Automatisches oder manuelles Erstellen von Vorfällen im Incident Manager - Incident Manager
Automatisches Erstellen von Vorfällen mit Alarmen CloudWatch Automatisches Erstellen von Vorfällen mit EventBridge EreignissenManuelles Erstellen von Vorfällen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisches oder manuelles Erstellen von Vorfällen im Incident Manager

Incident Manager, ein Tool in AWS Systems Manager, hilft Ihnen dabei, Vorfälle zu verwalten und schnell darauf zu reagieren. Sie können Amazon CloudWatch und Amazon so konfigurieren EventBridge , dass automatisch Vorfälle auf der Grundlage von CloudWatch Alarmen und EventBridge Ereignissen erstellt werden. Sie können Vorfälle auch manuell auf der Seite mit der Vorfallliste oder mithilfe der StartIncidentAPI-Aktion aus dem SDK AWS CLI oder dem AWS SDK erstellen. Incident Manager dedupliziert Vorfälle, die aufgrund desselben CloudWatch Alarms oder EventBridge Ereignisses erstellt wurden, für denselben Vorfall.

Bei Vorfällen, die automatisch durch CloudWatch Alarme oder EventBridge Ereignisse ausgelöst werden, versucht Incident Manager, einen Vorfall in derselben Reihenfolge AWS-Region wie die Ereignisregel oder der Alarm zu erstellen. Falls Incident Manager in den in Ihrem Replikationssatz angegebenen Regionen nicht verfügbar ist AWS-Region, CloudWatch oder erstellen Sie den Incident EventBridge automatisch in einer der verfügbaren Regionen. Weitere Informationen finden Sie unter Verwaltung von Vorfällen über Regionen hinweg AWS-Konten im Incident Manager.

Wenn das System einen Vorfall erstellt, sammelt Incident Manager automatisch Informationen über die am Vorfall beteiligten AWS Ressourcen und fügt diese Informationen der Registerkarte „Verwandte Elemente“ hinzu. Wenn Sie in Ihrem Reaktionsplan ein Runbook angegeben haben und das System einen Vorfall erstellt, kann Incident Manager die Informationen über die am Vorfall beteiligten AWS Ressourcen an das Runbook senden. Das System kann dann gezielt auf diese Ressourcen zugreifen, wenn es das Runbook initiiert und versucht, das Problem zu beheben.

Wenn das System einen Vorfall erstellt, erstellt es auch ein übergeordnetes operatives Arbeitselement (OpsItem) in OpsCenter, eine Komponente von Systems Manager, und verknüpft es als verwandtes Element mit dem Vorfall. Sie können dies verwenden OpsItem , um verwandte Arbeiten und future Vorfallanalysen nachzuverfolgen. Anrufe, bei denen OpsCenter Kosten anfallen. Weitere Informationen zur OpsCenter Preisgestaltung finden Sie unter Systems Manager Manager-Preise.

Wichtig

Beachten Sie die folgenden wichtigen Details.

  • Falls Incident Manager nicht verfügbar ist, kann das System nur dann einen Failover durchführen und Vorfälle in anderen Fällen erzeugen, AWS-Regionen wenn Sie in Ihrem Replikationssatz mindestens zwei Regionen angegeben haben. Hinweise zur Konfiguration eines Replikationssatzes finden Sie unterErste Schritte mit Incident Manager.

  • Durch ein regionsübergreifendes Failover verursachte Vorfälle rufen keine Runbooks auf, die in den Reaktionsplänen angegeben sind.

Automatisches Erstellen von Vorfällen mit Alarmen CloudWatch

CloudWatch verwendet Ihre CloudWatch Metriken, um Sie über Änderungen in Ihrer Umgebung zu informieren und automatisch die Aktion „Vorfall starten“ auszuführen. CloudWatch arbeitet mit Systems Manager und Incident Manager zusammen, um anhand einer Reaktionsplanvorlage einen Vorfall zu erstellen, wenn ein Alarm in den Alarmzustand übergeht. Dies setzt die folgenden Voraussetzungen voraus:

  • Der Incident Manager wurde konfiguriert und der Replikationssatz wurde erstellt. In diesem Schritt wird die mit dem Incident Manager-Dienst verknüpfte Rolle in Ihrem Konto erstellt und die erforderlichen Berechtigungen bereitgestellt.

