Incident management entre regiões e entre contas no Incident Manager - Incident Manager
Incident management entre regiõesGerenciamento de incidentes entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Incident management entre regiões e entre contas no Incident Manager

Você pode configurar o Incident Manager, um recurso do AWS Systems Manager, para lidar com várias Regiões da AWS e contas. Esta seção descreve as práticas recomendadas, etapas de configuração e limitações conhecidas ao trabalhar entre regiões e entre contas.

Incident management entre regiões

O Incident Manager oferece suporte à criação automática e manual de incidentes em várias Regiões da AWS. Ao se integrar inicialmente ao Incident Manager usando o assistente Prepare-se, você pode especificar até três Regiões da AWS no conjunto de replicação. Para incidentes automaticamente criados por alarmes do Amazon CloudWatch ou eventos do Amazon EventBridge, o Incident Manager cria um incidente na mesma Região da AWS como a regra de alarme ou evento. Se o Incident Manager não estiver disponível na Região da AWS, o CloudWatch ou o EventBridge criarão automaticamente o incidente em uma das regiões disponíveis especificadas no conjunto de replicação.

Importante

Observe os seguintes detalhes importantes.

  • Recomendamos que você especifique pelo menos duas Regiões da AWS no conjunto de replicação. Se você não especificar pelo menos duas regiões, o sistema falhará em criar incidentes durante o período em que o Incident Manager não estiver disponível.

  • Os incidentes criados por um failover entre regiões não invocam os runbooks especificados nos planos de resposta.

Para obter mais informações sobre integração com o Incident Manager e especificação de regiões adicionais, consulte Conceitos básicos do Incident Manager.

Gerenciamento de incidentes entre contas

O Incident Manager usa AWS Resource Access Manager (AWS RAM) para compartilhar os recursos do Incident Manager entre contas de gerenciamento e aplicativos. Esta seção descreve as práticas recomendadas entre contas, como configurar a funcionalidade entre contas para o Incident Manager e as limitações conhecidas da funcionalidade entre contas no Incident Manager.

Uma conta de gerenciamento é a conta na qual você executa o gerenciamento de operações. No caso de uma organização, a conta de gerenciamento é proprietária dos planos de resposta, contatos, planos de escalação, runbooks e outros recursos do AWS Systems Manager.

A conta de aplicativo é a conta que controla os recursos que compõem os seus aplicativos. Esses recursos podem ser instâncias do Amazon EC2, tabelas do Amazon DynamoDB ou qualquer outro recurso que você usa para criar aplicativos no Nuvem AWS. As contas de aplicativo também controlam os alarmes do Amazon CloudWatch e os do Amazon EventBridge que criam incidentes no Incident Manager.

O AWS RAM usa compartilhamentos de recursos para compartilhar recursos entre contas. Você pode compartilhar o plano de resposta e os recursos de contato entre contas no AWS RAM. Ao compartilhar esses recursos, as contas de aplicativos e as contas de gerenciamento podem interagir com engajamentos e incidentes. Compartilhar um plano de resposta compartilha todos os incidentes passados e futuros criados usando esse plano de resposta. Compartilhar um contato compartilha todos os engajamentos passados e futuros do plano de contato ou resposta.

Práticas recomendadas

Siga estas práticas recomendadas ao compartilhar seus recursos do Incident Manager entre contas:

  • Atualize regularmente o compartilhamento de recursos com planos de resposta e contatos.

  • Analise regularmente os princípios de compartilhamento de recursos.

  • Configure o Incident Manager, os runbooks e os canais de chat na sua conta de gerenciamento.

Definir e configurar incident management entre regiões e entre regiões

As etapas a seguir descrevem como instalar e configurar os recursos do Incident Manager ativando a funcionalidade entre contas. Você pode ter configurado alguns serviços e recursos ativando a funcionalidade entre contas no passado. Use essas etapas como uma lista de verificação dos requisitos antes de iniciar seu primeiro incidente usando recursos entre contas.

  1. (Opcional) Criar organizações e unidades organizacionais usando o AWS Organizations. Siga as etapas no Tutorial: criar e configurar uma organização no Guia do usuário do AWS Organizations.

  2. (Opcional) Use o recurso de configuração rápida do Systems Manager para configurar os perfis AWS Identity and Access Management corretos para usar ao configurar seus runbooks entre contas. Para obter mais informações, consulte Configuração Rápida no Guia do usuário do AWS Systems Manager.

  3. Siga as etapas listadas em Como executar automações em várias Regiões da AWS e contas no Guia do usuário do AWS Systems Manager para criar runbooks em seus documentos de automação do Systems Manager. Um runbook pode ser executado por uma conta de gerenciamento ou por uma de suas contas de aplicativo. Dependendo do seu caso de uso, você precisará instalar o modelo do AWS CloudFormationapropriado para os perfis necessários para criar e visualizar runbooks durante um incidente.

