Administrador de incidentes de AWS Systems Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Administrador de incidentes de AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Integración de los manuales de automatización de Systems Manager en Incident Manager para la solución de incidentes
Puede usar los manuales de [AWS Systems Manager automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), una herramienta incluida AWS Systems Manager, para automatizar las tareas comunes de aplicaciones e infraestructura en su entorno. Nube de AWS
Cada runbook define un *flujo de trabajo runbook*, que se compone de las acciones que Systems Manager realiza en los nodos gestionados u otros tipos de AWS recursos. Puede utilizar los manuales de procedimientos para automatizar el mantenimiento, la implementación y la corrección de sus recursos de AWS .
En Incident Manager, un manual de procedimientos dirige la respuesta y mitigación de incidentes, y usted especifica un manual de procedimientos para utilizarlo como parte de un plan de respuesta.
En sus planes de respuesta, puede elegir entre docenas de manuales de procedimientos preconfigurados para tareas automatizadas habituales, o puede crear manuales de procedimientos personalizados. Al especificar un manual de procedimientos en la definición de un plan de respuesta, el sistema puede iniciarlo automáticamente al producirse un incidente.
**importante**
Los incidentes creados por una conmutación por error entre regiones no invocan los manuales de procedimientos especificados en los planes de respuesta.
Para obtener más información sobre Systems Manager Automation, los manuales de procedimientos y el uso de los mismos con Incident Manager, consulte los siguientes temas:
+ Para añadir un manual de procedimientos a un plan de respuesta, consulte [Creación y configuración de planes de respuesta en Incident Manager](response-plans.md).
+ Para obtener más información sobre los manuales de procedimientos, consulte [Automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) en la *Guía del usuario de AWS Systems Manager * y la *[Referencia del manual de procedimientos de automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)*.
+ Para obtener información sobre el costo de uso de los manuales de procedimientos, consulte [Precios de Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
+ Para obtener información sobre cómo invocar automáticamente los manuales de ejecución cuando una CloudWatch alarma o un EventBridge evento de Amazon crean un incidente, consulte el [Tutorial: Uso de los manuales de ejecución de Systems Manager Automation con](https://docs.aws.amazon.com//incident-manager/latest/userguide/tutorials-runbooks.html) Incident Manager.
**Topics**
+ [Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientos](#runbook-permissions)
+ [Uso de los parámetros del manual de procedimientos](#runbooks-parameters)
+ [Definición de un manual de procedimientos](#runbook-create)
+ [Plantilla de manual de procedimientos de Incident Manager](#runbooks-template)
## Permisos de IAM necesarios para iniciar y ejecutar flujos de trabajo de manuales de procedimientos
Incident Manager requiere permisos para ejecutar manuales de procedimientos como parte de su respuesta a incidentes. *Para proporcionar estos permisos, utiliza las funciones AWS Identity and Access Management (IAM), la función de *servicio Runbook y la función de automatización*. `AssumeRole`*
El rol de servicio del manual de procedimientos es un rol de servicio obligatorio. Este rol proporciona a Incident Manager los permisos que necesita para acceder e iniciar el flujo de trabajo del manual de procedimientos.
El `AssumeRole` de automatización proporciona los permisos necesarios para ejecutar los comandos individuales especificados dentro del manual de procedimientos.
**nota**
Si no se especifica ningún `AssumeRole`, Systems Manager Automation intenta utilizar el rol de servicio del manual de procedimientos para los comandos individuales. Si no especifica un `AssumeRole`, debe añadir los permisos necesarios al rol de servicio del manual de procedimientos. Si no lo hace, el manual de procedimientos no podrá ejecutar esos comandos.
Sin embargo, como práctica recomendada en materia de seguridad, recomendamos utilizar un `AssumeRole` separado. Con un `AssumeRole` separado, puede limitar los permisos necesarios que debe añadir a cada rol.
Para obtener más información sobre el `AssumeRole` de automatización, consulte [Configuración de un rol de servicio (asumir rol) de acceso para automatizaciones](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html#automation-setup-configure-role) en la *Guía del usuario de AWS Systems Manager *.
Puede crear usted mismo de forma manual cualquiera de los dos tipos de rol en la consola de IAM. También puede dejar que Incident Manager cree cualquiera de los dos por usted al crear o actualizar un plan de respuesta.
**Permisos del rol de servicio del manual de procedimientos**
Los permisos del rol de servicio dle manual de procedimientos se proporcionan a través de una política similar a la siguiente.
La primera declaración permite a Incident Manager iniciar la operación `StartAutomationExecution` de Systems Manager. A continuación, esta operación se ejecuta en los recursos representados por los tres formatos de nombre de recurso de Amazon (ARN).