  • Ein konfigurierter Incident Manager-Reaktionsplan. Informationen zur Konfiguration von Incident Manager-Reaktionsplänen finden Sie Reaktionspläne in Incident Manager erstellen und konfigurieren im Abschnitt Incident-Vorbereitung dieses Handbuchs.

  • Konfigurierte CloudWatch Metriken zur Überwachung Ihrer Anwendung. Bewährte Methoden zur Überwachung finden Sie Überwachen im Abschnitt Vorbereitung von Vorfällen in diesem Leitfaden.

So erstellen Sie einen Alarm mit der Aktion Vorfall starten

  1. Erstellen Sie einen Alarm in CloudWatch. Weitere Informationen finden Sie unter Verwenden von CloudWatch Amazon-Alarmen im CloudWatch Amazon-Benutzerhandbuch.

  2. Wählen Sie bei der Auswahl der Aktion, die der Alarm ausführen soll, die Option Systems Manager Manager-Aktion hinzufügen aus.

  3. Wählen Sie Vorfall erstellen und wählen Sie den Reaktionsplan für diesen Vorfall aus.

  4. Führen Sie die verbleibenden Schritte in der Anleitung zum ausgewählten Alarmtyp aus.

Tipp

Sie können die Aktion „Vorfall erstellen“ auch zu jedem vorhandenen Alarm hinzufügen.

Automatisches Erstellen von Vorfällen mit EventBridge Ereignissen

EventBridge Regeln achten auf Ereignismuster. Wenn das Ereignis dem definierten Muster entspricht, erstellt Incident Manager anhand des ausgewählten Reaktionsplans einen Vorfall.

Erstellen von Vorfällen mithilfe von SaaS-Partnerereignissen

Sie können so konfigurieren EventBridge , dass Ereignisse von Software-as-a-Service (SaaS) -Partneranwendungen und -diensten empfangen werden, was die Integration von Drittanbietern ermöglicht. Nachdem Sie EventBridge die Konfiguration für den Empfang von Ereignissen von Drittanbietern konfiguriert haben, können Sie Regeln erstellen, die auf Partnerereignisse abgestimmt sind, um Vorfälle zu erzeugen. Eine Liste der Integrationen von Drittanbietern finden Sie unter Empfangen von Ereignissen von einem SaaS-Partner.

Konfigurieren Sie EventBridge den Empfang von Ereignissen aus einer SaaS-Integration.

  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Partner event sources (Partnerereignisquellen) aus.

  3. Verwenden Sie die Suchleiste, um den gewünschten Partner zu finden, und wählen Sie Für diesen Partner einrichten aus.

  4. Wählen Sie Copy (Kopieren) aus, um Ihre Konto-ID in die Zwischenablage zu kopieren.

    Anmerkung

    Verwenden Sie zur Integration mit Salesforce die im AppFlow Amazon-Benutzerhandbuch beschriebenen Schritte.

  5. Rufen Sie die Website des Partners auf und befolgen Sie die Anweisungen zum Erstellen einer Partnerereignisquelle. Verwenden Sie hierzu Ihre -Konto-ID. Die von Ihnen erstellte Ereignisquelle ist nur in Ihrem Konto verfügbar.

  6. Kehren Sie zur EventBridge Konsole zurück und wählen Sie im Navigationsbereich Partnerereignisquellen aus.

  7. Wählen Sie die Schaltfläche neben der Partnerereignisquelle aus und klicken Sie auf Associate with event bus (Mit Ereignisbus verknüpfen) aus.

Erstellen Sie eine Regel, die bei Ereignissen eines SaaS-Partners ausgelöst wird

  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie Regel erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

    Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.

  5. Wählen Sie für Event Bus den Event Bus aus, der diesem Partner entspricht.

  6. Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie als Eventquelle AWS Events oder EventBridge Partnerevents aus.

  9. Wählen Sie für Ereignismuster die Option Ereignismusterformular.

  10. Wählen Sie als Quelle für das Ereignis die Option EventBridgePartner

  11. Wählen Sie für Partner den Namen des Partners aus.

  12. Wählen Sie in Event type (Ereignistyp) die Option All Events (Alle Ereignisse) oder den Ereignistyp aus, der für diese Regel verwendet werden soll. Wenn Sie All Events (Alle Ereignisse) auswählen, stimmen alle Ereignisse, die von dieser Partnerereignisquelle ausgegeben werden, mit der Regel überein.

