Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Tutorial: Usando os runbooks do Systems Manager Automation com o Incident Manager

PDF
RSS
Modo de foco
Tutorial: Usando os runbooks do Systems Manager Automation com o Incident Manager - Incident Manager
Tarefa 1: Criar o runbookTarefa 2: Criar um perfil do IAMTarefa 3: Conectar o runbook ao seu plano de respostaTarefa 4: Atribuir um CloudWatch alarme ao seu plano de respostaTarefa 5: verificar os resultados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode usar runbooks de AWS Systems Manager automação para simplificar as tarefas comuns de manutenção, implantação e remediação dos serviços. AWS Neste tutorial, você criará um runbook personalizado para automatizar uma resposta a incidentes no Incident Manager. O cenário deste tutorial envolve um CloudWatch alarme da Amazon atribuído a uma EC2 métrica da Amazon. Quando a instância entra em um estado que aciona o alarme, o Incident Manager executa automaticamente as seguintes tarefas:

  1. Cria um incidente no Incident Manager.

  2. Inicia um runbook que tenta corrigir o problema.

  3. Publica os resultados do runbook na página de detalhes do incidente no Incident Manager.

O processo descrito neste tutorial também pode ser usado com EventBridge eventos da Amazon e outros tipos de AWS recursos. Ao automatizar sua resposta de remediação a alarmes e eventos, você pode reduzir o impacto de um incidente em sua organização e em seus recursos.

Este tutorial descreve como editar um CloudWatch alarme atribuído a uma EC2 instância da Amazon para um plano de resposta do Incident Manager. Se você não tiver um alarme, uma instância ou um plano de resposta configurado, recomendamos que você configure esses recursos antes de começar. Para obter mais informações, consulte os tópicos a seguir.

Importante

Você incorrerá em custos criando AWS recursos e usando as etapas de automação do runbook. Para obter mais informações, consulte Definição de preço do AWS.

Tarefa 1: Criar o runbook

Use o procedimento a seguir para criar um runbook no console do Systems Manager. Quando invocado a partir de um incidente do Incident Manager, o runbook reinicia uma EC2 instância da Amazon e atualiza o incidente com informações sobre a execução do runbook. Antes de começar, verifique se você tem permissão para criar um runbook. Para obter mais informações, consulte Configuração de Automação no Guia do usuário do AWS Systems Manager .

Importante

Analise os detalhes essenciais a seguir sobre como criar o runbook deste tutorial:

  • O runbook é destinado a um incidente criado a partir de uma fonte de CloudWatch alarme. Se você usar esse runbook para outros tipos de incidentes, por exemplo, incidentes criados manualmente, o evento do cronograma na primeira etapa do runbook não será encontrado e o sistema retornará um erro.

  • O runbook exige que o CloudWatch alarme inclua uma dimensão chamadaInstanceId. Os alarmes para métricas de EC2 instância da Amazon têm essa dimensão. Se você usar esse runbook com outras métricas (ou com outras fontes de incidentes, como EventBridge), precisará alterar a JsonDecode2 etapa para corresponder aos dados capturados em seu cenário.

  • O runbook tenta corrigir o problema que acionou o alarme reiniciando a instância da Amazon. EC2 Para um incidente real, talvez você não queira reiniciar a instância. Atualize o runbook com as ações de remediação específicas que deseja que o sistema execute.

Para obter mais informações sobre a criação de runbooks, consulte Trabalhar com runbooks no Guia do usuário do AWS Systems Manager .

Para criar um runbook personalizado

  1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Documents.

