Incident Manager에서 크로스 리전 및 크로스 계정 인시던트 관리 - Incident Manager
크로스 리전 인시던트 관리크로스 계정 인시던트 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Incident Manager에서 크로스 리전 및 크로스 계정 인시던트 관리

AWS Systems Manager의 기능인 Incident Manager를 구성하여 여러 AWS 리전 및 계정에서 작동하도록 할 수 있습니다. 이 섹션에서는 크로스 리전 및 크로스 계정 모범 사례, 설정 단계, 알려진 제한 사항에 대해 설명합니다.

크로스 리전 인시던트 관리

Incident Manager는 여러 AWS 리전에서 자동 및 수동 인시던트 생성을 지원합니다. 준비하기 마법사를 사용하여 Incident Manager에 처음 온보딩할 때는 복제 세트에 최대 3개까지 AWS 리전을 지정할 수 있습니다. Amazon CloudWatch 경보 또는 Amazon EventBridge 이벤트에 의해 자동으로 생성된 인시던트의 경우, Incident Manager는 이벤트 규칙 또는 경보와 동일한 AWS 리전에서 인시던트를 생성하려고 시도합니다. AWS 리전에서 Incident Manager를 사용할 수 없는 경우 CloudWatch 또는 EventBridge는 복제 세트에 지정된 사용 가능한 리전 중 하나에 인시던트를 자동으로 생성합니다.

중요

다음과 같은 중요 세부 정보에 주의합니다.

  • 복제 세트에 두 개 이상의 AWS 리전을 지정하는 것이 좋습니다. 리전을 두 개 이상 지정하지 않으면 Incident Manager를 사용할 수 없는 기간 동안 시스템에서 인시던트를 생성하지 못합니다.

  • 크로스 리전 장애 조치로 생성된 인시던트는 대응 계획에 지정된 런북을 호출하지 않습니다.

Incident Manager 온보딩 및 추가 리전 지정에 대한 자세한 내용은 Incident Manager 시작하기를 참조하세요.

크로스 계정 인시던트 관리

Incident Manager는 AWS Resource Access Manager(AWS RAM)를 사용하여 관리 및 애플리케이션 계정 전반에서 Incident Manager 리소스를 공유합니다. 이 섹션에서는 크로스 계정 모범 사례, Incident Manager의 크로스 계정 기능을 설정하는 방법, Incident Manager의 크로스 계정 기능에 대한 알려진 제한 사항에 대해 설명합니다.

관리 계정은 운영 관리를 수행하는 데 사용하는 계정입니다. 조직 설정에서 관리 계정은 대응 계획, 연락처, 에스컬레이션 계획, 런북 및 기타 AWS Systems Manager 리소스를 소유합니다.

애플리케이션 계정은 애플리케이션을 구성하는 리소스를 소유하고 있는 계정입니다. 이러한 리소스는 Amazon EC2 인스턴스, Amazon DynamoDB 테이블 또는 AWS 클라우드에서 애플리케이션을 구축하는 데 사용하는 기타 리소스일 수 있습니다. 또한 애플리케이션 계정은 Incident Manager에서 인시던트를 생성하는 Amazon CloudWatch 경보 및 Amazon EventBridge 이벤트를 소유합니다.

AWS RAM은 리소스 공유를 사용하여 계정 간에 리소스를 공유합니다. AWS RAM에서 계정 간에 대응 계획 및 연락처 리소스를 공유할 수 있습니다. 이러한 리소스를 공유하면 애플리케이션 계정과 관리 계정이 참여 및 인시던트와 상호 작용할 수 있습니다. 대응 계획을 공유하면 해당 대응 계획을 사용하여 생성된 모든 과거 및 미래 인시던트를 공유할 수 있습니다. 연락처를 공유하면 연락처 또는 대응 계획의 모든 과거 및 미래 참여가 공유됩니다.

모범 사례

여러 계정에서 Incident Manager 리소스를 공유할 때는 다음 모범 사례를 따르십시오.

  • 대응 계획 및 연락처와 함께 리소스 공유를 정기적으로 업데이트하세요.

  • 리소스 공유 보안 주체를 정기적으로 검토하세요.

  • 관리 계정에서 Incident Manager, 런북, 채팅 채널을 설정하세요.

크로스 계정 인시던트 관리를 설정 및 구성합니다.

다음 단계에서는 Incident Manager 리소스를 설정 및 구성하고 이를 크로스 계정 기능에 사용하는 방법을 설명합니다. 과거에 크로스 계정 기능을 위해 일부 서비스와 리소스를 구성했을 수 있습니다. 크로스 계정 리소스를 사용하여 첫 번째 인시던트를 시작하기 전에 다음 단계를 요구 사항 체크리스트로 활용하세요.

  1. (선택 사항) AWS Organizations를 사용하여 조직 및 조직 단위를 생성합니다. AWS Organizations 사용 설명서의 자습서: 조직 생성 및 구성의 단계를 수행합니다.

  2. (선택 사항) Systems Manager 빠른 설정 기능을 사용하여 크로스 계정 런북을 구성할 때 사용할 올바른 AWS Identity and Access Management 역할을 설정합니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 빠른른 설정을 참조하세요.

  3. AWS Systems Manager사용 설명서의 다중 AWS 리전 및 계정에서 자동화 실행에 나열된 단계에 따라 Systems Manager 자동화 문서에 런북을 생성하십시오. 런북은 관리 계정 또는 애플리케이션 계정 중 하나로 실행할 수 있습니다. 사용 사례에 따라 인시던트 중에 런북을 생성하고 보는 데 필요한 역할에 적합한 AWS CloudFormation 템플릿을 설치해야 합니다.

