Uso de los manuales de procedimientos de Systems Manager Automation en Incident Manager - Incident Manager
Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientosUso de los parámetros del manual de procedimientosDefinición de un manual de procedimientosPlantilla de manual de procedimientos de Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de los manuales de procedimientos de Systems Manager Automation en Incident Manager

Puede utilizar manuales de procedimientos de automatización de AWS Systems Manager, una capacidad de AWS Systems Manager, para automatizar tareas comunes de aplicaciones e infraestructuras en su entorno de Nube de AWS.

Cada manual de procedimientos define un flujo de trabajo del manual de procedimientos, que se compone de acciones que Systems Manager realiza en sus nodos administrados o en otros tipos de recursos de AWS. Puede utilizar los manuales de procedimientos para automatizar el mantenimiento, la implementación y la corrección de sus recursos de AWS.

En Incident Manager, un manual de procedimientos dirige la respuesta y mitigación de incidentes, y usted especifica un manual de procedimientos para utilizarlo como parte de un plan de respuesta.

En sus planes de respuesta, puede elegir entre docenas de manuales de procedimientos preconfigurados para tareas automatizadas habituales, o puede crear manuales de procedimientos personalizados. Al especificar un manual de procedimientos en la definición de un plan de respuesta, el sistema puede iniciarlo automáticamente al producirse un incidente.

importante

Los incidentes creados por una conmutación por error entre regiones no invocan los manuales de procedimientos especificados en los planes de respuesta.

Para obtener más información sobre Systems Manager Automation, los manuales de procedimientos y el uso de los mismos con Incident Manager, consulte los siguientes temas:

Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientos

Incident Manager requiere permisos para ejecutar manuales de procedimientos como parte de su respuesta a incidentes. Para proporcionar estos permisos, utiliza los roles de AWS Identity and Access Management (IAM), el Rol de servicio Runbook, y la Automatización de AssumeRole.

El rol de servicio Runbook es un rol de servicio obligatorio. Este rol proporciona a Incident Manager los permisos que necesita para acceder e iniciar el flujo de trabajo del manual de procedimientos.

El AssumeRole de automatización proporciona los permisos necesarios para ejecutar los comandos individuales especificados dentro del manual de procedimientos.

nota

Si no se especifica ningún AssumeRole, Systems Manager Automation intenta utilizar el rol de servicio Runbook para los comandos individuales. Si no especifica un AssumeRole, debe añadir los permisos necesarios al rol de servicio Runbook. Si no lo hace, el manual de procedimientos no podrá ejecutar esos comandos.

Sin embargo, como práctica recomendada en materia de seguridad, recomendamos utilizar un AssumeRole separado. Con un AssumeRole separado, puede limitar los permisos necesarios que debe añadir a cada rol.

Para obtener más información sobre el AssumeRole de automatización, consulte Configuración de un rol de servicio (asumir rol) de acceso para automatizaciones en la Guía del usuario de AWS Systems Manager.

Puede crear usted mismo de forma manual cualquiera de los dos tipos de rol en la consola de IAM. También puede dejar que Incident Manager cree cualquiera de los dos por usted al crear o actualizar un plan de respuesta.

Permisos del rol de servicio Runbook

Los permisos del rol de servicio Runbook se proporcionan a través de una política similar a la siguiente.

La primera declaración permite a Incident Manager iniciar la operación StartAutomationExecution de Systems Manager. A continuación, esta operación se ejecuta en los recursos representados por los tres formatos de nombre de recurso de Amazon (ARN).

La segunda declaración permite que el rol de servicio Runbook asuma un rol en otra cuenta cuando ese manual de procedimientos se ejecuta en la cuenta afectada. Para obtener más información, consulte Ejecución de automatizaciones en múltiples Regiones de AWS y cuentas en la Guía del usuario de AWS Systems Manager.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
Permisos AssumeRole de automatización

Al crear o actualizar un plan de respuesta, puede elegir entre varias políticas administradas de AWS para vincular al AssumeRole que crea Incident Manager. Estas políticas proporcionan permisos para ejecutar una serie de operaciones comunes utilizadas en los escenarios del manual de procedimientos de Incident Manager. Puede elegir una o más de estas políticas administradas para proporcionar permisos a su política AssumeRole. En la siguiente tabla se describen las políticas entre las que puede elegir al crear un AssumeRole desde la consola de Incident Manager.

