplicación es la cuenta propietaria de los recursos que componen sus aplicaciones. Estos recursos pueden ser instancias de Amazon EC2, tablas de Amazon DynamoDB o cualquiera de los otros recursos que utiliza para crear aplicaciones en la Nube de AWS. Las cuentas de aplicaciones también son propietarias de las alarmas de Amazon CloudWatch y los eventos de Amazon EventBridge que crean incidentes en Incident Manager.

AWS RAM utiliza el uso compartido de recursos para compartir recursos entre cuentas. Puede compartir el plan de respuesta y los recursos de contacto entre cuentas en AWS RAM. Al compartir estos recursos, las cuentas de aplicación y las cuentas de administración pueden interactuar con las participaciones y los incidentes. Al compartir un plan de respuesta se comparten todos los incidentes pasados y futuros creados mediante ese plan de respuesta. Al compartir un contacto se comparten todas las participaciones pasadas y futuras del contacto o del plan de respuesta.

Prácticas recomendadas

Observe estas prácticas recomendadas al compartir recursos de Incident Manager entre cuentas:

  • Actualice regularmente el uso compartido de recursos con los planes de respuesta y los contactos.

  • Revise regularmente las entidades principales del recurso compartido.

  • Configure Incident Manager, los manuales de procedimientos y los canales de chat en su cuenta de administración.

Instalación y configuración de la administración de incidentes entre cuentas

Los siguientes pasos describen cómo instalar y configurar los recursos de Incident Manager y utilizarlos para la funcionalidad entre cuentas. Es posible que ya haya configurado anteriormente algunos servicios y recursos para la funcionalidad entre cuentas. Utilice estos pasos como una lista de comprobación de los requisitos antes de iniciar su primer incidente utilizando recursos entre cuentas.

  1. (Opcional) Cree organizaciones y unidades organizativas con AWS Organizations. Siga los pasos del Tutorial: Creación y configuración de una organización en la Guía del usuario de AWS Organizations.

  2. (Opcional) Utilice la función de configuración rápida de Systems Manager para configurar los roles de AWS Identity and Access Management correctos para que los utilice al configurar sus manuales de procedimientos entre cuentas. Para obtener más información, consulte Configuración rápida en la Guía del usuario de AWS Systems Manager.

  3. Siga los pasos indicados en Ejecución de automatizaciones en múltiples Regiones de AWS y cuentas de la Guía del usuario de AWS Systems Manager para crear manuales de procedimientos en sus documentos de automatización de Systems Manager. Un manual de procedimientos puede ser ejecutado por una cuenta de administración o por una de sus cuentas de aplicación. En función de su caso de uso, necesitará instalar la plantilla de AWS CloudFormation adecuada para los roles necesarios a fin de crear y ver los manuales de procedimientos durante un incidente.

    • Ejecución de un manual de procedimientos en la cuenta de administración. La cuenta de administración debe descargar e instalar la plantilla de CloudFormation AWS-SystemsManager-AutomationReadOnlyRole. Al instalar AWS-SystemsManager-AutomationReadOnlyRole, especifique los ID de cuenta de todas las cuentas de aplicaciones. Este rol permitirá a sus cuentas de aplicación leer el estado del manual de procedimientos desde la página de detalles del incidente. La cuenta de aplicación debe instalar la plantilla de CloudFormation AWS-SystemsManager-AutomationAdministrationReadOnlyRole. La página de detalles del incidente utiliza este rol para obtener el estado de la automatización de la cuenta de administración.

    • Ejecución de un manual de procedimientos en una cuenta de aplicación. La cuenta de administración debe descargar e instalar la plantilla de CloudFormation AWS-SystemsManager-AutomationAdministrationReadOnlyRole. Este rol permite a la cuenta de administración leer el estado del manual de procedimientos en la cuenta de aplicación. La cuenta de aplicación debe descargar e instalar la plantilla de CloudFormation AWS-SystemsManager-AutomationReadOnlyRole. Al instalar AWS-SystemsManager-AutomationReadOnlyRole, especifique el ID de cuenta de la cuenta de administración y de otras cuentas de aplicación. La cuenta de administración y otras cuentas de aplicación asumen este rol para leer el estado del manual de procedimientos.

