• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。 # AWS Systems Manager OpsCenter AWS Systems Manager のツールである OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連するオペレーション作業項目 (OpsItems) を一元的に確認、調査、および解決できる場所を提供します。OpsCenter は、AWS リソースに影響を与える問題の解決にかかる平均時間を短縮するよう設計されています。OpsCenter は、複数のサービスの OpsItems を集約および標準化するとともに、各 OpsItem および関連の OpsItems と関連するリソースに関するコンテキスト調査データを提供します。さらに OpsCenter も、迅速な問題の解決に役立つ Systems Manager Automation ランブックを提供します。検索可能なカスタムデータを OpsItem ごとに指定することができます。OpsItems に関する自動的に生成された概要レポートは、ステータスおよびソース別に表示することもできます。OpsCenter の使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com//systems-manager/opsitems)を開きます。ナビゲーションペインで、**[OpsCenter]** を選択します。 OpsCenter は Amazon EventBridge および Amazon CloudWatch と統合されています。つまり、CloudWatch アラームが `ALARM` の状態になったとき、または EventBridge がイベントを発行する AWS のサービスからのイベントを処理するときに、OpsCenter で OpsItem を自動的に作成するようにこれらのサービスを設定できます。CloudWatch アラームと EventBridge イベントが自動的に OpsItems を作成するように構成すると、1 つのコンソールから AWS リソースに関する問題を迅速に診断および修正できます。 問題の診断に役立つように、各 OpsItem には、OpsItem を生成した AWS リソースの名前と ID、アラームまたはイベントの詳細、アラーム履歴、アラームタイムライングラフなど、状況に応じた関連情報が含まれています。 AWS リソースに対し、OpsCenter は AWS Config、AWS CloudTrail ログおよび Amazon CloudWatch Events の情報を集約するため、調査中に複数のコンソールページ間を移動する必要がありません。 次のリストは、OpsItems を作成する CloudWatch アラームを設定するお客様の AWS リソースとメトリックスのタイプを示しています。 + Amazon DynamoDB: データベースの読み取りおよび書き込みアクションがしきい値に達する + Amazon EC2: CPU 使用率がしきい値に達する + AWS 請求: 推定請求額がしきい値に達する + Amazon EC2: インスタンスがステータスチェックに失敗する + Amazon Elastic Block Store (EBS): ディスク領域の使用率がしきい値に達する 次のリストには、OpsItems を作成するためにお客様が設定する EventBridge ルールの種類を示します。 + AWS Security Hub CSPM: セキュリティアラートが発行されました + DynamoDB: スロットリングイベント + Amazon EC2 Auto Scaling: インスタンスの起動に失敗しました + Systems Manager: オートメーションを実行できませんでした + AWS Health: スケジュールされたメンテナンスのアラート + EC2: インスタンスの状態が `Running` から `Stopped` に変わる OpsCenter は、.NET および SQL Server 用の Amazon CloudWatch Application Insights とも統合されています。つまり、アプリケーションで検出された問題に対して自動的に OpsItems を作成できます。また、OpsCenter を AWS Security Hub CSPM と統合して、Systems Manager のセキュリティ、パフォーマンス、運用上の問題を集約し、アクションを実行することもできます。 オペレーションエンジニアおよび IT プロフェッショナルは、AWS Systems Manager コンソールの OpsCenter ページ、パブリック API オペレーション、AWS Command Line Interface (AWS CLI)、AWS Tools for Windows PowerShell、または AWS SDK を使用して、OpsItems を作成、表示、および編集できます。OpsCenter パブリック API アクションを使用すると、OpsCenter をケース管理システムおよび正常性ダッシュボードと統合することも可能です。 ## OpsCenter はどのように組織にとってメリットになりますか? OpsCenter では、AWS リソースに関する問題を表示、対応、修正するための統一された標準エクスペリエンスを提供します。統一された標準エクスペリエンスによって、問題の解決やその問題の調査、新しいオペレーションエンジニアと IT プロフェッショナルのトレーニングにかかる時間は短縮されます。また、統一された標準エクスペリエンスでは、問題を管理して修正するシステムに対する手動エラーの数が低下します。 具体的には、OpsCenter は、オペレーションエンジニアや組織にとって、次のような利点があります。 + AWS リソースに関連する OpsItems を表示、調査、解決するために複数のコンソールページを移動する必要はありません。OpsItems は、サービス全体の中心の場所に集約されます。 + CloudWatch アラーム、EventBridge イベント、および .NET および SQL Server 用の CloudWatch Application Insights によって自動的に生成される OpsItems のサービス固有のデータおよびコンテキストに関連するデータを表示できます。 + OpsItem に関するリソースの Amazon リソースネーム (ARN) を指定することができます。関連リソースを指定することで、OpsCenter は、組み込みロジックを使用して、OpsItems が重複しないようにします。 + 同様の OpsItems の詳細や解決方法に関する情報を確認することができます。 + 問題を解決するには、Systems Manager Automation ランブック に関する情報をすばやく表示して実行します。 ## OpsCenter の特徴は何ですか? + **自動スナップショットと手動 OpsItem 作成** OpsCenter は Amazon CloudWatch と統合されています。つまり、アラームが `ALARM` 状態になったとき、または Amazon EventBridge がイベントを発行する AWS のサービスからのイベントを処理するときに、OpsCenter で OpsItem を自動的に作成するように CloudWatch を設定できます。手動で OpsItems を作成することもできます。 OpsCenter は、.NET および SQL Server 用の Amazon CloudWatch Application Insights とも統合されています。つまり、アプリケーションで検出された問題に対して自動的に OpsItems を作成できます。 + **詳細で検索可能な OpsItems** 各 OpsItem には、情報の複数のフィールドを含みます。たとえば、OpsItem のタイトル、ID、優先度、説明のほか、最終更新日時などがあります。各 OpsItem には、次の設定可能な機能も含まれます。 + **ステータス**: Open、In progress、Resolved、または Open and In progress。 + **関連リソース**: 関連リソースは、影響を受けるリソース、または OpsItem を作成した EventBridge イベントを開始したリソースです。各 OpsItem には、[**関連リソース**] セクションを含みます。OpsCenter によって、関連リソースの Amazon リソースネーム (ARN) が自動的に表示されます。また、関連リソースの ARN を手動で指定することもできます。一部の ARN タイプでは、その情報を表示するために他のコンソールページにアクセスしなくても、OpsCenter によって、リソースに関する詳細を表示するディープリンクが自動的に作成されます。たとえば、EC2 インスタンスの ARN を指定すると、OpsCenter のそのインスタンスに関する EC2 提供の詳細をすべて表示できます。その他の関連リソースの ARN は手動で追加することができます。各 OpsItem セクションには、最大 100 個の関連リソースの ARN を表示できます。詳細については、「[関連リソースを OpsItem に追加する](OpsCenter-working-with-OpsItems-adding-related-resources.md)」を参照してください。 + **関連および同様の OpsItems**: [**関連 OpsItems (Related)**] 機能を使用すると、現在の OpsItem に関連する OpsItems の ID を指定できます。[**同様の OpsItem**] 機能によって、OpsItem のタイトルや説明が自動的に確認されてから、関連する、またはその他のユーザー向けの他の OpsItems が一覧表示されます。 + **検索可能でプライベートな運用データ**: 運用データは、OpsItem に関する有用なリファレンスの詳細を提供するカスタムデータです。たとえば、ログファイル、エラー文字列、ライセンスキー、トラブルシューティングのヒント、その他の関連データを指定することができます。キーと値のペアで、運用データを入力します。キーの最大長は 128 文字です。値の最大サイズは 20 KB です。 このカスタムデータは検索可能ですが、制限があります。[**Searchable operational data (検索可能な運用データ)**] 機能で ([DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) API オペレーションによって提供)、OpsItem 概要ページにアクセスできるユーザーは誰でも、指定されたデータを表示および検索することができます。[**Private operational data (プライベートな運用データ)**] 機能で、([GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) API オペレーションと同様) OpsItem にアクセスできるユーザーのみがデータに表示できます。 + **重複排除機能**: 関連リソースを指定することにより、OpsCenterは、組み込みロジックを使用して、OpsItems が重複しないようにします。OpsCenter には**オペレーションインサイト**という機能も含まれており、重複した OpsItems に関する情報が表示されます。アカウントで重複する OpsItems の数をさらに制限するには、EventBridge イベントルールに重複排除文字列を手動で指定できます。詳細については、「[OpsItems の重複を管理する](OpsCenter-working-deduplication.md)」を参照してください。 + **一括編集OpsItems**: OpsCenter で複数の OpsItems を選択し、次のフィールドのいずれかを編集します。**ステータス**、**優先度**、**重要度**、**カテゴリ**。 + **ランブックを使用した簡単な修復** 各 OpsItem には、AWS リソースに関する一般的な問題を自動的に修正するために使用できる Systems Manager Automation ランブックのリストを含む [**Runbooks** (ランブック)] セクションがあります。OpsItem を開き、その OpsItem の AWS リソースを選択し、コンソールで [**Run automation** (自動化を実行)] ボタンを選択すると、OpsCenter に OpsItem を生成した AWS リソースで実行できる自動化ドキュメントのリストが表示されます。OpsItem から Automation ランブックを実行したら、ランブックは、将来の参照を目的として、OpsItem の関連リソースに自動的に関連付けられます。さらに、OpsCenter を使用して EventBridge で OpsItem ルールを自動的に設定した場合は、一般的なイベントのランブックは、EventBridge によって自動的に関連付けられます。OpsCenter は、特定の OpsItem に対して実行された Automation ランブックのレコードを 30 日間保持します。詳細については、「[OpsItem の問題を修正する](OpsCenter-remediating.md)」を参照してください。 + **変更通知**: OpsItem が変更または編集されたときはいつでも、Amazon Simple Notification Service (SNS) トピックの ARN を指定して通知を発行できます。SNSトピックは、OpsItem と同じ AWS リージョン に存在する必要があります。 + **包括的な OpsItem の検索機能**: OpsCenter では、OpsItems を速やかに見つけやすいように、複数の検索オプションが提供されています。検索方法の例は次のとおりです: ランブック実行の OpsItem ID、タイトル、最終更新日時、運用データ値、ソース、および自動化 ID。検索結果を絞り込むには、ステータスフィルターを使用します。 + **OpsItem 概要レポート** OpsCenter には、概要レポートページが含まれており、次のセクションが自動的に表示されます。 + **ステータスの概要**: OpsItems の概要 (ステータス別: Open、In progress、Resolved、Open and In progress)。 + **Sources with most open OpsItems**: オープン OpsItems が含まれている上位の AWS サービスの内訳。 + **OpsItems by source and age**: ソースから作成された日数までにグループ化された OpsItems の数。 OpsCenter 概要レポートの表示の詳細については、「[OpsCenter 概要レポートの表示](OpsCenter-reports.md)」を参照してください。 + **ログ記録および監査機能のサポート** 他の AWS サービスとの統合を使用して、AWS アカウント の OpsCenter ユーザーアクションの監査およびログ記録ができます。詳細については、「[OpsCenter ログとレポートを表示する](OpsCenter-logging-auditing.md)」を参照してください。 + **コンソール、CLI、PowerShell、および SDK の OpsCenter ツールへのアクセス** AWS Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、AWS Tools for PowerShell、または AWS SDK を使用すると OpsCenter を操作できます。 ## OpsCenter は既存のケース管理システムと統合できますか? OpsCenter は既存のケース管理システムを補完するように設計されています。パブリック API オペレーションを使用して、OpsItems を既存のケース管理システムに統合できます。現在のシステムで手動のライフサイクルワークフローを維持し、OpsCenter を調査および修復のハブとして使用することもできます。 OpsCenter パブリック API オペレーションの詳細については、*AWS Systems Manager API リファレンス*の次の API オペレーションをご覧ください。 + [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) + [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) + [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) + [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) + [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html) ## OpsCenter の使用料金はかかりますか? はい。詳細については、[AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。 ## OpsCenter はオンプレミスおよびハイブリッドマネージドノードと連携しますか? はい。Systems Manager を使用するように設定されているオンプレミスのマネージドノードに関する問題を調査して修正するには、OpsCenter を使用できます。Systems Manager 用のオンプレミスサーバーおよび仮想マシンのセットアップおよび設定に関する詳細については、「[Systems Manager を利用したハイブリッド環境およびマルチクラウド環境でのノードの管理](systems-manager-hybrid-multicloud.md)」を参照してください。 ## OpsCenter のクォータとは? すべての Systems Manager ツールのクォータは、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm)」で確認できます。特に明記していない限り、クォータはリージョン固有です。 # OpsCenter を設定する AWS Systems Manager では、Systems Manager のツールである統合セットアップエクスペリエンスを使用して、OpsCenter と Explorer の利用を開始できます。Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能な運用ダッシュボードです。このドキュメントでは、Explorer と OpsCenter のセットアップは統合セットアップと呼ばれます。 OpsCenter を Explorer でセットアップするには、統合セットアップを使用する必要があります。統合セットアップは、AWS Systems Manager コンソールでのみ使用できます。Explorer と OpsCenter をプログラムで設定することはできません。詳細については、「[Systems Manager Explorer と OpsCenter の開始方法](Explorer-setup.md)」を参照してください。 **[開始する前に]** OpsCenter のセットアップ時に、OpsItems を自動的に作成する Amazon EventBridge のデフォルトルールを有効にします。次の表では、OpsItems を自動的に作成する、デフォルトの EventBridge ルールについて説明します。EventBridge のルールは、**[OpsItem ルール]** の下にある OpsCenter の **[設定]** ページで無効にできます。 **重要** アカウントには、デフォルトルールで作成された OpsItems の料金も請求されます。詳細については、[AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。 **** | ルール名 | 説明 | | --- | --- | | SSMOpsItems-Autoscaling-instance-launch-failure | このルールは、EC2 自動スケーリングインスタンスの起動が失敗した場合に OpsItems を作成します。 | | SSMOpsItems-Autoscaling-instance-termination-failure | このルールは、EC2 自動スケーリングインスタンスの終了が失敗した場合に OpsItems を作成します。 | | SSMOpsItems-EBS-snapshot-copy-failed | このルールは、Amazon Elastic Block Store (Amazon EBS) スナップショットをコピーできなかったときに OpsItems を作成します。 | | SSMOpsItems-EBS-snapshot-creation-failed | このルールは、システムが Amazon EBS スナップショットを作成できなかったときに OpsItems を作成します。 | | SSMOpsItems-EBS-volume-performance-issue | このルールは AWS Health 追跡ルールに対応しています。このルールは、Amazon EBS ボリューム (health event = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`) にパフォーマンス上の問題があるたびに OpsItems を作成します。 | | SSMOpsItems-EC2-issue | このルールは、AWS サービスやリソースに影響する予期しないイベントの AWS Health 追跡ルールに対応しています。このルールは、サービスの低下を引き起こしているオペレーション上の問題、またはローカライズされたリソースレベルの問題に関する認識を高めるために、サービスが通信を送信するときに OpsItems を作成します。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_EC2_OPERATIONAL_ISSUE`。 | | SSMOpsItems-EC2-scheduled-change | このルールは AWS Health 追跡ルールに対応しています。AWS は、再起動、停止、またはインスタンスの開始など、インスタンスのイベントを予定できます。このルールは EC2 の予定されたイベントに OpsItems を作成します。予定されたイベントの詳細については、「Amazon EC2 ユーザーガイド」の「[インスタンスの予定されたイベント](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)」を参照してください。 | | SSMOpsItems-RDS-issue | このルールは、AWS サービスやリソースに影響する予期しないイベントの AWS Health 追跡ルールに対応しています。このルールは、サービスの低下を引き起こしているオペレーション上の問題、またはローカライズされたリソースレベルの問題に関する認識を高めるために、サービスが通信を送信するときに OpsItems を作成します。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`、`AWS_RDS_EXPORT_TASK_FAILED`、および `AWS_RDS_CONNECTIVITY_ISSUE`。 | | SSMOpsItems-RDS-scheduled-change | このルールは AWS Health 追跡ルールに対応しています。このルールは Amazon RDS の予定されたイベントに OpsItems を作成します。これらのイベントは、Amazon RDS サービスへの今後の変更に関する情報を提供します。サービスの中断を回避するためにアクションの実行を推奨するイベントもあります。ユーザー側のアクションなしで自動的に発生するイベントもあります。予定された変更アクティビティの間、リソースが一時的に利用できないことがあります。例えば、このルールでは次のイベントに OpsItem を作成します: `AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` および `AWS_RDS_MAINTENANCE_SCHEDULED`。予定されているイベントについて詳しくは、「**AWS Health ユーザーガイド」の「[イベントタイプのカテゴリ](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories)」を参照してください。 | | SSMOpsItems-SSM-maintenance-window-execution-failed | このルールは、Systems Manager メンテナンスウィンドウの処理が失敗したときに OpsItems を作成します。 | | SSMOpsItems-SSM-maintenance-window-execution-timedout | このルールは、Systems Manager のメンテナンスウィンドウのローンチがタイムアウトになったときに OpsItems を作成します。 | 次の手順に従って、OpsCenter を設定します。 **OpsCenter をセットアップする** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsCenter ホームページで、**[開始]** を選択します。 1. OpsCenter セットアップページで、**[このオプションを有効にすると、Explorer で AWS Config および Amazon CloudWatch Events が設定され、一般的に使用されるルールとイベントに基づいて OpsItems が自動的に作成されるようになります]** を選択します。このオプションを選択しない場合、OpsCenter は無効のままになります。 **注記** Amazon EventBridge (以前の Amazon CloudWatch Events) は、CloudWatch Events のすべての機能の他に、カスタムイベントバス、サードパーティーのイベントソース、スキーマレジストリなどのいくつかの新機能を提供します。 1. **[有効化]OpsCenter** を選択します。 