AWS Systems Manager Incident Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Incident Manager  可用性の変更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# インシデント修復のために Systems Manager Automation ランブックを Incident Manager に統合する
<a name="runbooks"></a>

のツールである [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) のランブックを使用して、 AWS クラウド 環境内の一般的なアプリケーションおよびインフラストラクチャタスク AWS Systems Managerを自動化できます。

各ランブックは、Systems Manager がマネージドノードまたは他の AWS リソースタイプで実行するアクションで構成される*ランブックワークフロー*を定義します。ランブックを使用すると、 AWS リソースのメンテナンス、デプロイ、修復を自動化できます。



Incident Manager では、ランブックがインシデント対応および緩和を促進し、対応計画の一部として使用するランブックを指定します。

対応計画では、一般的に自動化されるタスク用に事前設定された数十のランブックから選択することも、カスタムランブックを作成することもできます。対応計画定義でランブックを指定すると、インシデントが発生するとシステムが自動的にランブックを起動できます。

**重要**  
クロスリージョンフェイルオーバーによって作成されたインシデントは、対応計画で指定されているランブックを呼び出しません。

Systems Manager Automation、ランブック、および Incident Manager でのランブックの使用の詳細については、以下のトピックを参照してください。
+ 対応計画にランブックを追加する方法については、「[Incident Manager での対応計画の作成と設定](response-plans.md)」を参照してください。
+ ランブックについて詳しくは、「AWS Systems Manager ユーザーガイド」の「[AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)」および「[AWS Systems Manager Automation runbook reference](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)」を参照してください。
+ ランブックの使用料金については、「[Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/)」を参照してください。
+ Amazon CloudWatch アラームまたは Amazon EventBridge イベントによってインシデントが作成されたときに自動的にランブックを呼び出す方法については、「[Tutorial: Using Systems Manager Automation runbooks with Incident Manager](https://docs.aws.amazon.com//incident-manager/latest/userguide/tutorials-runbooks.html)」を参照してください。

**Topics**
+ [ランブックワークフローの開始と実行に必要な IAM アクセス許可](#runbook-permissions)
+ [ランブックパラメータの使用](#runbooks-parameters)
+ [ランブックを定義する](#runbook-create)
+ [Incident Manager ランブックテンプレート](#runbooks-template)

## ランブックワークフローの開始と実行に必要な IAM アクセス許可
<a name="runbook-permissions"></a>

Incident Manager には、インシデント対応の一環としてランブックを実行するアクセス許可が必要です。これらのアクセス許可を付与するには、 AWS Identity and Access Management (IAM) ロール、*Runbook サービスロール*、および *Automation `AssumeRole`*を使用します。

ランブックサービスロールは必須のサービスロールです。このロールは、Incident Manager に対して、ランブックのワークフローにアクセスして開始するために必要なアクセス許可を付与します。

オートメーション `AssumeRole` はランブック内で指定されている個々のコマンドを実行するのに必要なアクセス許可を付与します。

**注記**  
`AssumeRole` が指定されていない場合、Systems Manager Automation は個々のコマンドにランブックサービスロールを使用しようとします。`AssumeRole` を指定しない場合は、ランブックサービスロールに必要なアクセス許可を追加する必要があります。追加しないと、ランブックはそれらのコマンドの実行に失敗します。  
ただし、セキュリティのベストプラクティスとして、別の `AssumeRole` の使用をお勧めします。別の `AssumeRole` を使用すると、各ロールに追加しなければならない必要なアクセス許可を制限できます。

オートメーション `AssumeRole` について詳しくは、「AWS Systems Manager ユーザーガイド」の「[オートメーションのサービスロール (ロールを引き受ける) アクセスの設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html#automation-setup-configure-role)」を参照してください。

どちらのタイプのロールも IAM コンソールで手動で作成できます。対応計画を作成または更新する場合、Incident Manager にどちらかのロールを作成させることもできます。

**ランブックサービスロールのアクセス許可**  
ランブックサービスロールアクセス許可は、以下のようなポリシーによって提供されます。

最初のステートメントにより、Incident Manager は Systems Manager `StartAutomationExecution` オペレーションを開始できます。このオペレーションは、3 つの Amazon リソースネーム (ARN) 形式で表されるリソース上で実行されます。