Nombre de la política administrada de AWS Descripción de la política
AmazonSSMAutomationRole Concede permisos para que el servicio de Systems Manager Automation ejecute las actividades definidas en los manuales de procedimientos. Asigne esta política a los administradores y a los usuarios de confianza avanzados.
AWSIncidentManagerResolverAccess

Concede permiso a los usuarios para iniciar, ver y actualizar incidentes. También puede utilizarlas para crear eventos de línea temporal de clientes y elementos relacionados en el panel de control de incidentes.

Puede utilizar estas políticas administradas para conceder permisos para muchos escenarios comunes de respuesta a incidentes. Sin embargo, los permisos requeridos para las tareas específicas que necesite pueden variar. En estos casos, debe proporcionar permisos de políticas adicionales para su AssumeRole. Para obtener información, consulte la Referencia del manual de procedimientos de automatización de AWS Systems Manager.

Uso de los parámetros del manual de procedimientos

Cuando se añade un manual de procedimiento a un plan de respuesta, se pueden especificar los parámetros que el manual debe utilizar en tiempo de puesta en marcha. Los planes de respuesta admiten parámetros con valores tanto estáticos como dinámicos. Para los valores estáticos, se introduce el valor cuando se define el parámetro en el plan de respuesta. En el caso de los valores dinámicos, el sistema determina el valor correcto del parámetro recopilando información del incidente. Incident Manager es compatible con los siguientes parámetros dinámicos:

Incident ARN

Cuando Incident Manager crea un incidente, el sistema captura el nombre de recurso de Amazon (ARN) del registro de incidentes correspondiente y lo ingresa para este parámetro en el manual de procedimiento.

nota

Este valor solo puede asignarse a parámetros de tipo String. Si se asigna a un parámetro de cualquier otro tipo, el manual no se pone en marcha.

Involved resources

Cuando Incident Manager crea un incidente, el sistema captura los ARN de los recursos involucrados en el incidente. Estos recursos ARN se asignan a este parámetro en el manual de procedimiento.

Acerca de los recursos asociados

Incident Manager puede rellenar los valores de los parámetros del manual de procedimientos con los ARN de los recursos de AWS especificados en alarmas de CloudWatch, eventos de EventBridge e incidentes creados manualmente. En esta sección se describen los distintos tipos de recursos para los que Incident Manager puede capturar ARN al rellenar este parámetro.

Alarmas de CloudWatch

Al crearse un incidente a partir de una acción de alarma de CloudWatch, Incident Manager extrae automáticamente los siguientes tipos de recursos de las métricas asociadas. A continuación, rellena los parámetros elegidos con los siguientes recursos implicados:

Servicio de AWS Tipo de recurso

Amazon DynamoDB

Índices secundarios globales

flujos

Tablas

Amazon EC2

Imágenes

Instancias

AWS Lambda

Aliases de rol

Versiones de funciones

Funciones

Amazon Relational Database Service (Amazon RDS)

Clústeres

Instancias de base de datos

Amazon Simple Storage Service (Amazon S3)

Buckets
Reglas de EventBridge

Cuando el sistema crea un incidente a partir de un evento de EventBridge, Incident Manager rellena los parámetros elegidos con la propiedad Resources del evento. Para obtener más información, consulte Eventos de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.

Incidentes creados manualmente

Al crear un incidente mediante la acción StartIncident de la API, Incident Manager rellena los parámetros elegidos utilizando la información de la llamada a la API. En concreto, rellena los parámetros utilizando elementos de tipo INVOLVED_RESOURCE que se pasan en el parámetro relatedItems.

nota

El valor INVOLVED_RESOURCES solo puede asignarse a parámetros de tipo StringList. Si se asigna a un parámetro de cualquier otro tipo, el manual no se pone en marcha.