OpsCenter を有効にすると、**[設定]** から以下のことを実行できます。 + **[CloudWatch コンソールを開く]** ボタンをクリックして、CloudWatch アラームを作成します。詳細については、「[OpsItems を作成するように CloudWatch を設定する](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)」を参照してください。 + 運用上のインサイトを無効にします。詳細については、「[OpsItems を減らすために運用上のインサイトを分析する](OpsCenter-working-operational-insights.md)」を参照してください。 + AWS Security Hub CSPM の検出結果のアラームを有効にします。詳細については、「[OpsCenter と AWS Security Hub CSPM の統合について](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)」を参照してください。 **Topics** + [(オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する](OpsCenter-setting-up-cross-account.md) + [(オプション) OpsItems に関する通知を受け取るように Amazon SNS を設定する](OpsCenter-getting-started-sns.md) # (オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する Systems Manager OpsCenter を使用すると、選択した AWS リージョン 内の複数の AWS アカウント 間で OpsItems を一元管理できます。この機能は AWS Organizations にお客様の組織をセットアップした後に利用可能になります。AWS Organizations は、作成し一元管理する組織に、複数の AWS アカウントを統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たすアカウント管理および一括請求機能が備わっています。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations とは何か](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。 AWS Organizations 管理アカウントに属するユーザーは、Systems Manager の委任管理者をセットアップできます。OpsCenter のコンテキストでは、委任管理者はメンバーアカウントで OpsItems を作成、編集、表示できます。委任管理者は Systems Manager Automation ランブックを使用して、OpsItems を生成している AWS リソースに関する OpsItems を一括解決または問題を修復することもできます。 **注記** Systems Manager に対して、委任管理者を 1 人だけ割り当てることができます。詳細については、「[Systems Manager 用の AWS Organizations 委任された管理者の作成](setting_up_delegated_admin.md)」を参照してください。 Systems Manager では、OpsCenter複数の AWS アカウント 間で OpsItems を一元管理するための設定方法として、次の方法が用意されています。 + **Quick Setup**: Systems Manager ツールの 1 つであるクイックセットアップを使用すると、Systems Manager ツールのセットアップタスクと設定タスクを簡略化できます。詳細については、「[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)」を参照してください。 OpsCenter の Quick Setup を使用すると、複数のアカウント間で OpsItems を管理するために次のタスクを実行できます。 + アカウントを委任管理者として登録する (委任管理者がまだ指定されていない場合) + 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する + 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織または組織単位 (OU) を指定する 詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。 **注記** Quick Setup は、Systems Manager が現在利用可能なすべての AWS リージョン 地域で利用できるわけではありません。複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動で対応する必要があります。Quick Setup を利用できる AWS リージョン のリストを表示するには、[AWS リージョン に Quick Setup の可用性](systems-manager-quick-setup.md#quick-setup-getting-started-regions) を参照してください。 + **手動セットアップ**: 複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動手順で対応できます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 # (オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定 AWS Systems Manager のツールである Quick Setup により、Systems Manager ツールの設定タスクと構成タスクが簡略化されます。OpsCenter 用の Quick Setup は、複数のアカウント間で OpsItems を管理するための次のタスクの実行に有用です。 + 委任された管理者のアカウントを指定する + 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する + 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織、またはメンバーアカウントのサブセットを指定する Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定すると、Quick Setup は指定されたアカウントに次のリソースを作成します。これらのリソースは、OpsItems を生成する AWS リソース生成に関する問題を解決するため、OpsItems をで作業し、オートメーションランブックを使用する権限を指定されたアカウントに付与します。 **** | リソース | アカウント | | --- | --- | | `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management (IAM) サービスリンクロール このロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。 | AWS Organizations 管理アカウントと委任された管理者アカウント | | `OpsItem-CrossAccountManagementRole` IAM ロール `AWS-SystemsManager-AutomationAdministrationRole` IAM ロール | 委任された管理者アカウント | | `OpsItem-CrossAccountExecutionRole` IAM ロール `AWS-SystemsManager-AutomationExecutionRole` IAM ロール デフォルトの OpsItem グループ (`OpsItemGroup`) に対する `AWS::SSM::ResourcePolicy`  Systems Manager リソースポリシー | すべての AWS Organizations メンバーアカウント | **注記** [手動](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)で複数のアカウント間で OpsItems を管理するように OpsCenter を設定していた場合は、そのプロセスのステップ 4 と 5 で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。以下の手順を実行したときにそれらのリソースがアカウントに存在する場合、Quick Setup はクロスアカウント OpsItem 管理を適切に設定できません。 **Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定するには** 1. AWS Organizations 管理アカウントを使用して AWS マネジメントコンソール にログインします。 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[Quick Setup]** を選択します。 1. [**ライブラリ**] タブを選択します。 1. 一番下までスクロールして、**OpsCenter** 設定タイルを探します。**[作成]** を選択します。 1. Quick SetupOpsCenter ページの [**委任管理者**] セクションに、アカウント ID を入力します。このフィールドを編集できない場合は、Systems Manager の委任管理者アカウントがすでに指定されています。 1. [**ターゲット**] セクションで、オプションを選択してください。[**カスタム**] を選択した場合は、複数のアカウント間で OpsItems を管理する組織単位 (OU) を選択します。 1. **[作成]** を選択します。 Quick Setup は OpsCenter 設定を作成し、必要な AWS リソースを指定された OU にデプロイします。 **注記** 複数のアカウント間で OpsItems を管理しない場合は、Quick Setup から設定を削除できます。設定を削除すると、Quick Setup は設定が最初にデプロイされたときに作成された次の IAM ポリシーとロールを削除します。 委任された管理者のアカウントからの `OpsItem-CrossAccountManagementRole` `OpsItem-CrossAccountExecutionRole` と `SSM::ResourcePolicy` をすべての Organizations のメンバーアカウントから Quick Setup は、すべての組織単位および設定が最初にデプロイされた AWS リージョン から、設定を削除します。 ## OpsCenter に対する Quick Setupの設定に関する問題のトラブルシューティング このセクションには、Quick Setup を使用してクロスアカウント OpsItem 管理を設定する場合の問題のトラブルシューティングに役立つ情報が含まれています。 **Topics** + [次の StackSet へのデプロイに失敗しました: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed) + [Quick Setup 設定ステータスが [失敗] となっている](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed) ### 次の StackSet へのデプロイに失敗しました: delegatedAdmin OpsCenter 設定を作成するときに、Quick Setup が Organizations 管理アカウントに 2 つの AWS CloudFormation スタックセットをデプロイします。スタックセットには次のプレフィックス: `AWS-QuickSetup-SSMOpsCenter` を使用します。Quick Setup が次のエラー「`Deployment to these StackSets failed: delegatedAdmin`」表示する場合は、次の手順を使用してこの問題を解決してください。 **StackSets failed:delegatedAdmin エラーをトラブルシューティングするには** 1. Quick Setup コンソールに赤いバナーで `Deployment to these StackSets failed: delegatedAdmin` エラーが表示された場合は、委任された管理者アカウントと、Quick Setup ホームリージョンとして指定された AWS リージョン にサインインします。 1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。 1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。 **注記** CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。 1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。 1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。 **注記** CloudFormation のトラブルシューティングに関するステップによりデプロイの失敗を解決できない場合は、設定を削除したうえで再試行します。 ### Quick Setup 設定ステータスが [失敗] となっている [**構成の詳細**] ページの [**構成の詳細**] テーブルに設定ステータスが `Failed` と表示されている場合は、障害が発生した AWS アカウント およびリージョンにサインインします。 **Quick Setup が OpsCenter 設定の作成に失敗した場合のトラブルシューティングを行うには** 1. 障害が発生した AWS アカウントと AWS リージョンにサインインしてください。 1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。 1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。 **注記** CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。 1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。 1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。 #### メンバーアカウント設定で ResourcePolicyLimitExceededException と表示されている スタックのステータスが `ResourcePolicyLimitExceededException` と示されている場合、アカウントは[手動で](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)、以前 OpsCenter クロスアカウント管理にオンボーディングされたことがあります。この問題を解決するには、手動オンボーディングプロセスのステップ 4 と 5  で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの削除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html)」と「[CloudFormation コンソールでスタックを削除する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)」を参照してください。 # (オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する このセクションでは、クロスアカウント OpsItem 管理の OpsCenter を手動で設定する方法について説明します。このプロセスは引き続きサポートされていますが、Systems Manager Quick Setup を使用する新しいプロセスに置き換えられています。詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。 中央アカウントを設定して、メンバーアカウントの OpsItems 手動を作成し、それらの OpsItems を管理および修正することができます。中央アカウントには、AWS Organizations 管理アカウントか、AWS Organizations 管理アカウントと Systems Manager 委任管理者アカウントの両方を使用することができます。Systems Manager 委任管理者アカウントを中央アカウントとして使用することをお勧めします。この機能は、AWS Organizations を設定した後にのみ使用できます。 AWS Organizations では、ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合することができます。セントラルアカウントユーザーは、選択したすべてのメンバーアカウント用の OpsItems を同時に作成して、これらの OpsItems を管理できます。 このセクションの手順を使用して、Organizations の Systems Manager サービスプリンシパルを有効にし、アカウント間で OpsItems を操作するための AWS Identity and Access Management (IAM) アクセス許可を設定します。 **Topics** + [[開始する前に]](#OpsCenter-before-you-begin) + [ステップ 1: リソースデータの同期を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-rds) + [ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal) + [ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR) + [タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy) + [タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions) **注記** アカウント間で OpsCenter を使用する場合、`/aws/issue` タイプの OpsItems のみがサポートされます。 ## [開始する前に] アカウント間で OpsItems を操作するように OpsCenter を設定する前に、以下を設定してください。 + Systems Manager の委任管理者アカウント 詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。 + Organizations 内で 1 つの組織をセットアップして設定します。詳細については、「AWS Organizations ユーザーガイド」の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。 + 複数の AWS リージョン アカウントと AWS にわたって自動化ランブックを実行するように  Systems Manager Automation を設定しました。詳細については、「[複数の AWS リージョン とアカウントでのオートメーションの実行](running-automations-multiple-accounts-regions.md)」を参照してください。 ## ステップ 1: リソースデータの同期を作成する AWS Organizations のセットアップと設定の完了後、リソースデータ同期を作成することで、組織全体について OpsCenter の OpsItems を集計できるようになります。詳細については、「[リソースデータ同期の作成](Explorer-resource-data-sync-configuring-multi.md)」を参照してください。同期を作成するときは、**[アカウントの追加]** セクションで、必ず **[AWS Organizations 設定のすべてのアカウントを含める]** オプションを選択します。 ## ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする ユーザーがアカウントをまたいで OpsItems を使用できるようにするには、AWS Organizations で Systems Manager サービスプリンシパルを有効にしておく必要があります。以前に、他のツールを使用してマルチアカウントシナリオ用に Systems Manager を設定済みの場合は、Organizations 内で、既に Systems Manager サービスプリンシパルの設定が完了している場合があります。これを確認するには、 AWS Command Line Interface (AWS CLI) から以下のコマンドを実行します。他のマルチアカウントシナリオで Systems Manager を設定していない場合は、次の「AWS Organizations で Systems Manager サービスプリンシパルを有効にする」の手順に進んでください。 **Systems Manager サービスプリンシパルが AWS Organizations で有効になっていることを確認するには** 1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。 1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。 ``` aws configure ``` 以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。 ``` AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER ``` 1. 次のコマンドを実行して、AWS Organizations のために Systems Manager サービスプリンシパルが有効になっていることを確認します。 ``` aws organizations list-aws-service-access-for-organization ``` このコマンドは、下記の例のような情報を返します。 ``` { "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] } ``` **AWS Organizations で Systems Manager サービスプリンシパルを有効化する** まだ、Systems Manager サービスプリンシパルを Organizations 用に設定していない場合は、次に説明する手順に従って設定します。このコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)」を参照してください。 1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。詳細については、「[CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[CLI の設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)」を参照してください。 1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。 1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。 ``` aws configure ``` 以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。 ``` AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER ``` 1. 以下のコマンドを実行して、AWS Organizations 用に Systems Manager サービスプリンシパルを有効にします。 ``` aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com" ``` ## ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する `AWSServiceRoleForAmazonSSM_AccountDiscovery` ロールなどサービスにリンクされたロールは、AWS のサービス (例えば Systems Manager) に直接リンクされた、一意のタイプの IAM ロールです。サービスにリンクされたロールはサービスによって事前定義されており、サービスがお客様の代わりに他の AWS のサービス サービスを呼び出す際に必要な、すべてのアクセス許可が含まれています。`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールの詳細については、[Systems Manager アカウント検出のためのサービスにリンクされたロールの許可](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2)を参照してください。 AWS CLI を使用してサービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成するためには、次の手順を実行します。この手順で使用するコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)」を参照してください。 **`AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールを作成するには** 1. AWS Organizations 管理アカウントにサインインします。 1. Organizations の管理アカウントにサインインした状態で、次のコマンドを実行します。 ``` aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role" ``` ## タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する AWS CloudFormation スタックセットを使用して、アカウント間で OpsItems を操作するアクセス許可をユーザーに付与する `OpsItemGroup` リソースポリシーと IAM 実行ロールを作成します。これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountMembers.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックセットを作成すると、CloudFormation は、アカウント内で、自動的に `OpsItemCrossAccountResourcePolicy` リソースポリシーと `OpsItemCrossAccountExecutionRole` 実行ロールを作成します。シークレットを作成する方法については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)」を参照してください。 **重要** このタスクに関しては、次の重要事項に留意してください。 このスタックセットは、AWS Organizations 管理アカウントにサインインした状態でデプロイする必要があります。 この手順は、代理管理者アカウントを含むアカウント間で OpsItems を操作するすべてのアカウントにサインインして、繰り返し実行する必要があります。 別の AWS リージョン でクロスアカウントの OpsItems 管理を有効にする場合は、テンプレートの **[Specify regions]** (リージョンの指定) セクションで、**[Add all regions]** (すべてのリージョンを追加) を選択します。クロスアカウントの OpsItem 管理は、オプトインリージョンではサポートされていません。 ## タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する OpsItem には、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Simple Storage Service (Amazon S3) バケットなど、影響を受けたリソースの詳細情報を含めることができます。前のステップ 4 で作成した `OpsItemCrossAccountExecutionRole` 実行ロールにより、メンバーアカウントの関連リソースを表示するための読み取り専用のアクセス許可が OpsCenter に付与されます。これと同時に、管理アカウントが関連リソースを表示したり操作したりするための許可を付与する、IAM ロールを作成する必要があります。この処理はこのタスクで完了します。 これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountManagementRole.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックを作成すると、CloudFormation はアカウント内で、自動的に `OpsCenterCrossAccountManagementRole` IAM ロールを作成します。スタック作成の詳細については、「AWS CloudFormation ユーザーガイド」の「[AWS CloudFormation コンソールでのスタックの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)」 を参照してください。 **重要** このタスクに関しては、次の重要事項に留意してください。 アカウントを、OpsCenter の委任管理者として指定する予定の場合は、スタックの作成時に必ずその AWS アカウント を指定してください。 この手順は、AWS Organizations の管理アカウントにログインした状態で実行し、委任管理者アカウントに再度ログインした後にも実行する必要があります。 # (オプション) OpsItems に関する通知を受け取るように Amazon SNS を設定する システムが OpsItem を作成するか、既存の OpsItem を更新したときに、Amazon Simple Notification Service (Amazon SNS) トピックで通知を受け取るように OpsCenter を設定できます。 OpsItems の通知を受信するには、次のステップを実行します。 + [ステップ 1: Amazon SNS トピックを作成してサブスクライブする](#OpsCenter-getting-started-sns-create-topic) + [ステップ 2: Amazon SNS アクセスポリシーを更新する](#OpsCenter-getting-started-sns-encryption-policy) + [ステップ 3: AWS KMS のアクセスポリシーを更新する](#OpsCenter-getting-started-sns-KMS-policy) **注記** ステップ 2 で AWS Key Management Service (AWS KMS) サーバー側の暗号化をオンにした場合は、ステップ 3 を完了する必要があります。それ以外の場合は、ステップ 3 をスキップできます。 + [ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する](#OpsCenter-getting-started-sns-default-rules) ## ステップ 1: Amazon SNS トピックを作成してサブスクライブする 通知を受け取るには、Amazon SNS トピックを作成してサブスクライブする必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)」および「[Amazon SNS トピックへサブスクライブする](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)」を参照してください。 **注記** OpsCenter を複数の AWS リージョン またはアカウントで使用している場合は、OpsItem 通知を受け取る各リージョンまたはアカウントで Amazon SNS トピックを作成してサブスクライブする必要があります。 ## ステップ 2: Amazon SNS アクセスポリシーを更新する Amazon SNS トピックを OpsItems に関連付ける必要があります。以下の手順を使用して Amazon SNS アクセスポリシーをセットアップし、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItems 通知を発行できるようにします。 1. AWS マネジメントコンソール にサインインして Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。 1. ナビゲーションペインで、[**トピック**] を選択してください。 1. ステップ 1 で作成したトピックを選択し、**[編集]** をクリックします。 1. [**アクセスポリシー**] を展開します。 1. 既存のポリシーに次の `Sid` ブロックを追加します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。 ``` { "Sid": "Allow OpsCenter to publish to this topic", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner "Condition": { "StringEquals": { "AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner } } } ``` **注記** 混乱した代理シナリオから保護する `aws:SourceAccount` グローバル条件キー。この条件キーを使用するには、値を OpsItem 所有者のアカウント ID に設定します。詳細については、「*IAM ユーザーガイド*」の「[混乱した代理の問題](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)」を参照してください。 1. **[Save changes]** (変更の保存) をクリックします。 OpsItems が作成または更新されると、システムは Amazon SNS トピックに通知を送信するようになります。 **重要** ステップ 2 で AWS Key Management Service (AWS KMS) サーバー側暗号化キーを使用して Amazon SNS トピックを設定した場合は、ステップ 3 を完了します。それ以外の場合は、ステップ 3 をスキップできます。 ## ステップ 3: AWS KMS のアクセスポリシーを更新する Amazon SNS トピックの AWS KMS サーバー側の暗号化をオンにした場合、トピックを設定したときに選択した AWS KMS key のアクセスポリシーも更新する必要があります。以下の手順を使用してアクセスポリシーを更新し、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItem 通知を発行できるようにします。 **注記** OpsCenter は、AWS マネージドキー を使用して設定された Amazon SNS トピックへの OpsItems の発行をサポートしていません。 1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。 1. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。 1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。 1. トピックの作成時に選択した KMS キーの ID を選択します。 1. [**Key Policy**] (キーポリシー) セクションで、[**Switch to policy view**] (ポリシービューへの切り替え) を選択します。 1. [**Edit**] を選択します。 1. 既存のポリシーに次の `Sid` ブロックを追加します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。 ``` { "Sid": "Allow OpsItems to decrypt the key", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "arn:aws:kms:region:account ID:key/key ID" } ``` 次の例では、新しいブロックが行 14 に入力されています。 ![\[Amazon SNS トピックの AWS KMS アクセスポリシーを編集する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png) 1. **[Save changes]** (変更の保存) をクリックします。 ## ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する Amazon EventBridge のデフォルトの OpsItems ルールには、Amazon SNS 通知の Amazon リソースネーム (ARN) が設定されていません。次の手順に従って EventBridge でルールを編集し、`notifications` ブロックを入力します。 **デフォルトの OpsItem ルールに通知ブロックを追加するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. [**OpsItems**] タブを選択し、[**Configure sources (ソースの設定)**] を選択します。 1. 次の例に示すように、`notifications` ブロックを使用して設定するソースルールの名前を選択します。 ![\[Amazon SNS 通知ブロックを追加するための Amazon EventBridge ルールを選択する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png) ルールは Amazon EventBridge で開きます。 1. ルールの詳細ページの [**Targets**] (ターゲット) タブで [**Edit**] (編集) を選択します。 1. [**Additional settings**] (追加設定) セクションの [**Configure target input**] (ターゲット入力の設定) を選択します。 1. **[テンプレート]** ボックスに、次の形式で `notifications` ブロックを追加します。 ``` "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}], ``` 以下に例を示します。 ``` "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}], ``` 米国西部 (オレゴン) (us-west-2) リージョンについての次の例に示すように、`resources` ブロックの前に通知ブロックを入力します。 ``` { "title": "EBS snapshot copy failed", "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.", "category": "Availability", "severity": "2", "source": "EC2", "notifications": [{ "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic" }], "resources": , "operationalData": { "/aws/dedup": { "type": "SearchableString", "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}" }, "/aws/automations": { "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]" }, "failure-cause": { "value": }, "source": { "value": }, "start-time": { "value": }, "end-time": { "value": } } } ``` 1. **[確認]** を選択します。 1. [**次へ**] を選択します。 1. [**次へ**] を選択します。 1. [**ルールの更新**] を選択します。 次回システムがデフォルトルールの OpsItem を作成するときに、Amazon SNS トピックに通知を発行します。 # OpsCenter と他の AWS のサービス との統合 AWS Systems Manager のツールである OpsCenter は、複数の AWS のサービスを統合して、AWS リソースに関する問題を診断して修正します。OpsCenter と統合する前に、AWS のサービス を設定する必要があります。 デフォルトでは、次の AWS のサービス が OpsCenter と統合されており、OpsItems を自動的に作成できます。 + [Amazon CloudWatch](#OpsCenter-about-cloudwatch) + [Amazon CloudWatch Application Insights](#OpsCenter-about-cloudwatch-insights) + [Amazon EventBridge](#OpsCenter-about-eventbridge) + [AWS Config](#OpsCenter-about-AWS-config) + [AWS Systems Manager Incident Manager](#OpsCenter-about-incident-manager) OpsItems を自動的に作成するには、次のサービスを OpsCenter と統合する必要があります。 + [Amazon DevOps Guru](#OpsCenter-integrate-with-devops-guru) + [AWS Security Hub CSPM](#OpsCenter-integrate-with-security-hub) これらのサービスのいずれかが OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。詳細については、「[OpsItems を管理する](OpsCenter-working-with-OpsItems.md)」および「[OpsItem の問題を修正する](OpsCenter-remediating.md)」を参照してください。 AWS のサービス の詳細および OpsCenter との統合方法については、以下のトピックを参照してください。 **Topics** + [OpsCenter と Amazon CloudWatch の統合について](#OpsCenter-about-cloudwatch) + [OpsCenter と Amazon CloudWatch Application Insights の統合について](#OpsCenter-about-cloudwatch-insights) + [OpsCenter と Amazon DevOps Guru の統合について](#OpsCenter-integrate-with-devops-guru) + [OpsCenter と Amazon EventBridge の統合について](#OpsCenter-about-eventbridge) + [OpsCenter と AWS Config の統合について](#OpsCenter-about-AWS-config) + [OpsCenter と AWS Security Hub CSPM の統合について](#OpsCenter-integrate-with-security-hub) + [OpsCenter と Incident Manager の統合について](#OpsCenter-about-incident-manager) ## OpsCenter と Amazon CloudWatch の統合について Amazon CloudWatch は AWS リソースとサービスをモニタリングし、使用しているすべての AWS のサービス でメトリクスを表示します。アラームがアラーム状態になると、CloudWatch は OpsItem を作成します。例えば、Application Load Balancer によって生成された HTTP エラーが急増した場合に、OpsItem を自動的に作成するようにアラームを設定できます。 CloudWatch で OpsItems を作成するように設定できるアラームを以下のリストに示します。 + Amazon DynamoDB: データベースの読み取りおよび書き込みアクションがしきい値に達する + Amazon EC2: CPU 使用率がしきい値に達する + AWS 請求: 推定請求額がしきい値に達する + Amazon EC2: インスタンスがステータスチェックに失敗する + Amazon Elastic Block Store (EBS): ディスク領域の使用率がしきい値に達する アラームを作成するか、既存のアラームを編集して OpsItem を作成できます。詳細については、「[OpsItems を作成するように CloudWatch を設定する](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)」を参照してください。 統合セットアップ使用して OpsCenter を有効にすると、CloudWatch が OpsCenterと統合されます。 ## OpsCenter と Amazon CloudWatch Application Insights の統合について Amazon CloudWatch Application Insights を使用すると、アプリケーションのリソースをモニタリングする最適な条件を設定し、データを継続的に分析してアプリケーションの問題の徴候を検出できます。CloudWatch Application Insights でアプリケーションリソースを設定する際に、システムが OpsCenter で OpsItems を作成するように選択できます。アプリケーションで検出された問題ごとに、OpsCenter コンソールに 1 つの OpsItem が作成されます。詳細については、「**Amazon CloudWatch ユーザーガイド」の「[モニタリングするアプリケーションをセットアップ、設定、管理する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-setting-up.html)」を参照してください。 **注記** 2023 年 10 月 16 日以降、CloudWatch Application Insights によって作成された OpsItems のタイトルと説明は、以下の改良されたフォーマットを使用するようになりました。 ``` OpsItem title: [: ] OpsItem description: CloudWatch Application Insights has detected a problem in application . Problem summary: Problem ID: (hyperlinks to the Application Insights problem summary page) Problem Status: Insight: ``` 以下がその例です。 ![\[CloudWatch Application Insights から作成された OpsItem の新しいフォーマットを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItem-CWinsight.png) ## OpsCenter と Amazon DevOps Guru の統合について Amazon DevOps Guru は、機械学習を適用して、運用データ、アプリケーションのメトリクス、およびアプリケーションのイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru を有効にして OpsCenter で OpsItem を生成すると、各インサイトが新しい OpsItem を生成します。OpsItems は OpsCenter を使用して管理することができます。 DevOps Guru は自動的に OpsItems を作成します。Systems Manager のツールである Quick Setup を使用すると、Amazon DevOps Guru が OpsItems を作成できるようになります。システムは、[AWSServiceRoleForDevOpsGuru](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html) AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用して OpsItems を作成します。 **OpsCenter とDevOps Guru を統合するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[Quick Setup]** を選択します。 1. **[DevOps Guru 設定オプションのカスタマイズ]** ページで、**[ライブラリ]** タブをクリックします。 1. **[DevOps Guru]** ペインで **[作成]** をクリックします。 1. **[設定オプション]** で、**[AWS Systems Manager OpsItems を有効化]** をクリックします。 1. セットアップが完了したら、**[作成]** をクリックします。 ## OpsCenter と Amazon EventBridge の統合について Amazon EventBridge は、AWS リソースの変更を記述するイベントのストリームを配信します。統合セットアップを使用して OpsCenter を有効にすると、EventBridge と OpsCenter が統合され、デフォルトの EventBridge ルールが有効になります。これらのルールに基づいて、EventBridge が OpsItems を作成します。ルールを使用すると、イベントをフィルターして OpsCenter に振り分けて、調査や修正を行うことができます。 **注記** Amazon EventBridge (以前の Amazon CloudWatch Events) は、CloudWatch Events のすべての機能の他に、カスタムイベントバス、サードパーティーのイベントソース、スキーマレジストリなどのいくつかの新機能を提供します。 OpsItem を作成するために EventBridge で 設定できるルールは次のとおりです。 + Security Hub CSPM: セキュリティアラートが発行されました + Amazon DynamoDB: スロットリングイベント + Amazon Elastic Compute Cloud Auto Scaling: インスタンスの起動に失敗しました + Systems Manager: オートメーションを実行できませんでした + AWS Health: スケジュールされたメンテナンスのアラート + Amazon EC2: インスタンスの状態が実行中から停止に変わりました 必要に応じて、ルールを作成するか、既存のルールを編集して OpsItems ルールを作成できます。ルールを編集して OpsItem を作成する方法については、「[EventBridge ルールを設定して OpsItems を作成する](OpsCenter-automatically-create-OpsItems-2.md)」を参照してください。 ## OpsCenter と AWS Config の統合について AWS Config は、AWS アカウント にある AWS リソースの設定の詳細ビューを提供します。 AWS Config は OpsCenter と*直接*統合されません。代わりに、AWS Config が非準拠インスタンスを検出した場合などに、Amazon EventBridge にイベントを送信する AWS Config ルールを作成します。