2 番目のステートメントにより、ランブックが影響を受けたアカウントで実行されるときに、ランブックサービスロールが別のアカウントのロールを引き受けることができます。詳細については、「 *AWS Systems Manager ユーザーガイド*」の[「複数の AWS リージョン および アカウントでオートメーションを実行する](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": [
                "arn:aws:ssm:*:{{111122223333}}:document/{{DocumentName}}",
                "arn:aws:ssm:*:{{111122223333}}:automation-execution/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::*:role/AWS-SystemsManager-AutomationExecutionRole",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "ssm.amazonaws.com"
                }
            }
        }
    ]
}
```

------

**オートメーション AssumeRole アクセス許可**  
``対応計画を作成または更新するときは、Incident Manager が作成する AssumeRole にアタッチする複数の AWS 管理ポリシーから選択できます。これらのポリシーは、Incident Manager ランブックシナリオで使用されるさまざまな一般的なオペレーションを実行するアクセス許可を付与します。これらのマネージドポリシーを 1 つ以上選択して、`AssumeRole` ポリシーにアクセス許可を付与できます。`` 以下の表では、Incident Manager コンソールから `AssumeRole` を作成するときに選択できるポリシーについて説明します。


| AWS マネージドポリシー名 | ポリシーの説明 | 
| --- | --- | 
| AmazonSSMAutomationRole | Systems Manager Automation サービスにランブックで定義されているアクティビティを実行するためのアクセス許可を付与します。このポリシーは、管理者および信頼されたパワーユーザーに割り当てます。 | 
| AWSIncidentManagerResolverAccess | ユーザーにインシデントを開始、表示、更新するアクセス許可を付与します。それらを使用して、インシデントダッシュボードで顧客のタイムラインイベントおよび関連アイテムを作成することもできます。 | 

これらのマネージドポリシーを使用して、多くの一般的なインシデント対応シナリオにアクセス許可を付与できます。ただし、必要な特定のタスクに必須のアクセス許可は異なる場合があります。このような場合は、`AssumeRole` に追加のポリシーアクセス許可を付与する必要があります。詳細については、「[AWS Systems Manager Automation runbook reference](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)」を参照してください。

## ランブックパラメータの使用
<a name="runbooks-parameters"></a>

応答プランに Runbook を追加する場合、Runbook が実行時に使用するパラメータを指定できます。応答プランでは、静的な値と動的な値の両方を持つパラメータをサポートします。静的な値の場合、応答プランでパラメータを定義するときに値を入力します。動的な値の場合、システムはインシデントから情報を収集することによって正しいパラメータ値を決定します。Incident Manager は、次の動的なパラメータをサポートしています。

`Incident ARN`  
Incident Manager がインシデントを作成すると、システムは対応するインシデントレコードの Amazon リソースネーム (ARN) をキャプチャし、それを Runbook にあるこのパラメータに入力します。  
この値は、タイプ `String` のパラメータにのみ割り当てることができます。他のタイプのパラメータに割り当てられた場合、Runbook は実行に失敗します。

`Involved resources`  
Incident Manager がインシデントを作成すると、システムはインシデントに関連するリソースの ARN をキャプチャします。その後、これらのリソース ARN は、Runbook のこのパラメータに割り当てられます。

### 関連付けられたリソースについて
<a name="runbooks-parameters-involved-resources"></a>

Incident Manager は、CloudWatch アラーム、EventBridge イベント、および手動で作成されたインシデントで指定された AWS リソースの ARNs をランブックパラメータ値に入力できます。このセクションでは、Incident Manager がこのパラメータにデータを入力するときに ARN をキャプチャできるさまざまなタイプのリソースについて説明します。

**CloudWatch アラーム**  
CloudWatch アラームアクションからインシデントが作成されると、Incident Manager は関連するメトリクスから以下のタイプのリソースを自動的に抽出します。その後、選択したパラメータに以下の関連リソースを入力します。


****  

| AWS サービス | リソースタイプ | 
| --- | --- | 
| Amazon DynamoDB | グローバルセカンダリインデックス<br />Streams<br />テーブル | 
| Amazon EC2 | イメージ<br />インスタンス | 
| AWS Lambda | 関数のエイリアス<br />関数のバージョン<br />関数 | 
| Amazon Relational Database Service (Amazon RDS) | クラスター<br />データベースインスタンス | 
| Amazon Simple Storage Service (Amazon S3) | バケット | 

**EventBridge ルール**  
システムが EventBridge イベントからインシデントを作成すると、Incident Manager は選択したパラメータにイベントの `Resources` プロパティを入力します。詳細については、「Amazon EventBridge ユーザーガイド」の「[Amazon EventBridge イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)」を参照してください。