Definición de un manual de procedimientos

Al crear un manual de procedimientos, puede seguir los pasos que se proporcionan aquí, o seguir la guía más detallada que se proporciona en la sección Uso de los manuales de procedimientos de la Guía del usuario de Systems Manager. Si va a crear un manual de procedimientos para varias cuentas y regiones, consulte Ejecución de automatizaciones en múltiples Regiones de AWS y cuentas en la Guía del usuario de Systems Manager.

Definición de un manual de procedimientos

  1. Abra la consola de Administrador de sistemas en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. Elija Create automation (Crear automatización).

  4. Introduzca un nombre de manual de procedimientos único e identificable.

  5. Introduzca una descripción del manual de procedimientos.

  6. Proporcione un rol de IAM para que el documento de automatización lo asuma. Esto permite al manual de procedimientos ejecutar comandos automáticamente. Para obtener más información, consulte Configuración de un acceso de rol de servicio para flujos de trabajo de automatización.

  7. (Opcional) Añada cualquier parámetro de entrada con el que se inicie el manual de procedimientos. Puede utilizar parámetros dinámicos o estáticos al iniciar un manual de procedimientos. Los parámetros dinámicos utilizan valores del incidente en el que se inicia el manual de procedimientos. Los parámetros estáticos utilizan el valor que usted proporciona.

  8. (Opcional) Añada un tipo de Objetivo.

  9. (Opcional) Añada etiquetas.

  10. Complete los pasos que el manual de procedimientos seguirá al ejecutarse. Cada paso requiere:

    • Un nombre.

    • Una descripción del propósito del paso.

    • La acción que se va a ejecutar durante el paso. Los manuales de procedimientos utilizan el tipo de acción Pausa para describir un paso manual.

    • (Opcional) Propiedades del comando.

  11. Después de añadir todos los pasos necesarios del manual de procedimientos, elija Crear automatización.

Para habilitar la funcionalidad multicuentas, comparta el manual de procedimientos de su cuenta de administración con todas las cuentas de la aplicación que utilicen el manual de procedimientos durante un incidente.

Uso compartido de un manual de procedimientos

  1. Abra la consola de Administrador de sistemas en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documents.

  3. En la lista de documentos, elija el documento que desee compartir y, a continuación, elija Ver detalles. En la pestaña Permissions (Permisos), verifique que es usted el propietario del documento. Solo el propietario del documento puede compartirlo.

  4. Elija Editar.

  5. Para compartir el comando públicamente, seleccione Public (Público) y, a continuación, Save (Guardar). Para compartir el comando de forma privada, elija Private (Privado), ingrese el ID de Cuenta de AWS, elija Add permission (Agregar permiso) y, a continuación, elija Save (Guardar).

Plantilla de manual de procedimientos de Incident Manager

Incident Manager proporciona la siguiente plantilla de manual de procedimientos para ayudar a su equipo a empezar a crear manuales de procedimientos en Systems Manager Automation. Puede utilizar esta plantilla tal cual o editarla para incluir detalles específicos de su aplicación y sus recursos.

Localización de la plantilla de manual de procedimientos de Incident Manager

  1. Abra la consola de Administrador de sistemas en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documents.

  3. En el área Documentos, introduzca AWSIncidents- en el campo de búsqueda para mostrar todos los manuales de procedimientos de Incident Manager.

    sugerencia

    Introduzca AWSIncidents- como texto libre en lugar de utilizar la opción de filtro Prefijo de nombre de documento.

Uso de una plantilla

  1. Abra la consola de Administrador de sistemas en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documentos.

  3. Elija la plantilla que desee actualizar en la lista de documentos.

  4. Elija la pestaña Contenido y, a continuación, copie el contenido del documento.

  5. En el panel de navegación, elija Documentos.

  6. Elija Create automation (Crear automatización).

  7. Introduzca un nombre único e identificable.

  8. Elija la pestaña Editor.

  9. Elija Editar.

  10. Pegue o introduzca los datos copiados en el área Editor de documentos.

  11. Elija Create automation (Crear automatización).

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplate es una plantilla que proporciona el ciclo de vida de Incident Manager en pasos manuales. Estos pasos son suficientemente genéricos como para utilizarlos en la mayoría de las aplicaciones, pero también suficientemente detallados como para que los respondedores puedan iniciarse en la resolución de incidentes.