Utilizzo dei runbook di Systems Manager Automation in Incident Manager - Incident Manager
Autorizzazioni IAM necessarie per avviare ed eseguire i flussi di lavoro runbookUtilizzo dei parametri del runbookDefinisci un runbookModello di runbook di Incident Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei runbook di Systems Manager Automation in Incident Manager

È possibile utilizzare i runbook di AWS Systems ManagerAutomation, una funzionalità diAWS Systems Manager, per automatizzare le attività più comuni delle applicazioni e dell'infrastruttura nel proprio ambiente. Cloud AWS

Ogni runbook definisce un flusso di lavoro runbook, composto dalle azioni eseguite da Systems Manager sui nodi gestiti o su altri tipi AWS di risorse. Puoi usare i runbook per automatizzare la manutenzione, l'implementazione e la correzione delle tue risorse. AWS

In Incident Manager, un runbook favorisce la risposta e la mitigazione degli incidenti e si specifica un runbook da utilizzare come parte di un piano di risposta.

Nei tuoi piani di risposta, puoi scegliere tra dozzine di runbook preconfigurati per attività comunemente automatizzate oppure puoi creare runbook personalizzati. Quando si specifica un runbook nella definizione di un piano di risposta, il sistema può avviare automaticamente il runbook all'inizio di un incidente.

Importante

Gli incidenti creati da un failover interregionale non richiamano i runbook specificati nei piani di risposta.

Per ulteriori informazioni su Systems Manager Automation, sui runbook e sull'utilizzo dei runbook con Incident Manager, consulta i seguenti argomenti:

Autorizzazioni IAM necessarie per avviare ed eseguire i flussi di lavoro runbook

Incident Manager richiede le autorizzazioni per eseguire i runbook come parte della risposta agli incidenti. Per fornire queste autorizzazioni, si utilizzano i ruoli AWS Identity and Access Management (IAM), il ruolo del servizio Runbook e l'automazione. AssumeRole

Il ruolo di servizio Runbook è un ruolo di servizio obbligatorio. Questo ruolo fornisce a Incident Manager le autorizzazioni necessarie per accedere e avviare il flusso di lavoro per il runbook.

L'automazione AssumeRole fornisce le autorizzazioni necessarie per eseguire i singoli comandi specificati nel runbook.

Nota

Se non AssumeRole viene specificato alcun valore, Systems Manager Automation tenta di utilizzare il ruolo del servizio Runbook per singoli comandi. Se non specifichi unAssumeRole, devi aggiungere le autorizzazioni necessarie al ruolo del servizio Runbook. Se non lo fai, il runbook non riesce a eseguire questi comandi.

Tuttavia, come best practice di sicurezza, consigliamo di utilizzarne uno separatoAssumeRole. Con un modulo separatoAssumeRole, puoi limitare le autorizzazioni necessarie che devi aggiungere a ciascun ruolo.

Per ulteriori informazioni sull'automazioneAssumeRole, vedere «Configurazione di un ruolo di servizio (assunzione di ruolo) per le automazioni» nella Guida per l'AWS Systems Managerutente.

Puoi creare manualmente entrambi i tipi di ruolo nella console IAM.- Puoi anche lasciare che Incident Manager ne crei uno per te quando crei o aggiorni un piano di risposta.

Autorizzazioni dei ruoli del servizio Runbook

Le autorizzazioni per i ruoli del servizio Runbook vengono fornite tramite una politica simile alla seguente.

La prima istruzione consente a Incident Manager di avviare l'StartAutomationExecutionoperazione di Systems Manager. Questa operazione viene quindi eseguita sulle risorse rappresentate dai tre formati Amazon Resource Name (ARN).

La seconda istruzione consente al ruolo del servizio Runbook di assumere un ruolo in un altro account quando quel runbook viene eseguito nell'account interessato. Per ulteriori informazioni, consulta Esecuzione di automazioni in più Regioni AWS account nella Guida per l'AWS Systems Managerutente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ssm:StartAutomationExecution",
      "Resource": [
        "arn:aws:ssm:*:{{DocumentAccountId}}:automation-definition/{{DocumentName}}:*",
        "arn:aws:ssm:*:{{DocumentAccountId}}:document/{{DocumentName}}:*",
        "arn:aws:ssm:*::automation-definition/{{DocumentName}}:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "ssm.amazonaws.com"
        }
      }
    }
  ]
}
AssumeRoleAutorizzazioni di automazione

Quando crei o aggiorni un piano di risposta, puoi scegliere tra diverse policy AWS gestite da allegare al AssumeRole piano creato da Incident Manager. Queste policy forniscono le autorizzazioni per eseguire una serie di operazioni comuni utilizzate negli scenari runbook di Incident Manager. Puoi scegliere una o più di queste politiche gestite per fornire le autorizzazioni per la tua AssumeRole politica. La tabella seguente descrive le politiche tra cui puoi scegliere quando crei e AssumeRole dalla console di Incident Manager.