**手動で作成されたインシデント**  
[StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html) API アクションを使用してインシデントを作成すると、Incident Manager は API コールの情報を使用して選択したパラメータにデータを入力します。具体的には、`relatedItems` パラメータで渡されるタイプ `INVOLVED_RESOURCE` の項目を使用してパラメータにデータを入力します。

**注記**  
`INVOLVED_RESOURCES` 値は、タイプ `StringList` のパラメータにのみ割り当てることができます。他のタイプのパラメータに割り当てられた場合、Runbook は実行に失敗します。

## ランブックを定義する
<a name="runbook-create"></a>

ランブックを作成する際には、ここで説明するステップに従うか、「Systems Manager ユーザーガイド」の「[Working with runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)」セクションに記載されているより詳細なガイドに従ってください。マルチアカウント、マルチリージョンランブックを作成する場合は、*「Systems* [Manager ユーザーガイド」の「複数の AWS リージョン および アカウントでのオートメーションの実行](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation-multiple-accounts-and-regions.html)」を参照してください。

**ランブックを定義する**

1. Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[ドキュメント]** を選択します。

1. [**Create automation (オートメーションを作成)**] を選択します。

1. 一意で識別可能なランブック名を入力します。

1. ランブックの説明を入力します。

1. オートメーションドキュメントが引き受ける IAM ロールを指定します。これにより、ランブックがコマンドを自動的に実行できるようになります。詳細については、「[オートメーションワークフローにサービスロールのアクセスを設定する](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html#automation-setup-configure-role)」を参照してください。

1. (オプション) ランブックが起動時に使用する入力パラメータを追加します。ランブックを起動するときには、動的パラメータまたは静的パラメータを使用できます。動的パラメータはランブックが起動されるインシデントの値を使用します。静的パラメータは指定した値を使用します。

1. (オプション) **ターゲット** タイプを追加します。

1. (オプション) タグを追加します。

1. ランブックが実行時に行うステップを記入します。各ステップには以下が必要です。
   + 名前。
   + ステップの目的の説明。
   + ステップ中に実行するアクション。ランブックでは、手動のステップを説明するのに **一時停止** というアクションタイプを使用します。
   + (オプション) コマンドプロパティ。

1. 必要なランブックステップをすべて追加したら、**オートメーションの作成**を選択します。

クロスアカウント機能を有効にするには、インシデント中にランブックを使用するすべてのアプリケーションアカウントと、管理アカウントのランブックを共有します。

**ランブックを共有する**

1. Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[ドキュメント]** を選択します。

1. ドキュメントリストで共有するドキュメントを選択し、[**詳細を表示**] を選択します。[**Permissions**] タブで自分がドキュメントの所有者であることを確認します。ドキュメントの所有者のみがドキュメントを共有できます。

1. [**Edit**] を選択します。

1. コマンドをパブリックに共有するには、[**Public**] を選択し、[**Save**] を選択します。コマンドをプライベートで共有するには、**プライベート** を選択し、 AWS アカウント ID を入力し、アクセス**許可の追加** を選択し、**保存** を選択します。

## Incident Manager ランブックテンプレート
<a name="runbooks-template"></a>

Incident Manager には、チームが Systems Manager オートメーションでランブックの作成を開始できるように、以下のランブックテンプレートが用意されています。このテンプレートをそのまま使用するか、編集して、アプリケーションおよびリソースに固有の詳細を含めることができます。

**Incident Manager ランブックテンプレートを検索する**

1. Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[ドキュメント]** を選択します。

1. **[ドキュメント]** 領域で検索フィールドに **AWSIncidents-** を入力すると、Incident Manager のすべてのランブックが表示されます。
**ヒント**  
**[ドキュメント名のプレフィックス]** フィルターオプションを使用するのではなく、フリーテキストで **AWSIncidents-** を入力してください。

**テンプレートの使用**

1. Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[ドキュメント]** を選択します。

1. ドキュメントリストから更新するテンプレートを選択します。

1. **[コンテンツ]** タブを選択し、ドキュメントのコンテンツをコピーします。

1. ナビゲーションペインで、**[ドキュメント]** を選択します。

1. [**Create automation (オートメーションを作成)**] を選択します。

1. 一意で識別可能な名前を入力します。

1. [**エディタ**] タブを選択します。

1. **[編集]** を選択します。

1. **[ドキュメントエディタ]** 領域にコピーした詳細を貼り付けるか入力します。

1. [**Create automation (オートメーションを作成)**] を選択します。

### `AWSIncidents-CriticalIncidentRunbookTemplate`
<a name="runbooks-template-critical"></a>

`AWSIncidents-CriticalIncidentRunbookTemplate` は、Incident Manager インシデントライフサイクルを手動ステップで提供するテンプレートです。これらのステップは、ほとんどのアプリケーションで使用できる一般的な手順ですが、応答者がインシデント解決に着手するのに十分な詳細が記載されています。