    Wenn Sie das Ereignismuster anpassen möchten, wählen Sie Bearbeiten, nehmen Sie Ihre Änderungen vor und wählen Sie dann Speichern.

  13. Wählen Sie Weiter aus.

  14. Wählen Sie unter Ziel auswählen die Option Incident Manager-Reaktionsplan und anschließend einen Reaktionsplan aus.

    Anmerkung

    Wenn Sie einen Reaktionsplan auswählen, werden alle Reaktionspläne, die Sie besitzen und die mit Ihrem Konto geteilt wurden, in der Dropdownliste Reaktionsplan angezeigt.

  15. EventBridge kann die IAM-Rolle erstellen, die für die Ausführung Ihrer Regel erforderlich ist:

    • Um automatisch eine IAM-Rolle zu erstellen, wählen Sie Create a new role for this specific resource (Eine neue Rolle für diese spezifische Ressource erstellen).

    • Wenn Sie eine zuvor erstellte IAM-Rolle verwenden möchten, wählen Sie Use existing role (Vorhandene Rolle verwenden).

  16. Wählen Sie Weiter aus.

  17. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter EventBridgeAmazon-Tags im EventBridge Amazon-Benutzerhandbuch.

  18. Wählen Sie Weiter aus.

  19. Überprüfen Sie Ihre Regel und wählen Sie dann Regel erstellen.

Vorfälle mithilfe von AWS Serviceereignissen erstellen

EventBridge empfängt auch Ereignisse von den AWS Diensten, die unter Ereignisse von unterstützten AWS Diensten aufgeführt sind. Ähnlich wie Sie Regeln für SaaS-Partner konfigurieren, können Sie sie auch für AWS Dienste konfigurieren.

Erstellen Sie eine Regel, die bei Ereignissen eines AWS Dienstes ausgelöst wird

  1. Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/.

  2. Wählen Sie im Navigationsbereich Regeln aus.

  3. Wählen Sie Regel erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

    Eine Regel darf nicht denselben Namen wie eine andere Regel in derselben Region und auf demselben Event Bus haben.

  5. Bei Event bus (Ereignisbus) wählen Sie default (Standard) aus.

  6. Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie als Quelle der Veranstaltung AWS Veranstaltungen oder EventBridge Partnerveranstaltungen aus.

  9. Wählen Sie für Ereignismuster die Option Ereignismusterformular.

  10. Als Event source (Ereignisquelle) wählen Sie AWS -Services aus.

  11. Wählen Sie als Dienstname den Dienst aus, der nach einem Vorfall sucht.

  12. Wählen Sie in Event type (Ereignistyp) die Option All Events (Alle Ereignisse) oder den Ereignistyp aus, der für diese Regel verwendet werden soll. Wenn Sie All Events (Alle Ereignisse) auswählen, stimmen alle Ereignisse, die von dieser Partnerereignisquelle ausgegeben werden, mit der Regel überein.

    Wenn Sie das Ereignismuster anpassen möchten, wählen Sie Bearbeiten aus, nehmen Sie Ihre Änderungen vor und wählen Sie dann Speichern.

  13. Wählen Sie Weiter aus.

  14. Wählen Sie unter Ziel auswählen die Option Incident Manager-Reaktionsplan und anschließend einen Reaktionsplan aus.

    Anmerkung

    Wenn Sie einen Reaktionsplan auswählen, werden alle Reaktionspläne, die Sie besitzen und die mit Ihrem Konto geteilt wurden, in der Dropdownliste Reaktionsplan angezeigt.

  15. EventBridge kann die IAM-Rolle erstellen, die für die Ausführung Ihrer Regel erforderlich ist:

    • Um automatisch eine IAM-Rolle zu erstellen, wählen Sie Create a new role for this specific resource (Eine neue Rolle für diese spezifische Ressource erstellen).

    • Wenn Sie eine zuvor erstellte IAM-Rolle verwenden möchten, wählen Sie Use existing role (Vorhandene Rolle verwenden).