次に、EventBridge は、作成した EventBridge ルールと照らし合わせてそのイベントを評価します。ルールが一致すると、EventBridge はイベントを OpsItem に変換し、宛先 OpsCenter に送信します。 この OpsItem を使用すると、非準拠のリソースの詳細を追跡して、調査アクションを記録し、一貫した改善措置へのアクセスを提供できます。 **関連情報** [EventBridge ルールを設定して OpsItems を作成する](OpsCenter-automatically-create-OpsItems-2.md) [AWS Systems Manager、OpsCenter、AWS Config を使用してコンプライアンスモニタリングを行う](https://aws.amazon.com/blogs/mt/using-aws-systems-manager-opscenter-and-aws-config-for-compliance-monitoring/) ## OpsCenter と AWS Security Hub CSPM の統合について AWS Security Hub CSPM は AWS アカウント やさまざまなサービスからセキュリティデータ、呼び出された*検出結果*を収集します。Security Hub CSPM は、一連のルールを使用して検出結果を検出して生成することで、管理するリソースのセキュリティ問題の特定、優先順位付け、修正を支援します。このトピックで説明されているように統合を設定すると、Systems Manager は OpsCenter の Security Hub CSPM の検出結果に対する OpsItems を作成します。 **注記** OpsCenter は、Security Hub CSPM との双方向の統合を実現しています。つまり、セキュリティの検出結果に基づいて、OpsItem の **[ステータス]** または **[重大度]** フィールドを更新すると、システムはその変更を Security Hub CSPM と同期します。同様に、検出結果に変更を加えると、OpsCenter の対応する OpsItems 項目に自動的に更新されます。 Security Hub CSPM 検出結果から OpsItem を作成すると、Security Hub CSPM メタデータが OpsItem の運用データフィールドに自動的に追加されます。このメタデータが削除されると、双方向更新は機能しなくなります。 デフォルトでは、Systems Manager は重大度が Critical と High の検出結果に OpsItems を作成します。また、重要度が Medium および Low の検出結果に対して OpsItems を作成するように OpsCenter を設定することもできます。OpsCenter では、情報提供のための検出結果に対する OpsItems は、修正が必要ないため作成されません。Security Hub 重大度レベルの詳細については、**AWS Security Hub API リファレンスの「[Severity](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_Severity.html)」を参照してください。 **[開始する前に]** Security Hub CSPM の検出結果を基に OpsItems を作成するよう OpsCenter を設定する前に、Security Hub CSPM セットアップタスクを完了したことを確認します。詳細については、AWS Security Hub ユーザーガイドの「[Setting up Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)」を参照してください。 Security Hub CSPM と OpsCenter を統合すると、システムは `AWSServiceRoleForSystemsManagerOpsDataSync` IAM サービスにリンクされたロールを使用して OpsItems を作成します。このロールの詳細については、「[ロールを使用して、Explorer の OpsData および OpsItems を作成](using-service-linked-roles-service-action-3.md)」を参照してください。 **警告** Security Hub CSPM と OpsCenter の統合の価格設定に関する重要な情報に注意してください。 設定時に Security Hub CSPM 管理者アカウントにログインしていて、OpsCenter と Security Hub CSPM の統合を設定すると、システムは管理者**とすべてのメンバーアカウントの検出結果に OpsItems を作成します。OpsItems は管理者アカウントですべて作成されます。**さまざまな要因によっては、これにより AWS から予想外に多額の請求が発生する可能性があります。 統合を設定するときにログインしていたのがメンバーアカウントであった場合、システムは個人のアカウントの検出結果にのみ OpsItems を作成します。Security Hub CSPM 管理者アカウント、メンバーアカウント、および検出結果の EventBridge イベントフィードとの関係の詳細については、AWS Security Hub ユーザーガイドで「[Types of Security Hub CSPM integration with EventBridge](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html)」を参照してください。** 検出結果が OpsItem を作成するたびに、OpsItem の作成には通常料金がかかります。また、OpsItem を編集した場合や、対応する検出結果が Security Hub CSPM で更新された場合 (その結果として OpsItem がトリガーされた場合) にも課金されます。 AWS Security Hub CSPM との統合によって作成された OpsItems は現在、リージョンのアカウントあたり 500,000 OpsItems の最大クォータによって制限*されていません*。そのため、Security Hub CSPM アラートによって、アカウント内の各リージョンで 500,000 を超える課金対象の OpsItems が作成される可能性があります。 高負荷の本番環境では、Security Hub CSPM の検出結果の範囲を重要度の高い問題のみに制限することをお勧めします。 **Security Hub CSPM の検出結果に対して OpsCenter を作成するために OpsItems を設定するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[設定]** を選択します。 1. **[Security Hub CSPM findings]** セクションで、**[編集]** を選択します。 1. スライダーを選択して **[無効]** を **[有効]** に変更します。 1. 重大度の検出結果が Medium または Low に対して、システムで OpsItems を作成するには、これらのオプションを切り替えます。 1. [**Save (保存)**] を選択して設定を保存します。 Security Hub CSPM の検出結果に対してシステムで OpsItems を作成する必要がなければ、次の手順を使用してください。 **Security Hub CSPM の検出結果に対する OpsItems の受信を停止するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[設定]** を選択します。 1. **[Security Hub CSPM findings]** セクションで、**[編集]** を選択します。 1. スライダーを選択して **[有効]** を **[無効]** に変更します。スライダーを切り替えられない場合は、AWS アカウント の Security Hub CSPM が有効になっていません。 1. **[保存]** を選択して設定を保存します。OpsCenter は Security Hub CSPM の検出結果に基づいて OpsItems を作成しなくなります。 **重要** Systems Manager の委任管理者または AWS Organizations 管理アカウントは、Explorer でリソースデータ同期を作成して、複数のアカウントまたは AWS リージョン に対して OpsCenter の Security Hub CSPM の検出結果を有効にできます。Explorer で **Security HubCSPM** ソースが有効になっていて、Security Hub CSPM 統合を無効にしたメンバーアカウントをターゲットとするリソースデータ同期が存在する場合、管理者が選択した設定が優先されます。OpsCenter は、Security Hub CSPM の検出結果に対して引き続き OpsItems を作成します。リソースデータ同期のターゲットとなるメンバーアカウントで Security Hub CSPM の検出結果に対する OpsItems の作成を停止するには、管理者に連絡してリソースデータ同期からアカウントを削除するよう依頼するか、Explorer の **[Security Hub CSPM]** ソースをオフにします。Explorer での設定の変更については、「[Systems Manager Explorer のデータソースを編集する](Explorer-using-editing-data-sources.md)」を参照してください。 ## OpsCenter と Incident Manager の統合について AWS Systems Manager のツールである Incident Manager は、AWS でホストされたアプリケーションに影響を与えるインシデントを軽減し、回復させるのに役立つインシデント管理コンソールを提供します。インシデントとは、サービスの品質の計画外の中断または低下です。[Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) をセットアップして設定すると、システムが OpsCenter で OpsItems を自動的に作成します。 システムが Incident Manager でインシデントを作成すると、OpsCenter で OpsItem も作成され、そのインシデントが関連アイテムとして表示されます。OpsItem が既に存在する場合、Incident Manager は OpsItem を作成しません。この最初の OpsItem は、親 OpsItem と呼ばれます。インシデントの規模と範囲が大きくなる場合は、インシデントを既存の OpsItem に追加できます。必要に応じて、OpsItem のインシデントを手動で作成することができます。インシデントを閉じた後、Incident Manager で分析を作成し、類似した問題に対する改善プロセスの見直しを行い、改善することができます。 デフォルトでは、OpsCenter は Incident Manager と統合されています。Incident Manager が設定されていない場合、OpsCenter ページには Incident Manager を設定するためのメッセージが表示されます。Incident Manager が OpsItem を作成すると、OpsCenter から OpsItem を管理および修正できます。OpsItem のインシデントを作成する手順については、「[OpsItem のインシデントを作成する](OpsCenter-working-with-OpsItems-create-an-incident.md)」を参照してください。 # OpsItems の作成 AWS Systems Manager のツールである OpsCenter をセットアップして AWS のサービスと統合すると、AWS のサービスがデフォルトのルール、イベント、またはアラームに基づいて OpsItems を自動的に作成します。 デフォルトの Amazon EventBridge ルールのステータスと重要度レベルを表示できます。必要に応じて、Amazon EventBridge からこれらのルールを作成または編集できます。Amazon CloudWatch からアラームを表示したり、作成または編集したりすることもできます。ルールとアラームを使用して、OpsItems を自動的に生成するためのイベントを設定できます。 システムが OpsItem を作成すると、ステータスが **[未解決]** になります。OpsItem の調査を開始するときは、ステータスを **[進行中]** に変更し、OpsItem を修正したら **[解決済み]** に変更できます。OpsItems を作成するように AWS のサービス でアラームとルールを設定する方法と、OpsItems を手動で作成する方法の詳細については、次のトピックを参照してください。 **Topics** + [EventBridge ルールを設定して OpsItems を作成する](OpsCenter-automatically-create-OpsItems-2.md) + [OpsItems を作成するように CloudWatch を設定する](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md) + [OpsItems を手動で作成する](OpsCenter-manually-create-OpsItems.md) # EventBridge ルールを設定して OpsItems を作成する Amazon EventBridge がイベントを受信すると、デフォルトのルールに基づいて 新しい OpsItem を作成します。ルールを作成するか、既存のルールを編集して、OpsCenter を EventBridge イベントのターゲットとして設定できます。新しいイベントルールの作成方法については、「Amazon EventBridge ユーザーガイド」の「[AWS のサービス のルールを作成する](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html)」を参照してください。 **OpsCenter に OpsItems を作成する EventBridge ルールを設定するには** 1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。 1. ナビゲーションペインで **[ルール]** を選択します。 1. [**ルール**] ページの [**イベントバス**] で [**default**] (デフォルト) を選択します。 1. **[ルール]** で、ルールの名前の横にあるチェックボックスをオンにしてルールを選択します。 1. ルールの名前を選択して、その詳細ページを開きます。**[ルールの詳細]** セクションで、**[ステータス]** が **[有効]** に設定されていることを確認します。 **注記** 必要に応じて、ページの右上隅にある **[編集]** を使用してステータスを更新できます。 1. [**Targets**] タブを選択します。 1. [**Targets**] タブで、[**Edit**] を選択します。 1. [**ターゲットタイプ**] で [**AWS のサービス**] を選択します。 1. [**Select a target**] (ターゲットを選択) では、[**Systems Manager OpsItem**] を選択します。 1. 多くのターゲットタイプで、EventBridge はターゲットにイベントを送信するためのアクセス許可が必要です。これらの場合、EventBridge は、イベントの実行に必要な AWS Identity and Access Management (IAM) ロールを作成できます。 + 自動的に IAM ロールを作成するには、[**Create a new role for this specific resource** (この特定のリソースに対して新しいロールを作成する)] を選択します。 + OpsCenter で OpsItems を作成する EventBridge アクセス許可を付与するために作成した IAM ロールを使用するには、[**既存のロールの使用**] を選択します。 1. **[追加設定]** セクションの **[ターゲット入力の設定]** で **[入力トランスフォーマー]** を選択します。 **[入力トランスフォーマー]** オプションを使用すると、重複排除文字列と、タイトルや重要度など、OpsItems のその他の重要な情報を指定できます。 1. **入力トランスフォーマーの設定** を選択します。 1. **[ターゲット入力トランスフォーマー]** の **[入力パス]** で、トリガーするイベントから解析する値を指定します。例えば、ルールをトリガーするイベントの開始時刻、終了時刻、およびその他の詳細を解析するには、次の JSON を使用します。 ``` { "end-time": "$.detail.EndTime", "failure-cause": "$.detail.cause", "resources": "$.resources[0]", "source": "$.detail.source", "start-time": "$.detail.StartTime" } ``` 1. [**Template**] (テンプレート) で、ターゲットに送信する情報を指定します。例えば、次の JSON を使用して OpsCenter に情報を渡します。この情報は、OpsItem を作成するために使用されます。 **注記** 入力テンプレートが JSON 形式の場合、テンプレート内のオブジェクト値に引用符を含めることはできません。たとえば、リソース、障害原因、ソース、開始時刻、終了時刻の値を引用符で囲むことはできません。 ``` { "title": "EBS snapshot copy failed", "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.", "category": "Availability", "severity": "2", "source": "EC2", "operationalData": { "/aws/dedup": { "type": "SearchableString", "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}" }, "/aws/automations": { "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]" }, "failure-cause": { "value": }, "source": { "value": }, "start-time": { "value": }, "end-time": { "value": }, }, "resources": { "value": } } } ``` これらのフィールドの詳細については、*Amazon EventBridge ユーザーガイド* の「[ターゲット入力を変換する](https://docs.aws.amazon.com/eventbridge/latest/userguide/transform-input.html)」を参照してください。 1. **[確認]** を選択します。 1. [**次へ**] を選択します。 1. [**次へ**] を選択します。 1. [**ルールの更新**] を選択します。 イベントから OpsItem が作成されたら、OpsItem を開いて、[**Private operational data (プライベート運用データ)**] セクションまで下にスクロールして、イベントの詳細を表示することができます。OpsItem でオプションを設定する方法については、「[OpsItems を管理する](OpsCenter-working-with-OpsItems.md)」を参照してください。 # OpsItems を作成するように CloudWatch を設定する AWS Systems Manager のツールである OpsCenter の統合セットアップ中に、Amazon CloudWatch を有効にして、一般的なアラームに基づいて OpsItems を自動的に作成します。アラームを作成するか、既存のアラームを編集して、OpsCenter に OpsItems を作成できます。 OpsItems を作成するアラームを設定すると、CloudWatch は AWS Identity and Access Management (IAM) でサービスにリンクされた新しいロールを自動的に作成します。新しいロールの名前は `AWSServiceRoleForCloudWatchAlarms_ActionSSM` です。CloudWatch サービスにリンクされたロールの詳細については、「Amazon CloudWatch ユーザーガイド」の「[CloudWatch のサービスにリンクされたロールの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html)」を参照してください。 CloudWatch アラームが OpsItem を生成すると、OpsItem に **[CloudWatch アラーム - '*alarm\$1name*' はアラーム状態です]** が表示されます。 特定の OpsItem の詳細を表示するには、[OpsItem] を選択し、**[関連リソースの詳細]** タブを選択します。OpsItems を手動で編集して、重要度やカテゴリなどの詳細を変更できます。ただし、アラームの重要度やカテゴリを編集する場合、そのアラームから既に作成されている OpsItems の重要度やカテゴリは Systems Manager で更新することができません。アラームによって OpsItem が作成され、重複排除文字列を指定した場合、CloudWatch でアラームを編集しても、アラームは追加の OpsItems を作成しません。OpsItem が OpsCenter で解決された場合、CloudWatch は新しい OpsItem を作成します。 CloudWatch アラームの詳細については、次のトピックを参照してください。 **Topics** + [OpsItems (コンソール) を作成するように CloudWatch を設定する](OpsCenter-creating-or-editing-existing-alarm-console.md) + [OpsItems を (プログラムで) 作成するように既存の CloudWatch アラームを設定する](OpsCenter-configuring-an-existing-alarm-programmatically.md) # OpsItems (コンソール) を作成するように CloudWatch を設定する アラームを手動で作成するか、既存のアラームを更新して、OpsItems を Amazon CloudWatch から作成できます。 **CloudWatch アラームを作成して、アラームのターゲットとして Systems Manager を設定するには** 1. 「Amazon CloudWatch ユーザーガイド」の「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」で指定されているように、ステップ 1~9 を完了します。 1. **[Systems Manager]** セクションで、**[Systems Manager OpsCenter アクションの追加]** をクリックします。 1. **[OpsItems]** をクリックします。 1. **[重要度]** は、1~4 の中から指定できます。 1. (オプション) **[カテゴリ]** に、OpsItem のカテゴリを選択します。 1. 「Amazon CloudWatch ユーザーガイド」「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」で指定されているように、ステップ 11~13 を完了します。 1. [**次**] を選択し、ウィザードを完了します。 **既存のアラームを編集し、アラームのターゲットとして Systems Manager を設定するには** 1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。 1. ナビゲーションペインで、[Alarms] を選択します。**** 1. アラームを選択してから、[**アクション**]、[**編集**] の順に選択します。 1. (オプション) [**メトリクス**] セクションと [**条件**] セクションの設定を変更し、[**次**] を選択します。 1. [**Systems Manager**] セクションで、[**Add Systems Manager OpsCenter action** (Systems Manager OpsCenter アクションの追加)]を選択します。 1. [**重大度**] で、数値を選択します。 **注記** 重大度は、ユーザー定義の値です。各重要度値の意味、各重要度に関連するサービスレベルアグリーメントは、お客様または組織が決定します。 1. (オプション) [**カテゴリ**] で、オプションを選択します。 1. [**次**] を選択し、ウィザードを完了します。 # OpsItems を (プログラムで) 作成するように既存の CloudWatch アラームを設定する AWS Command Line Interface (AWS CLI)、AWS CloudFormation テンプレート、または Java コードスニペットを使用して、OpsItems をプログラムで作成するように Amazon CloudWatch アラームを設定できます。 **Topics** + [始める前に](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin) + [OpsItems (AWS CLI) を作成するように CloudWatch アラームを設定する](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-manually-configure-cli) + [OpsItems (CloudFormation) を作成または更新するように CloudWatch アラームを設定する](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-programmatically-configure-CloudFormation) + [OpsItems (Java) を作成または更新するように CloudWatch アラームを設定する](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-programmatically-configure-java) ## 始める前に 既存のアラームをプログラムで編集するか、OpsItems を作成する新しいアラームを作成する場合は、Amazon リソースネーム (ARN) を指定する必要があります。この ARN により、Systems Manager OpsCenter はアラームから作成された OpsItems のターゲットとして識別されます。アラームから作成された OpsItems に重大度やカテゴリなどの特定の情報が含まれるように、ARN をカスタマイズできます。各 ARN には、次の表に示す情報が含まれています。 **** | Parameter | 詳細 | | --- | --- | | `Region` (必須) | アラームが存在する AWS リージョン。例: `us-west-2`。OpsCenter を使用できる AWS リージョン については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照照してください。 | | `account_ID` (必須) | アラームの作成に使用したのと同じ AWS アカウント ID。例: `123456789012`。以下の例に示すように、アカウント ID の後にはコロン (`:`) とパラメータ `opsitem` を指定する必要があります。 | | `severity` (必須) | アラームから作成された OpsItems のユーザー定義の重大度。有効な値: `1`、`2`、`3`、`4` | | `Category` (オプション) | アラームから作成された OpsItems のカテゴリ。有効な値: `Availability`、`Cost`、`Performance`、`Recovery`、および `Security`。 | 次の構文を使用して ARN を作成します。この ARN には、オプションの `Category` パラメータは含まれません。 ``` arn:aws:ssm:Region:account_ID:opsitem:severity ``` 次に例を示します。 ``` arn:aws:ssm:us-west-2:123456789012:opsitem:3 ``` オプションの `Category` パラメータを使用する ARN を作成するには、次の構文を使用します。 ``` arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name ``` 次に例を示します。 ``` arn:aws:ssm:us-west-2:123456789012:opsitem:3#CATEGORY=Security ``` ## OpsItems (AWS CLI) を作成するように CloudWatch アラームを設定する このコマンドでは、`alarm-actions` パラメータの ARN を指定する必要があります。ARN を作成する方法については、「[始める前に](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)」を参照してください。 **OpsItems (AWS CLI) を作成するように CloudWatch アラームを設定するには** 1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。 詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。 1. 次のコマンドを実行して、設定するアラームに関する情報を収集します。 ``` aws cloudwatch describe-alarms --alarm-names "alarm name" ``` 1. 次のコマンドを実行してアラームを更新します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。 ``` aws cloudwatch put-metric-alarm --alarm-name name \ --alarm-description "description" \ --metric-name name --namespace namespace \ --statistic statistic --period value --threshold value \ --comparison-operator value \ --dimensions "dimensions" --evaluation-periods value \ --alarm-actions arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name \ --unit unit ``` 以下に例を示します。 ------ #### [ Linux & macOS ] ``` aws cloudwatch put-metric-alarm --alarm-name cpu-mon \ --alarm-description "Alarm when CPU exceeds 70 percent" \ --metric-name CPUUtilization --namespace AWS/EC2 \ --statistic Average --period 300 --threshold 70 \ --comparison-operator GreaterThanThreshold \ --dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \ --alarm-actions arn:aws:ssm:us-east-1:123456789012:opsitem:3#CATEGORY=Security \ --unit Percent ``` ------ #### [ Server ] ``` aws cloudwatch put-metric-alarm --alarm-name cpu-mon ^ --alarm-description "Alarm when CPU exceeds 70 percent" ^ --metric-name CPUUtilization --namespace AWS/EC2 ^ --statistic Average --period 300 --threshold 70 ^ --comparison-operator GreaterThanThreshold ^ --dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 ^ --alarm-actions arn:aws:ssm:us-east-1:123456789012:opsitem:3#CATEGORY=Security ^ --unit Percent ``` ------ ## OpsItems (CloudFormation) を作成または更新するように CloudWatch アラームを設定する このセクションでは、OpsItems を自動的に作成または更新するように CloudWatch アラームを設定する際に使用できる AWS CloudFormation テンプレートを紹介します。各テンプレートでは、`AlarmActions` パラメータの ARN を指定する必要があります。ARN を作成する方法については、「[始める前に](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)」を参照してください。 **メトリクスアラーム** – CloudWatch メトリクスアラームを作成または更新するには、以下の CloudFormation テンプレートを使用します。このテンプレートで指定されたアラームは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのステータスチェックをモニタリングします。アラームが `ALARM` ステートになると、OpsCenter で OpsItem が作成されます。 ``` { "AWSTemplateFormatVersion": "2010-09-09", "Parameters" : { "RecoveryInstance" : { "Description" : "The EC2 instance ID to associate this alarm with.", "Type" : "AWS::EC2::Instance::Id" } }, "Resources": { "RecoveryTestAlarm": { "Type": "AWS::CloudWatch::Alarm", "Properties": { "AlarmDescription": "Run a recovery action when instance status check fails for 15 consecutive minutes.", "Namespace": "AWS/EC2" , "MetricName": "StatusCheckFailed_System", "Statistic": "Minimum", "Period": "60", "EvaluationPeriods": "15", "ComparisonOperator": "GreaterThanThreshold", "Threshold": "0", "AlarmActions": [ {"Fn::Join" : ["", ["arn:arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name", { "Ref" : "AWS::Partition" }, ":ssm:", { "Ref" : "AWS::Region" }, { "Ref" : "AWS:: AccountId" }, ":opsitem:3" ]]} ], "Dimensions": [{"Name": "InstanceId","Value": {"Ref": "RecoveryInstance"}}] } } } } ``` **複合アラーム** – 複合アラームを作成または更新するには、以下の CloudFormation テンプレートを使用します。複合アラームは、複数のメトリクスアラームで構成されます。アラームが `ALARM` ステートになると、OpsCenter で OpsItem が作成されます。 ``` "Resources":{ "HighResourceUsage":{ "Type":"AWS::CloudWatch::CompositeAlarm", "Properties":{ "AlarmName":"HighResourceUsage", "AlarmRule":"(ALARM(HighCPUUsage) OR ALARM(HighMemoryUsage)) AND NOT ALARM(DeploymentInProgress)", "AlarmActions":"arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name", "AlarmDescription":"Indicates that the system resource usage is high while no known deployment is in progress" }, "DependsOn":[ "DeploymentInProgress", "HighCPUUsage", "HighMemoryUsage" ] }, "DeploymentInProgress":{ "Type":"AWS::CloudWatch::CompositeAlarm", "Properties":{ "AlarmName":"DeploymentInProgress", "AlarmRule":"FALSE", "AlarmDescription":"Manually updated to TRUE/FALSE to disable other alarms" } }, "HighCPUUsage":{ "Type":"AWS::CloudWatch::Alarm", "Properties":{ "AlarmDescription":"CPUusageishigh", "AlarmName":"HighCPUUsage", "ComparisonOperator":"GreaterThanThreshold", "EvaluationPeriods":1, "MetricName":"CPUUsage", "Namespace":"CustomNamespace", "Period":60, "Statistic":"Average", "Threshold":70, "TreatMissingData":"notBreaching" } }, "HighMemoryUsage":{ "Type":"AWS::CloudWatch::Alarm", "Properties":{ "AlarmDescription":"Memoryusageishigh", "AlarmName":"HighMemoryUsage", "ComparisonOperator":"GreaterThanThreshold", "EvaluationPeriods":1, "MetricName":"MemoryUsage", "Namespace":"CustomNamespace", "Period":60, "Statistic":"Average", "Threshold":65, "TreatMissingData":"breaching" } } } ``` ## OpsItems (Java) を作成または更新するように CloudWatch アラームを設定する このセクションでは、OpsItems を自動的に作成または更新する CloudWatch アラームの設定に使用できる Java コードスニペットについて説明します。各スニペットでは、`validSsmActionStr` パラメータの ARN を指定する必要があります。ARN を作成する方法については、「[始める前に](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)」を参照してください。 **特定のアラーム** – 次の Java コードスニペットを使用して、CloudWatch アラームを作成または更新します。このテンプレートで指定されたアラームは、Amazon EC2 インスタンスのステータスチェックをモニタリングします。アラームが `ALARM` ステートになると、OpsCenter で OpsItem が作成されます。 ``` import com.amazonaws.services.cloudwatch.AmazonCloudWatch; import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder; import com.amazonaws.services.cloudwatch.model.ComparisonOperator; import com.amazonaws.services.cloudwatch.model.Dimension; import com.amazonaws.services.cloudwatch.model.PutMetricAlarmRequest; import com.amazonaws.services.cloudwatch.model.PutMetricAlarmResult; import com.amazonaws.services.cloudwatch.model.StandardUnit; import com.amazonaws.services.cloudwatch.model.Statistic; private void putMetricAlarmWithSsmAction() { final AmazonCloudWatch cw = AmazonCloudWatchClientBuilder.defaultClient(); Dimension dimension = new Dimension() .withName("InstanceId") .withValue(instanceId); String validSsmActionStr = "arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name"; PutMetricAlarmRequest request = new PutMetricAlarmRequest() .withAlarmName(alarmName) .withComparisonOperator( ComparisonOperator.GreaterThanThreshold) .withEvaluationPeriods(1) .withMetricName("CPUUtilization") .withNamespace("AWS/EC2") .withPeriod(60) .withStatistic(Statistic.Average) .withThreshold(70.0) .withActionsEnabled(false) .withAlarmDescription( "Alarm when server CPU utilization exceeds 70%") .withUnit(StandardUnit.Seconds) .withDimensions(dimension) .withAlarmActions(validSsmActionStr); PutMetricAlarmResult response = cw.putMetricAlarm(request); } ``` **すべてのアラームを更新する** – 次の Java コードスニペットを使用して、アラームが `ALARM` 状態になったときに OpsItems を作成するように、AWS アカウント 内のすべての CloudWatch アラームを更新します。 ``` import com.amazonaws.services.cloudwatch.AmazonCloudWatch; import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder; import com.amazonaws.services.cloudwatch.model.DescribeAlarmsRequest; import com.amazonaws.services.cloudwatch.model.DescribeAlarmsResult; import com.amazonaws.services.cloudwatch.model.MetricAlarm; private void listMetricAlarmsAndAddSsmAction() { final AmazonCloudWatch cw = AmazonCloudWatchClientBuilder.defaultClient(); boolean done = false; DescribeAlarmsRequest request = new DescribeAlarmsRequest(); String validSsmActionStr = "arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name"; while(!done) { DescribeAlarmsResult response = cw.describeAlarms(request); for(MetricAlarm alarm : response.getMetricAlarms()) { // assuming there are no alarm actions added for the metric alarm alarm.setAlarmActions(ImmutableList.of(validSsmActionStr)); } request.setNextToken(response.getNextToken()); if(response.getNextToken() == null) { done = true; } } } ``` # OpsItems を手動で作成する オペレーション時の問題が見つかった場合は、AWS Systems Manager のツールである OpsCenter から OpsItem を手動で作成して、その問題を管理および解決することができます。 アカウント間管理のために OpsCenter を設定すると、Systems Manager の委任管理者または AWS Organizations の管理アカウントが、メンバーアカウントの OpsItems を作成することができます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 OpsItems は、AWS Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、または AWS Tools for Windows PowerShell を使用して作成できます。 **Topics** + [OpsItems の手動作成 (コンソール)](OpsCenter-creating-OpsItems-console.md) + [OpsItems の手動作成 (AWS CLI)](OpsCenter-creating-OpsItems-CLI.md) + [OpsItems を手動で作成する (PowerShell)](OpsCenter-creating-OpsItems-Powershell.md) # OpsItems の手動作成 (コンソール) AWS Systems Manager コンソールを使用して OpsItems を手動で作成できます。OpsItem を作成すると、OpsCenter アカウントに表示されます。クロスアカウント管理のために OpsCenter を設定した場合、OpsCenter では委任管理者または管理アカウントに、選択したメンバーアカウントの OpsItems を作成するオプションが提供されます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 **AWS Systems Manager コンソールを使用して OpsItem を作成するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[作成]OpsItem** を選択します。このボタンが表示されない場合は、[**OpsItems**] タブを選択してから [**OpsItem の作成**] を選択します。 1. (オプション) **[その他のアカウント]** を選択し、OpsItem を作成するアカウントを選択します。 **注記** このステップは、メンバーアカウントの OpsItems を作成する場合に必要です。 1. [**タイトル**] に、OpsItem の目的を示すわかりやすい名前を入力します。 1. [**Source**] (ソース) に、影響を受ける AWS リソースのタイプなど、ソースの情報を指定して、ユーザーが OpsItem のオリジンをわかるようにします。 **注記** OpsItem の作成後に [**ソース**] フィールドを編集することはできません。 1. (オプション) [**優先度**] で、優先度レベルを選択します。 1. (オプション) [**重大度**] で、重大度レベルを選択します。 1. (オプション) [**カテゴリ**] で、カテゴリを選択します。 1. [**説明**] に、問題を再現するための手順など、この OpsItem に関する情報 (該当する場合) を入力します。 **注記** コンソールは OpsItem 説明フィールドのほとんどの Markdown フォーマットをサポートしています。詳細については、「AWS マネジメントコンソール 入門ガイド」の「[コンソールでの Markdown の使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/aws-markdown.html)」を参照してください。** 1. **[重複排除文字列]** に、システムが重複する OpsItems をチェックするために使用できる単語を入力します。重複排除文字列の詳細については、「[OpsItems の重複を管理する](OpsCenter-working-deduplication.md)」を参照してください。 1. (オプション) **[通知]** で、OpsItem の更新時に通知を送信する Amazon SNS トピックの Amazon リソースネーム (ARN) を指定します。OpsItem と同じ AWS リージョン にある Amazon SNS ARN を指定する必要があります。 1. (オプション) **[関連リソース]** で、**[追加]** を選択して、影響を受けるリソースおよび関連リソースの ID または ARN を指定します。 1. **[作成]OpsItem** を選択します。 成功すると、ページに OpsItem が表示されます。委任された管理者または管理アカウントが、選択したメンバーアカウントの OpsItem を作成すると、新しい OpsItems が管理者アカウントとメンバーアカウントの OpsCenter に表示されます。OpsItem でオプションを設定する方法については、「[OpsItems を管理する](OpsCenter-working-with-OpsItems.md)」を参照してください。 # OpsItems の手動作成 (AWS CLI) 次の手順では、AWS Command Line Interface (AWS CLI) を使用して OpsItem を作成する方法について説明します。 **AWS CLI を使用して OpsItem を作成するには** 1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。 詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。 