  4. (Opcional) En cada cuenta de aplicación de la organización, descargue e instale la plantilla de CloudFormation AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole. Al instalar AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole, especifique el ID de cuenta de la cuenta de administración. Este rol proporciona los permisos que Incident Manager necesita para acceder a la información sobre las implementaciones de AWS CodeDeploy y las actualizaciones de la pila de AWS CloudFormation. Esta información se notifica como resultados de un incidente si la característica Resultados está habilitada. Para obtener más información, consulte Uso de los resultados en Incident Manager.

  5. Para configurar y crear contactos, planes de escalada, canales de chat y planes de respuesta, siga los pasos que se detallan en Preparación para incidentes en Incident Manager.

  6. Añada sus contactos y recursos de planes de respuesta a su recurso compartido existente o a un nuevo recurso compartido en AWS RAM. Para obtener más información, consulte el Tutorial de introducción a AWS RAM en la Guía del usuario de AWS RAM. La adición de planes de respuesta a AWS RAM permite a las cuentas de aplicación acceder a los incidentes y a los paneles de control de incidentes creados mediante los planes de respuesta. Las cuentas de aplicación también obtienen la capacidad de asociar alarmas de CloudWatch y eventos de EventBridge a un plan de respuesta. La adición de los contactos y los planes de escalado a AWS RAM permite a las cuentas de aplicación ver las participaciones e involucrar a los contactos desde el panel de control de incidentes.

  7. Añada a su consola de CloudWatch la funcionalidad entre cuentas y entre regiones. Para conocer los pasos y obtener información, consulte Consola de CloudWatch entre cuentas y entre regiones en la Guía del usuario de Amazon CloudWatch. La adición de esta funcionalidad garantiza que las cuentas de la aplicación y la cuenta de administración que haya creado puedan ver y editar las métricas de los paneles de control de incidentes y análisis.

  8. Cree un bus de eventos de Amazon EventBridge entre cuentas. Para conocer los pasos y obtener información, consulte Envío y recepción de eventos de Amazon EventBridge entre cuentas de AWS. A continuación, puede utilizar este bus de eventos para crear reglas de eventos que detecten incidentes en las cuentas de aplicaciones y creen incidentes en la cuenta de administración.

Limitaciones

A continuación se indican las limitaciones conocidas de la funcionalidad entre cuentas de Incident Manager:

  • La cuenta que crea un análisis post-incidente es la única que puede verlo y modificarlo. Si utiliza una cuenta de aplicación para crear un análisis post-incidente, solo los miembros de esa cuenta podrán verlo y modificarlo. Lo mismo ocurre si utiliza una cuenta de administración para crear un análisis post-incidente.

  • Los eventos de línea temporal no se rellenan para los documentos de automatización ejecutados en cuentas de aplicación. Las actualizaciones de los documentos de automatización ejecutados en las cuentas de aplicación son visibles en la pestaña Manual de procedimientos de la incidencia.

  • Los temas de Amazon Simple Notification Service no se pueden utilizar entre cuentas. Los temas de Amazon SNS se deben crear en la misma región y cuenta que el plan de respuesta en el que se utiliza. Recomendamos utilizar la cuenta de administración para crear todos los temas de SNS y planes de respuesta.

  • Los planes de escalada solo se pueden crear utilizando contactos de la misma cuenta. No es posible añadir un contacto que se haya compartido con usted a un plan de escalada de su cuenta.

  • Las etiquetas aplicadas a los planes de respuesta, los registros de incidentes y los contactos solo pueden verse y modificarse desde la cuenta del propietario del recurso.