    • Como executar um runbook na conta de gerenciamento. A conta de gerenciamento deve baixar e instalar o modelo do AWS-SystemsManager-AutomationReadOnlyRole CloudFormation. Ao instalar o AWS-SystemsManager-AutomationReadOnlyRole, especifique os IDs de conta de todas as contas de aplicativo. Esse perfil permitirá que as contas de aplicativos leiam o status do runbook na página de detalhes do incidente. A conta de aplicativo deve instalar o modelo do AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation. A página de detalhes do incidente usa esse perfil para obter o status de automação da conta de gerenciamento.

    • Como executar um runbook em uma conta de aplicativo. A conta de gerenciamento deve baixar e instalar o modelo do AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation. Esse perfil permite que a conta de gerenciamento leia o status do runbook na conta de aplicativo. A conta de aplicativo deve baixar e instalar o modelo do AWS-SystemsManager-AutomationReadOnlyRoleCloudFormation. Ao instalar o AWS-SystemsManager-AutomationReadOnlyRole, especifique o ID da conta, da conta de gerenciamento e de outras contas de aplicativo. A conta de gerenciamento e as outras contas de aplicativo assumem esse perfil para ler o status do runbook.

  4. (Opcional) Em cada conta de aplicativo da organização, baixe e instale o modelo AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole do CloudFormation. Ao instalar o AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole, especifique o ID da conta, da conta de gerenciamento. Esse perfil fornece as permissões que o Incident Manager precisa para acessar informações sobre implantações do AWS CodeDeploy e atualizações de pilha do AWS CloudFormation. Essas informações são relatadas como descobertas de um incidente se o atributo Descobertas estiver ativado. Para obter mais informações, consulte Como trabalhar com descobertas no Incident Manager.

  5. Para configurar e criar contatos, planos de escalação, canais de chat e planos de resposta, siga as etapas detalhadas em Preparação para incidentes no Incident Manager.

  6. Adicione seus contatos e recursos do plano de resposta ao compartilhamento de recursos existente ou a um novo compartilhamento de recursos no AWS RAM. Para obter mais informações, consulte Comece a usar o AWS RAM no Manual do usuário do AWS RAM. Adicionar planos de resposta ao AWS RAM permite que as contas de aplicativos acessem incidentes e painéis de incidentes criados usando os planos de resposta. As contas de aplicativos também ganham a capacidade de associar alarmes do CloudWatch e eventos do EventBridge a um plano de resposta. Adicionar os contatos e os planos de escalação ao AWS RAM permite que as contas do aplicativo visualizem os engajamentos e engajem os contatos no painel de incidentes.

  7. Adicionar a funcionalidade entre contas e entre regiões ao console do CloudWatch. Para obter etapas e informações, consulte Console do CloudWatch entre contas e entre regiões no Guia do usuário do Amazon CloudWatch. Adicionar essa funcionalidade garante que as contas de aplicativo e a conta de gerenciamento que você criou possam visualizar e editar métricas nos painéis de incidentes e análises.

  8. Criar um barramento de eventos do Amazon EventBridge entre contas. Para obter etapas e informações, consulte Como enviar e receber eventos Amazon EventBridge entre contas da AWS. Você pode usar esse barramento de eventos para criar regras de eventos que detectem incidentes nas contas de aplicativo e criem incidentes na conta de gerenciamento.

Limitações

Aqui estão as limitações conhecidas da funcionalidade entre contas do Incident Manager:

  • A conta que cria uma análise pós-incidente é a única que pode visualizá-la e alterá-la. Se você usar uma conta de aplicativo para criar uma análise pós-incidente, somente membros dessa conta poderão visualizá-la e alterá-la. O mesmo acontece se você usar uma conta de gerenciamento para criar uma análise pós-incidente.

  • Os eventos da linha do tempo não são preenchidos em documentos de automação executados em contas de aplicativos. As atualizações dos documentos de automação executados nas contas de aplicativo estão visíveis na guia Runbook do incidente.

  • Os tópicos do Amazon Simple Notification Service não podem ser usados entre contas. Os tópicos do Amazon SNS devem ser criados na mesma região e conta do plano de resposta em que são usados. Recomendamos usar a conta de gerenciamento para criar todos os tópicos e planos de resposta do SNS.

  • Os planos de escalação só podem ser criados usando contatos da mesma conta. Um contato que foi compartilhado com você não pode ser adicionado a um plano de escalação da sua conta.

  • As etiquetas aplicadas aos planos de resposta, registros de incidentes e contatos só podem ser visualizados e modificados na conta do proprietário do recurso.