  16. Wählen Sie Weiter aus.

  17. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter EventBridgeAmazon-Tags im EventBridge Amazon-Benutzerhandbuch.

  18. Wählen Sie Weiter aus.

  19. Überprüfen Sie Ihre Regel und wählen Sie dann Regel erstellen.

Manuelles Erstellen von Vorfällen

Einsatzkräfte können einen Vorfall mithilfe der Incident Manager-Konsole mithilfe eines vordefinierten Reaktionsplans manuell verfolgen. Gehen Sie wie folgt vor, um einen Vorfall zu erstellen.

  1. Öffnen Sie die Incident Manager-Konsole.

  2. Wählen Sie Vorfall starten.

  3. Wählen Sie für Reaktionsplan einen Reaktionsplan aus der Liste aus.

  4. (Optional) Um den Titel des definierten Reaktionsplans zu überschreiben, geben Sie einen Incident-Titel ein.

  5. (Optional) Um die Auswirkungen des definierten Reaktionsplans zu überschreiben, geben Sie den Wert „Auswirkung des Vorfalls“ ein.

Erforderliche IAM-Berechtigungen für das manuelle Starten von Incidents

Um Incidents manuell zu starten, benötigen Benutzer Berechtigungen, um auf die Incident Manager-Konsole zuzugreifen, Reaktionspläne einzusehen und Incidents zu starten. Wenn ein Benutzer einen Incident auslöst, verwendet Incident Manager Forward Access Sessions (FAS), um den StartEngagement Anruf als Teil von StartIncident zu tätigen.

Die folgende IAM-Richtlinie bietet die erforderlichen Berechtigungen zum manuellen Starten von Incidents, zum Anzeigen der Reaktionspläne, mit denen Incidents erstellt werden können, und zum Anzeigen und Bearbeiten von Incidents, nachdem sie erstellt wurden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:StartIncident",
                "ssm-incidents:GetResponsePlan",
                "ssm-incidents:ListResponsePlans",
                "ssm-incidents:TagResource",
                "ssm-incidents:GetIncidentRecord",
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:UpdateIncidentRecord"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm-contacts:StartEngagement"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateOpsItem"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
                }
            }
        }
    ]
}

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ssm-incidents: StartIncident — Ermöglicht Benutzern das manuelle Starten eines Incidents mithilfe der Konsole oder API. Dadurch wird aus einem Reaktionsplan ein neuer Vorfalldatensatz erstellt.

  • ssm-incidents: GetResponsePlan - Ermöglicht Benutzern das Abrufen von Informationen zu einem bestimmten Reaktionsplan.

  • ssm-incidents: ListResponsePlans — Ermöglicht Benutzern, alle Reaktionspläne in ihrem Konto aufzulisten.

  • ssm-incidents: TagResource — Ermöglicht das Hinzufügen von Tags zu Incident Manager-Ressourcen, einschließlich Vorfällen und Reaktionsplänen.

  • ssm-incidents: GetIncidentRecord — Ermöglicht Benutzern das Abrufen detaillierter Informationen zu einem bestimmten Vorfall.

  • ssm-incidents: ListIncidentRecords - Ermöglicht Benutzern, alle Vorfälle in ihrem Konto aufzulisten.

  • ssm-incidents: UpdateIncidentRecord — Ermöglicht Benutzern, die Details eines bestehenden Vorfalls zu aktualisieren.

  • ssm-contacts: StartEngagement (mit Bedingung) — Ermöglicht Incident Manager, Interaktionen mit Kontakten zu beginnen. Die Bedingung stellt sicher, dass dies nur über den Incident Manager aufgerufen werden kann.

  • ssm: CreateOpsItem (mit Bedingung) — Ermöglicht dem Incident Manager, einen OpsItem in OpsCenter zu erstellen. Die Bedingung stellt sicher, dass dies nur über den Incident Manager aufgerufen werden kann.

Der Schlüssel aws: CalledViaFirst condition stellt sicher, dass bestimmte Berechtigungen (wieStartEngagement) nur verwendet werden können, wenn die Anfrage über den Incident Manager-Service eingeht. Bei diesem Ansatz werden FAS anstelle von dienstbezogenen Rollen verwendet, wodurch potenzielle kontenübergreifende Anrufe, die Sicherheitsrisiken darstellen könnten, verhindert werden.