Gestione degli incidenti tra regioni e più account in Incident Manager - Incident Manager
Gestione degli incidenti in più regioniGestione degli incidenti su più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli incidenti tra regioni e più account in Incident Manager

È possibile configurare Incident Manager, una funzionalità diAWS Systems Manager, per funzionare con più accountRegioni AWS. Questa sezione descrive le best practice, i passaggi di configurazione e le limitazioni note tra diverse aree geografiche e tra account diversi.

Gestione degli incidenti in più regioni

Incident Manager supporta la creazione automatica e manuale di incidenti in diversi Regioni AWS modi. Quando si esegue inizialmente l'onboarding con Incident Manager utilizzando la procedura guidata Get prepared, è possibile specificarne fino a tre Regioni AWS per il set di replica. Per gli incidenti creati automaticamente da Amazon CloudWatch alarms o Amazon EventBridge events, Incident Manager tenta di creare un incidente uguale alla Regione AWS regola dell'evento o all'allarme. Se Incident Manager non è disponibile CloudWatch o EventBridge creerà automaticamente l'incidente in una delle regioni disponibili specificate nel set di replica. Regione AWS

Importante

Tieni presenti queste importanti informazioni.

  • Si consiglia di specificarne almeno due Regioni AWS nel set di replica. Se non si specificano almeno due regioni, il sistema non riuscirà a creare incidenti durante il periodo in cui Incident Manager non è disponibile.

  • Gli incidenti creati da un failover tra regioni non richiamano i runbook specificati nei piani di risposta.

Per ulteriori informazioni sull'onboarding con Incident Manager e sulla specifica di regioni aggiuntive, consulta. Guida introduttiva a Incident Manager

Gestione degli incidenti su più account

Incident Manager utilizza AWS Resource Access Manager (AWS RAM) per condividere le risorse di Incident Manager tra account di gestione e applicazioni. Questa sezione descrive le migliori pratiche tra account, come configurare la funzionalità tra account per Incident Manager e le limitazioni note della funzionalità tra account in Incident Manager.

Un account di gestione è l'account da cui si esegue la gestione delle operazioni. In una configurazione organizzativa, l'account di gestione possiede i piani di risposta, i contatti, i piani di escalation, i runbook e altre risorse. AWS Systems Manager

Un account di applicazione è l'account che possiede le risorse che compongono le applicazioni. Queste risorse possono essere istanze Amazon EC2, tabelle Amazon DynamoDB o qualsiasi altra risorsa utilizzata per creare applicazioni in. Cloud AWS Gli account delle applicazioni possiedono anche gli CloudWatch allarmi Amazon e EventBridge gli eventi Amazon che creano incidenti in Incident Manager.

AWS RAMutilizza le condivisioni di risorse per condividere risorse tra account. È possibile condividere il piano di risposta e contattare le risorse tra account inAWS RAM. Condividendo queste risorse, gli account delle applicazioni e gli account di gestione possono interagire con interventi e incidenti. La condivisione di un piano di risposta consente di condividere tutti gli incidenti passati e futuri creati utilizzando tale piano di risposta. La condivisione di un contatto consente di condividere tutti gli impegni passati e futuri del contatto o del piano di risposta.

Best practice

Segui queste best practice quando condividi le tue risorse di Incident Manager tra più account:

  • Aggiorna regolarmente la condivisione delle risorse con i piani di risposta e i contatti.

  • Esamina regolarmente i principi di condivisione delle risorse.

  • Configura Incident Manager, runbook e canali di chat nel tuo account di gestione.

Imposta e configura la gestione degli incidenti tra account

I passaggi seguenti descrivono come impostare e configurare le risorse di Incident Manager e utilizzarle per la funzionalità tra account. In passato potresti aver configurato alcuni servizi e risorse per la funzionalità tra account. Utilizza questi passaggi come elenco di controllo dei requisiti prima di iniziare il primo incidente utilizzando risorse su più account.

  1. (Facoltativo) Crea organizzazioni e unità organizzative utilizzando. AWS Organizations Segui i passaggi del Tutorial: Creazione e configurazione di un'organizzazione nella Guida per l'AWS Organizationsutente.

  2. (Facoltativo) Utilizzate la funzionalità Systems Manager Quick Setup per configurare AWS Identity and Access Management i ruoli corretti da utilizzare durante la configurazione dei runbook tra account. Per ulteriori informazioni, consulta Quick Setup nella Guida per l'utente di AWS Systems Manager.

  3. Segui i passaggi elencati in Esecuzione di automazioni in più Regioni AWS account nella Guida per l'AWS Systems Managerutente per creare runbook nei documenti di automazione di Systems Manager. Un runbook può essere eseguito da un account di gestione o da uno degli account dell'applicazione. A seconda del caso d'uso, sarà necessario installare il AWS CloudFormation modello appropriato per i ruoli necessari per creare e visualizzare i runbook durante un incidente.