  3. Escolha Automação.

  4. Em Name, insira um nome descritivo para o runbook, como IncidentResponseRunbook.

  5. Escolha a guia Editor e depois escolha Edit (Editar).

  6. Cole o seguinte conteúdo no editor:

    description: This runbook attempts to restart an Amazon EC2 instance that caused an incident.
schemaVersion: '0.3'
parameters:
  IncidentRecordArn:
    type: String
    description: The incident
mainSteps:
  - name: ListTimelineEvents
    action: 'aws:executeAwsApi'
    outputs:
      - Selector: '$.eventSummaries[0].eventId'
        Name: eventId
        Type: String
    inputs:
      Service: ssm-incidents
      Api: ListTimelineEvents
      incidentRecordArn: '{{IncidentRecordArn}}'
      filters:
        - key: eventType
          condition:
            equals:
              stringValues:
                - SSM Incident Trigger
    description: This step retrieves the ID of the first timeline event with the CloudWatch alarm details.
  - name: GetTimelineEvent
    action: 'aws:executeAwsApi'
    inputs:
      Service: ssm-incidents
      Api: GetTimelineEvent
      incidentRecordArn: '{{IncidentRecordArn}}'
      eventId: '{{ListTimelineEvents.eventId}}'
    outputs:
      - Name: eventData
        Selector: $.event.eventData
        Type: String
    description: This step retrieves the timeline event itself.
  - name: JsonDecode
    action: 'aws:executeScript'
    inputs:
      Runtime: python3.8
      Handler: script_handler
      Script: |-
        import json

        def script_handler(events, context):
          data = json.loads(events["eventData"])
          return data
      InputPayload:
        eventData: '{{GetTimelineEvent.eventData}}'
    outputs:
      - Name: rawData
        Selector: $.Payload.rawData
        Type: String
    description: This step parses the timeline event data.
  - name: JsonDecode2
    action: 'aws:executeScript'
    inputs:
      Runtime: python3.8
      Handler: script_handler
      Script: |-
        import json

        def script_handler(events, context):
          data = json.loads(events["rawData"])
          return data
      InputPayload:
        rawData: '{{JsonDecode.rawData}}'
    outputs:
      - Name: InstanceId
        Selector: '$.Payload.detail.configuration.metrics[0].metricStat.metric.dimensions.InstanceId'
        Type: String
    description: This step parses the CloudWatch event data.
  - name: RestartInstance
    action: 'aws:executeAutomation'
    inputs:
      DocumentName: AWS-RestartEC2Instance
      DocumentVersion: $DEFAULT
      RuntimeParameters:
        InstanceId: '{{JsonDecode2.InstanceId}}'
    description: This step restarts the Amazon EC2 instance

  7. Escolha Criar automação.

Tarefa 2: Criar um perfil do IAM

Use o tutorial a seguir para criar uma função AWS Identity and Access Management (IAM) que dê permissão ao Incident Manager para iniciar um runbook especificado em um plano de resposta. O runbook deste tutorial reinicia uma instância da Amazon EC2 . Você especificará esse perfil do IAM na próxima tarefa ao conectar o runbook ao seu plano de resposta.

Crie um perfil do IAM que inicie um runbook a partir de um plano de resposta

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis e Criar perfil.

  3. Verifique se o serviço da AWS está selecionado em Tipo de entidade confiável.

  4. Em Caso de uso, no campo Casos de uso para outros serviços da AWS , insira Incident Manager.

  5. Escolha Incident Manager e, em seguida, Next.

  6. Na página Adicionar permissões, escolha Criar política. O editor de permissões abrirá em uma nova janela ou guia do navegador.

  7. No editor de política, escolha a guia JSON.

  8. Copie e cole o seguinte JSON na janela do editor de política de permissões. Substituir account_ID por seu ID da Conta da AWS .

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:account_ID:automation-definition/IncidentResponseRunbook:*",
                "arn:aws:ssm:*::automation-definition/AWS-RestartEC2Instance:*"
            ],
            "Action": "ssm:StartAutomationExecution"
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:ssm:*:*:automation-execution/*",
            "Action": "ssm:GetAutomationExecution"
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:ssm-incidents:*:*:*",
            "Action": "ssm-incidents:*"
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "ec2:StopInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances"
            ]
        }
    ]
}

  9. Escolha Próximo: tags.

  10. (Opcional) Se necessário, marque a sua política.

  11. Escolha Próximo: revisar.

  12. No campo Nome, insira um nome que o ajude a identificar esse perfil como sendo usado neste tutorial.

  13. (Opcional) No campo Description, insira uma descrição.

  14. Escolha Criar política.

  15. Navegue de volta até a janela ou guia do navegador para o perfil que você está criando. A página Adicionar permissões é exibida.

