• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Systems Manager OpsCenter OpsCenter是 中的工具 AWS Systems Manager,提供中央位置,讓營運工程師和 IT 專業人員可以檢視、調查和解決與 AWS 資源相關的操作工作項目 (OpsItems)。 OpsCenter 旨在縮短對影響 AWS 資源的問題進行解決的平均時間。 OpsItems會跨 服務OpsCenter彙總和標準化OpsItems,同時提供每個 OpsItem、相關 和相關資源的情境式調查資料。 OpsCenter也提供 Systems Manager Automation 執行手冊,供您用來快速解決問題。您可以為每個 OpsItem 指定可搜尋的自訂資料。您也可以依狀態及來源,檢視自動產生的 OpsItems 摘要報告。若要開始使用 OpsCenter,請開啟 [Systems Manager 主控台](https://console.aws.amazon.com//systems-manager/opsitems)。在導覽窗格中,選擇 **OpsCenter**。 OpsCenter 與 Amazon EventBridge 及 Amazon CloudWatch 整合。這表示您可以將這些服務設定為在 CloudWatch 警示進入 `ALARM` 狀態OpsCenter,或 EventBridge 從發佈事件的任何 AWS 服務處理事件時,在 OpsItem中自動建立 。設定 CloudWatch 警示和 EventBridge 事件以自動建立OpsItems可讓您快速診斷和修復來自單一主控台 AWS 的資源問題。 為了協助您診斷問題,每個 都OpsItem包含情境相關資訊,例如 AWS 產生 的資源名稱和 IDOpsItem、警示或事件詳細資訊、警示歷史記錄,以及警示時間軸圖表。 對於 AWS 資源, 會OpsCenter彙總來自 AWS Config、 AWS CloudTrail 日誌和 Amazon CloudWatch Events 的資訊,因此您在調查期間不需要瀏覽多個主控台頁面。 下列清單包含客戶設定 CloudWatch 警示來建立 AWS 的資源和指標類型OpsItems。 + Amazon DynamoDB:資料庫讀取和寫入動作達到閾值 + Amazon EC2:CPU 使用率達到閾值 + AWS 計費:預估費用達到閾值 + Amazon EC2:執行個體未通過狀態檢查 + Amazon Elastic Block Store (EBS):磁碟空間使用率達到閾值 下列清單包含客戶設定的 EventBridge 規則類型,以建立 OpsItems。 + AWS Security Hub CSPM:已發出安全提醒 + DynamoDB:調節事件 + Amazon EC2 Auto Scaling:無法啟動執行個體 + Systems Manager:無法執行自動化 + AWS Health:排定維護的提醒 + EC2:執行個體狀態從 `Running` 變更為 `Stopped` OpsCenter 也已經與 .NET 和 SQL Server 的 Amazon CloudWatch Application Insights 整合。這表示您可以為您應用程式中偵測到的問題自動建立 OpsItems。您也可以OpsCenter與 整合 AWS Security Hub CSPM ,在 Systems Manager 中彙總安全性、效能和操作問題並採取行動。 操作工程師和 IT 專業人員可以使用 AWS Systems Manager 主控台中的 OpsCenter頁面、公OpsItems有 API 操作、 AWS Command Line Interface (AWS CLI)、 或 AWS SDKs 來建立 AWS Tools for Windows PowerShell、檢視和編輯。OpsCenter公有 API 操作也可讓您OpsCenter整合您的案例管理系統和運作狀態儀表板。 ## OpsCenter 如何為我的組織帶來益處? OpsCenter 提供標準和統一的體驗,用於檢視、處理和修復與 AWS 資源相關的問題。標準及一致的體驗可改善修正問題、調查相關問題及培訓新營運工程師和 IT 專業人員所需的時間。標準和一致的體驗也可以降低在系統中管理和修正問題的手動錯誤數量。 尤有甚者,OpsCenter 為營運工程師和組織提供下列優勢: + 您不再需要跨多個主控台頁面進行導覽,即可檢視、調查和解決與 AWS 資源OpsItems相關的問題。 OpsItems 會跨服務集中彙總。 + 您可以檢視 OpsItems 的服務特定或與內容相關的資料;這些資料是由 CloudWatch 警示、EventBridge 事件和 .NET 及 SQL Server 的 CloudWatch Application Insights 自動產生。 + 您可以指定與 OpsItem 相關的資源 Amazon Resource Name (ARN)。透過指定相關的資源,OpsCenter 使用內建的邏輯協助您避免建立重複的 OpsItems。 + 您可以檢視類似 OpsItems 的詳細資訊和解決資訊。 + 您可以快速檢視資訊以及執行 Systems Manager Automation Runbook 來解決問題。 ## OpsCenter 有哪些功能? + **自動和手動建立 OpsItem** OpsCenter 與 Amazon CloudWatch 整合。這表示您可以將 CloudWatch 設定為在警示進入 `ALARM` 狀態時或 Amazon EventBridge 處理來自任何發佈事件之 AWS 服務的事件時,自動在 OpsCenter 中建立 OpsItem。您也可以手動建立 OpsItems。 OpsCenter 也已經與 .NET 和 SQL Server 的 Amazon CloudWatch Application Insights 整合。這表示您可以為您應用程式中偵測到的問題自動建立 OpsItems。 + **詳細和可搜尋的 OpsItems** 每個 OpsItem 包含多個資訊欄位,包括標題、ID、優先順序、描述、OpsItem 的來源,以及上次更新的日期/時間。每個 OpsItem 還包含以下可設定的功能: + **Status (狀態)**:Open (開放)、In progress (正在進行)、Resolved (已解決),或 Open and In progress (開放並正在進行)。 + **相關資源**:相關資源是受影響的資源,或起始建立 OpsItem 之 EventBridge 事件的資源。每個 OpsItem 都包含 **Related resources (相關資源)** 區段,OpsCenter 會在此自動列出相關資源的 Amazon Resource Name (ARN)。您也可以手動指定相關資源的 ARN。針對某些 ARN 類型,OpsCenter 會自動建立深度連結,顯示資源的詳細資訊,不必瀏覽其他主控台頁面即可檢視該資訊。例如,如果您指定 EC2 執行個體的 ARN,您可以在 OpsCenter 中檢視所有 EC2 提供之該執行個體的詳細資訊。您可以手動新增其他相關資源的 ARN。每個 OpsItem 最多可以列出 100 個相關的資源 ARN。如需詳細資訊,請參閱[將相關的資源新增至 OpsItem](OpsCenter-working-with-OpsItems-adding-related-resources.md)。 + **相關和類似的 OpsItems**:**Related OpsItems** (相關的 OpsItem) 功能可讓您指定 OpsItems 的 ID,它們與目前的 OpsItem 有某種關聯。**Similar OpsItem** (類似的 OpsItem) 功能會自動檢閱 OpsItem 標題和描述,然後列出其他相關或您感興趣的 OpsItems。 + **Searchable and private operational data (可搜尋的私有營運資料)**:營運資料是自訂資料,提供有用的 OpsItem 參考詳細資訊。例如,您可以指定日誌檔案、錯誤字串、授權金鑰、故障診斷秘訣,或其他相關資料。您輸入營運資料做為金鑰/值對。金鑰的最大長度為 128 個字元。值的大小上限為 20 KB。 這個自訂資料可供搜尋,但有所限制。針對 **Searchable operational data** (可搜尋操作資料) 功能,所有能存取 OpsItem 概觀頁面的使用者 (如[描述 OpsItem API](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) 動作所提供) 都可以檢視和搜尋指定的資料。針對 **Private operational data** (私有操作資料) 功能,只有能夠存取 OpsItem 的使用者可檢視此資料 (如 [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) API 操作所提供)。 + **重複資料刪除**:透過指定相關資源,OpsCenter 會使用內建的邏輯協助您避免建立重複的 OpsItems。OpsCenter 也包含名為 **Operational insights** (操作洞察) 的功能,其中顯示有關重複 OpsItems 的資訊。為了進一步限制帳戶中重複 OpsItems 的數量,您可以手動指定 EventBridge 事件規則的重複資料刪除字串。如需詳細資訊,請參閱[管理重複的 OpsItems](OpsCenter-working-deduplication.md)。 + **大量編輯 OpsItems**:您可以在 OpsCenter 中選取多個 OpsItems,然後編輯下列其中一個欄位:**Status** (狀態)、**Priority** (優先順序)、**Severity** (嚴重性)、**Category** (類別)。 + **使用 Runbook 輕鬆修復** 每個 都OpsItem包含 **Runbooks** 區段,其中包含 Systems Manager Automation Runbook 的清單,可用來自動修復 AWS 資源的常見問題。如果您開啟 OpsItem,請選擇該 AWS 的資源OpsItem,然後在 主控台中選擇**執行自動化**按鈕,然後OpsCenter提供可在產生 AWS 的資源上執行的 Automation Runbook 清單OpsItem。從 OpsItem 執行 Automation Runbook 之後,Runbook 會自動與 OpsItem 的相關資源建立關聯,以供日後參考。此外,如果使用 OpsCenter 在 EventBridge 中自動設定 OpsItem 規則,則 EventBridge 會自動關聯常見事件的 Runbook。OpsCenter 會為特定 OpsItem 保留 30 天的 Automation Runbook 執行記錄。如需詳細資訊,請參閱[修正 OpsItem 問題](OpsCenter-remediating.md)。 + **變更通知**:您可以指定 Amazon Simple Notification Service (SNS) 主題的 ARN 並在 OpsItem 變更或編輯時隨時發佈通知。SNS 主題必須存在於與 AWS 區域 相同的 中OpsItem。 + **Comprehensive search capabilities (全方位的 OpsItem 搜尋功能)**:OpsCenter 提供多個搜尋選項,協助您快速找到 OpsItems。以下是幾個搜尋方式範例:OpsItem ID、標題、上次修改時間、營運資料值、來源和 Runbook 執行的 Automation ID,還有更多。您可以使用狀態篩選條件進一步限制搜尋結果。 + **OpsItem 摘要報告** OpsCenter 包含自動顯示下列區段的摘要報告頁面: + **Status summary (狀態摘要)**:依狀態的 OpsItems 摘要 (Open (開放)、In progress (正在進行)、Resolved (已解決)、Open and In progress (開放和正在進行))。 + **最多開啟 的來源OpsItems**:最多開啟 AWS 服務的明細OpsItems。 + ** by source and age (依來源和天數分組的 OpsItems)**:依來源和建立天數分組的 OpsItems 計數。 如需檢視 OpsCenter 摘要報告的詳細資訊,請參閱 [檢視 OpsCenter 摘要報告](OpsCenter-reports.md)。 + **記錄和稽核功能支援** 您可以透過與其他 AWS 服務的整合, AWS 帳戶 在 中稽核和記錄OpsCenter使用者動作。如需詳細資訊,請參閱[檢視 OpsCenter 日誌和報告](OpsCenter-logging-auditing.md)。 + **主控台、CLI、PowerShell 和 OpsCenter 工具的 SDK 存取權** 您可以使用 AWS Systems Manager 主控台、 AWS Command Line Interface (AWS CLI) AWS Tools for PowerShell、 或您選擇的 AWS SDK OpsCenter來使用 。 ## OpsCenter 與我現有的案例管理系統整合嗎? OpsCenter 旨在補充您現有的案例管理系統。您可以使用公有 API 操作,將 OpsItems 整合到您現有的案例管理系統。您也可以在目前的系統中維持手動的生命週期工作流程,使用 OpsCenter 做為調查和修復中樞。 如需 OpsCenter 公有 API 操作的詳細資訊,請參閱《*AWS Systems Manager API 參考*》中的以下 API 操作。 + [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) + [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) + [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) + [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) + [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html) ## 使用 OpsCenter 需要付費嗎? 