OpsCenter と他の AWS サービス との統合
AWS Systems Manager の一機能である OpsCenter は、複数の AWS サービス を統合して、AWS リソースに関する問題を診断して修正します。OpsCenter と統合する前に、AWS サービス を設定する必要があります。
デフォルトでは、次の AWS サービス が OpsCenter と統合されており、OpsItems を自動的に作成できます。
OpsItems を自動的に作成するには、次のサービスを OpsCenter と統合する必要があります。
これらのサービスのいずれかが OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。詳細については、OpsItems を管理するおよびOpsItem の問題を修正するを参照してください。
AWS サービス の詳細および OpsCenter との統合方法については、以下のトピックを参照してください。
トピック
Amazon CloudWatch
Amazon CloudWatch は AWS リソースとサービスをモニタリングし、使用しているすべての AWS サービス でメトリクスを表示します。アラームがアラーム状態になると、CloudWatch は OpsItem を作成します。例えば、Application Load Balancer によって生成された HTTP エラーが急増した場合に、OpsItem を自動的に作成するようにアラームを設定できます。
CloudWatch で OpsItems を作成するように設定できるアラームを以下のリストに示します。
-
Amazon DynamoDB: データベースの読み取りおよび書き込みアクションがしきい値に達する
-
Amazon EC2: CPU 使用率がしきい値に達する
-
AWS 請求: 推定請求額がしきい値に達する
-
Amazon EC2: インスタンスがステータスチェックに失敗する
-
Amazon Elastic Block Store (EBS): ディスク領域の使用率がしきい値に達する
アラームを作成するか、既存のアラームを編集して OpsItem を作成できます。詳細については、「OpsItems を作成するように CloudWatch を設定する」を参照してください。
統合セットアップ使用して OpsCenter を有効にすると、CloudWatch が OpsCenterと統合されます。
Amazon CloudWatch Application Insights
Amazon CloudWatch Application Insights を使用すると、アプリケーションのリソースをモニタリングする最適な条件を設定し、データを継続的に分析してアプリケーションの問題の徴候を検出できます。CloudWatch Application Insights でアプリケーションリソースを設定する際に、システムが OpsCenter で OpsItems を作成するように選択できます。アプリケーションで検出された問題ごとに、OpsCenter コンソールに 1 つの OpsItem が作成されます。詳細については、「Amazon CloudWatch ユーザーガイド」の「モニタリングするアプリケーションをセットアップ、設定、管理する」を参照してください。
注記
2023 年 10 月 16 日以降、CloudWatch Application Insights によって作成された OpsItems のタイトルと説明は、以下の改良されたフォーマットを使用するようになりました。
OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY> OpsItem description: CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>. Problem summary: <PROBLEM SUMMARY> Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page) Problem Status: <PROBLEM STATUS> Insight: <INSIGHT>
以下がその例です。
Amazon DevOps Guru
Amazon DevOps Guru は、機械学習を適用して、運用データ、アプリケーションのメトリクス、およびアプリケーションのイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru を有効にして OpsCenter で OpsItem を生成すると、各インサイトが新しい OpsItem を生成します。OpsItems は OpsCenter を使用して管理することができます。
DevOps Guru は自動的に OpsItems を作成します。Systems Manager の一機能である Quick Setup を使用すると、Amazon DevOps Guru が OpsItemsを作成できるようになります。システムは、AWSServiceRoleForDevOpsGuru AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用して OpsItems を作成します。
OpsCenter とDevOps Guru を統合するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[Quick Setup] を選択します。
-
[DevOps Guru 設定オプションのカスタマイズ] ページで、[ライブラリ] タブをクリックします。
-
[DevOps Guru] ペインで [作成] をクリックします。
-
[設定オプション] で、[AWS Systems Manager OpsItems を有効化] をクリックします。
-