Nome della policy gestita da AWS Descrizione della politica
AmazonSSMAutomationRole Concede le autorizzazioni affinché il servizio Systems Manager Automation esegua le attività definite nei runbook. Assegna questa policy agli amministratori e agli utenti più affidabili.
AWSIncidentManagerResolverAccess

Concede agli utenti l'autorizzazione ad avviare, visualizzare e aggiornare gli incidenti. Puoi anche utilizzarli per creare eventi nella cronologia dei clienti e articoli correlati nella dashboard degli incidenti.

È possibile utilizzare queste politiche gestite per concedere autorizzazioni per molti scenari di risposta agli incidenti comuni. Tuttavia, le autorizzazioni richieste per le attività specifiche necessarie possono variare. In questi casi, devi fornire autorizzazioni politiche aggiuntive per il tuoAssumeRole. Per informazioni, consulta il runbook di riferimento di AWS Systems Manager Automation.

Utilizzo dei parametri del runbook

Quando si aggiunge un runbook a un piano di risposta, è possibile specificare i parametri che il runbook deve utilizzare in fase di esecuzione. I piani di risposta supportano parametri con valori statici e dinamici. Per i valori statici, inserisci il valore quando definisci il parametro nel piano di risposta. Per i valori dinamici, il sistema determina il valore corretto del parametro raccogliendo informazioni dall'incidente. Incident Manager supporta i seguenti parametri dinamici:

Incident ARN

Quando Incident Manager crea un incidente, il sistema acquisisce il nome della risorsa Amazon (ARN) del record dell'incidente corrispondente e lo immette per questo parametro nel runbook.

Nota

Questo valore può essere assegnato solo a parametri di tipo String. Se assegnato a un parametro di qualsiasi altro tipo, il runbook non viene eseguito.

Involved resources

Quando Incident Manager crea un incidente, il sistema acquisisce gli ARN delle risorse coinvolte nell'incidente. Questi ARN delle risorse vengono quindi assegnati a questo parametro nel runbook.

Informazioni sulle risorse associate

Incident Manager può compilare i valori dei parametri del runbook con gli ARN delle AWS risorse specificate negli CloudWatch allarmi, negli EventBridge eventi e negli incidenti creati manualmente. Questa sezione descrive i diversi tipi di risorse per le quali Incident Manager può acquisire ARN durante la compilazione di questo parametro.

Allarmi CloudWatch

Quando viene creato un incidente da un'azione di CloudWatch allarme, Incident Manager estrae automaticamente i seguenti tipi di risorse dalle metriche associate. Quindi compila i parametri scelti con le seguenti risorse coinvolte:

Servizio AWS Tipo di risorsa

Amazon DynamoDB

Indici secondari globali

Flussi

Tabelle

Amazon EC2

Immagini

Istanze

AWS Lambda

Alias di funzione

Versioni della funzione

Funzioni

Amazon Relational Database Service (Amazon RDS)

Cluster

Istanze di database

Amazon Simple Storage Service (Amazon S3)

Bucket
Regole EventBridge

Quando il sistema crea un incidente da un EventBridge evento, Incident Manager compila i parametri scelti con la Resources proprietà dell'evento. Per ulteriori informazioni, consulta EventBridgegli eventi Amazon nella Amazon EventBridge User Guide.

Incidenti creati manualmente

Quando si crea un incidente utilizzando l'azione StartIncidentAPI, Incident Manager compila i parametri scelti utilizzando le informazioni nella chiamata API. In particolare, compila i parametri utilizzando gli elementi del tipo INVOLVED_RESOURCE che vengono passati nel relatedItems parametro.

Nota

Il INVOLVED_RESOURCES valore può essere assegnato solo a parametri di tipoStringList. Se assegnato a un parametro di qualsiasi altro tipo, il runbook non viene eseguito.

