Incident Manager 中的跨区域和跨账户事件管理 - Incident Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Incident Manager 中的跨区域和跨账户事件管理

您可以将 Incident Manager(AWS Systems Manager 的功能)配置为使用多个 AWS 区域 和帐户。该部分介绍跨区域和跨账户的最佳实践、设置步骤和已知限制。

跨区域事件管理

Incident Manager 支持在多个 AWS 区域 中自动和手动创建事件。当您使用做准备向导初次使用 Incident Manager 时,最多可为复制集指定三个 AWS 区域。对于 Amazon CloudWatch 警报或 Amazon EventBridge 事件自动创建的事件,Incident Manager 会尝试在与事件规则或警报相同的 AWS 区域 中创建事件。如果在 AWS 区域 中没有 Incident Manager,CloudWatch 或 EventBridge 会自动在复制集中指定的可用区域中创建事件。

重要

请注意以下重要详细信息。

  • 我们建议您在复制集中至少指定两个 AWS 区域。如果您未指定至少两个区域,系统将无法在 Incident Manager 不可用期间创建事件。

  • 跨区域失效转移创建的事件不会调用响应计划中指定的运行手册。

有关使用 Incident Manager 和指定其他区域的更多信息,请参阅 开始使用 Incident Manager

跨账户事件管理

Incident Manager 使用 AWS Resource Access Manager (AWS RAM) 在管理和应用程序帐户之间共享Incident Manager 资源。该部分介绍跨账户最佳实践、如何为 Incident Manager 设置跨账户功能以及 Incident Manager 中跨账户功能的已知限制。

管理账户是您用来执行操作管理的账户。在组织设置中,管理账户拥有响应计划、联系人、上报计划、运行手册和其他 AWS Systems Manager 资源。

应用程序账户是拥有构成应用程序的资源的账户。这些资源可以是 Amazon EC2 实例、Amazon DynamoDB 表或您用于在 AWS Cloud 中构建应用程序的任何其他资源。应用程序账户还拥有在 Incident Manager 中创建事件的 Amazon CloudWatch 警报和 Amazon EventBridge 事件。

AWS RAM 使用资源共享在账户之间共享资源。您可以在 AWS RAM 账户之间共享响应计划和联系人资源。通过共享这些资源,应用程序账户和管理账户可以与互动和事件进行互动。共享响应计划可共享使用该响应计划创建的所有过去和未来事件。共享联系人会共享该联系人或响应计划过去和未来的所有互动。

最佳实践

在跨账户共享 Incident Manager 资源时,请遵循以下最佳实践:

  • 定期更新资源共享中的响应计划和联系人。

  • 定期审查资源共享原则。

  • 在您的管理账户中设置 Incident Manager、运行手册和聊天频道。

设置和配置跨账户事件管理

以下步骤介绍了如何设置和配置 Incident Manager 资源并将其用于跨账户功能。您过去可能已经为跨账户功能配置了一些服务和资源。在使用跨账户资源开始您的第一次事件之前,请将这些步骤作为需求清单。

  1. (可选)使用 AWS Organizations 创建组织和组织单位。请按照《AWS Organizations 用户指南》中的教程:创建和配置组织中的步骤。

  2. (可选)使用 Systems Manager 快速设置功能来设置正确的 AWS Identity and Access Management 角色,供您在配置跨账户运行手册时使用。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的快速设置功能

  3. 按照《AWS Systems Manager 用户指南》在多个 AWS 区域 和账户中运行自动化中列出的步骤,在 Systems Manager Automation 文档中创建运行手册。运行手册既可以由管理账户运行,也可以由应用程序账户运行。根据您的用例,您需要为在事件期间创建和查看运行手册所需的角色安装相应的 AWS CloudFormation 模板。

    • 在管理账户中运行运行手册。管理账户必须下载并安装 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 模板。安装 AWS-SystemsManager-AutomationReadOnlyRole 时,请指定所有应用程序帐户的帐户 ID。该角色将允许您的应用程序帐户从事件详细信息页面读取运行手册的状态。应用程序账户必须安装 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 模板。事件详细信息页面使用该角色从管理账户获取自动化状态。

    • 在应用程序帐户中运行运行手册。管理账户必须下载并安装 AWS-SystemsManager-AutomationAdministrationReadOnlyRole CloudFormation 模板。该角色允许管理账户读取应用程序账户中运行手册的状态。应用程序账户必须下载并安装 AWS-SystemsManager-AutomationReadOnlyRole CloudFormation 模板。安装 AWS-SystemsManager-AutomationReadOnlyRole 时,请指定管理账户和其他应用程序账户的账户 ID。管理账户和其他应用程序账户代入该角色,以读取运行手册的状态。

  4. (可选)在组织中的每个应用程序帐户中,下载并安装 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRoleCloudFormation 模板。安装 AWS-SystemsManager-IncidentManagerIncidentAccessServiceRole 时,请指定管理账户的账户 ID。该角色提供 Incident Manager 访问 AWS CodeDeploy 部署和 AWS CloudFormation 堆栈更新信息所需的权限。如果启用了调查发现特征,则会将此信息报告为事件的调查发现。有关更多信息,请参阅 在 Incident Manager 中处理调查发现

  5. 要设置和创建联系人、上报计划、聊天渠道和响应计划,请按照 在 Incident Manager 中为事件做准备 中的详细步骤操作。

  6. 将您的联系人和响应计划资源添加到您的现有资源共享或 AWS RAM 中的新资源共享。有关更多信息,请参阅《AWS RAM 用户指南》中的开始使用 AWS RAM。将响应计划添加到 AWS RAM 可使应用程序账户访问使用响应计划创建的事件和事件控制面板。应用程序账户还能将 CloudWatch 警报和 EventBridge 事件与响应计划相关联。将联系人和上报计划添加到 AWS RAM 中后,应用程序账户就可以从事件控制面板中查看互动情况并与联系人互动。

  7. 向 CloudWatch 控制台添加跨账户跨区域功能。有关步骤和信息,请参阅《Amazon CloudWatch 用户指南》https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html中的跨账户跨区域 CloudWatch 控制台。添加该功能可确保您创建的应用程序账户和管理账户能够查看和编辑事件和分析控制面板中的指标。

  8. 创建跨账户的 Amazon EventBridge 事件总线。有关步骤和信息,请参阅在 AWS 账户之间发送和接收 Amazon EventBridge 事件。然后,您可以使用该事件总线创建事件规则,以检测应用程序账户中的事件并在管理账户中创建事件。

限制

以下是 Incident Manager 跨账户功能的已知限制:

  • 创建事后分析的帐户是唯一可以查看和更改该分析的帐户。如果您使用应用程序帐户创建事件后分析,则只有该帐户的成员才能查看和更改。如果使用管理账户创建事故后分析,也会发生同样的情况。

  • 在应用程序账户中运行的自动化文档不会弹出时间轴事件。在应用程序帐户中运行的自动化文档的更新可在事件的运行手册 选项卡中查看。

  • Amazon Simple Notification Service 主题不能跨账户使用。Amazon SNS 主题必须与其使用的响应计划在相同的区域和账户中创建。我们建议使用管理账户创建所有 SNS 主题和响应计划。

  • 上报计划只能使用同一账户中的联系人创建。已与您共享的联系人无法添加到您账户的上报计划中。

  • 应用于响应计划、事件记录和联系人的标签只能通过资源所有者账户查看和修改。