1. AWS CLI を開き、以下のコマンドを実行して OpsItem を作成します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。 ``` aws ssm create-ops-item \ --title "Descriptive_title" \ --description "Information_about_the_issue" \ --priority Number_between_1_and_5 \ --source Source_of_the_issue \ --operational-data Up_to_20_KB_of_data_or_path_to_JSON_file \ --notifications Arn="SNS_ARN_in_same_Region" \ --tags "Key=key_name,Value=a_value" ``` **ファイルから運用データを指定する** OpsItem を作成する場合、ファイルから運用データを指定することができます。ファイルは JSON ファイルで、ファイルの内容には、次の形式を使用する必要があります。 ``` { "key_name": { "Type": "SearchableString", "Value": "Up to 20 KB of data" } } ``` 以下はその例です。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data file:///Users/TestUser1/Desktop/OpsItems/opsData.json ^ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" ^ --tags "Key=EC2,Value=Production" ``` **注記** さまざまなローカルオペレーティングシステムでコマンドラインに JSON 形式のパラメータを入力する方法については、*AWS Command Line Interface ユーザーガイド*の「[AWS CLI で文字列に引用符を使用する](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-quoting-strings.html)」を参照してください。 システムが以下のような情報をレスポンスします。 ``` { "OpsItemId": "oi-1a2b3c4d5e6f" } ``` 1. 以下のコマンドを実行して、作成した OpsItem の詳細を表示します。 ``` aws ssm get-ops-item --ops-item-id ID ``` システムが以下のような情報をレスポンスします。 ``` { "OpsItem": { "CreatedBy": "arn:aws:iam::12345678:user/TestUser", "CreatedTime": 1558386334.995, "Description": "Log clean up may have failed which caused the disk to be full", "LastModifiedBy": "arn:aws:iam::12345678:user/TestUser", "LastModifiedTime": 1558386334.995, "Notifications": [ { "Arn": "arn:aws:sns:us-west-1:12345678:TestUser" } ], "Priority": 2, "RelatedOpsItems": [], "Status": "Open", "OpsItemId": "oi-1a2b3c4d5e6f", "Title": "EC2 instance disk full", "Source": "ec2", "OperationalData": { "EC2": { "Value": "12345", "Type": "SearchableString" } } } } ``` 1. 次のコマンドを実行して OpsItem を更新します。このコマンドでは、ステータスを `Open` (デフォルト) から `InProgress` に変更します。 ``` aws ssm update-ops-item --ops-item-id ID --status InProgress ``` コマンドには出力がありません。 1. 次のコマンドを再度実行し、ステータスが `InProgress` に変更されていることを確認します。 ``` aws ssm get-ops-item --ops-item-id ID ``` ## OpsItem の作成例 次のコード例は、Linux 管理ポータルmacOS、または Windows Server を使用して OpsItem を作成する方法を示します。 **Linux 管理ポータル、または macOS** 次のコマンドは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスディスクがいっぱいになったときに OpsItem を作成します。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"EC2":{"Value":"12345","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" \ --tags "Key=EC2,Value=ProductionServers" ``` 次のコマンドは、`OperationalData` の `/aws/resources` キーを使用して、Amazon DynamoDB 関連リソースを持つ OpsItem を作成します。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"/aws/resources":{"Value":"[{\"arn\": \"arn:aws:dynamodb:us-west-2:12345678:table/OpsItems\"}]","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-2:12345678:TestUser" ``` 以下のコマンドは、`OperationalData` の `/aws/automations` キーを使用して、関連付けられた Automation ランブックとして `AWS-ASGEnterStandby` ドキュメントを指定する OpsItem を作成します。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"/aws/automations":{"Value":"[{\"automationId\": \"AWS-ASGEnterStandby\", \"automationType\": \"AWS::SSM::Automation\"}]","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-2:12345678:TestUser" ``` **Windows** 次のコマンドは、Amazon Relational Database Service (Amazon RDS) インスタンスが応答しない場合に OpsItem を作成します。 ``` aws ssm create-ops-item ^ --title "RDS instance not responding" ^ --description "RDS instance not responding to ping" ^ --priority 1 ^ --source RDS ^ --operational-data={\"RDS\":{\"Value\":\"abcd\",\"Type\":\"SearchableString\"}} ^ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" ^ --tags "Key=RDS,Value=ProductionServers" ``` 以下のコマンドは、`OperationalData` の `/aws/resources` キーを使用して、Amazon EC2 インスタンスの関連リソースを持つ OpsItem を作成します。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data={\"/aws/resources\":{\"Value\":\"[{\\"""arn\\""":\\"""arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0\\"""}]\",\"Type\":\"SearchableString\"}} ``` 次のコマンドは、`OperationalData` の `/aws/automations` キーを使用して、関連付けられた Automation ランブックとして `AWS-RestartEC2Instance` ランブックを指定する OpsItem を作成します。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data={\"/aws/automations\":{\"Value\":\"[{\\"""automationId\\""":\\"""AWS-RestartEC2Instance\\”"",\\"""automationType\\""":\\"""AWS::SSM::Automation\\"""}]\",\"Type\":\"SearchableString\"}} ``` # OpsItems を手動で作成する (PowerShell) 次の手順では、(AWS Tools for Windows PowerShell) を使用して OpsItem を作成する方法について説明します。 **AWS Tools for Windows PowerShell を使用して OpsItem を作成するには** 1. AWS Tools for Windows PowerShell を開き、次のコマンドを実行して認証情報を指定します。 ``` Set-AWSCredentials –AccessKey key-name –SecretKey key-name ``` 1. 次のコマンドを実行して、PowerShell セッションの AWS リージョン を設定します。 ``` Set-DefaultAWSRegion -Region Region ``` 1. 次のコマンドを実行して、新しい OpsItem を作成します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。このコマンドは、OpsItem を修復するために Systems Manager Automation ランブックを指定します。 ``` $opsItem = New-Object Amazon.SimpleSystemsManagement.Model.OpsItemDataValue $opsItem.Type = [Amazon.SimpleSystemsManagement.OpsItemDataType]::SearchableString $opsItem.Value = '[{\"automationId\":\"runbook_name\",\"automationType\":\"AWS::SSM::Automation\"}]' $newHash = @{" /aws/automations"=[Amazon.SimpleSystemsManagement.Model.OpsItemDataValue]$opsItem} New-SSMOpsItem ` -Title "title" ` -Description "description" ` -Priority priority_number ` -Source AWS_service ` -OperationalData $newHash ``` 成功すると、コマンドは、新しい OpsItem の ID を出力します。 次の例では、障害が発生した Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの Amazon リソースネーム (ARN) を指定しています。 ``` $opsItem = New-Object Amazon.SimpleSystemsManagement.Model.OpsItemDataValue $opsItem.Type = [Amazon.SimpleSystemsManagement.OpsItemDataType]::SearchableString $opsItem.Value = '[{\"arn\":\"arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0\"}]' $newHash = @{" /aws/resources"=[Amazon.SimpleSystemsManagement.Model.OpsItemDataValue]$opsItem} New-SSMOpsItem -Title "EC2 instance disk full still" -Description "Log clean up may have failed which caused the disk to be full" -Priority 2 -Source ec2 -OperationalData $newHash ``` # OpsItems を管理する AWS Systems Manager のツールである OpsCenter は、OpsItems の作成から解決までを追跡します。クロスアカウント管理のために OpsCenter を設定すると、委任管理者または管理アカウントが自分のアカウントから OpsItems を管理できます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 Systems Manager コンソールの次のページを使用して OpsItems を表示および管理できます。 + **概要** — 未解決かつ進行中の OpsItems の数、ソース別、経過時間別の OpsItems の数、運用上のインサイトが表示されます。ソース別および OpsItems のステータス別に OpsItems をフィルターできます。 + **OpsItems** — タイトル、ID、優先度、説明、OpsItem のソース、最終更新日時など、複数のフィールドの情報が含まれる OpsItems のリストを表示します。このページを使用して、OpsItems の手動作成、ソースの設定、OpsItem のステータスの変更、新しいインシデントによる OpsItems のフィルタリングを行うことができます。OpsItem をクリックして、**[OpsItems の詳細]** ページを表示できます。 + **OpsItem の詳細** — OpsItem の管理に使用できる詳細なインサイトとツールを提供します。OpsItems の詳細ページには、次のタブが表示されます。 + **[概要]** — 関連リソース、過去 30 日間に実行されたランブック、実行可能なランブックのリストが表示されます。同様の OpsItems の情報を表示したり、運用データを追加したり、関連する OpsItems のデータを追加したりすることもできます。 + **[関連リソースの詳細]** - AWS のいくつかのサービスから提供されるリソースに関する情報が表示されます。ホスト元の AWS のサービスから提供されるこのリソースに関する情報を表示するには、**[リソースの詳細]** のセクションを展開します。**[関連リソース]** リストを使用して、この OpsItem に関連付けられている他の関連リソース間を切り替えることもできます。 OpsItems の管理方法については、次のトピックを参照してください。 **Topics** + [OpsItem の詳細を表示する](OpsCenter-working-with-OpsItems-viewing-details.md) + [OpsItem の編集](OpsCenter-working-with-OpsItems-editing-details.md) + [関連リソースを OpsItem に追加する](OpsCenter-working-with-OpsItems-adding-related-resources.md) + [関連する OpsItems を OpsItem に追加する](OpsCenter-working-with-OpsItems-adding-related-OpsItems.md) + [運用データを OpsItem に追加する](OpsCenter-working-with-OpsItems-adding-operational-data.md) + [OpsItem のインシデントを作成する](OpsCenter-working-with-OpsItems-create-an-incident.md) + [OpsItems の重複を管理する](OpsCenter-working-deduplication.md) + [OpsItems を減らすために運用上のインサイトを分析する](OpsCenter-working-operational-insights.md) + [OpsCenter ログとレポートを表示する](OpsCenter-logging-auditing.md) # OpsItem の詳細を表示する OpsItem の包括的なビューを表示するには、OpsCenter コンソールの **[OpsItem の詳細]** ページを使用します。**[概要]** ページには、次の情報が表示されます。 + **OpsItems の詳細** — 選択した OpsItem の一般情報を表示します。 + **関連リソース** - 関連リソースは、影響を受けるリソース、またはイベントを開始して OpsItem を作成したリソースです。 + **過去 30 日間の自動化の実行** — 過去 30 日間に実行されたランブックのリスト。 + **ランブック** — 利用可能なランブックのリストからランブックを選択できます。 + **類似する OpsItems** - ユーザーに関連している、または関心のある OpsItems のリスト。リストを生成するために、システムはすべての OpsItems のタイトルと説明をスキャンし、同様の用語を使用している OpsItems を返します。 + **運用データ** – OpsItem に関する有用なリファレンスの詳細を提供するカスタムデータ。例えば、ログファイル、エラー文字列、ライセンスキー、トラブルシューティングのヒント、その他の関連データを指定することができます。 + **関連する OpsItems** - 現在の OpsItem 何らかの関係がある OpsItems の ID を指定できます。 + **関連リソースの詳細** - Amazon CloudWatch メトリクスとアラーム、AWS CloudTrail ログ、AWS Config の詳細などを含む、データプロバイダーを表示します。 **OpsItem の詳細を表示するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem を選択して、詳細を表示します。 # OpsItem の編集 **[OpsItem の詳細]** セクションには、OpsItem に関する情報 (説明、タイトル、ソース、OpsItem ID、ステータスなど) が含まれています。
 OpsItem を個別に編集するか、複数のOpsItems を選択して、**[ステータス]**、**[優先度]**、**[重要度]**、**[カテゴリ]** フィールドを編集できます。 Amazon EventBridge が OpsItem を作成すると、**[タイトル]**、**[ソース]**、**[説明]** の各フィールドにデータが入力されます。**[タイトル]** および **[説明]** フィールドは編集できますが、**[ソース]** フィールドは編集できません。 **注記** コンソールは OpsItem 説明フィールドのほとんどの Markdown フォーマットをサポートしています。詳細については、「AWS マネジメントコンソール 入門ガイド」の「[コンソールでの Markdown の使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/aws-markdown.html)」を参照してください。** 通常は、以下の OpsItem の設定可能なデータを編集することができます。 + **タイトル** — OpsItem の名前。ソースが OpsItem のタイトルを作成します。 + **説明** - 問題を再現するための手順など、この OpsItem に関する情報。 + **ステータス** – OpsItem のステータス。有効なステータスの値のリストについては、「*AWS Systems Manager API リファレンス*」の「[OpsItem のステータス](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_OpsItem.html#systemsmanager-Type-OpsItem-Status)」を参照してください。 + **優先度** — OpsItem の優先度は 1~5 の範囲で指定できます。各優先度の意味と、各レベルに対応するサービスレベルアグリーメントは組織で決定することをお勧めします。 + **重要度** — OpsItem の重要度は 1~4 の範囲で指定します。1 は「重大」、2 は「高い」、3 は「中程度」、4 は「低い」です。 + **カテゴリ** — OpsItem のカテゴリには、可用性、コスト、パフォーマンス、リカバリ、セキュリティなどがあります。 + **通知** — OpsItem の編集時に **[通知]** フィールドで、Amazon Simple Notification Service (SNS) トピックの Amazon リソースネーム (ARN) を指定できます。ARN を指定することで、OpsItem が編集されると、ステータス変更を含むすべての関係者に通知が送信されるようにします。詳細については、「[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/)」を参照してください。 **重要** Amazon SNS トピックは、OpsItem と同じ AWS リージョン にある必要があります。トピックと OpsItem のリージョンが異なる場合は、システムはエラーを返します。 OpsCenter は AWS Security Hub CSPM と双方向に統合しています。セキュリティの検出結果に関連する OpsItem ステータスと重要度を更新すると、変更内容が自動的に Security Hub CSPM に送信され、常に最新で正しい情報が表示されます。 Security Hub CSPM 検出結果から OpsItem を作成すると、Security Hub CSPM メタデータが OpsItem の運用データフィールドに自動的に追加されます。このメタデータが削除されると、双方向更新は機能しなくなります。 **OpsItem の詳細を編集するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem ID を選択して、詳細ページを開くか、複数の OpsItems を選択します。複数の OpsItems 選択した場合、ステータス、優先度、重大度、またはカテゴリのみを編集できます。複数の OpsItems を編集する場合、OpsCenter は新しいステータス、優先度、重大度、またはカテゴリを選択すると、すぐに変更内容を更新、保存します。 1. [**OpsItem の詳細**] セクションで、[**編集**] を選択します。 1. 組織で指定された要件やガイドラインに応じて、OpsItem の詳細を編集します。 1. 完了したら、[**保存**] を選択します。 # 関連リソースを OpsItem に追加する 各 OpsItem には、**[関連リソース]** セクションが含まれ、関連リソースの Amazon リソースネーム (ARN) の一覧が表示されます。*[関連リソース]* とは、調査行う必要がある影響を受けた AWS リソースです。 Amazon EventBridge が OpsItem を作成すると、システムは自動的にリソースの ARN を OpsItem に入力します。また、関連リソースの ARN を手動で指定することもできます。特定の ARN タイプでは、OpsCenter が、リソースに関する詳細を表示するディープリンクを OpsCenter コンソールに自動的に作成します。例えば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの ARN を指定すると、OpsCenter がその EC2 インスタンスに関する詳細を取得できます。これにより、影響を受ける AWS リソースに感する詳細な情報を表示することができます。OpsCenter を離れる必要はありません。 **関連リソースを表示して OpsItem に追加するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[OpsItems]** タブを選択します。 1. OpsItem ID を選択します。 ![\[OpsCenter 概要ページの新しい OpsItem\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_working_scenario_1.png) 1. 影響を受けるリソースに関する情報を表示するには、[**関連リソースの詳細**] タブを選択します。 ![\[OpsItem の関連リソースの詳細タブを表示する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_working_scenario_1_5.png) このタブには、いくつかの AWS のサービスから提供されるリソースに関する情報が表示されます。ホスト元の AWS のサービスから提供されるこのリソースに関する情報を表示するには、[**Resource details**] (リソースの詳細) のセクションを展開します。**[関連リソース]** リストを使用して、この OpsItem に関連付けられている他の関連リソース間を切り替えることもできます。 1. その他の関連リソースを追加するには、[**概要**] タブを選択します。 1. [**関連リソース**] セクションで、[**追加**] を選択します。 1. [**リソースタイプ**] で、リストからリソースを選択します。 1. [**リソース ID**] に、ID または Amazon リソースネーム (ARN) を入力します。選択する情報のタイプは、前のステップで選択したリソースによって異なります。 **注記** その他の関連リソースの ARN は手動で追加することができます。各 OpsItem セクションには、最大 100 個の関連リソースの ARN を表示できます。 次の表は、関連するリソースへのディープリンクを自動的に作成するリソースタイプの一覧です。 **サポートされているリソースタイプ** | リソース名 | ARN 形式 | | --- | --- | | AWS Certificate Manager 証明書 | 