セットアップが完了したら、[作成] をクリックします。
Amazon EventBridge
Amazon EventBridge は、AWS リソースの変更を記述するイベントのストリームを配信します。統合セットアップを使用して OpsCenter を有効にすると、EventBridge と OpsCenter が統合され、デフォルトの EventBridge ルールが有効になります。これらのルールに基づいて、EventBridge が OpsItems を作成します。ルールを使用すると、イベントをフィルターして OpsCenter に振り分けて、調査や修正を行うことができます。
注記
Amazon EventBridge (以前の Amazon CloudWatch Events) は、CloudWatch Events のすべての機能の他に、カスタムイベントバス、サードパーティーのイベントソース、スキーマレジストリなどのいくつかの新機能を提供します。
OpsItem を作成するために EventBridge で 設定できるルールは次のとおりです。
-
Security Hub: セキュリティアラートが発行されました
-
Amazon DynamoDB: スロットリングイベント
-
Amazon Elastic Compute Cloud Auto Scaling: インスタンスの起動に失敗しました
-
Systems Manager: オートメーションを実行できませんでした
-
AWS Health: スケジュールされたメンテナンスのアラート
-
Amazon EC2: インスタンスの状態が実行中から停止に変わりました
必要に応じて、ルールを作成するか、既存のルールを編集して OpsItems ルールを作成できます。ルールを編集して OpsItem を作成する方法については、「EventBridge ルールを設定して OpsItems を作成する」を参照してください。
AWS Config
AWS Config は、AWS アカウント にある AWS リソースの設定詳細ビューを提供します。
AWS Config は OpsCenter と直接統合されません。代わりに、AWS Config が非準拠インスタンスを検出した場合などに、Amazon EventBridge にイベントを送信する AWS Config ルールを作成します。次に、EventBridge は、作成した EventBridge ルールと照らし合わせてそのイベントを評価します。ルールが一致すると、EventBridge はイベントを OpsItem に変換し、宛先 OpsCenter に送信します。
この OpsItem を使用すると、非準拠のリソースの詳細を追跡して、調査アクションを記録し、一貫した改善措置へのアクセスを提供できます。
関連情報
EventBridge ルールを設定して OpsItems を作成する
AWS Systems Manager、OpsCenter、AWS Config を使用してコンプライアンスモニタリングを行う
AWS Security Hub
AWS Security Hub は AWS アカウント やさまざまなサービスからセキュリティデータ、呼び出された検出結果を収集します。Security Hub は、一連のルールを使用して検出結果を検出して生成することで、管理するリソースのセキュリティ問題の特定、優先順位付け、修正を支援します。このトピックで説明されているように統合を設定すると、Systems Manager は OpsCenter の Security Hub 検出結果に対する OpsItems を作成します。
注記
OpsCenter は、Security Hub との双方向の統合を実現しています。つまり、セキュリティの検出結果に基づいて、OpsItem の [ステータス] または [重大度] フィールドを更新すると、システムはその変更を Security Hub と同期します。同様に、検出結果に変更を加えると、OpsCenter の対応する OpsItems 項目に自動的に更新されます。
Security Hub 検出結果から OpsItem を作成すると、Security Hub メタデータが OpsItem の運用データフィールドに自動的に追加されます。このメタデータが削除されると、双方向更新は機能しなくなります。
デフォルトでは、Systems Manager は重大度が Critical と High の検出結果に OpsItems を作成します。また、重要度が Medium および Low の検出結果に対して OpsItems を作成するように OpsCenter を設定することもできます。OpsCenter では、情報提供のための検出結果に対する OpsItems は、修正が必要ないため作成されません。Security Hub 重大度レベルの詳細については、「AWS Security Hub API リファレンス」の「重大度」を参照してください。
開始する前に
Security Hub の検出結果をもとに、OpsItems を作成するよう OpsCenter を設定する前に、Security Hub セットアップタスクを完了したことを確認します。詳細については、AWS Security Hub ユーザーガイドの「Security Hub の設定」を参照してください。
Security Hub と OpsCenter を統合すると、システムは AWSServiceRoleForSystemsManagerOpsDataSync IAM サービスにリンクされたロールを使用して OpsItems を作成します。このロールの詳細については、「ロールを使用して、Explorer の OpsData および OpsItems を作成」を参照してください。
警告
Security Hub と OpsCenter の統合の価格設定に関する重要な情報に注意してください。
-