  16. Escolha o botão de atualização (localizado ao lado do botão Criar política) e, em seguida, insira o nome da política de permissões que você criou na caixa de filtro.

  17. Escolha o grupo de mídias que você criou e, em seguida, escolha Next.

  18. Na página Nomear, revisar e criar em Nome do perfil, insira um nome que o ajude a identificar esse perfil como sendo usado neste tutorial.

  19. (Opcional) No campo Description, insira uma descrição.

  20. Revise os detalhes do perfil, marque, se necessário, e escolha Criar perfil.

Tarefa 3: Conectar o runbook ao seu plano de resposta

Ao conectar o runbook ao seu plano de resposta do Incident Manager, você garante um processo de mitigação consistente, repetível e oportuno. O runbook também serve como ponto de partida para os resolvedores determinarem seu próximo curso de ação.

Para atribuir o runbook ao seu plano de resposta

  1. Abra o console do Incident Manager.

  2. Escolha os Planos de resposta.

  3. Em Plano de resposta, escolha um plano de resposta existente e escolha Editar. Se não tiver um plano de resposta existente, escolha Criar plano de resposta para criar um novo plano.

    Preencha os seguintes campos:

    1. Na seção Runbook, escolha Selecionar runbook existente.

    2. Em Proprietário, verifique se a opção De minha propriedade está selecionada.

    3. Para Runbook, escolha o runbook que você criou em Tarefa 1: Criar o runbook.

    4. Em Versão, escolha Padrão no momento da execução.

    5. Na seção Entradas, para o IncidentRecordArnparâmetro, escolha ARN do incidente.

    6. Na seção Permissões de execução, escolha o perfil do IAM criado em Tarefa 2: Criar um perfil do IAM.

  4. Salve as alterações.

Tarefa 4: Atribuir um CloudWatch alarme ao seu plano de resposta

Use o procedimento a seguir para atribuir um CloudWatch alarme para uma EC2 instância da Amazon ao seu plano de resposta.

Para atribuir um CloudWatch alarme ao seu plano de resposta

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Alarmes, escolha Todos os alarmes.

  3. Escolha um alarme para uma EC2 instância da Amazon que você deseja conectar ao seu plano de resposta.

  4. Escolha Ações e, em seguida, escolha Editar. Verifique se a métrica tem uma dimensão chamada InstanceId.

  5. Escolha Next.

  6. Para Assistente de configuração de ações, escolha Adicionar ação do Systems Manager.

  7. Escolha Criar incidente.

  8. Escolha o plano de resposta criado em Tarefa 3: Conectar o runbook ao seu plano de resposta.

  9. Escolha Create alarm (Criar alarme).

Tarefa 5: verificar os resultados

Para verificar se o CloudWatch alarme cria um incidente e, em seguida, processa o runbook especificado em seu plano de resposta, você deve acionar o alarme. Depois de acionar o alarme e o runbook concluir o processamento, você pode verificar os resultados do runbook usando o procedimento a seguir. Para obter informações sobre como acionar um alarme, consulte set-alarm-statena Referência de AWS CLI Comandos.

  1. Abra o console do Incident Manager.

  2. Escolha o incidente criado pelo CloudWatch alarme.

  3. Escolha a guia Runbooks.

  4. Veja as ações realizadas em sua EC2 instância da Amazon na seção Etapas do Runbook.

    A imagem a seguir demonstra como as etapas executadas pelo runbook que você criou neste tutorial são relatadas no console. Cada etapa é listada com um carimbo de data/hora e uma mensagem de status.

    As etapas de um runbook de automação são relatadas com registros de data e hora e relatórios de status, como “Sucesso”.

    Para ver todos os detalhes no CloudWatch alarme, expanda a etapa JsonDecode2 e, em seguida, expanda Saída.

Importante

Você deve limpar todas as alterações de recursos implementadas durante este tutorial que não deseje manter. Isso inclui alterações nos recursos do Incident Manager, como planos de recursos e incidentes, alterações CloudWatch nos alarmes e na função do IAM que você criou para este tutorial.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.