arn:aws:acm:region:account-id:certificate/certificate-id
| | Amazon EC2 Auto Scaling グループ | 
arn:aws:autoscaling:region:account-id:autoScalingGroup:groupid:autoScalingGroupName/groupfriendlyname
| | Amazon CloudFront ディストリビューション | 
arn:aws:cloudfront::account-id:*
| | AWS CloudFormation スタック | 
arn:aws:cloudformation:region:account-id:stack/stackname/additionalidentifier
| | Amazon CloudWatch アラーム | 
arn:aws:cloudwatch:region:account-id:alarm:alarm-name
| | AWS CloudTrail 証跡 | 
arn:aws:cloudtrail:region:account-id:trail/trailname
| | AWS CodeBuild プロジェクト | 
arn:aws:codebuild:region:account-id:resourcetype/resource
| | AWS CodePipeline | 
arn:aws:codepipeline:region:account-id:resource-specifier
| | Amazon DevOps Guru のインサイト | 
arn:aws:devops-guru:region:account-id:insight/proactive or reactive/resource-id
| | Amazon DynamoDB テーブル | 
arn:aws:dynamodb:region:account-id:table/tablename
| | Amazon Elastic Compute Cloud (Amazon EC2) カスタマーゲートウェイ | 
arn:aws:ec2:region:account-id:customer-gateway/cgw-id
| | Amazon EC2 elastic IP | 
arn:aws:ec2:region:account-id:eip/eipalloc-id
| | Amazon EC2 Dedicated Host | 
arn:aws:ec2:region:account-id:dedicated-host/host-id
| | Amazon EC2 インスタンス | 
arn:aws:ec2:region:account-id:instance/instance-id
| | Amazon EC2 インターネットゲートウェイ | 
arn:aws:ec2:region:account-id:internet-gateway/igw-id
| | Amazon EC2 ネットワークアクセスコントロールリスト (ネットワーク ACL) | 
arn:aws:ec2:region:account-id:network-acl/nacl-id
| | Amazon EC2 ネットワークインターフェイス | 
arn:aws:ec2:region:account-id:network-interface/eni-id
| | Amazon EC2 ルートテーブル | 
arn:aws:ec2:region:account-id:route-table/route-table-id
| | Amazon EC2 セキュリティグループ | 
arn:aws:ec2:region:account-id:security-group/security-group-id
| | Amazon EC2 サブネット | 
arn:aws:ec2:region:account-id:subnet/subnet-id
| | Amazon EC2 ボリューム | 
arn:aws:ec2:region:account-id:volume/volume-id
| | Amazon EC2 VPC | 
arn:aws:ec2:region:account-id:vpc/vpc-id
| | Amazon EC2 VPN 接続 | 
arn:aws:ec2:region:account-id:vpn-connection/vpn-id
| | Amazon EC2 VPN ゲートウェイ | 
arn:aws:ec2:region:account-id:vpn-gateway/vgw-id
| | AWS Elastic Beanstalk アプリケーション | 
arn:aws:elasticbeanstalk:region:account-id:application/applicationname
| | Elastic Load Balancing (Classic Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/name
| | Elastic Load Balancing (Application Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
| | Elastic Load Balancing (Network Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/load-balancer-name/load-balancer-id
| | AWS Identity and Access Management (IAM) グループ | 
arn:aws:iam::account-id:group/group-name
| | IAM ポリシー | 
arn:aws:iam::account-id:policy/policy-name
| | IAM ロール | 
arn:aws:iam::account-id:role/role-name
| | IAM ユーザー | 
arn:aws:iam::account-id:user/user-name
| | AWS Lambda 関数 | 
arn:aws:lambda:region:account-id:function:function-name
| | Amazon Relational Database Service (Amazon RDS) クラスター | 
arn:aws:rds:region:account-id:cluster:db-cluster-name
| | Amazon RDS データベースインスタンス | 
arn:aws:rds:region:account-id:db:db-instance-name
| | Amazon RDS サブスクリプション | 
arn:aws:rds:region:account-id:es:subscription-name
| | Amazon RDS セキュリティグループ | 
arn:aws:rds:region:account-id:secgrp:security-group-name
| | Amazon RDS クラスターのスナップショット | 
arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name
| | Amazon RDS サブネットグループ | 
arn:aws:rds:region:account-id:subgrp:subnet-group-name
| | Amazon Redshift クラスター | 
arn:aws:redshift:region:account-id:cluster:cluster-name
| | Amazon Redshift パラメータグループ | 
arn:aws:redshift:region:account-id:parametergroup:parameter-group-name
| | Amazon Redshift セキュリティグループ | 
arn:aws:redshift:region:account-id:securitygroup:security-group-name
| | Amazon Redshift クラスターのスナップショット | 
arn:aws:redshift:region:account-id:snapshot:cluster-name/snapshot-name
| | Amazon Redshift サブネットグループ | 
arn:aws:redshift:region:account-id:subnetgroup:subnet-group-name
| | Amazon Simple Storage Service (Amazon S3) バケット | 
arn:aws:s3:::bucket_name
| | AWS Systems Manager マネージドノードのインベントリの AWS Config の記録 | 
arn:aws:ssm:region:account-id:managed-instance-inventory/node_id
| | Systems Manager State Manager の関連付け | 
arn:aws:ssm:region:account-id:association/association_ID
| # 関連する OpsItems を OpsItem に追加する **[OpsItems 詳細]** ページの **[関連する OpsItems]** を使用すると、運用上の問題を調査し、問題の背景情報を取得できます。OpsItems は、OpsItems 間の親子関係、根本原因、または重複など、さまざまな方法で関連付けることができます。ある OpsItem を他の OpsItems と関連付けて、**[関連する OpsItem**] セクションに表示することができます。現在の OpsItem に関連する他の OpsItems の ID は、最大 10 個まで指定できます。 ![\[関連する OpsItems の表示。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_working_scenario_4.png) **関連のある OpsItem を追加するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem ID を選択して、詳細ページを開きます。 1. [**関連 OpsItem**] セクションで、[**追加**] を選択します。 1. [**OpsItem ID**] で、ID を指定します。 1. **[Add]** (追加) を選択します。 # 運用データを OpsItem に追加する 運用データは、OpsItem に関する有用なリファレンスの詳細を提供するカスタムデータです。運用データの複数のキーと値のペアを入力できます。例えば、ログファイル、エラー文字列、ライセンスキー、トラブルシューティングのヒント、その他の関連データを指定することができます。キーの最大長は 128 文字、値の最大サイズは 20 KB になる可能性があります。 ![\[OpsItem の運用データの表示。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_working_scenario_7.png) アカウント内の他のユーザーがデータを検索できるようにしたり、検索アクセスを制限したりすることもできます。検索可能なデータとは、OpsItem の **[概要]** ページ ([Describe OpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) API オペレーションによって提供) にアクセスできるすべてのユーザーが特定のデータを表示および検索できるということです。検索可能でない運用データは、OpsItem ([GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) API オペレーションによって提供) にアクセスできるユーザーが表示のみできます。 **運用データを OpsItem に追加するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem ID を選択して、詳細ページを開きます。 1. **[運用データ]** を展開します。 1. 運用データが OpsItem に存在しない場合は、**[追加]** をクリックします。運用データが OpsItem に既に存在する場合は、[**管理**] を選択します。 運用データを作成したら、[**管理**] を選択して、キーと値の編集、運用データの削除、その他キーと値のペアの追加を行うことができます。 1. [**キー**] で、データの目的を示すわかりやすい用語を指定します。 **重要** オペレーションデータキーは、`amazon`、`aws`、`amzn`、`ssm`、`/amazon`、`/aws`、`/amzn`、`/ssm` で始まることは*できません*。 1. [**値**] で、データを指定します。 1. **[保存]** を選択します。 **注記** **OpsItems** ページで [**Operational data (運用データ)**] 演算子を使用して OpsItems をフィルタ処理できます。**[検索]** ボックスで、**[運用データ]** をクリックし、キーと値のペアを JSON で入力します。次の形式を使用してキーと値のペアを入力する必要があります。`{"key":"key_name","value":"a_value"}` # OpsItem のインシデントを作成する 以下の手順で、OpsItem のインシデントを手動で作成して、AWS Systems Manager のツールである AWS Systems Manager Incident Manager でインシデントの追跡と管理を行います。インシデントとは、サービスの品質の計画外の中断または低下です。インシデントマネージャーの詳細については、「[OpsCenter と他の AWS のサービス との統合](OpsCenter-applications-that-integrate.md)」を参照してください。 **OpsItem のインシデントを手動で作成するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. Incident Manager が OpsItem を作成した場合は、それを選択してステップ 5 に進みます。そうでない場合は、[**OpsItem の作成**] を選択し、フォームに記入します。このボタンが表示されない場合は、[**OpsItems**] タブを選択してから [**OpsItem の作成)**] を選択します。 1. 新しい OpsItem を作成した場合は、それを開きます。 1. [**インシデントの開始**] を選択します。 1. **[対応プラン]** で、このインシデントに割り当てるインシデントマネージャーの対応プランを選択します。 1. (オプション) [**タイトル**] に、他のチームメンバーがインシデントの性質を理解するのに役立つわかりやすい名前を入力します。新しいタイトルを入力しない場合、OpsCenter は対応プランのタイトルを使用して、Incident Manager に OpsItem と対応するインシデントを作成します。 1. (オプション) [**インシデントの影響**] では、このインシデントの影響レベルを選択します。影響レベルを選択しない場合、OpsCenter は、対応プランの影響レベルを使用して、Incident Manager で OpsItem および対応するインシデントを作成します。 1. **[開始]** を選択します。 # OpsItems の重複を管理する OpsCenter は、1 つのソースに対して複数の AWS のサービス から複数の重複する OpsItems を受け取ることができます。OpsCenter は、組み込みロジックと設定可能な重複排除文字列の組み合わせを使用して、重複する OpsItems を作成しないようにします。AWS Systems Manager は、[Create OpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) API オペレーションが呼び出されると、重複排除の組み込みロジックを適用します。 AWS Systems Manager は、次の重複排除ロジックを使用します。 1. OpsItem を作成するとき、Systems Manager は重複排除文字列と OpsItem を開始したリソースに基づいてハッシュを作成して保存します。 1. OpsItem を作成するリクエストを受け取ると、システムは新しいリクエストの重複排除文字列をチェックします。 1. この重複排除文字列に一致するハッシュが存在する場合、Systems Manager は既存の OpsItem をチェックします。既存の OpsItem のステータスが未解決または進行中の場合、OpsItem は作成されません。既存の OpsItem が解決されると、Systems Manager は新しい OpsItem を作成します。 OpsItem を作成した後、その OpsItem で重複排除文字列を編集または変更することは*できません*。 OpsItems の重複を管理するには、次の操作を行います。 + OpsCenter をターゲットにする Amazon EventBridge ルールの重複排除文字列を編集します。詳細については、「[デフォルトの EventBridge ルールの重複排除文字列を編集する](#OpsCenter-working-deduplication-editing-cwe)」を参照してください。 + OpsItem を手動で作成するときに、重複排除文字列を指定します。詳細については、「[AWS CLI を使用して重複排除文字列を指定する](#OpsCenter-working-deduplication-configuring-manual-cli)」を参照してください。 + 運用インサイトを使用して、重複する OpsItems を確認して解決します。重複する OpsItems は、ランブックを使用して解決できます。 重複する OpsItems を解決し、ソースによって作成される OpsItems の数を減らすために、Systems Manager では自動化ランブックが提供されています。詳細については、「[インサイトに基づく重複 OpsItems の解決](OpsCenter-working-operational-insights.md#OpsCenter-working-operational-insights-resolve)」を参照してください。 ## デフォルトの EventBridge ルールの重複排除文字列を編集する OpsCenter をターゲットとする EventBridge ルールに重複排除文字列を指定するには、次の手順を使用します。 **デフォルトの EventBridge ルールの重複排除文字列を編集するには** 1. AWS マネジメントコンソール にサインインし、Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。 1. ナビゲーションペインで [**ルール**] を選択します。 1. ルールを選択し、[**編集**] を選択します。 1. [**Select target(s)**] (ターゲットの選択) ページに移動します。 1. [**Additional settings**] (追加設定) セクションの [**Configure input transformer**] (入力トランスフォーマーの設定) を選択します。 1. [**Template**] (テンプレート) ボックスで、編集する `"operationalData": { "/aws/dedup"` JSON エントリと重複排除文字列を見つけます。 EventBridge ルールの重複排除文字列を入力する際は、以下の JSON 形式を使用します。 ``` "operationalData": { "/aws/dedup": {"type": "SearchableString","value": "{\"dedupString\":\"Words the system should use to check for duplicate OpsItems\"}"}} ``` 以下はその例です。 ``` "operationalData": { "/aws/dedup": {"type": "SearchableString","value": "{\"dedupString\":\"SSMOpsCenter-EBS-volume-performance-issue\"}"}} ``` 1. 重複排除文字列を編集し、**[確認]** をクリックします。 1. [**次へ**] を選択します。 1. [**次へ**] を選択します。 1. [**ルールの更新**] を選択します。 ## AWS CLI を使用して重複排除文字列を指定する 重複排除文字列は、AWS Systems Manager コンソールまたは AWS CLI のいずれかを使用して、新しい OpsItem を手動で作成するときに指定することができます。コンソールで OpsItem を手動で作成するときに重複排除文字列を入力する方法については、「[OpsItems を手動で作成する](OpsCenter-manually-create-OpsItems.md)」を参照してください。AWS CLI を使用している場合、`OperationalData` パラメータに重複排除文字列を入力できます。次の例に示すように、パラメータの構文では JSON を使用します。 ``` --operational-data '{"/aws/dedup":{"Value":"{\"dedupString\": \"Words the system should use to check for duplicate OpsItems\"}","Type":"SearchableString"}}' ``` 以下に示しているのは、`disk full` の重複排除文字列を指定するコマンドの例です。 ------ #### [ Linux & macOS ] ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 1 \ --source ec2 \ --operational-data '{"/aws/dedup":{"Value":"{\"dedupString\": \"disk full\"}","Type":"SearchableString"}}' \ --tags "Key=EC2,Value=ProductionServers" \ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser" ``` ------ #### [ Windows ] ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 1 ^ --source EC2 ^ --operational-data={\"/aws/dedup\":{\"Value\":\"{\\"""dedupString\\""":\\"""disk full\\"""}\",\"Type\":\"SearchableString\"}} ^ --tags "Key=EC2,Value=ProductionServers" --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser" ``` ------ # OpsItems を減らすために運用上のインサイトを分析する OpsCenter の**運用上のインサイトには、重複する OpsItems に関する情報が表示されます。OpsCenter はアカウント内で自動的に OpsItems を分析し、3 種類の**インサイトを生成します。この情報は OpsCenter **[概要]** タブの **[運用上のインサイト]** セクションで確認できます。 + **OpsItems を複製** – このフィールドには、同じリソースに同じタイトルの OpsItems が 8 個以上ある場合に、インサイトが 1 件生成されます。 + **最も一般的なタイトル** — 同じタイトルの OpsItems が 50 件を超えるとインサイトが 1 件生成されます。 + **OpsItems を最も多く生成するリソース** — AWS 件のリソースに OpsItems が 10 件以上開いているときにインサイトが 1 件生成されます。これらのインサイトとそれに対応するリソースが、OpsCenter **[概要] ** タブの [**OpsItems を最も多く生成するリソース**] テーブルに表示されます。リソースは OpsItem の数の多い順に一覧表示されます。 **注記** OpsCenter は以下のリソースタイプについて **[OpsItems を最も多く生成するリソース]** インサイトを作成します。 Amazon Elastic Compute Cloud (Amazon EC2) インスタンス Amazon EC2 セキュリティグループ Amazon EC2 Auto Scaling グループ Amazon Relational Database Service (Amazon RDS) データベース Amazon RDS クラスター AWS Lambda 関数 Amazon DynamoDB テーブル Elastic Load Balancing ロードバランサー Amazon Redshift クラスター AWS Certificate Manager 証明書 Amazon Elastic Block Store ボリューム OpsCenter は 1 つのタイプにつきインサイト 15 件までという上限を設けています。