La segunda declaración permite que el rol de servicio del manual de procedimientos asuma un rol en otra cuenta cuando ese manual de procedimientos se ejecuta en la cuenta afectada. *Para obtener más información, consulte [Ejecutar automatizaciones en varias cuentas Regiones de AWS y](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html) en la Guía del AWS Systems Manager usuario.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:{{111122223333}}:document/{{DocumentName}}",
"arn:aws:ssm:*:{{111122223333}}:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ssm.amazonaws.com"
}
}
}
]
}
```
------
**Permisos de automatización AssumeRole**
``Al crear o actualizar un plan de respuesta, puede elegir entre varias políticas AWS gestionadas para adjuntarlas a las AssumeRole que cree Incident Manager. Estas políticas proporcionan permisos para ejecutar una serie de operaciones comunes utilizadas en los escenarios del manual de procedimientos de Incident Manager. Puede elegir una o más de estas políticas administradas para proporcionar permisos a su política `AssumeRole`. ``En la siguiente tabla se describen las políticas entre las que puede elegir al crear un `AssumeRole` desde la consola de Incident Manager.
| Nombre de la política administrada de AWS | Descripción de la política |
| --- | --- |
| AmazonSSMAutomationRole | Concede permisos para que el servicio de Systems Manager Automation ejecute las actividades definidas en los manuales de procedimientos. Asigne esta política a los administradores y a los usuarios de confianza avanzados. |
| AWSIncidentManagerResolverAccess | Concede permiso a los usuarios para iniciar, ver y actualizar incidentes. También puede utilizarlas para crear eventos de línea temporal de clientes y elementos relacionados en el panel de control de incidentes. |
Puede utilizar estas políticas administradas para conceder permisos para muchos escenarios comunes de respuesta a incidentes. Sin embargo, los permisos requeridos para las tareas específicas que necesite pueden variar. En estos casos, debe proporcionar permisos de políticas adicionales para su `AssumeRole`. Para obtener información, consulte la *[Referencia del manual de procedimientos de automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)*.
## Uso de los parámetros del manual de procedimientos
Cuando se añade un manual de procedimiento a un plan de respuesta, se pueden especificar los parámetros que el manual debe utilizar en tiempo de puesta en marcha. Los planes de respuesta admiten parámetros con valores tanto estáticos como dinámicos. Para los valores estáticos, se introduce el valor cuando se define el parámetro en el plan de respuesta. En el caso de los valores dinámicos, el sistema determina el valor correcto del parámetro recopilando información del incidente. Incident Manager es compatible con los siguientes parámetros dinámicos:
`Incident ARN`
Cuando Incident Manager crea un incidente, el sistema captura el nombre de recurso de Amazon (ARN) del registro de incidentes correspondiente y lo ingresa para este parámetro en el manual de procedimiento.
Este valor solo puede asignarse a parámetros de tipo `String`. Si se asigna a un parámetro de cualquier otro tipo, el manual de procedimientos no se pone en marcha.
`Involved resources`
Cuando Incident Manager crea un incidente, el sistema captura ARNs los recursos involucrados en el incidente. A continuación, estos recursos ARNs se asignan a este parámetro en el manual de ejecución.
### Acerca de los recursos asociados
El administrador de incidentes puede rellenar los valores de los parámetros ARNs del manual con los AWS recursos especificados en CloudWatch las alarmas, los EventBridge eventos y los incidentes creados manualmente. En esta sección se describen los distintos tipos de recursos que Incident Manager puede capturar ARNs al rellenar este parámetro.
**CloudWatch alarmas**
Cuando se crea un incidente a partir de una acción de CloudWatch alarma, Incident Manager extrae automáticamente los siguientes tipos de recursos de las métricas asociadas. A continuación, rellena los parámetros elegidos con los siguientes recursos implicados:
****
| AWS servicio | Tipo de recurso |
| --- | --- |
| Amazon DynamoDB | Índices secundarios globales
Transmisión
Tablas |
| Amazon EC2 | Imágenes
instancias |
| AWS Lambda | Aliases de rol
Versiones de funciones
Funciones |
| Amazon Relational Database Service (Amazon RDS) | Clústeres
Instancias de base de datos |
| Amazon Simple Storage Service (Amazon S3) | Buckets |
**EventBridge reglas**
Cuando el sistema crea un incidente a partir de un EventBridge evento, Incident Manager rellena los parámetros elegidos con la `Resources` propiedad del evento. Para obtener más información, consulta [ EventBridgelos eventos de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) en la *Guía del EventBridge usuario de Amazon*.
**Incidentes creados manualmente**
Al crear un incidente mediante la acción de la [StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html)API, Incident Manager rellena los parámetros elegidos utilizando la información de la llamada a la API. En concreto, rellena los parámetros utilizando elementos de tipo `INVOLVED_RESOURCE` que se pasan en el parámetro `relatedItems`.