是。如需詳細資訊,請參閱[AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。 ## OpsCenter 適用於內部部署和混合式受管節點嗎? 是。您可以使用 OpsCenter 調查和修復針對 Systems Manager 設定之內部部署受管節點的問題。如需安裝和設定 Systems Manager 內部部署伺服器和虛擬機器的詳細資訊,請參閱 [使用 Systems Manager 在混合多雲端環境中管理節點](systems-manager-hybrid-multicloud.md)。 ## OpsCenter 的配額為何? 您可以在 *Amazon Web Services 一般參考* 的 [Systems Manager Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) 中檢視所有 Systems Manager 工具的配額。除非另有說明,否則每個配額都是區域特定的。 # 設定 OpsCenter AWS Systems Manager 使用整合式設定來協助您開始使用 OpsCenter 和 Explorer (Systems Manager 中的工具)。Explorer 是可自訂操作儀表板,用於報告 AWS 資源的相關資訊。在本文件中,Explorer 和 OpsCenter 設定稱為*整合式設定*。 您必須使用整合式設定來透過 Explorer 設定 OpsCenter。整合式設定僅適用於 AWS Systems Manager 主控台。您無法以程式設計方式設定 Explorer 和 OpsCenter。如需更多詳細資訊,請參閱 [開始使用 Systems Manager Explorer 和 OpsCenter](Explorer-setup.md)。 **開始之前** 當您設定 OpsCenter 時,您可以在自動建立 OpsItems 的 Amazon EventBridge 中啟用預設規則。下表說明自動建立 OpsItems 的預設 EventBridge 規則。您可以在 **OpsItem 規則**下的 OpsCenter **設定**頁面中停用 EventBridge 規則。 **重要** 系統針對預設規則建立的 OpsItems 向您的帳戶收取費用。如需詳細資訊,請參閱[AWS Systems Manager定價](https://aws.amazon.com/systems-manager/pricing/)。 **** | 規則名稱 | 描述 | | --- | --- | | SSMOpsItems-Autoscaling-instance-launch-failure | 此規則會在 EC2 自動擴展執行個體啟動失敗時建立 OpsItems。 | | SSMOpsItems-Autoscaling-instance-termination-failure | 此規則會在 EC2自動擴展執行個體終止失敗時建立 OpsItems。 | | SSMOpsItems-EBS-snapshot-copy-failed | 此規則會在系統複製 Amazon Elastic Block Store (Amazon EBS) 快照失敗時建立 OpsItems。 | | SSMOpsItems-EBS-snapshot-creation-failed | 此規則會在系統建立 Amazon EBS 快照失敗時建立 OpsItems。 | | SSMOpsItems-EBS-volume-performance-issue | 此規則對應於 AWS Health 追蹤規則。該規則會在 Amazon EBS 磁碟區 (運作狀態事件 = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`) 發生效能問題時建立 OpsItems。 | | SSMOpsItems-EC2-issue | 此規則對應於影響 AWS 服務或資源的未預期事件的 AWS Health 追蹤規則。該規則會建立 OpsItems,例如,服務傳送有關造成服務降級之操作問題的通訊,或提高本地化資源層級問題的意識。例如,此規則會為下列事件建立 OpsItem:`AWS_EC2_OPERATIONAL_ISSUE`。 | | SSMOpsItems-EC2-scheduled-change | 此規則對應於 AWS Health 追蹤規則。AWS 可為執行個體排程事件,例如重新開機、停止或啟動執行個體。該規則會為 EC2 已排程事件建立 OpsItems。如需有關已排程事件的詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [Scheduled events for your instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)。 | | SSMOpsItems-RDS-issue | 此規則對應於影響 AWS 服務或資源的未預期事件的 AWS Health 追蹤規則。該規則會建立 OpsItems,例如,服務傳送有關造成服務降級之操作問題的通訊,或提高本地化資源層級問題的意識。例如,此規則會為下列事件建立 OpsItem:`AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`、`AWS_RDS_EXPORT_TASK_FAILED` 和 `AWS_RDS_CONNECTIVITY_ISSUE`。 | | SSMOpsItems-RDS-scheduled-change | 此規則對應於 AWS Health 追蹤規則。該規則會為 Amazon RDS 已排程事件建立 OpsItems。已排程事件會提供 Amazon RDS 資源即將發生之變更的相關資訊。部分事件可能會建議您採取行動以避免服務中斷。其他事件會自動發生,您無需採取任何動作。在已排定變更活動期間,您的資源可能暫時無法使用。例如,此規則會為下列事件建立 OpsItem:`AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` 和 `AWS_RDS_MAINTENANCE_SCHEDULED`。如需有關已排程事件的詳細資訊,請參閱《*AWS Health 使用者指南*》中的[事件類型類別](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories)。 | | SSMOpsItems-SSM-maintenance-window-execution-failed | 此規則會在處理 Systems Manager 維護視窗失敗時建立 OpsItems。 | | SSMOpsItems-SSM-maintenance-window-execution-timedout | 此規則會在啟動「系統維護」視窗逾時時建立 OpsItems。 | 使用下列程序來設定 OpsCenter。 **設定 OpsCenter** 1. 開啟位於 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 的 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 在 OpsCenter 首頁上,選擇**入門**。 1. 在 OpsCenter 設定頁面上,選擇**啟用此選項,讓 Explorer 設定 AWS Config 和 Amazon CloudWatch Events 以根據常用規則和事件自動建立 OpsItems**。如果不選擇此選項,OpsCenter 會保持停用。 **注意** Amazon EventBridge (前稱為 Amazon CloudWatch Events) 不僅提供 CloudWatch Events 的所有功能,還提供一些新功能,例如自訂事件匯流排、第三方事件來源和結構描述登錄檔。 1. 選擇 **啟用OpsCenter** 。 啟用 OpsCenter 後,您可以從**設定**執行以下操作: + 使用**打開 CloudWatch 主控台**按鈕建立 CloudWatch 警示。如需更多詳細資訊,請參閱 [設定 CloudWatch 警示以建立 OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)。 + 啟用操作洞察。如需更多詳細資訊,請參閱 [分析操作洞察以減少 OpsItems](OpsCenter-working-operational-insights.md)。 + 啟用 AWS Security Hub CSPM 問題清單警示。如需更多詳細資訊,請參閱 [了解與 的OpsCenter整合 AWS Security Hub CSPM](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)。 **Topics** + [(選用) 設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-setting-up-cross-account.md) + [(選用) 設定 Amazon SNS 以接收有關 OpsItems 的通知](OpsCenter-getting-started-sns.md) # (選用) 設定 OpsCenter 以跨帳戶集中管理 OpsItems 您可以使用 Systems Manager OpsCenter 集中管理所選 AWS 帳戶 中的OpsItems多個 AWS 區域。在 中設定您的組織後,即可使用此功能 AWS Organizations。 AWS Organizations 是一種帳戶管理服務,可讓您將多個 AWS 帳戶合併到您建立並集中管理的組織。 AWS Organizations 包含帳戶管理和合併帳單功能,可讓您更完善地滿足業務的預算、安全和合規需求。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 屬於 AWS Organizations 管理帳戶的使用者可以為 Systems Manager 設定委派管理員帳戶。對於 OpsCenter 而言,受委派管理員可以建立、編輯和檢視成員帳戶中的 OpsItems。委派管理員也可以使用 Systems Manager Automation Runbook 大量解決OpsItems或修復產生 AWS 的資源問題OpsItems。 **注意** 您只能將一個帳戶指定為 Systems Manager 的受委派管理員。如需詳細資訊,請參閱[為 Systems Manager 建立 AWS Organizations 委派管理員](setting_up_delegated_admin.md)。 Systems Manager 提供下列方法來設定 OpsCenter 以跨多個 AWS 帳戶集中管理 OpsItems。 + **Quick Setup**:Quick Setup 是 Systems Manager 中的工具,可簡化 Systems Manager 工具的設定和組態任務。如需詳細資訊,請參閱[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)。 OpsCenter 的快速設定可協助您完成實現跨帳戶管理 OpsItems 所需進行的下列任務: + 將一個帳戶註冊為受委派管理員 (如果尚未指定受委派管理員) + 建立 required AWS Identity and Access Management (IAM) 政策和角色 + 指定委派管理員可以OpsItems跨帳戶管理 AWS Organizations 的組織或組織單位 (OUs) 如需詳細資訊,請參閱[(選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems](OpsCenter-quick-setup-cross-account.md)。 **注意** 快速設定不適用於目前可使用 Systems Manager 的所有 AWS 區域 。如果您使用的區域無法使用快速設定對 OpsCenter 進行設定以實現跨多個帳戶集中管理 OpsItems,則您必須使用手動方法。若要檢視可使用快速設定 AWS 區域 的位置清單,請參閱 [Quick Setup 中的 可用性 AWS 區域](systems-manager-quick-setup.md#quick-setup-getting-started-regions)。 + **手動設定**:如果您使用的區域無法使用快速設定對 OpsCenter 進行設定以實現跨多個帳戶集中管理 OpsItems,則您可以使用手動方法實現。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 # (選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems Quick Setup中的工具 AWS Systems Manager可簡化 Systems Manager 工具的設定和組態任務。 Quick Setup for OpsCenter可協助您完成下列OpsItems跨帳戶管理任務: + 指定受委派管理員帳戶 + 建立 required AWS Identity and Access Management (IAM) 政策和角色 + 指定 AWS Organizations 組織或成員帳戶的子集,委派管理員可以OpsItems跨帳戶管理 當您設定 OpsCenter 以使用快速設定跨帳號管理 OpsItems 時,Quick Setup 會在指定的帳戶中建立下列資源。這些資源提供指定帳戶使用 的許可OpsItems,並使用 Automation Runbook 修正產生 之 AWS 資源的問題OpsItems。 **** | Resources | 帳戶 | | --- | --- | | `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management (IAM) 服務連結的角色 如需有關此角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。 | AWS Organizations 管理帳戶和委派管理員帳戶 | | `OpsItem-CrossAccountManagementRole` IAM 角色 `AWS-SystemsManager-AutomationAdministrationRole` IAM 角色 | 委派管理員帳戶 | | `OpsItem-CrossAccountExecutionRole` IAM 角色 `AWS-SystemsManager-AutomationExecutionRole` IAM 角色 適用於預設 OpsItem 群組 (`OpsItemGroup`) 的 `AWS::SSM::ResourcePolicy` Systems Manager 資源政策 | 所有 AWS Organizations 成員帳戶 | **注意** 如果您先前OpsCenter已設定使用[手動方法](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)OpsItems跨帳戶管理 ,則必須刪除在該程序的步驟 4 和 5 期間建立的 AWS CloudFormation 堆疊或堆疊集。當您完成以下程序時,如果這些資源存在於您的帳戶中,則 Quick Setup 無法正確設定跨帳戶 OpsItem 管理。 **使用快速設定設定 OpsCenter 以跨帳戶管理 OpsItems** 1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入 。 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **Quick Setup**。 1. 選擇**程式庫**索引標籤。 1. 捲動至底部並找到 **OpsCenter** 組態圖磚。選擇**建立**。 1. 在 Quick Setup OpsCenter 頁面的**受委派管理員**區段中,輸入帳戶 ID。如果您無法編輯此欄位,則表示已為 Systems Manager 指定受委派管理員帳戶。 1. 在 **Targets** (目標) 區段中,選擇一個選項。如果您選擇**自訂**,請選取您要跨帳戶管理 OpsItems 的組織單位 (OU)。 1. 選擇**建立**。 Quick Setup 會建立 OpsCenter 組態並將必要的 AWS 資源部署到指定的 OU。 **注意** 如果您不想跨多個帳戶管理 OpsItems,可以從 Quick Setup 中刪除相關組態。刪除組態時,Quick Setup 會刪除最初部署組態時建立的下列 IAM 政策和角色: 受委派管理員帳戶的 `OpsItem-CrossAccountManagementRole` 來自所有 Organizations 成員帳戶的 `OpsItem-CrossAccountExecutionRole` 和 `SSM::ResourcePolicy` Quick Setup 會移除所有組織單位以及最初部署組態的 AWS 區域 中的組態。 ## 使用 OpsCenter 的 Quick Setup 組態診斷並解決問題 本節包含的資訊可協助您在使用 Quick Setup 設定跨帳戶 OpsItem 管理時診斷並解決問題。 **Topics** + [部署到這些堆疊集失敗:delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed) + [Quick Setup 組態狀態顯示失敗](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed) ### 部署到這些堆疊集失敗:delegatedAdmin 建立 OpsCenter 組態時,Quick Setup 會在 Organizations 管理帳戶中部署兩個 AWS CloudFormation 堆疊集。這些堆疊集使用以下字首:`AWS-QuickSetup-SSMOpsCenter`。如果 Quick Setup 顯示以下錯誤:`Deployment to these StackSets failed: delegatedAdmin` 使用以下程序來修正此問題。 **診斷並解決 "StackSets failed:delegatedAdmin" 錯誤** 1. 如果您在Quick Setup主控台的紅色橫幅中收到`Deployment to these StackSets failed: delegatedAdmin`錯誤,請登入委派管理員帳戶,並將 AWS 區域 指定為Quick Setup主要區域。 1. 在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。 1. 選擇 Quick Setup 組態建立的堆疊。堆疊名稱包含下列項目:**AWS-QuickSetup-SSMOpsCenter**。 **注意** CloudFormation 有時會刪除失敗的堆疊部署。如果堆疊在**堆疊**資料表中不可用,請從篩選條件清單中選擇**已刪除**。 1. 檢視 **Status** (狀態) 和 **Status reason** (狀態原因)。如需堆疊狀態的詳細資訊,請參閱《AWS CloudFormation 使用者指南**》中的[堆疊狀態碼](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)。 1. 要想了解失敗的確切步驟,請在**事件**標籤中檢視每個事件的**狀態**。如需詳細資訊,請參閱《AWS CloudFormation 使用者指南》**中的[故障診斷](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)一節。 **注意** 如果無法使用 CloudFormation 故障診斷步驟解決部署失敗問題,請刪除組態後再試一次。 ### Quick Setup 組態狀態顯示失敗 如果**組態詳細資訊**頁面上的**組態詳細資訊**資料表顯示 的組態狀態`Failed`,請登入失敗的 AWS 帳戶 和 區域。 **診斷並解決因 Quick Setup 失敗而無法建立 OpsCenter 組態的問題** 1. 登入失敗發生的 AWS 帳戶 和 AWS 區域 。 1. 在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。 1. 選擇 Quick Setup 組態建立的堆疊。堆疊名稱包含下列項目:**AWS-QuickSetup-SSMOpsCenter**。 **注意** CloudFormation 有時會刪除失敗的堆疊部署。如果堆疊在**堆疊**資料表中不可用,請從篩選條件清單中選擇**已刪除**。 1. 檢視 **Status** (狀態) 和 **Status reason** (狀態原因)。如需堆疊狀態的詳細資訊,請參閱《AWS CloudFormation 使用者指南**》中的[堆疊狀態碼](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)。 1. 要想了解失敗的確切步驟,請在**事件**標籤中檢視每個事件的**狀態**。如需詳細資訊,請參閱《AWS CloudFormation 使用者指南》**中的[故障診斷](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)一節。 #### 成員帳戶組態顯示 ResourcePolicyLimitExceededException 如果某個堆疊的狀態顯示為 "`ResourcePolicyLimitExceededException`",則表示該帳戶先前已使用[手動方法](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)加入 OpsCenter 跨帳戶管理。若要解決此問題,您必須刪除在手動加入程序的步驟 4 和 5 期間建立的 AWS CloudFormation 堆疊或堆疊集。如需詳細資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的[刪除堆疊集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html)和[刪除 CloudFormation 主控台上的堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。 # (選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems 本節說明如何手動設定 OpsCenter 以跨帳戶管理 OpsItem。儘管此程序仍然受到支援,但它已被使用 Systems Manager Quick Setup 的新程序所取代。如需詳細資訊,請參閱[(選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems](OpsCenter-quick-setup-cross-account.md)。 您可以設定一个中央帳戶,以便為成員帳戶手動建立 OpsItems,管理並修正這些 OpsItems。中央帳戶可以是管理帳戶,也可以是 AWS Organizations AWS Organizations 管理帳戶和 Systems Manager 委派管理員帳戶。我們建議您使用 Systems Manager 受委派的管理員帳戶作為中央帳戶。在設定 AWS Organizations之後才能使用此功能。 使用 AWS Organizations,您可以將多個 合併 AWS 帳戶 到您集中建立和管理的組織。中央帳戶使用者可以為所有選取的成員帳戶同時建立 OpsItems,並管理這些 OpsItems。 使用本節中的程序,在 Organizations 中啟用 Systems Manager 服務主體,並設定 AWS Identity and Access Management (IAM) 許可以OpsItems跨帳戶使用 。 **Topics** + [開始之前](#OpsCenter-before-you-begin) + [步驟 1:建立資源資料同步](#OpsCenter-getting-started-multiple-accounts-onboarding-rds) + [步驟 2:在 中啟用 Systems Manager 服務主體 AWS Organizations](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal) + [步驟 3:建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR) + [步驟 4:設定跨帳戶使用 OpsItems 的許可](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy) + [步驟 5:設定跨帳戶使用相關資源的許可](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions) **注意** 跨帳戶使用 OpsCenter 時,僅支援 `/aws/issue` 類型的 OpsItems。 ## 開始之前 在設定 OpsItems 來跨帳戶使用 OpsCenter 之前,請確定您已設定下列項目: + Systems Manager 委派管理員帳戶。如需詳細資訊,請參閱[設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。 + 在 Organizations 中設定了一個組織。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。 + 您已將 Systems Manager Automation 設定為跨多個 AWS 區域 和 AWS 帳戶執行自動化 Runbook。如需詳細資訊,請參閱[在多個 AWS 區域 和 帳戶中執行自動化](running-automations-multiple-accounts-regions.md)。 ## 步驟 1:建立資源資料同步 在您設定 和 之後 AWS Organizations,您可以透過建立資源資料同步OpsCenter來彙總整個組織的 OpsItems 。如需詳細資訊,請參閱[刪除資源資料同步](Explorer-resource-data-sync-configuring-multi.md)。建立同步時,在**新增帳戶**區段中,請務必選擇**包含我 AWS Organizations 組態中的所有帳戶**選項。 ## 步驟 2:在 中啟用 Systems Manager 服務主體 AWS Organizations 若要讓使用者跨OpsItems帳戶使用 ,必須在其中啟用 Systems Manager 服務主體 AWS Organizations。如果您先前使用其他工具來設定多帳戶案例的 Systems Manager,則 Systems Manager 服務主體可能已在 Organizations 中設定。在 AWS Command Line Interface (AWS CLI) 中執行以下命令以進行驗證。如果您*尚未*針對其他多帳戶案例設定 Systems Manager,則請跳至下一個程序:*啟用 AWS Organizations中的 Systems Manager 服務主體*。 **若要驗證已在 中啟用 Systems Manager 服務主體 AWS Organizations** 1. 將最新版本的 [下載](https://aws.amazon.com/cli/) AWS CLI 到您的本機電腦。 1. 開啟 AWS CLI,並執行下列命令來指定您的登入資料和 AWS 區域。 ``` aws configure ``` 系統會提示您指定下列項目。在下列範例中,將每個*使用者輸入預留位置*取代為您自己的資訊。 ``` AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER ``` 1. 執行以下命令,驗證已為 AWS Organizations啟用 Systems Manager 服務主體。 ``` aws organizations list-aws-service-access-for-organization ``` 此命令會傳回與以下範例中的內容相似的資訊。 ``` { "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] } ``` **在 中啟用 Systems Manager 服務主體 AWS Organizations** 如果您先前沒有為 Organizations 設定 Systems Manager 服務主體,則請使用以下程序進行設定。