Integrar o OpsCenter a outros Serviços da AWS - AWS Systems Manager
Amazon CloudWatchAmazon CloudWatch Application InsightsAmazon DevOps GuruAmazon EventBridgeAWS ConfigAWS Security HubIncident Manager

Integrar o OpsCenter a outros Serviços da AWS

O OpsCenter, uma funcionalidade do AWS Systems Manager, integra-se a diversos Serviços da AWS para diagnosticar e corrigir problemas com recursos da AWS. Você deve configurar o Serviço da AWS antes de integrá-lo ao OpsCenter.

Por padrão, os Serviços da AWS a seguir são integrados ao OpsCenter e podem criar OpsItems automaticamente:

Você precisa integrar os serviços a seguir com o OpsCenter para criar OpsItems automaticamente:

Quando qualquer um desses serviços cria um OpsItem, é possível gerenciar e corrigir o OpsItem do OpsCenter. Para obter mais informações, consulte Gerenciamento de OpsItems e Correção de problemas do OpsItem.

Para obter mais informações sobre cada Serviço da AWS e como ele se integra ao OpsCenter, consulte os tópicos a seguir.

Amazon CloudWatch

O Amazon CloudWatch monitora seus recursos e serviços da AWS e exibe métricas em cada Serviço da AWS que você usa. O CloudWatch cria um OpsItem quando um alarme entra no estado de alarme. Por exemplo, você pode configurar um alarme para criar automaticamente um OpsItem se houver um pico de erros HTTP gerados pelo Application Load Balancer.

Alguns alarmes que você pode configurar no CloudWatch para criar OpsItems são mostrados na lista a seguir:

  • Amazon DynamoDB: ações de leitura e gravação de banco de dados atingem um limite

  • Amazon EC2: a utilização da CPU atinge um limite

  • Faturamento da AWS: cobranças estimadas atingem um limite

  • Amazon EC2: falha na verificação de status de uma instância

  • Amazon Elastic Block Store (EBS): a utilização do espaço em disco atinge um limite

É possível criar um alarme ou editar um alarme existente para criar um OpsItem. Para ter mais informações, consulte Configuração dos alarmes do CloudWatch para criar OpsItems.

Quando você habilita o OpsCenter usando a configuração integrada, ele integra o CloudWatch com o OpsCenter.

Amazon CloudWatch Application Insights

Ao usar o Amazon CloudWatch Application Insights, é possível configurar os monitores mais apropriados para seus recursos de aplicação a fim de analisar dados continuamente em busca de sinais de problemas com as aplicações. Ao configurar recursos de aplicação no CloudWatch Application Insights, é possível optar por fazer com que o sistema crie OpsItems no OpsCenter. Um OpsItem é criado no console do OpsCenter para cada problema detectado com a aplicação. Para obter informações, consulte Instalar, configurar e gerenciar sua aplicação para monitoramento no Guia do usuário do Amazon CloudWatch.

nota

A partir de 16 de outubro de 2023, o título e a descrição de OpsItems criados pelo CloudWatch Application Insights passarão a usar este formato aprimorado:

OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY>

OpsItem description:       

CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>.
Problem summary: <PROBLEM SUMMARY>
Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page)
Problem Status: <PROBLEM STATUS>
Insight: <INSIGHT>

Exemplo:

Captura de tela mostrando o novo formato de um OpsItem criado por um CloudWatch Insight.

Amazon DevOps Guru

O Amazon DevOps Guru aplica machine learning para analisar dados operacionais, métricas de aplicações e eventos de aplicações para identificar comportamentos que se desviam dos padrões operacionais normais. Se você permitir que o DevOps Guru gere um OpsItem no OpsCenter, cada insight gerará um novo OpsItem. É possível usar o OpsCenter para gerenciar seus OpsItems.

O DevOps Guru cria OpsItems automaticamente. É possível habilitar o Amazon DevOps Guru para criar OpsItems ao usar a Quick Setup, que é um recurso do Systems Manager. O sistema cria OpsItems ao usar o perfil vinculado ao serviço AWSServiceRoleForDevOpsGuru do AWS Identity and Access Management (IAM).

Como integrar o OpsCenter com o DevOps Guru

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Quick Setup.