**nota**
El valor `INVOLVED_RESOURCES` solo puede asignarse a parámetros de tipo `StringList`. Si se asigna a un parámetro de cualquier otro tipo, el manual de procedimientos no se pone en marcha.
## Definición de un manual de procedimientos
Al crear un manual de procedimientos, puede seguir los pasos que se proporcionan aquí, o seguir la guía más detallada que se proporciona en la sección [Uso de los manuales de procedimientos](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) de la *Guía del usuario de Systems Manager*. Si va a crear un manual de varias cuentas y regiones, consulte [Ejecución de automatizaciones en varias cuentas Regiones de AWS y en](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation-multiple-accounts-and-regions.html) la Guía del usuario de *Systems* Manager.
**Definición de un manual de procedimientos**
1. Abra la consola de Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Documentos**.
1. Elija **Create automation (Crear automatización)**.
1. Introduzca un nombre de manual de procedimientos único e identificable.
1. Introduzca una descripción del manual de procedimientos.
1. Proporcione un rol de IAM para que el documento de automatización lo asuma. Esto permite al manual de procedimientos ejecutar comandos automáticamente. Para obtener más información, consulte [Configuración de un acceso de rol de servicio para flujos de trabajo de automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html#automation-setup-configure-role).
1. (Opcional) Añada cualquier parámetro de entrada con el que se inicie el manual de procedimientos. Puede utilizar parámetros dinámicos o estáticos al iniciar un manual de procedimientos. Los parámetros dinámicos utilizan valores del incidente en el que se inicia el manual de procedimientos. Los parámetros estáticos utilizan el valor que usted proporciona.
1. (Opcional) Añada un tipo de **Objetivo**.
1. (Opcional) Añada etiquetas.
1. Complete los pasos que el manual de procedimientos seguirá al ejecutarse. Cada paso requiere:
+ Un nombre.
+ Una descripción del propósito del paso.
+ La acción que se va a ejecutar durante el paso. Los manuales de procedimientos utilizan el tipo de acción **Pausa** para describir un paso manual.
+ (Opcional) Propiedades del comando.
1. Después de añadir todos los pasos necesarios del manual de procedimientos, elija **Crear automatización**.
Para habilitar la funcionalidad entre cuentas, comparta el manual de procedimientos de su cuenta de administración con todas las cuentas de la aplicación que utilicen el manual de procedimientos durante un incidente.
**Uso compartido de un manual de procedimientos**
1. Abra la consola de Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Documentos**.
1. En la lista de documentos, elija el documento que desee compartir y, a continuación, elija **Ver detalles**. En la pestaña **Permisos**, verifique que es usted el propietario del documento. Solo el propietario del documento puede compartirlo.
1. Elija **Edit (Edición de)**.
1. Para compartir el comando públicamente, seleccione **Public** y, a continuación, **Guardar**. Para compartir el comando de forma privada, elija **Privado**, introduzca el Cuenta de AWS ID, elija **Añadir permiso** y, a continuación, seleccione **Guardar**.
## Plantilla de manual de procedimientos de Incident Manager
Incident Manager proporciona la siguiente plantilla de manual de procedimientos para ayudar a su equipo a empezar a crear manuales de procedimientos en Systems Manager Automation. Puede utilizar esta plantilla tal cual o editarla para incluir detalles específicos de su aplicación y sus recursos.
**Localización de la plantilla de manual de procedimientos de Incident Manager**
1. Abra la consola de Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Documentos**.
1. En el área **Documentos**, introduzca **AWSIncidents-** en el campo de búsqueda para mostrar todos los manuales de procedimientos de Incident Manager.
**sugerencia**
Introduzca **AWSIncidents-** como texto libre en lugar de utilizar la opción de filtro **Prefijo de nombre de documento**.
**Uso de una plantilla**
1. Abra la consola de Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Documentos**.
1. Elija la plantilla que desee actualizar en la lista de documentos.
1. Elija la pestaña **Contenido** y, a continuación, copie el contenido del documento.
1. En el panel de navegación, elija **Documentos**.
1. Elija **Create automation (Crear automatización)**.
1. Introduzca un nombre único e identificable.
1. Elija la pestaña **Editor**.
1. Elija **Editar**.
1. Pegue o introduzca los datos copiados en el área **Editor de documentos**.
1. Elija **Create automation (Crear automatización)**.
### `AWSIncidents-CriticalIncidentRunbookTemplate`
`AWSIncidents-CriticalIncidentRunbookTemplate` es una plantilla que proporciona el ciclo de vida de Incident Manager en pasos manuales. Estos pasos son suficientemente genéricos como para utilizarlos en la mayoría de las aplicaciones, pero también suficientemente detallados como para que los respondedores puedan iniciarse en la resolución de incidentes.