タイプがこの上限に達すると、OpsCenter はそのタイプのインサイトの表示を停止します。追加のインサイトを表示するには、そのタイプの OpsInsight に関連付けられた OpsItems をすべて解決する必要があります。15 件のインサイトの上限により、保留中のインサイトがコンソールに表示されない場合、そのインサイトは他のインサイトが閉じられた後に表示されます。 インサイトを選択すると、影響を受ける OpsItems とリソースに関する情報が OpsCenter に表示されます。次のスクリーンショットは、重複している OpsItem インサイトの詳細を示した例です。 ![\[OpsItems に関する情報が含まれる OpsCenter インサイトの詳細ビュー。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsCenter-insights-detailed.png) 運用上のインサイトは、デフォルトで無効になっています。運用上のインサイトの使用に関する詳細については、以下のトピックを参照してください。 **Topics** + [運用上のインサイトを無効化する](#OpsCenter-working-operational-insights-viewing) + [インサイトに基づく重複 OpsItems の解決](#OpsCenter-working-operational-insights-resolve) + [オペレーションインサイトの無効化](#OpsCenter-working-operational-insights-disable) ## 運用上のインサイトを無効化する Systems Manager コンソールの **OpsCenter** ページで運用上のインサイトを有効にできます。運用上のインサイトを有効にすると、Systems Manager は `AWSServiceRoleForAmazonSSM_OpsInsights` という名前の AWS Identity and Access Management (IAM) サービスリンクロールを作成します。サービスにリンクされたロールは、Systems Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべてのアクセス許可が含まれています。`AWSServiceRoleForAmazonSSM_OpsInsights` サービスにリンクされたロールの詳細については、[ロールを使用して Systems Manager OpsCenter で運用上のインサイト OpsItems を作成する](using-service-linked-roles-service-action-4.md)を参照してください。 **注記** 次の重要な情報に注意してください。 運用上のインサイトは、お客様の AWS アカウントに課金されます。詳細については、[AWS Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。 OpsCenter は、バッチプロセスを使用してインサイトを定期的に更新します。つまり、OpsCenter に表示されるインサイトの一覧は同期されていない可能性があります。 OpsCenter で運用上のインサイトを有効にして表示するには、次の手順を使用します。 **運用上のインサイトを有効にして表示するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[運用上のインサイトが利用可能です]** メッセージボックスで、**[有効化]** を選択します。このメッセージが表示されない場合は、**[運用上のインサイト]** セクションまで下にスクロールして **[有効化]** を選択します。 1. この機能を有効にしたら、**[概要]** タブの **[運用上のインサイト]** セクションまで下にスクロールします。 1. フィルター処理されたインサイトのリンクを表示するには、**[OpsItems を重複]**、**[最も一般的なタイトル]**、または**[OpsItems を最も多く生成するリソース]** の隣にあるリンクを選択します。すべてのインサイトを表示するには、**[運用に関するすべてのインサイトを表示]** を選択してください。 1. 詳細情報を表示するには、インサイト ID を選択します。 ## インサイトに基づく重複 OpsItems の解決 インサイトを解決するには、まず、インサイトに関連付けられている OpsItems をすべて解決する必要があります。インサイトに関連付けられている OpsItems を解決するため、`AWS-BulkResolveOpsItemsForInsight` ランブックを使用できます。 重複する OpsItems を解決し、ソースによって作成された OpsItems の数を減らすために、Systems Manager では、以下のような自動化ランブックが提供されています。 + `AWS-BulkResolveOpsItems` ランブックは、特定のフィルターに一致する OpsItems を解決します。 + `AWS-AddOpsItemDedupStringToEventBridgeRule` ランブックは、特定の Amazon EventBridge ルールに関連付けられたすべての OpsItem ターゲットの重複解除文字列を追加します。ルールが既に存在する場合、このランブックは重複解除文字列を追加しません。 + EventBridge のルールが数十から数百の OpsItems を生成している場合、`AWS-DisableEventBridgeRule` によってそのルールがオフになります。 **オペレーションに関するインサイトを解決するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[概要]** タブで下にスクロールして、**[オペレーションインサイト]**までスクロールダウンします。 1. **[オペレーションに関するすべてのインサイトを表示]** を選択します。 1. 詳細情報を表示するには、インサイト ID を選択します。 1. ランブックを選択し、**[実行]** を選択します。 ## オペレーションインサイトの無効化 運用上のインサイトを無効にすると、システムは新しいインサイトの作成を停止し、コンソールでのインサイトの表示を停止します。アクティブなインサイトは、コンソールに表示されることはありませんが、システム内では変更されないままになっています。この機能を再度有効にすると、システムは未解決のインサイトを表示し、新しいインサイトの作成を開始します。運用上のインサイトをオフにするには、次の手順に従います。 **運用上のインサイトをオフにするには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[設定]** を選択します。 1. **[オペレーションインサイト]** セクションで **[編集]** を選択してから、**[無効化]** オプションにトグルします。 1. **[保存]** を選択します。 # OpsCenter ログとレポートを表示する AWS CloudTrail は、コンソール、AWS Command Line Interface (AWS CLI)、および SDK への AWS Systems Manager OpsCenter API コールをログに記録します。CloudTrail コンソールまたは Amazon Simple Storage Service (Amazon S3) バケットで情報を表示できます。Amazon S3 は、1 つのバケットを使用して、アカウントのすべての CloudTrail ログを保存します。 OpsCenter アクションのログには、OpsItem アクティビティの作成、更新、取得、および説明が含まれます。Systems Manager アクティビティの CloudTrail ログの表示と使用の詳細については、「[AWS CloudTrail による AWS Systems Manager API コールのログ記録](monitoring-cloudtrail-logs.md)」を参照してください。 AWS Systems Manager OpsCenter は、OpsItems に関する情報を提供します。 + **OpsItem ステータスの概要** - ステータス別 (未解決で進行中、未解決、進行中) の OpsItems の概要。 + **未解決の上位 OpsItems を含むソース** - 未解決の OpsItems が含まれている上位の AWS のサービス の内訳。 + **ソース別および経過日数別の OpsItems** - ソース別および経過日数別にグループ化した OpsItems の数。 **OpsCenter の概要レポートを表示するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItems の **[概要]** ページで、**[概要]** をクリックします。 1. [**OpsItems by source and age** (ソース別および経過時間別の OpsItems)] で検索バーを選択し、[**Source ** (ソース)] に基づいて OpsItems をフィルター処理します。リストを使用して、[**Status (ステータス)**] に基づいてフィルタ処理します。 # OpsItems を削除する AWS Command Line Interface または AWS SDK を使用して [DeleteOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteOpsItem.html) API 操作を呼び出すと、個々の OpsItem を削除できます。AWS マネジメントコンソール で OpsItem を削除することはできません。OpsItem を削除するには、AWS Identity and Access Management (IAM) ユーザー、グループ、またはロールに管理者アクセス許可があるか、`DeleteOpsItem` API 操作を呼び出すアクセス許可が付与されている必要があります。 **重要** この操作に関しては、次の重要事項に留意してください。 OpsItem を削除すると元に戻せません。削除された OpsItem を復元することはできません。 この操作では**結果整合性モデルが使用されるため、システムがこの操作を完了するまでに数分かかることがあります。OpsItem を削除し、[GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) などをすぐに呼び出しても、削除した OpsItem が応答に表示されることがあります。 このオペレーションはべき等です。同じ OpsItem に対してこの操作を繰り返し呼び出しても、システムは例外を発生させません。最初の呼び出しが成功すると、それ以降のすべての呼び出しは最初の呼び出しと同じ成功応答を返します。 この操作ではアカウント間呼び出しをサポートしていません。OpsCenter がアカウント間管理用にセットアップされている場合、委任管理者または管理アカウントは、他のアカウントで OpsItems を削除できません。アカウント間管理の詳細については、「[(オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する](OpsCenter-setting-up-cross-account.md)」を参照してください。 `OpsItemLimitExceededException` が表示された場合は、OpsItems を 1 つ以上削除して、OpsItems の合計数をクォータ制限以下に減らします。この例外の詳細については、「[OpsCenter で問題のトラブルシューティング](OpsCenter-troubleshooting.md)」を参照してください。 ## OpsItem の削除 以下の手順に従って、OpsItem を削除します。 **OpsItem を削除するには** 1. まだ AWS CLI をインストールして設定していない場合はインストールして設定します。詳細については、「[Installing or updating the latest version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。 1. 以下のコマンドを実行してください。削除する OpsItem の ID で *[ID]* を置き換えます。 ``` aws ssm delete-ops-item --ops-item-id ID ``` 正常終了すると、コマンドは何も返しません。 # OpsItem の問題を修正する AWS Systems Manager 自動化ランブックを使用して、OpsItem で特定した AWS リソースに関する問題を修正できます。オートメーションは、事前定義されたランブックを使用して、AWS リソースに関する一般的な問題を修正します。 各 OpsItem には **[ランブック]** セクションがあり、修正に使用できるランブックがリストされています。リストから自動化ランブックを選択すると、OpsCenter がドキュメントの実行に必要なフィールドの一部を自動的に表示します。自動化ランブックを実行すると、システムはランブックを OpsItem の関連リソースに自動的に関連付けます。Amazon EventBridge が OpsItem を作成すると、ランブックが OpsItem に関連付けられます。OpsCenter は、OpsItem の自動化ランブックを 30 日間記録します。 次の例に示すように、オートメーションが失敗した理由、失敗したときに実行されていた自動化ランブックのステップなど、その実行に関する重要な詳細を表示するステータスを選択できます。 ![\[Automation ランブックが最後に実行されたときのステータス情報。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_automation_results.png) 選択した OpsItem の [**関連リソースの詳細**] ページには、[**Run automation**] リストが含まれます。最近使用した自動化ランブックまたはリソース固有の自動化ランブックを選択して、問題を修正できます。このページには、Amazon CloudWatch メトリクスとアラーム、AWS CloudTrail ログ、AWS Config の詳細など、役立つデータプロバイダーも含まれています。 ![\[[関連リソース] タブで使用可能なメトリクス。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_automation_related_resource_details.png) Automation ランブックに関する情報を表示するには、コンソールでその名前を選択するか、[Systems Manager Automation ランブックのリファレンス](automation-documents-reference.md) を使用します。 ## ランブックを使用して OpsItem を修正する 自動化ランブックを使用して OpsItem の問題を修正する前に、次の操作を行います。 + Systems Manager Automation ランブックを実行するためのアクセス許可があることを確認します。詳細については、「」を参照してください[オートメーションの設定](automation-setup.md) + 実行する自動化のリソース固有の ID 情報を収集します。例えば、EC2 インスタンスを再起動するオートメーションを実行する場合、再起動する EC2 インスタンスの ID を指定する必要があります。 **Automation ランブックを実行して OpsItem の問題を修復するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem ID を選択して、詳細ページを開きます。 ![\[OpsCenter 概要ページの新しい OpsItem\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/OpsItems_working_scenario_1.png) 1. [**ランブック**] セクションまでスクロールします。 1. 検索バー、または右上の数字を使用して、実行する自動化ランブックを検索します。 1. ランブックを選択し、[**実行**] を選択します。 1. ランブックの必要な情報を入力し、**[送信]** を選択します。 ランブックを起動すると、システムは前の画面に戻り、ステータスを表示します。 1. **[過去 30 日間の自動化]** セクションで、**[実行 ID]** リンクを選択して、実行のステップとステータスを表示します。 ## 関連するランブックを使用して、OpsItem を修正する OpsItem から自動化ランブックを実行すると、OpsCenter がランブックを OpsItem に関連付けます。関連付けられたランブックは、**[ランブック]** リストの他のランブックよりも上位にランク付けされます。 次の手順に従って、OpsItem の関連リソースに既に関連付けられている Automation ランブックを実行します。関連リソースの追加については、「[OpsItems を管理する](OpsCenter-working-with-OpsItems.md)」を参照してください。 **リソースに関連付けられたランブックを実行して OpsItem の問題を修復するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. OpsItem を開きます。 1. [**関連リソース**] セクションで、 Automation ランブックを実行するリソースを選択します。 1. [**Run automation (自動化を実行)**] を選択し、実行する関連付けられた Automation ランブックを選択します。 1. ランブックの必要な情報を入力し、[**実行**] を選択します。 ランブックを起動すると、システムは前の画面に戻り、ステータスを表示します。 1. **[過去 30 日間の自動化]** セクションで、**[実行 ID]** リンクを選択して、実行のステップとステータスを表示します。 # OpsCenter 概要レポートの表示 AWS Systems Manager OpsCenter には、概要ページが含まれており、以下の情報が自動的に表示されます。 + **OpsItem ステータス概要** – `Open` や `In progress` といった、ステータス別の OpsItems の概要。 + **最もオープンな OpsItems を持つソース** – OpsItems が最も多く開かれた AWS のサービス の内訳。 + **ソースと経過日数別の OpsItems** - ソース別および経過日数別にグループ化した OpsItems の数。 **OpsCenter 概要レポートを表示するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで **OpsCenter** を選択し、次に [**概要**] タブを選択します。 1. **ソースと経過日数別の OpsItems** セクションで、以下の操作を行います。 1. (オプション) フィルターフィールドで、[**ソース**] を選択したら、`Equal`、`Begin With`、または `Not Equal` を選択し、検索パラメータを入力します。 1. 隣接するリストで、次のいずれかのステータス値を選択します。 + `Open` + `In progress` + `Resolved` + `Open and in progress` + `All` # OpsCenter で問題のトラブルシューティング このトピックには、OpsCenter の一般的なエラーや問題のトラブルシューティングに役立つ情報が収められています。 ## OpsItemLimitExceededException の発生 CreateOpsItem API オペレーションを呼び出したときに、AWS アカウント が許可されている OpsItems の最大数に達すると、`OpsItemLimitExceededException` を受け取ります。OpsCenter は呼び出しが以下のいずれかのクォータの OpsItems の最大数を超えると、例外を返します。 + リージョンの AWS アカウント あたりの `Open` 総数 (OpsItems および `Resolved` OpsItems を含む): 500,000 + 1 か月の AWS アカウント あたりの OpsItems の最大数: 10,000 これらのクォータは、以下を除くすべてのソースから作成された OpsItems に適用されます。 + AWS Security Hub CSPM の検出結果により作成された OpsItems + Incident Manager のインシデントが開かれると自動生成される OpsItems これらのソースから作成された OpsItems は OpsItem クォータにはカウントされませんが、OpsItem ごとに課金されます。 `OpsItemLimitExceededException` を受け取った場合は、OpsItem の新規作成を妨げるクォータより少なくなるまで、OpsItems を手動で削除できます。繰り返しになりますが、Security Hub CSPM の検出結果または Incident Manager のインシデント用に作成された OpsItems を削除しても、クォータによって適用される OpsItems の総数は減りません。他のソースから OpsItems を削除する必要があります。OpsItem を削除する方法については、「[OpsItems を削除する](OpsCenter-delete-OpsItems.md)」を参照してください。 ## AWS から自動生成された大量の OpsItems に対し高額な請求書が届く AWS Security Hub CSPM との統合を設定した場合、OpsCenter は Security Hub CSPM の検出結果に OpsItems を作成します。Security Hub CSPM が生成する検出結果の数と、統合を設定したときにログインしていたアカウントによっては、OpsCenter は OpsItems を大量に生成する可能性があります。これには料金が発生します。Security Hub CSPM の検出結果によって生成される OpsItems に関連する具体的な詳細は次のとおりです。 + 設定時に Security Hub CSPM 管理者アカウントにログインしていて、OpsCenter と Security Hub CSPM の統合を設定すると、システムは管理者**とすべてのメンバーアカウントの検出結果に OpsItems を作成します。OpsItems は管理者アカウントですべて作成されます。**さまざまな要因によっては、これにより AWS から予想外に多額の請求が発生する可能性があります。 統合を設定するときにログインしていたのがメンバーアカウントであった場合、システムは個人のアカウントの検出結果にのみ OpsItems を作成します。Security Hub CSPM 管理者アカウント、メンバーアカウント、および検出結果の EventBridge イベントフィードとの関係の詳細については、AWS Security Hub ユーザーガイドで「[Types of Security Hub CSPM integration with EventBridge](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html)」を参照してください。** + 検出結果が OpsItem を作成するたびに、OpsItem の作成には通常料金がかかります。また、OpsItem を編集した場合や、対応する検出結果が Security Hub CSPM で更新された場合 (その結果として OpsItem がトリガーされた場合) にも課金されます。 + AWS Security Hub CSPM との統合によって作成された OpsItems は現在、リージョンのアカウントあたり 500,000 OpsItems の最大クォータによって制限*されていません*。そのため、Security Hub CSPM アラートによって、アカウント内の各リージョンで 500,000 を超える課金対象の OpsItems が作成される可能性があります。 高負荷の本番環境では、Security Hub CSPM の検出結果の範囲を重要度の高い問題のみに制限することをお勧めします。 **重要** OpsItems の多くが誤って作成されたもので、AWS の請求内容が不当であると思われる場合は、サポート にお問い合わせください。 Security Hub CSPM の検出結果に対してシステムで OpsItems を作成する必要がなければ、次の手順を使用してください。 **Security Hub CSPM の検出結果に対する OpsItems の受信を停止するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[OpsCenter]** を選択します。 1. **[設定]** を選択します。 1. **[Security Hub CSPM findings]** セクションで、**[編集]** を選択します。 1. スライダーを選択して **[有効]** を **[無効]** に変更します。スライダーを切り替えられない場合は、AWS アカウント の Security Hub CSPM が有効になっていません。 1. **[保存]** を選択して設定を保存します。OpsCenter は Security Hub CSPM の検出結果に基づいて OpsItems を作成しなくなります。 **重要** OpsCenter が設定を **[有効]** に戻し、検出結果の OpsItems の作成を続行する場合は、Systems Manager の委任管理者アカウントまたは AWS Organizations 管理アカウントにログインして、この手順を繰り返します。これらのアカウントにログインするアクセス許可がない場合は、管理者に連絡し、この手順を繰り返してアカウントの統合を無効にするよう依頼してください。