如需有關此命令的詳細資訊,請參閱《AWS CLI 命令參考》**中的 [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。 1. 如果您尚未安裝和設定 AWS Command Line Interface (AWS CLI)。如需詳細資訊,請參閱[安裝 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 以及[設定 CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)。 1. 將最新版本的 [下載](https://aws.amazon.com/cli/) AWS CLI 到您的本機電腦。 1. 開啟 AWS CLI,並執行下列命令來指定您的登入資料和 AWS 區域。 ``` aws configure ``` 系統會提示您指定下列項目。在下列範例中,將每個*使用者輸入預留位置*取代為您自己的資訊。 ``` AWS Access Key ID [None]: key_name AWS Secret Access Key [None]: key_name Default region name [None]: region Default output format [None]: ENTER ``` 1. 執行以下命令,啟用 AWS Organizations的 Systems Manager 服務主體。 ``` aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com" ``` ## 步驟 3:建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色 例如 `AWSServiceRoleForAmazonSSM_AccountDiscovery`角色的服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS 服務,例如 Systems Manager。服務連結角色是由服務預先定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。如需 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色的詳細資訊,請參閱[適用於 Systems Manager 帳戶探索的服務連結角色許可](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2)。 透過使用 AWS CLI,使用以下程序來建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色。如需有關此程序中所用命令的詳細資訊,請參閱《AWS CLI 命令參考》**中的 [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)。 **建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色** 1. 登入 AWS Organizations 管理帳戶。 1. 登入 Organizations 管理帳戶時,請執行以下命令。 ``` aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role" ``` ## 步驟 4:設定跨帳戶使用 OpsItems 的許可 使用 AWS CloudFormation 堆疊集建立 `OpsItemGroup` 資源政策和 IAM 執行角色,提供使用者OpsItems跨帳戶使用 的許可。若要開始使用,請下載並解壓縮 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) 檔案。此檔案包含 `OpsCenterCrossAccountMembers.yaml` CloudFormation 範本檔案。當您使用此範本建立堆疊集時,CloudFormation 會自動在帳戶中建立 `OpsItemCrossAccountResourcePolicy` 資源政策和 `OpsItemCrossAccountExecutionRole` 執行角色。如需有關建立堆疊集的詳細資訊,請參閱《AWS CloudFormation 使用者指南》**中的[建立堆疊集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)。 **重要** 記下有關此任務的以下重要資訊。 您必須在登入 AWS Organizations 管理帳戶時部署堆疊集。 您必須在登入到您希望跨帳戶使用 OpsItems 的*每個**指定*帳戶時重複此過程,包括委派管理員帳戶。 如果您想要在不同的 中啟用跨帳戶OpsItems管理 AWS 區域,請在範本的指定區域區段中選擇**新增所有**區域。 ****選擇加入區域不支援跨帳戶 OpsItem 管理。 ## 步驟 5:設定跨帳戶使用相關資源的許可 OpsItem 可包括受影響資源 (例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 Amazon Simple Storage Service (Amazon S3) 儲存貯體) 的詳細資訊。您在之前步驟 4 中建立的 `OpsItemCrossAccountExecutionRole` 執行角色會為成員帳戶提供 OpsCenter 唯讀許可,以便檢視相關資源。您還必須建立 IAM 角色,以便為管理帳戶提供檢視相關資源並與之互動的許可,您將在此任務中完成。 若要開始使用,請下載並解壓縮 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) 檔案。此檔案包含 `OpsCenterCrossAccountManagementRole.yaml` CloudFormation 範本檔案。當您使用此範本建立堆疊時,CloudFormation 會自動在帳戶中建立 `OpsCenterCrossAccountManagementRole` IAM 角色。如需建立堆疊的詳細資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的[在 AWS CloudFormation 主控台上建立堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)。 **重要** 記下有關此任務的以下重要資訊。 如果您打算將帳戶指定為 的委派管理員OpsCenter,請務必在建立堆疊 AWS 帳戶 時指定該帳戶。 您必須在登入 AWS Organizations 管理帳戶時執行此程序,並在登入委派管理員帳戶時再次執行此程序。 # (選用) 設定 Amazon SNS 以接收有關 OpsItems 的通知 您可以設定 OpsCenter,以在系統建立 OpsItem 或更新現有 OpsItem 時,將通知傳送至 Amazon Simple Notification Service (Amazon SNS) 主題。 完成下列步驟以接收 OpsItems 的通知。 + [步驟 1:建立並訂閱 Amazon SNS 主題](#OpsCenter-getting-started-sns-create-topic) + [步驟 2:更新 Amazon SNS 存取政策](#OpsCenter-getting-started-sns-encryption-policy) + [步驟 3:更新 AWS KMS 存取政策](#OpsCenter-getting-started-sns-KMS-policy) **注意** 如果您在步驟 2 中開啟 AWS Key Management Service (AWS KMS) 伺服器端加密,則必須完成步驟 3。否則,可以略過步驟 3。 + [步驟 4:開啟預設 OpsItems 規則以傳送有關新 OpsItems 的通知](#OpsCenter-getting-started-sns-default-rules) ## 步驟 1:建立並訂閱 Amazon SNS 主題 若要接收通知,您必須建立並訂閱 Amazon SNS 主題。如需詳細資訊,請參閱《*Amazon Simple Notification Service 開發人員指南*》中的[建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)和[訂閱 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。 **注意** 如果您在OpsCenter多個 AWS 區域 或 帳戶中使用 ,則必須在您想要接收OpsItem通知*的每個*區域或帳戶中建立並訂閱 Amazon SNS 主題。 ## 步驟 2:更新 Amazon SNS 存取政策 您必須將 Amazon SNS 主題與 OpsItems 相關聯。使用以下程序設定 Amazon SNS 存取政策,讓 Systems Manager 可以將 OpsItems 通知發佈至您在步驟 1 中建立的 Amazon SNS 主題。 1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 的 Amazon SNS 主控台。 1. 在導覽窗格中,選擇**主題**。 1. 選擇在步驟 1 中建立的主題,然後選擇**編輯**。 1. 展開 **Access policy (存取政策)**。 1. 將以下 `Sid` 區塊新增至現有的政策。將每個*範例資源預留位置*取代為您自己的資訊。 ``` { "Sid": "Allow OpsCenter to publish to this topic", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner "Condition": { "StringEquals": { "AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner } } } ``` **注意** `aws:SourceAccount` 全域條件金鑰可防止混淆代理人情境。若要使用此條件金鑰,請將值設定為相應 OpsItem 擁有者的帳戶 ID。如需詳細資訊,請參閱《IAM 使用者指南》**中的[混淆代理](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)一節。 1. 選擇**儲存變更**。 現在,建立或更新 OpsItems 時,系統會傳送通知給 Amazon SNS 主題。 **重要** 如果您在步驟 2 中使用 AWS Key Management Service (AWS KMS) 伺服器端加密金鑰設定 Amazon SNS 主題,請完成步驟 3。否則,可以略過步驟 3。 ## 步驟 3:更新 AWS KMS 存取政策 如果您開啟 Amazon SNS 主題的 AWS KMS 伺服器端加密,您還必須更新 AWS KMS key 設定主題時所選 的存取政策。使用下列程序更新存取政策,讓 Systems Manager 可以將 OpsItem 通知發佈至您在步驟 1 中建立的 Amazon SNS 主題。 **注意** OpsCenter 不支援將 OpsItems 發佈至以 AWS 受管金鑰設定的 Amazon SNS 主題。 1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。 1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。 1. 在導覽窗格中,選擇 **Customer managed keys** (客戶受管金鑰)。 1. 選擇您在建立主題時所選擇 KMS 金鑰的 ID。 1. 在 **Key policy (金鑰政策)** 區段中,選擇 **Switch to policy view (切換至政策檢視)**。 1. 選擇**編輯**。 1. 將以下 `Sid` 區塊新增至現有的政策。將每個*範例資源預留位置*取代為您自己的資訊。 ``` { "Sid": "Allow OpsItems to decrypt the key", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "arn:aws:kms:region:account ID:key/key ID" } ``` 在以下範例中,第 14 行輸入新區塊。 ![\[編輯 Amazon SNS 主題的 AWS KMS 存取政策。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png) 1. 選擇**儲存變更**。 ## 步驟 4:開啟預設 OpsItems 規則以傳送有關新 OpsItems 的通知 Amazon EventBridge 中的預設 OpsItems 規則未設定 Amazon Resource Name (ARN) 來傳送 Amazon SNS 通知。使用下列程序在 EventBridge 中編輯規則並輸入 `notifications` 區塊。 **將通知區塊新增至預設 OpsItem 規則** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 **OpsItems** 索引標籤,然後選擇 **Configure sources (設定來源)**。 1. 選擇您要以 `notifications` 區塊設定的來源規則名稱,如下列範例所示。 ![\[選擇 Amazon EventBridge 規則來新增 Amazon SNS 通知區塊。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png) 規則在 Amazon EventBridge 中開啟。 1. 在規則詳細資訊頁面的 **Targets** (目標) 索引標籤上,選擇 **Edit** (編輯)。 1. 在 **Additional settings** (其他設定) 區段中,選擇 **Configure input transformer** (設定輸入轉換器)。 1. 在**範本**方塊中,以下列格式新增 `notifications` 區塊。 ``` "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}], ``` 範例如下。 ``` "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}], ``` 輸入 `resources` 區塊前的通知區塊,如下列美國西部 (奧勒岡) (us-west-2) 區域範例所示。 ``` { "title": "EBS snapshot copy failed", "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.", "category": "Availability", "severity": "2", "source": "EC2", "notifications": [{ "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic" }], "resources": , "operationalData": { "/aws/dedup": { "type": "SearchableString", "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}" }, "/aws/automations": { "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]" }, "failure-cause": { "value": }, "source": { "value": }, "start-time": { "value": }, "end-time": { "value": } } } ``` 1. 選擇**確認**。 1. 選擇**下一步**。 1. 選擇**下一步**。 1. 選擇**更新規則**。 系統下次為預設規則建立 OpsItem 時,就會將通知發佈至 Amazon SNS 主題。 # OpsCenter 與其他 整合 AWS 服務 OpsCenter是 中的工具 AWS Systems Manager,可與多個 整合, AWS 服務 以診斷和修復 AWS 資源的問題。您必須先設定 , AWS 服務 才能將其與 整合OpsCenter。 根據預設,下列項目 AWS 服務 會與 整合OpsCenter,並且可以OpsItems自動建立: + [Amazon CloudWatch](#OpsCenter-about-cloudwatch) + [Amazon CloudWatch Application Insights](#OpsCenter-about-cloudwatch-insights) + [Amazon EventBridge](#OpsCenter-about-eventbridge) + [AWS Config](#OpsCenter-about-AWS-config) + [AWS Systems Manager Incident Manager](#OpsCenter-about-incident-manager) 您必須將下列服務與 OpsCenter 整合,才能自動建立 OpsItems: + [Amazon DevOps Guru](#OpsCenter-integrate-with-devops-guru) + [AWS Security Hub CSPM](#OpsCenter-integrate-with-security-hub) 這些服務中的任何一項建立 OpsItem 後,您可以在 OpsCenter 中管理並修復 OpsItem。如需詳細資訊,請參閱[管理 OpsItems](OpsCenter-working-with-OpsItems.md)及[修正 OpsItem 問題](OpsCenter-remediating.md)。 如需每個 AWS 服務 及其如何與 整合的詳細資訊OpsCenter,請參閱下列主題。 **Topics** + [了解 OpsCenter 與 Amazon CloudWatch 的整合](#OpsCenter-about-cloudwatch) + [了解 OpsCenter 與 Amazon CloudWatch Application Insights 的整合](#OpsCenter-about-cloudwatch-insights) + [了解 OpsCenter 與 Amazon DevOps Guru 的整合](#OpsCenter-integrate-with-devops-guru) + [了解 OpsCenter 與 Amazon EventBridge 的整合](#OpsCenter-about-eventbridge) + [了解與 的OpsCenter整合 AWS Config](#OpsCenter-about-AWS-config) + [了解與 的OpsCenter整合 AWS Security Hub CSPM](#OpsCenter-integrate-with-security-hub) + [了解 OpsCenter 與 Incident Manager 的整合](#OpsCenter-about-incident-manager) ## 了解 OpsCenter 與 Amazon CloudWatch 的整合 Amazon CloudWatch 會監控您的 AWS 資源和服務,並在 AWS 服務 您使用的每個 上顯示指標。警示進入警示狀態時,CloudWatch 會建立 OpsItem。例如,如果 Application Load Balancer 產生的 HTTP 錯誤突然增加,則您可以設定警示來自動建立 OpsItem。 以下清單顯示了您可在 CloudWatch 中設定以建立 OpsItems 的一些警示: + Amazon DynamoDB:資料庫讀取和寫入動作達到閾值 + Amazon EC2:CPU 使用率達到閾值 + AWS 計費:預估費用達到閾值 + Amazon EC2:執行個體未通過狀態檢查 + Amazon Elastic Block Store (EBS):磁碟空間使用率達到閾值 您可以建立警示,也可以編輯現有警示來建立 OpsItem。如需詳細資訊,請參閱[設定 CloudWatch 警示以建立 OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)。 使用整合式設定啟用 OpsCenter 後,它會將 CloudWatch 與 OpsCenter 整合。 ## 了解 OpsCenter 與 Amazon CloudWatch Application Insights 的整合 使用 Amazon CloudWatch Application Insights,您可以為您應用程式資源設定最佳監控器,以持續分析應用程式問題跡象資料。在 CloudWatch Application Insights 中設定應用程式資源時,可以選擇讓系統在 OpsCenter 中建立 OpsItems。針對應用程式偵測到的每個問題,會在 OpsCenter 主控台上建立一個 OpsItem。如需相關資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[設定、配置和管理應用程式以進行監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-setting-up.html)。 **注意** 從 2023 年 10 月 16 日起,CloudWatch Application Insights 所建立之 OpsItems 的標題和描述現在會使用下述改良格式: ``` OpsItem title: [: ] OpsItem description: CloudWatch Application Insights has detected a problem in application . Problem summary: Problem ID: (hyperlinks to the Application Insights problem summary page) Problem Status: Insight: ``` 請見此處範例: ![\[顯示從 CloudWatch Insights 建立的 OpsItem 之新格式的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItem-CWinsight.png) ## 了解 OpsCenter 與 Amazon DevOps Guru 的整合 Amazon DevOps Guru 採用機器學習來分析操作資料、應用程式指標和應用程式事件,以識別偏離正常操作模式的行為。如果啟用 DevOps Guru 以在 OpsCenter 中產生 OpsItem,則每個洞見都會產生一個新的 OpsItem。您可以使用 OpsCenter 來管理您的 OpsItems。 DevOps Guru 會自動建立 OpsItems。您可以啟用 Amazon DevOps Guru 來使用 Quick Setup (Systems Manager 中的工具) 建立 OpsItems。系統會使用 [AWSServiceRoleForDevOpsGuru](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html) AWS Identity and Access Management (IAM) 服務連結角色OpsItems來建立 。 **將 OpsCenter 與 DevOps Guru 整合** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **Quick Setup**。 1. 在**自訂 DevOps Guru 組態選項**頁面中,選擇**程式庫**索引標籤。 1. 在 **DevOps Guru** 窗格中,選擇**建立**。 1. 針對**組態選項**,選取**啟用 AWS Systems Manager OpsItems。** 1. 完成設定後,選取**建立**。 ## 了解 OpsCenter 與 Amazon EventBridge 的整合 Amazon EventBridge 提供描述 AWS 資源變更的事件串流。使用整合式設定啟用 OpsCenter 後,它會將 EventBridge 與 OpsCenter 整合,並啟用預設的 EventBridge 規則。EventBridge 會根據這些規則建立 OpsItems。您可以使用規則篩選事件並將事件路由至 OpsCenter,以進行調查和修復。 **注意** Amazon EventBridge (前稱為 Amazon CloudWatch Events) 不僅提供 CloudWatch Events 的所有功能,還提供一些新功能,例如自訂事件匯流排、第三方事件來源和結構描述登錄檔。 以下是一些您可以在 EventBridge 中設定以建立 OpsItem 的規則: + Security Hub CSPM:發出安全提醒 + Amazon DynamoDB 限流事件 + Amazon Elastic Compute Cloud Auto Scaling:無法啟動執行個體 + Systems Manager:無法執行自動化 + AWS Health:排定維護的提醒 + Amazon EC2:執行個體狀態從「執行中」變更為「停止」 您可以根據需求建立規則或編輯現有規則來建立 OpsItems。如需有關如何編輯規則以建立 OpsItem 的詳細資訊,請參閱[設定 EventBridge 規則以建立 OpsItems](OpsCenter-automatically-create-OpsItems-2.md)。 ## 了解與 的OpsCenter整合 AWS Config AWS Config 提供 中 AWS 資源組態的詳細檢視 AWS 帳戶。 AWS Config 不會*直接*與 整合OpsCenter。反之,您可以建立將事件傳送至 Amazon EventBridge 的 AWS Config 規則,例如 AWS Config 偵測到不合規的執行個體時。然後,EventBridge 會根據您建立的 EventBridge 規則評估該事件。如果事件與規則相符,則 EventBridge 會將事件轉換為 OpsItem,並將其傳送至目的地目標 OpsCenter。 使用此 OpsItem,您可以追蹤不合規資源的詳細資訊、記錄調查動作,並提供對一致修復動作的存取權。 **相關資訊** [設定 EventBridge 規則以建立 OpsItems](OpsCenter-automatically-create-OpsItems-2.md) [使用 AWS Systems Manager OpsCenter 和 AWS Config 進行合規監控](https://aws.amazon.com/blogs/mt/using-aws-systems-manager-opscenter-and-aws-config-for-compliance-monitoring/) ## 了解與 的OpsCenter整合 AWS Security Hub CSPM AWS Security Hub CSPM 從跨 AWS 帳戶 和 服務收集稱為*調查結果*的安全資料。使用一組規則來偵測和產生問題清單,Security Hub CSPM 可協助您識別、排定優先順序,並修復您所管理資源的安全問題。設定整合後,如本主題所述,Systems Manager 會在 中OpsItems為 Security Hub CSPM 調查結果建立 OpsCenter。 **注意** OpsCenter 具有與 Security Hub CSPM 的雙向整合。這表示如果您更新與安全調查結果OpsItem相關的 **的狀態**或**嚴重性**欄位,系統會將變更與 Security Hub CSPM 同步。同樣的,對調查結果所做的任何變更都會自動在 OpsCenter 中的對應 OpsItems 中得到更新。 從 Security Hub CSPM 調查結果建立 OpsItem 時,Security Hub CSPM 中繼資料會自動新增至 的操作資料欄位OpsItem。如果刪除這些中繼資料,雙向更新將無法再運作。 根據預設,Systems Manager 可為「關鍵」和「高」安全性調查結果建立 OpsItems。您可以手動設定 OpsCenter 為中低嚴重性調查結果建立 OpsItems。OpsCenter 不會為資訊性調查結果建立 OpsItems,因為此類調查結果不要求採取修補措施。如需 Security Hub CSPM 嚴重性等級的詳細資訊,請參閱 *AWS Security Hub API 參考*中的[嚴重性](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_Severity.html)。 **開始之前** OpsCenter 設定 OpsItems 根據 Security Hub CSPM 調查結果建立 之前,請確認您已完成 Security Hub CSPM 設定任務。如需詳細資訊,請參閱*AWS Security Hub 《 使用者指南*》中的[設定 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。 當您將 Security Hub CSPM 與 整合時OpsCenter,系統會使用 IAM `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色OpsItems建立 。如需有關此角色的詳細資訊,請參閱 [使用角色為 OpsItems 建立 OpsData 和 Explorer:](using-service-linked-roles-service-action-3.md)。 **警告** 請注意下列有關與 Security Hub CSPM OpsCenter整合定價的重要資訊: 如果您在設定 OpsCenter和 Security Hub CSPM 整合時登入 Security Hub CSPM 管理員帳戶,系統會OpsItems為管理員*和*所有成員帳戶中的問題清單建立 。所有 OpsItems 都會*在管理員帳戶中*建立。根據各種因素,這可能會導致來自 的意外大額帳單 AWS。 如果您在設定整合時使用成員帳戶登入,則系統只會針對該個別帳戶中的調查結果建立 OpsItems。如需 Security Hub CSPM 管理員帳戶、成員帳戶及其與 EventBridge 事件摘要之關聯的詳細資訊,請參閱*AWS Security Hub 《 使用者指南*》中的 [Security Hub CSPM 與 EventBridge 整合的類型](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html)。 針對每個建立 OpsItem 的調查結果,系統會按照標準價格向您收取建立 OpsItem 的費用。如果您編輯 OpsItem或在 Security Hub CSPM 中更新對應的調查結果 (這會觸發OpsItem更新),也會向您收取費用。 OpsItems 與 整合所建立的 目前 AWS Security Hub CSPM *不受*區域中OpsItems每個帳戶 500,000 個配額上限的限制。因此,Security Hub CSPM 提醒可以在帳戶中OpsItems的每個區域中建立超過 500,000 個收費項目。 因此,對於高生產環境,我們建議將 Security Hub CSPM 問題清單的範圍限制為僅高嚴重性的問題。 **設定 OpsCenter為 Security Hub OpsItems CSPM 調查結果建立** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇**設定**。 1. 在 **Security Hub CSPM 調查結果**區段中,選擇**編輯。** 1. 選擇滑桿以將**已停用**變更為**已啟用**。 1. 如果您希望系統針對中度或低嚴重性調查結果建立 OpsItems,請切換這些選項。 1. 選擇 **Save (儲存)** 以儲存您的組態。 如果您不再希望系統OpsItems為 Security Hub CSPM 調查結果建立 ,請使用下列程序。 **停止接收 Security Hub OpsItems CSPM 問題清單** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇**設定**。 1. 在 **Security Hub CSPM 調查結果**區段中,選擇**編輯。** 1. 選擇滑桿以將**已啟用**變更為**已停用**。如果您無法切換滑桿,表示尚未為您的 啟用 Security Hub CSPM AWS 帳戶。 1. 選擇**儲存**以儲存您的組態。 OpsCenter 不再OpsItems根據 Security Hub CSPM 調查結果建立 。 **重要** Systems Manager 委派管理員或 AWS Organizations 管理帳戶可以在 中OpsCenter為多個帳戶啟用 Security Hub CSPM 調查結果, AWS 區域 並在 中建立資源資料同步Explorer。如果在 中啟用 **Security Hub CSPM** 來源,Explorer且存在以停用 Security Hub CSPM 整合的成員帳戶為目標的資源資料同步,則管理員選取的設定優先。 會OpsCenter繼續OpsItems為 Security Hub CSPM 調查結果建立 。若要停止在以資源資料同步為目標的成員帳戶中OpsItems建立 Security Hub CSPM 調查結果,請聯絡您的管理員,並要求他們從資源資料同步中移除您的帳戶,或在 中關閉 **Security Hub CSPM** 來源Explorer。如需有關變更 Explorer 中設定的詳細資訊,請參閱[編輯 Systems Manager Explorer 資料來源](Explorer-using-editing-data-sources.md)。 ## 了解 OpsCenter 與 Incident Manager 的整合 Incident Manager 是 中的工具 AWS Systems Manager,提供事件管理主控台,協助您減輕並復原影響 AWS 託管應用程式的事件。*事件*是指任何意外中斷或服務質量下降。設定和配置 [Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 後,系統會自動在 OpsCenter 中建立 OpsItems。 系統在 Incident Manager 中建立事件時,它也會在 OpsCenter 中建立 OpsItem,並將事件顯示為相關項目。如果 OpsItem 已存在,則 Incident Manager 不會建立 OpsItem。第一個 OpsItem 稱為父系 OpsItem。如果事件的規模和範圍成長,則您可以新增事件至現有 OpsItem。如有必要,您可以為 OpsItem 手動建立事件。事件關閉後,您可以在 Incident Manager 中建立分析,以檢閱並改進類似問題的修復程序。 依預設,OpsCenter 會與 Incident Manager 整合。如果未設定 Incident Manager,OpsCenter 頁面會顯示設定 Incident Manager 的訊息。Incident Manager 建立 OpsItem 後,您可以在 OpsCenter 中管理並修復 OpsItem。如需有關為 OpsItem 建立事件的指示,請參閱[為 OpsItem 建立事件](OpsCenter-working-with-OpsItems-create-an-incident.md)。 # 建立 OpsItems 設定 OpsCenter (AWS Systems Manager 中的工具) 並將其與您的 AWS 服務整合之後,您的 AWS 服務會根據預設規則、事件或警示自動建立 OpsItems。 您可以檢視預設 Amazon EventBridge 規則的狀態和嚴重性等級。如果需要,您可以在 Amazon EventBridge 中建立或編輯這些規則。您也可以在 Amazon CloudWatch 中檢視警示,並建立或編輯警示。您可以使用規則和警示來設定事件,以便為事件自動產生 OpsItems。 系統建立 OpsItem 後,它會處於**待處理**狀態。開始調查 OpsItem 後,您可以將狀態變更為**進行中**,在修復 OpsItem 之後可以將狀態變更為**已解決**。如需有關如何在 AWS 服務 中設定警示和規則以建立 OpsItems 和如何手動建立 OpsItems 的詳細資訊,請參閱下列主題。 **Topics** + [設定 EventBridge 規則以建立 OpsItems](OpsCenter-automatically-create-OpsItems-2.md) + [設定 CloudWatch 警示以建立 OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md) + [手動建立 OpsItems](OpsCenter-manually-create-OpsItems.md) # 設定 EventBridge 規則以建立 OpsItems Amazon EventBridge 收到事件後,它會根據預設規則建立新的 OpsItem。您可以建立規則或編輯現有的規則,以將 OpsCenter 設定為 EventBridge 事件的目標。如需有關如何建立事件規則的詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的[為 AWS 服務建立規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html)。 **設定 EventBridge 規則以在 OpsCenter 中建立 OpsItems** 1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。 1. 在導覽窗格中,選擇**規則**。 1. 在 **Rules** (規則) 頁面,針對 **Event bus** (事件匯流排),選擇 **default** (預設值)。 1. 在**規則**中,選取名稱旁的核取方塊,以選擇規則。 1. 選取規則的名稱,開啟其詳細資訊頁面。在**規則詳細資訊**中,確認**狀態**已設定為**已啟用**。 **注意** 如有必要,您可以使用頁面右上角的**編輯**來更新狀態。 1. 選擇 **Targets (目標)** 標籤。 1. 在 **Targets (目標)** 索引標籤上,選擇 **Edit (編輯)**。 1. 對於**目標類型**,請選取 **AWS 服務**。 1. 針對 **Select a target** (選取目標),請選擇 **Systems Manager OpsItem**。 1. 對於許多目標類型,EventBridge 需要許可才能將事件傳送到目標。在這些情況下,EventBridge 可以建立執行規則所需的 AWS Identity and Access Management (IAM) 角色: + 若要自動建立 IAM 角色,請選擇**為此特定資源建立新角色**。 + 若要使用您建立的 IAM 角色授予 EventBridge 許可,以在 OpsCenter 中建立 OpsItems,請選擇 **Use existing role** (使用現有的角色)。 1. 在**其他設定**的**設定目標輸入**中,選擇**輸入轉換器**。 您可以使用**輸入轉換器**選項,指定重複資料刪除字串和 OpsItems 的其他重要資訊,例如標題和嚴重性。 1. 選擇**設定輸入轉換器**。 1. 在**目標輸入轉換器**的**輸入路徑**中,指定針對觸發事件要剖析的值。例如,若要透過觸發規則的事件來剖析開始時間、結束時間和其他詳細資訊,請使用下列 JSON。 ``` { "end-time": "$.detail.EndTime", "failure-cause": "$.detail.cause", "resources": "$.resources[0]", "source": "$.detail.source", "start-time": "$.detail.StartTime" } ``` 1. 針對 **Template** (範本),指定要傳送至目標的資訊。例如,使用下列 JSON 將資訊傳遞至 OpsCenter。該資訊用於建立 OpsItem。 **注意** 如果輸入範本為 JSON 格式,則範本中的物件值不能包含引號。例如,資源、失敗原因、來源、開始時間和結束時間的值不能加引號。 ``` { "title": "EBS snapshot copy failed", "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.", "category": "Availability", "severity": "2", "source": "EC2", "operationalData": { "/aws/dedup": { "type": "SearchableString", "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}" }, "/aws/automations": { "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]" }, "failure-cause": { "value": }, "source": { "value": }, "start-time": { "value": }, "end-time": { "value": }, }, "resources": { "value": } } } ``` 如需這些欄位的詳細資訊,請參閱《*Amazon EventBridge 使用者指南*》中的[轉換目標輸入](https://docs.aws.amazon.com/eventbridge/latest/userguide/transform-input.html)。 1. 選擇**確認**。 1. 選擇**下一步**。 1. 選擇**下一步**。 1. 選擇**更新規則**。 從事件建立 OpsItem 之後,您就可以開啟 OpsItem 並向下捲動至 **Private operational data (私有營運資料)** 區段,檢視事件詳細資訊。如需如何在 OpsItem 中設定選項的資訊,請參閱 [管理 OpsItems](OpsCenter-working-with-OpsItems.md)。 # 設定 CloudWatch 警示以建立 OpsItems 在 中OpsCenter工具 的整合設定期間 AWS Systems Manager,您可以讓 Amazon CloudWatch OpsItems 根據常見警示自動建立 。您可以建立警示,也可以編輯現有警示來在 OpsCenter 中建立 OpsItems。 當您設定警示以建立 時,CloudWatch 會在 AWS Identity and Access Management (IAM) 中建立新的服務連結角色OpsItems。