    • 관리 계정에서 런북 실행 관리 계정은 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 템플릿을 다운로드하고 설치해야 합니다. AWS-SystemsManager-AutomationReadOnlyRole 설치 시 모든 애플리케이션 계정의 계정 ID를 지정하십시오. 이 역할을 통해 애플리케이션 계정은 인시던트 세부 정보 페이지에서 런북의 상태를 읽을 수 있습니다. 애플리케이션 계정이 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 템플릿을 설치해야 합니다. 인시던트 세부 정보 페이지는 이 역할을 사용하여 관리 계정으로부터 자동화 상태를 가져옵니다.

    • 애플리케이션 계정에서 런북 실행. 관리 계정은 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 템플릿을 다운로드하고 설치해야 합니다. 이 역할을 통해 관리 계정은 애플리케이션 계정의 런북 상태를 읽을 수 있습니다. 애플리케이션 계정이 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 템플릿을 다운로드하고 설치해야 합니다. AWS-SystemsManager-AutomationReadOnlyRole 설치 시 관리 계정 및 다른 애플리케이션 계정의 계정 ID를 사용해야 합니다. 관리 계정과 다른 애플리케이션 계정이 이 역할을 수임하여 런북의 상태를 읽습니다.

  4. (선택 사항) 조직의 각 애플리케이션 계정에서 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole CloudFormation 템플릿을 다운로드하고 설치합니다. AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole 설치 시 관리 계정의 계정 ID를 지정합니다. 이 역할은 Incident Manager가 AWS CodeDeploy 배포 및 AWS CloudFormation 스택 업데이트에 대한 정보에 액세스하는 데 필요한 권한을 제공합니다. 조사 결과 기능이 활성화된 경우 이 정보가 인시던트에 대한 조사 결과로 보고됩니다. 자세한 내용은 Incident Manager에서 인시던트 작업 섹션을 참조하세요.

  5. 연락처, 에스컬레이션 계획, 채팅 채널, 대응 계획을 설정하고 생성하려면 Incident Manager에서 인시던트 준비에 설명된 단계를 따르세요.

  6. AWS RAM에서 연락처 및 대응 계획 리소스를 기존 리소스 공유 또는 새 리소스 공유에 추가합니다. 자세한 내용은 AWS RAM 사용 설명서AWS RAM 시작하기를 참조하세요. 대응 계획을 AWS RAM에 애플리케이션 계정이 대응 계획을 사용하여 만든 인시던트 및 인시던트 대시보드에 액세스할 수 있습니다. 또한 애플리케이션 계정은 CloudWatch 경보 및 EventBridge 이벤트를 대응 계획에 연결할 수 있게 됩니다. 연락처 및 에스컬레이션 계획을 AWS RAM에 추가하면 애플리케이션 계정이 인시던트 대시보드에서 참여를 확인하고 연락처를 참여시킬 수 있습니다.

  7. CloudWatch 콘솔에 크로스 계정 크로스 리전 기능을 추가합니다. 단계 및 자세한 내용은 Amazon CloudWatch 사용 설명서크로스 계정 크로스 리전 CloudWatch 콘솔을 참조하세요. 이 기능을 추가하면 생성한 애플리케이션 계정과 관리 계정이 인시던트 및 분석 대시보드에서 지표를 보고 편집할 수 있습니다.

  8. 크로스 계정 Amazon EventBridge 이벤트 버스를 생성합니다. 단계 및 자세한 내용은 AWS 계정 간 Amazon EventBridge 이벤트 전송 및 수신을 참조하세요. 그런 다음 이 이벤트 버스를 사용하여 애플리케이션 계정에서 인시던트를 탐지하고 관리 계정에서 인시던트를 생성하는 이벤트 규칙을 생성할 수 있습니다.

제한 사항

다음은 Incident Manager의 크로스 계정 기능에 대한 알려진 제한 사항입니다.

  • 인시던트 사후 분석을 생성하는 계정은 분석을 보고 변경할 수 있는 유일한 계정입니다. 애플리케이션 계정을 사용하여 인시던트 사후 분석을 만드는 경우 해당 계정의 구성원만 분석을 보고 변경할 수 있습니다. 관리 계정을 사용하여 인시던트 사후 분석을 만드는 경우에도 동일합니다.

  • 애플리케이션 계정에서 실행되는 자동화 문서에는 타임라인 이벤트가 채워지지 않습니다. 애플리케이션 계정에서 실행되는 자동화 문서의 업데이트는 인시던트의 Runbook 탭에서 확인할 수 있습니다.

  • Amazon CloudWatch 리전 및 Amazon EventBridge 이벤트 Amazon SNS 주제는 해당 주제가 사용되는 응답 계획과 동일한 리전 및 계정에서 생성되어야 합니다. 관리 계정을 사용하여 모든 SNS 주제 및 대응 계획을 생성하는 것이 좋습니다.

  • 에스컬레이션 계획은 동일한 계정의 연락처를 사용해서만 생성할 수 있습니다. 공유된 연락처는 계정의 에스컬레이션 플랜에 추가할 수 없습니다.

  • 대응 계획, 인시던트 기록 및 연락처에 적용된 태그는 자원 소유자 계정에서만 보고 수정할 수 있습니다.