  3. Na página Personalizar opções de configuração do DevOps Guru, escolha a guia Biblioteca.

  4. No painel DevOps Guru, escolha Criar.

  5. Em Opções de configuração, selecione Habilitar OpsItems do AWS Systems Manager.

  6. Selecione Criar após concluir a configuração.

Amazon EventBridge

O Amazon EventBridge oferece uma transmissão de eventos que descrevem as alterações nos recursos da AWS. Quando você habilita o OpsCenter usando a configuração integrada, ele integra o EventBridge com o OpsCenter e habilita as regras padrão do EventBridge. Com base nessas regras, o EventBridge cria OpsItems. Ao usar regras, é possível filtrar e rotear eventos para o OpsCenter para investigação e correção.

nota

O Amazon EventBridge (antigo Amazon CloudWatch Events) fornece todas as funcionalidades do CloudWatch Events e alguns novos recursos, como barramentos de eventos personalizados, origens de eventos de terceiros e registro dos esquemas.

A seguir estão algumas regras que você pode configurar no EventBridge para criar um OpsItem:

  • Security Hub: alerta de segurança emitido

  • Amazon DynamoDB: um evento de controle de utilização

  • Amazon Elastic Compute Cloud Auto Scaling: falha ao iniciar uma instância

  • Systems Manager: falha na execução de uma automação

  • AWS Health: um alerta para manutenção programada

  • Amazon EC2: estado da instância alterado de em execução para interrompida

Com base em seus requisitos, é possível criar uma regra ou editar uma regra existente para criar OpsItems. Para obter instruções sobre como editar uma regra para criar um OpsItem, consulte Configurar regras do EventBridge para criar OpsItems.

AWS Config

AWS Config fornece uma visão detalhada da configuração dos atributos da AWS em sua Conta da AWS.

O AWS Config não se integra diretamente ao OpsCenter. Em vez disso, você cria uma regra do AWS Config que envia um evento ao Amazon EventBridge, como quando o AWS Config detecta uma instância fora de conformidade. Em seguida, o EventBridge avalia esse evento segundo uma regra do EventBridge que você criou. Se a regra corresponder, o EventBridge transformará o evento em um OpsItem e o transmitirá ao OpsCenter como destino.

Usando esse OpsItem, é possível acompanhar detalhes do recurso que não está em conformidade, registrar ações investigativas e fornecer acesso a ações de correção consistentes.

Informações relacionadas

Configurar regras do EventBridge para criar OpsItems

OpsCenterUsar o AWS Systems Manager  e o AWS Config para monitoramento de conformidade

AWS Security Hub

O AWS Security Hub coleta dados de segurança, chamados descobertas, entre Contas da AWS e serviços. Utilizando um conjunto de regras para detectar e gerar descobertas, o Security Hub ajuda a identificar, priorizar e corrigir problemas de segurança dos recursos que você gerencia. Depois que você configura a integração, conforme descrito neste tópico, o Systems Manager cria OpsItems para as descobertas do Security Hub no OpsCenter.

nota

O OpsCenter tem integração bidirecional com o Security Hub. Isso significa que, se você atualizar o campo Status ou Gravidade de um OpsItem relacionado a uma descoberta de segurança, o sistema sincronizará as alterações com o Security Hub. Da mesma forma, todas as alterações da descoberta são atualizadas automaticamente no OpsItems correspondente no OpsCenter.

Quando um OpsItem é criado a partir de uma descoberta do Security Hub, os metadados do Security Hub são adicionados automaticamente ao campo de dados operacionais do OpsItem. Se esses metadados forem excluídos, as atualizações bidirecionais não funcionarão mais.

Por padrão, o Systems Manager cria OpsItems para descobertas críticas e de alta gravidade. É possível configurar o OpsCenter manualmente para criar OpsItems para descobertas de gravidade média e baixa. O OpsCenter não cria OpsItems para descobertas informativas porque elas não precisam de correções. Para obter mais informações sobre níveis de gravidade do Security Hub, consulte Severity na AWS Security Hub API Reference.

Antes de começar

Antes de configurar o OpsCenter para criar OpsItems com base nas descobertas do Security Hub, verifique se você concluiu as tarefas de configuração do Security Hub. Para obter mais informações , consulte Configurar o Security Hub no Manual do usuário do AWS Security Hub.

Quando você integra o Security Hub com o OpsCenter, o sistema cria OpsItems usando o perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync do IAM. Para obter mais informações sobre essa função, consulte Usar perfis para criar OpsData e OpsItems para o Explorer.