新角色已命名為 `AWSServiceRoleForCloudWatchAlarms_ActionSSM`。如需有關 CloudWatch 服務連結角色的詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 CloudWatch 的服務連結角色](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html)。 CloudWatch 警示產生 OpsItem 後,OpsItem 會顯示 **CloudWatch 警示 - '*alarm\$1name*' 處於 ALARM 狀態**。 若要檢視特定 OpsItem 的詳細資訊,選擇 OpsItem,然後選擇**相關資源詳細資訊**索引標籤。您可以手動編輯 OpsItems 來變更詳細資訊,例如嚴重性或類別。不過,當您編輯警示的嚴重性或類別時,Systems Manager 無法更新已從警示建立之 OpsItems 的嚴重性或類別。如果警報建立了 OpsItem 而且如果您指定了重複資料刪除字串,則警示不會建立額外的 OpsItems,即使您在 CloudWatch 中編輯警示也是如此。如果 OpsItem 已在 OpsCenter 中解決,CloudWatch 將建立新的 OpsItem。 如需有關設定 CloudWatch 警示的詳細資訊,請參閱下列主題。 **Topics** + [設定 CloudWatch 警示以建立 OpsItems (主控台)](OpsCenter-creating-or-editing-existing-alarm-console.md) + [設定現有的 CloudWatch 警示以建立 OpsItems (以程式設計方式)](OpsCenter-configuring-an-existing-alarm-programmatically.md) # 設定 CloudWatch 警示以建立 OpsItems (主控台) 您可以手動建立警示或更新現有警示,以便在 Amazon CloudWatch 中建立 OpsItems。 **建立 CloudWatch 警示並將 Systems Manager 設定為該警示的目標** 1. 完成《Amazon CloudWatch 使用者指南》**內[根據靜態閾值建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中指定的步驟 1–9。 1. 在 **Systems Manager 動作**區段中,選擇**新增 Systems Manager OpsCenter 動作**。 1. 選擇 **OpsItems**。 1. 在**嚴重性**中,選擇 1 到 4。 1. (選用) 在**類別**中,選擇 OpsItem 的類別。 1. 完成《Amazon CloudWatch 使用者指南》**內[根據靜態閾值建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中指定的步驟 11–13。 1. 選擇 **Next** (下一步) 並完成精靈。 **編輯現有的警示,並將 Systems Manager 設定為該警示的目標** 1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。 1. 在導覽窗格中,選擇 **Alarms** (警示)。 1. 選取警示,然後選擇 **Actions** (動作)、**Edit** (編輯)。 1. (選用) 變更 **Metrics** (指標) 和 **Conditions** (條件) 選項中的設定,然後選擇 **Next** (下一步)。 1. 在 **Systems Manager** (Systems Manager) 區段中,選擇 **Add Systems Manager OpsCenter action** (新增 Systems Manager OpsCenter 動作)。 1. 對於 **Severity** (嚴重性),選擇數字。 **注意** 嚴重性是使用者定義的值。您或您的組織會決定每個嚴重性值的含義,以及與每個嚴重性相關的任何服務水準協議。 1. (選用) 對於 **Category** (類別),選擇一個選項。 1. 選擇 **Next** (下一步) 並完成精靈。 # 設定現有的 CloudWatch 警示以建立 OpsItems (以程式設計方式) 您可以使用 AWS Command Line Interface (AWS CLI)、 AWS CloudFormation 範本或Java程式碼片段,設定 Amazon CloudWatch 警示以OpsItems程式設計方式建立 。 **Topics** + [開始之前](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin) + [設定 CloudWatch 警示以建立 OpsItems (AWS CLI)](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-manually-configure-cli) + [設定 CloudWatch 警示以建立或更新 OpsItems (CloudFormation)](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-programmatically-configure-CloudFormation) + [設定 CloudWatch 警示以建立或更新 OpsItems (Java)](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-programmatically-configure-java) ## 開始之前 如果以程式設計方式編輯現有的警示,或建立警示 (該警示會建立 OpsItems),則您必須指定 Amazon Resource Name (ARN)。此 ARN 可識別 Systems Manager OpsCenter 作為從警示建立之 OpsItems 的目標。您可以自訂 ARN,以便從警示建立之 OpsItems 包含特定資訊,例如嚴重性或類別。每個 ARN 包含下表中所述的資訊。 **** | 參數 | 詳細資訊 | | --- | --- | | `Region` (必要) | AWS 區域 警示所在的 。例如:`us-west-2`。如需您可在其中使用 OpsCenter 之 AWS 區域 相關資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。 | | `account_ID` (必要) | 用來建立警示的相同 AWS 帳戶 ID。例如:`123456789012`。帳戶 ID 後面必須加上冒號 (`:`) 和參數 `opsitem`,如下列範例所示。 | | `severity` (必要) | 從警示建立之 OpsItems 的使用者定義嚴重性層級。有效值:`1`、`2`、`3`、`4` | | `Category` (選用) | 從警示建立之 OpsItems 的類別 有效值:`Availability`、`Cost`、`Performance`、`Recovery` 和 `Security`。 | 使用下列語法建立 ARN。此 ARN 不包含選用的 `Category` 參數。 ``` arn:aws:ssm:Region:account_ID:opsitem:severity ``` 以下是範例。 ``` arn:aws:ssm:us-west-2:123456789012:opsitem:3 ``` 若要建立使用選用 `Category` 參數的 ARN,請使用下列語法。 ``` arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name ``` 以下是範例。 ``` arn:aws:ssm:us-west-2:123456789012:opsitem:3#CATEGORY=Security ``` ## 設定 CloudWatch 警示以建立 OpsItems (AWS CLI) 此命令要求您為 `alarm-actions` 參數指定 ARN。如需如何建立 ARN 的相關資訊,請參閱 [開始之前](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)。 **設定 CloudWatch 警示以建立 OpsItems (AWS CLI)** 1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。 如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 1. 執行下列命令以收集您要設定之警示的相關資訊。 ``` aws cloudwatch describe-alarms --alarm-names "alarm name" ``` 1. 執行下列命令以更新警示。將每個*範例資源預留位置*取代為您自己的資訊。 ``` aws cloudwatch put-metric-alarm --alarm-name name \ --alarm-description "description" \ --metric-name name --namespace namespace \ --statistic statistic --period value --threshold value \ --comparison-operator value \ --dimensions "dimensions" --evaluation-periods value \ --alarm-actions arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name \ --unit unit ``` 範例如下。 ------ #### [ Linux & macOS ] ``` aws cloudwatch put-metric-alarm --alarm-name cpu-mon \ --alarm-description "Alarm when CPU exceeds 70 percent" \ --metric-name CPUUtilization --namespace AWS/EC2 \ --statistic Average --period 300 --threshold 70 \ --comparison-operator GreaterThanThreshold \ --dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \ --alarm-actions arn:aws:ssm:us-east-1:123456789012:opsitem:3#CATEGORY=Security \ --unit Percent ``` ------ #### [ Windows ] ``` aws cloudwatch put-metric-alarm --alarm-name cpu-mon ^ --alarm-description "Alarm when CPU exceeds 70 percent" ^ --metric-name CPUUtilization --namespace AWS/EC2 ^ --statistic Average --period 300 --threshold 70 ^ --comparison-operator GreaterThanThreshold ^ --dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 ^ --alarm-actions arn:aws:ssm:us-east-1:123456789012:opsitem:3#CATEGORY=Security ^ --unit Percent ``` ------ ## 設定 CloudWatch 警示以建立或更新 OpsItems (CloudFormation) 本節包含可用來設定 CloudWatch 警示以自動建立或更新 的 AWS CloudFormation 範本OpsItems。每個範本都要求您為 `AlarmActions` 參數指定 ARN。如需如何建立 ARN 的相關資訊,請參閱 [開始之前](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)。 **指標警示** – 使用下列 CloudFormation 範本來建立或更新 CloudWatch 指標警示。此範本中指定的警示會監控 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體狀態檢查。如果警示進入 `ALARM` 狀態,它會在 OpsCenter 中建立 OpsItem。 ``` { "AWSTemplateFormatVersion": "2010-09-09", "Parameters" : { "RecoveryInstance" : { "Description" : "The EC2 instance ID to associate this alarm with.", "Type" : "AWS::EC2::Instance::Id" } }, "Resources": { "RecoveryTestAlarm": { "Type": "AWS::CloudWatch::Alarm", "Properties": { "AlarmDescription": "Run a recovery action when instance status check fails for 15 consecutive minutes.", "Namespace": "AWS/EC2" , "MetricName": "StatusCheckFailed_System", "Statistic": "Minimum", "Period": "60", "EvaluationPeriods": "15", "ComparisonOperator": "GreaterThanThreshold", "Threshold": "0", "AlarmActions": [ {"Fn::Join" : ["", ["arn:arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name", { "Ref" : "AWS::Partition" }, ":ssm:", { "Ref" : "AWS::Region" }, { "Ref" : "AWS:: AccountId" }, ":opsitem:3" ]]} ], "Dimensions": [{"Name": "InstanceId","Value": {"Ref": "RecoveryInstance"}}] } } } } ``` **複合警示** – 使用下列 CloudFormation 範本來建立或更新複合警示。