設定時に Security Hub 管理者アカウントにログインしていて、OpsCenter と Security Hub の統合を設定すると、システムは管理者とすべてのメンバーアカウントの検出結果に OpsItems を作成します。OpsItems は管理者アカウントですべて作成されます。さまざまな要因によっては、これにより AWS から予想外に多額の請求が発生する可能性があります。
統合を設定するときにログインしていたのがメンバーアカウントであった場合、システムは個人のアカウントの検出結果にのみ OpsItems を作成します。Security Hub 管理者アカウント、メンバーアカウント、および検出結果の EventBridge イベントフィードとの関係の詳細については、「AWS Security Hubユーザーガイド」で「EventBridge との Security Hub 統合のタイプ」を参照してください。
-
検出結果が OpsItem を作成するたびに、OpsItem の作成には通常料金がかかります。また、OpsItem を編集した場合や、対応する検出結果が Security Hub で更新された (OpsItem がトリガーされる) 場合にも課金されます。
Security Hub の調査結果に対し OpsCenter を作成するために OpsItems を設定するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[OpsCenter] を選択します。
-
[設定] を選択します。
-
[Security Hub の検出結果] セクションで、[編集] を選択します。
-
スライダーを選択して [無効] を [有効] に変更します。
-
重大度の検出結果が Medium または Low に対して、システムで OpsItems を作成するには、これらのオプションを切り替えます。
-
[Save (保存)] を選択して設定を保存します。
Security Hub の検出結果に対し、システムで OpsItems を作成する必要がなければ、次の手順を使用してください。
Security Hub の検出結果に対する OpsItems の受信を停止するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[OpsCenter] を選択します。
-
[設定] を選択します。
-
[Security Hub の検出結果] セクションで、[編集] を選択します。
-
スライダーを選択して [有効] を [無効] に変更します。スライダーを切り替えられない場合は、AWS アカウント の Security Hub が有効になっていません。
-
[保存] を選択して設定を保存します。OpsCenter は Security Hub の検出結果に基づいて OpsItems を作成しなくなります。
重要
Systems Manager の委任管理者または AWS Organizations 管理アカウントは、Explorer でリソースデータ同期を作成して、複数のアカウントまたは AWS リージョン に対して OpsCenter の Security Hub 検出結果を有効にできます。Explorer で Security Hub ソースが有効になっていて、Security Hub 統合を無効にしたメンバーアカウントをターゲットとするリソースデータ同期が存在する場合、管理者が選択した設定が優先されます。OpsCenter は、Security Hub 検出結果に対して引き続き OpsItems を作成します。リソースデータ同期のターゲットとなるメンバーアカウントで Security Hub 検出結果に対する OpsItems の作成を停止するには、管理者に連絡してリソースデータ同期からアカウントを削除するよう依頼するか、Explorer の Security Hub ソースをオフにします。Explorer での設定の変更については、「Systems Manager Explorer のデータソースを編集する」を参照してください。
Incident Manager
AWS Systems Manager の一機能である Incident Manager は、AWS でホストされたアプリケーションに影響を与えるインシデントを軽減し、回復させるのに役立つインシデント管理コンソールを提供します。インシデントとは、サービスの品質の計画外の中断または低下です。Incident Manager をセットアップして設定すると、システムが OpsCenter で OpsItems を自動的に作成します。
システムが Incident Manager でインシデントを作成すると、OpsCenter で OpsItem も作成され、そのインシデントが関連アイテムとして表示されます。OpsItem が既に存在する場合、Incident Manager は OpsItem を作成しません。この最初の OpsItem は、親 OpsItem と呼ばれます。インシデントの規模と範囲が大きくなる場合は、インシデントを既存の OpsItem に追加できます。必要に応じて、OpsItem のインシデントを手動で作成することができます。インシデントを閉じた後、Incident Manager で分析を作成し、類似した問題に対する改善プロセスの見直しを行い、改善することができます。
デフォルトでは、OpsCenter は Incident Manager と統合されています。Incident Manager が設定されていない場合、OpsCenter ページには Incident Manager を設定するためのメッセージが表示されます。Incident Manager が OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。OpsItem のインシデントを作成する手順については、「OpsItem のインシデントを作成する」を参照してください。