Atenção

Observe as seguintes informações importantes sobre os preços da integração do OpsCenter com o Security Hub:

  • Se você estiver conectado à conta de administrador do Security Hub ao configurar uma integração do OpsCenter com o Security Hub, o sistema cria OpsItems para descobertas no administrador e em todas as contas de membro. Todos os OpsItems são criados na conta do administrador. Dependendo de vários fatores, poderá resultar em uma fatura inesperadamente grande da AWS.

    Se você estiver conectado a uma conta de membro ao configurar a integração, o sistema só criará OpsItems para descobertas nessa conta individual. Para obter mais informações sobre a conta do administrador do Security Hub, as contas de membro e sua relação com o feed de eventos do EventBridge para descobertas, consulte Types of Security Hub integration with EventBridge no Guia do usuário do AWS Security Hub.

  • Para cada descoberta que cria um OpsItem, cobra-se o preço normal pela criação do OpsItem. Você também será cobrado se editar OpsItem ou se a descoberta correspondente for atualizada no Security Hub (o que aciona uma OpsItem atualização).

Para configurar o OpsCenter para criar OpsItems para descobertas do Security Hub

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha OpsCenter.

  3. Escolha Configurações.

  4. Na seção Descobertas do Security Hub, escolha Editar.

  5. Escolha o controle deslizante para alterar Desabilitado para Habilitado.

  6. Se você quiser que o sistema crie OpsItems para descobertas de gravidade média ou baixa, ative essas opções.

  7. Selecione Save (Salvar) para salvar suas configurações.

Use o procedimento a seguir, caso não queira mais que o sistema crie OpsItems para descobertas do Security Hub.

Para interromper o recebimento de OpsItems para descobertas do Security Hub

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha OpsCenter.

  3. Escolha Configurações.

  4. Na seção Descobertas do Security Hub, escolha Editar.

  5. Escolha o controle deslizante para alterar Habilitado para Desabilitado. Se não conseguir ativar o controle deslizante, o Security Hub não foi ativado para o seu Conta da AWS.

  6. Escolha Salvar para salvar a configuração. O OpsCenter não cria mais OpsItems com base nas descobertas do Security Hub.

Importante

Um administrador delegado do Systems Manager ou a conta de gerenciamento do AWS Organizations podem habilitar as descobertas do Security Hub no OpsCenter para várias contas e Regiões da AWS e criar uma sincronização de dados de recursos no Explorer. Se a fonte do Security Hub estiver habilitada no Explorer e houver uma sincronização de dados do recurso que tenha como alvo a conta-membro em que você desabilitou a integração do Security Hub, as configurações selecionadas pelo administrador terão precedência. O OpsCenter continua a criar OpsItems para as descobertas do Security Hub. Para parar de criar OpsItems para descobertas do Security Hub em uma conta-membro visada por uma sincronização de dados de recursos, entre em contato com seu administrador e peça que ele remova sua conta da sincronização de dados do recurso ou desative a origem Security Hub no Explorer. Para obter informações sobre como alterar essa configuração no Explorer, consulte Edite as fontes de dados do Systems Manager Explorer.

Incident Manager

O Incident Manager, um recurso do AWS Systems Manager, fornece um console de gerenciamento de incidentes que ajuda você a mitigar e se recuperar de incidentes que afetam suas aplicações hospedadas na AWS. Um incidente é qualquer interrupção ou redução não planejada na qualidade dos serviços. Após instalar e configurar o Incident Manager, o sistema cria automaticamente OpsItems no OpsCenter.

Quando o sistema cria um incidente no Incident Manager, ele também cria um OpsItem no OpsCenter e exibe o incidente como um item relacionado. Se o OpsItem já existir, o Incident Manager não criará um OpsItem. O primeiro OpsItem é conhecido como OpsItem pai. Se um incidente crescer em escala e escopo, é possível adicionar incidentes a um OpsItem existente. Se necessário, é possível criar manualmente um incidente para um OpsItem. Após o fechamento de um incidente, você pode criar uma análise no Incident Manager para analisar e aprimorar o processo de correção para problemas semelhantes.

Por padrão, o OpsCenter se integra com o Incident Manager. Se o Incident Manager não estiver configurado, a página do OpsCenter exibirá uma mensagem para configuração do Incident Manager. Quando o Incident Manager cria um OpsItem, é possível gerenciar e corrigir o OpsItem do OpsCenter. Para obter instruções sobre como criar um incidente para um OpsItem, consulte Criação de um incidente para um OpsItem.