    • Esecuzione di un runbook nell'account di gestione. L'account di gestione deve scaricare e installare il AWS-SystemsManager-AutomationReadOnlyRole CloudFormation modello. Durante l'installazioneAWS-SystemsManager-AutomationReadOnlyRole, specifica gli ID account di tutti gli account dell'applicazione. Questo ruolo consentirà agli account dell'applicazione di leggere lo stato del runbook dalla pagina dei dettagli dell'incidente. L'account dell'applicazione deve installare il AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation modello. La pagina dei dettagli dell'incidente utilizza questo ruolo per ottenere lo stato di automazione dall'account di gestione.

    • Esecuzione di un runbook in un account dell'applicazione. L'account di gestione deve scaricare e installare il AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation modello. Questo ruolo consente all'account di gestione di leggere lo stato del runbook nell'account dell'applicazione. L'account dell'applicazione deve scaricare e installare il AWS-SystemsManager-AutomationReadOnlyRole CloudFormation modello. Durante l'installazioneAWS-SystemsManager-AutomationReadOnlyRole, specificate l'ID dell'account di gestione e degli altri account dell'applicazione. L'account di gestione e gli altri account delle applicazioni assumono questo ruolo per leggere lo stato del runbook.

  4. (Facoltativo) In ogni account dell'applicazione dell'organizzazione, scaricate e installate il AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation modello. Durante l'installazioneAWS-SystemsManager-IncidentManagerIncidentAccessServiceRole, specifica l'ID dell'account di gestione. Questo ruolo fornisce le autorizzazioni necessarie a Incident Manager per accedere alle informazioni sulle AWS CodeDeploy distribuzioni e AWS CloudFormation sugli aggiornamenti dello stack. Queste informazioni vengono riportate come risultati di un incidente se la funzionalità Findings è abilitata. Per ulteriori informazioni, consulta Utilizzo dei risultati in Incident Manager.

  5. Per configurare e creare contatti, piani di escalation, canali di chat e piani di risposta, segui i passaggi descritti in. Preparazione agli incidenti in Incident Manager

  6. Aggiungi i contatti e le risorse del piano di risposta alla condivisione di risorse esistente o a una nuova condivisione di risorse in. AWS RAM Per ulteriori informazioni, consulta Nozioni di base su AWS RAM nella Guida per l'utente di AWS RAM. L'aggiunta di piani di risposta AWS RAM consente agli account delle applicazioni di accedere agli incidenti e ai dashboard degli incidenti creati utilizzando i piani di risposta. Gli account delle applicazioni acquisiscono inoltre la capacità di associare CloudWatch allarmi ed EventBridge eventi a un piano di risposta. L'aggiunta dei contatti e dei piani di escalation AWS RAM consente agli account delle applicazioni di visualizzare le interazioni e coinvolgere i contatti dalla dashboard degli incidenti.

  7. Aggiungi funzionalità multiaccount e interregionali alla tua console. CloudWatch Per i passaggi e le informazioni, consulta la CloudWatch console interregionale per più account nella Amazon CloudWatch User Guide. L'aggiunta di questa funzionalità garantisce che gli account dell'applicazione e l'account di gestione che hai creato possano visualizzare e modificare le metriche dai dashboard degli incidenti e delle analisi.

  8. Crea un bus di EventBridge eventi Amazon per più account. Per passaggi e informazioni, consulta Invio e ricezione di EventBridge eventi Amazon tra AWS account. Puoi quindi utilizzare questo bus di eventi per creare regole di evento che rilevano gli incidenti negli account delle applicazioni e li creano nell'account di gestione.

Limitazioni

Di seguito sono riportate le limitazioni note della funzionalità cross-account di Incident Manager:

  • L'account che crea un'analisi post-incidente è l'unico account che può visualizzarla e modificarla. Se si utilizza un account di applicazione per creare un'analisi post-incidente, solo i membri di tale account possono visualizzarla e modificarla. Lo stesso vale se si utilizza un account di gestione per creare un'analisi post-incidente.

  • Gli eventi della sequenza temporale non vengono compilati per i documenti di automazione eseguiti negli account delle applicazioni. Gli aggiornamenti dei documenti di automazione eseguiti negli account delle applicazioni sono visibili nella scheda Runbook dell'incidente.

  • Gli argomenti di Amazon Simple Notification Service non possono essere utilizzati su più account. Gli argomenti di Amazon SNS devono essere creati nella stessa regione e nello stesso account del piano di risposta in cui vengono utilizzati. Ti consigliamo di utilizzare l'account di gestione per creare tutti gli argomenti e i piani di risposta SNS.

  • I piani di escalation possono essere creati solo utilizzando i contatti dello stesso account. Un contatto che è stato condiviso con te non può essere aggiunto a un piano di escalation del tuo account.

  • I tag applicati ai piani di risposta, ai record degli incidenti e ai contatti possono essere visualizzati e modificati solo dall'account del proprietario della risorsa.