Definisci un runbook

Quando crei un runbook, puoi seguire i passaggi indicati qui oppure puoi seguire la guida più dettagliata fornita nella sezione Lavorare con i runbook della Guida per l'utente di Systems Manager. Se stai creando un runbook con più account e più regioni, vedi Esecuzione di automazioni in più Regioni AWS account nella Guida per l'utente di Systems Manager.

Definisci un runbook

  1. Aprire la console di Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Documents (Documenti).

  3. Scegliere Create automation (Crea automazione).

  4. Inserisci un nome univoco e identificabile per il runbook.

  5. Inserisci una descrizione del runbook.

  6. Fornisci un ruolo IAM per il documento di automazione da assumere. Ciò consente al runbook di eseguire i comandi automaticamente. Per ulteriori informazioni, vedere Configurazione di un accesso ai ruoli di servizio per i flussi di lavoro di automazione.

  7. (Facoltativo) Aggiungete tutti i parametri di input con cui inizia il runbook. È possibile utilizzare parametri dinamici o statici all'avvio di un runbook. I parametri dinamici utilizzano i valori dell'incidente in cui viene avviato il runbook. I parametri statici utilizzano il valore fornito.

  8. (Facoltativo) Aggiungi un tipo di destinazione.

  9. (Facoltativo) Aggiungi tag.

  10. Compila i passaggi che il runbook eseguirà quando verrà eseguito. Ogni passaggio richiede:

    • un nome;

    • Descrizione dello scopo della fase.

    • L'azione da eseguire durante la fase. I runbook utilizzano il tipo di azione Pausa per descrivere un passaggio manuale.

    • (Facoltativo) Proprietà del comando.

  11. Dopo aver aggiunto tutti i passaggi richiesti del runbook, scegli Crea automazione.

Per abilitare la funzionalità tra account, condividi il runbook nel tuo account di gestione con tutti gli account dell'applicazione che utilizzano il runbook durante un incidente.

Condividi un runbook

  1. Aprire la console di Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Documents (Documenti).

  3. Nell'elenco dei documenti, scegli il documento che desideri condividere, quindi scegli Visualizza dettagli. Nella scheda Permissions (Autorizzazioni), verificare di essere il proprietario del documento. Soltanto il proprietario di un documento può condividerlo.

  4. Scegliere Modifica.

  5. Per condividere il comando pubblicamente, scegliere Public (Pubblico), quindi selezionare Save (Salva). Per condividere il comando privatamente, scegliere Private (Privato), inserire l'ID dell'Account AWS, selezionare Add permission (Aggiungi autorizzazione) e scegliere Save (Salva).

Modello di runbook di Incident Manager

Incident Manager fornisce il seguente modello di runbook per aiutare il tuo team a iniziare a creare runbook nell'automazione di Systems Manager. Puoi utilizzare questo modello così com'è o modificarlo per includere dettagli specifici della tua applicazione e delle tue risorse.

Trova il modello di runbook di Incident Manager

  1. Aprire la console di Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Documents (Documenti).

  3. Nell'area Documenti, inserisci il campo AWSIncidents- di ricerca per visualizzare tutti i runbook di Incident Manager.

    Suggerimento

    AWSIncidents-Immettilo come testo libero anziché utilizzare l'opzione di filtro del prefisso del nome del documento.

Utilizzo di un modello

  1. Aprire la console di Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Documents (Documenti).

  3. Scegli il modello che desideri aggiornare dall'elenco dei documenti.

  4. Scegliete la scheda Contenuto, quindi copiate il contenuto del documento.

  5. Nel pannello di navigazione, scegliere Documents (Documenti).

  6. Scegliere Create automation (Crea automazione).

  7. Inserisci un nome univoco e identificabile.

  8. Scegli la scheda Editor.

  9. Scegliere Modifica.

  10. Incolla o inserisci i dettagli copiati nell'area dell'editor dei documenti.

  11. Scegliere Create automation (Crea automazione).

AWSIncidents-CriticalIncidentRunbookTemplate

AWSIncidents-CriticalIncidentRunbookTemplateÈ un modello che fornisce il ciclo di vita degli incidenti di Incident Manager in passaggi manuali. Questi passaggi sono sufficientemente generici da poter essere utilizzati nella maggior parte delle applicazioni, ma sufficientemente dettagliati per consentire ai soccorritori di iniziare a risolvere gli incidenti.