複合警示由多個指標警示組成。如果警示進入 `ALARM` 狀態,它會在 OpsCenter 中建立 OpsItem。 ``` "Resources":{ "HighResourceUsage":{ "Type":"AWS::CloudWatch::CompositeAlarm", "Properties":{ "AlarmName":"HighResourceUsage", "AlarmRule":"(ALARM(HighCPUUsage) OR ALARM(HighMemoryUsage)) AND NOT ALARM(DeploymentInProgress)", "AlarmActions":"arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name", "AlarmDescription":"Indicates that the system resource usage is high while no known deployment is in progress" }, "DependsOn":[ "DeploymentInProgress", "HighCPUUsage", "HighMemoryUsage" ] }, "DeploymentInProgress":{ "Type":"AWS::CloudWatch::CompositeAlarm", "Properties":{ "AlarmName":"DeploymentInProgress", "AlarmRule":"FALSE", "AlarmDescription":"Manually updated to TRUE/FALSE to disable other alarms" } }, "HighCPUUsage":{ "Type":"AWS::CloudWatch::Alarm", "Properties":{ "AlarmDescription":"CPUusageishigh", "AlarmName":"HighCPUUsage", "ComparisonOperator":"GreaterThanThreshold", "EvaluationPeriods":1, "MetricName":"CPUUsage", "Namespace":"CustomNamespace", "Period":60, "Statistic":"Average", "Threshold":70, "TreatMissingData":"notBreaching" } }, "HighMemoryUsage":{ "Type":"AWS::CloudWatch::Alarm", "Properties":{ "AlarmDescription":"Memoryusageishigh", "AlarmName":"HighMemoryUsage", "ComparisonOperator":"GreaterThanThreshold", "EvaluationPeriods":1, "MetricName":"MemoryUsage", "Namespace":"CustomNamespace", "Period":60, "Statistic":"Average", "Threshold":65, "TreatMissingData":"breaching" } } } ``` ## 設定 CloudWatch 警示以建立或更新 OpsItems (Java) 本節包含 Java 程式碼片段,您可以用這些程式碼片段來設定 CloudWatch 警示以自動建立或更新 OpsItems。每個程式碼片段都要求您為 `validSsmActionStr` 參數指定 ARN。如需如何建立 ARN 的相關資訊,請參閱 [開始之前](#OpsCenter-create-OpsItems-from-CloudWatch-Alarms-before-you-begin)。 **特定警示** – 使用以下 Java 程式碼片段來建立或更新 CloudWatch 警示。此範本中指定的警示會監控 Amazon EC2 執行個體狀態檢查。如果警示進入 `ALARM` 狀態,它會在 OpsCenter 中建立 OpsItem。 ``` import com.amazonaws.services.cloudwatch.AmazonCloudWatch; import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder; import com.amazonaws.services.cloudwatch.model.ComparisonOperator; import com.amazonaws.services.cloudwatch.model.Dimension; import com.amazonaws.services.cloudwatch.model.PutMetricAlarmRequest; import com.amazonaws.services.cloudwatch.model.PutMetricAlarmResult; import com.amazonaws.services.cloudwatch.model.StandardUnit; import com.amazonaws.services.cloudwatch.model.Statistic; private void putMetricAlarmWithSsmAction() { final AmazonCloudWatch cw = AmazonCloudWatchClientBuilder.defaultClient(); Dimension dimension = new Dimension() .withName("InstanceId") .withValue(instanceId); String validSsmActionStr = "arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name"; PutMetricAlarmRequest request = new PutMetricAlarmRequest() .withAlarmName(alarmName) .withComparisonOperator( ComparisonOperator.GreaterThanThreshold) .withEvaluationPeriods(1) .withMetricName("CPUUtilization") .withNamespace("AWS/EC2") .withPeriod(60) .withStatistic(Statistic.Average) .withThreshold(70.0) .withActionsEnabled(false) .withAlarmDescription( "Alarm when server CPU utilization exceeds 70%") .withUnit(StandardUnit.Seconds) .withDimensions(dimension) .withAlarmActions(validSsmActionStr); PutMetricAlarmResult response = cw.putMetricAlarm(request); } ``` **更新所有警示** – 使用以下 Java 程式碼片段來更新 AWS 帳戶 中的所有 CloudWatch 警示,以在警示進入 `ALARM` 狀態時建立 OpsItems。 ``` import com.amazonaws.services.cloudwatch.AmazonCloudWatch; import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder; import com.amazonaws.services.cloudwatch.model.DescribeAlarmsRequest; import com.amazonaws.services.cloudwatch.model.DescribeAlarmsResult; import com.amazonaws.services.cloudwatch.model.MetricAlarm; private void listMetricAlarmsAndAddSsmAction() { final AmazonCloudWatch cw = AmazonCloudWatchClientBuilder.defaultClient(); boolean done = false; DescribeAlarmsRequest request = new DescribeAlarmsRequest(); String validSsmActionStr = "arn:aws:ssm:Region:account_ID:opsitem:severity#CATEGORY=category_name"; while(!done) { DescribeAlarmsResult response = cw.describeAlarms(request); for(MetricAlarm alarm : response.getMetricAlarms()) { // assuming there are no alarm actions added for the metric alarm alarm.setAlarmActions(ImmutableList.of(validSsmActionStr)); } request.setNextToken(response.getNextToken()); if(response.getNextToken() == null) { done = true; } } } ``` # 手動建立 OpsItems 發現操作問題後,您可以在 OpsCenter (AWS Systems Manager 中的工具) 中手動建立 OpsItem,以管理並解決問題。 如果為 OpsCenter 設定了跨帳戶管理,Systems Manager 委派管理員或 AWS Organizations 管理帳戶可以為成員帳戶建立 OpsItems。如需更多詳細資訊,請參閱 [(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 您可以使用 AWS Systems Manager 主控台、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 來建立 OpsItems。 **Topics** + [手動建立 OpsItems (主控台)](OpsCenter-creating-OpsItems-console.md) + [手動建立 OpsItems (AWS CLI)](OpsCenter-creating-OpsItems-CLI.md) + [手動建立 OpsItems (PowerShell)](OpsCenter-creating-OpsItems-Powershell.md) # 手動建立 OpsItems (主控台) 您可以使用 OpsItems AWS Systems Manager 主控台手動建立 。建立 OpsItem 後,它會顯示在您的 OpsCenter 帳戶中。如果為 OpsCenter 設定了跨帳戶管理,則 OpsCenter 會向委派管理員或管理帳戶提供為選定成員帳戶建立 OpsItems 的選項。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 **OpsItem 使用 AWS Systems Manager 主控台建立** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 **Create OpsItem** (建立 OpsItem)。如果您沒有看到此按鈕,請選擇 **OpsItems** 索引標籤,然後選擇 **Create OpsItem** (建立 OpsItem)。 1. (選用) 選擇**其他帳戶**,然後選擇您要建立 OpsItem 的帳戶。 **注意** 如果您要為會員帳戶建立 OpsItems,則需要執行此步驟。 1. 針對 **Title (標題)**,輸入描述名稱,協助您了解 OpsItem 的用途。 1. 對於 **Source** (來源),輸入受影響的 AWS 資源類型或其他來源資訊,協助使用者了解 OpsItem 的根源。 **注意** 建立 OpsItem 後,您不能編輯 **Source** (來源) 欄位。 1. (選用) 對於 **Priority** (優先順序),選擇優先順序層級。 1. (選用) 對於 **Severity** (嚴重性),選擇嚴重性層級。 1. (選用) 對於 **Category** (類別),選擇類別。 1. 針對 **Description (描述)**,輸入此 OpsItem 的資訊,包括 (如合適) 重現問題的步驟。 **注意** 主控台支援 OpsItem 描述欄位中的大多數 Markdown 格式。如需詳細資訊,請參閱《 AWS 管理主控台 入門指南》**中的[在主控台中使用 Markdown](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/aws-markdown.html)。 1. 在**重複資料刪除字串**中,輸入系統可用來檢查重複 OpsItems 的單字。如需重複資料刪除字串的詳細資訊,請參閱[管理重複的 OpsItems](OpsCenter-working-deduplication.md)。 1. (選用) 在**通知**中,指定您希望 OpsItem 更新時發送通知的 Amazon SNS 主題的 Amazon Resource Name (ARN)。您必須指定與 相同的 AWS 區域 Amazon SNS ARNOpsItem。 1. (選用) 在**相關資源**中,選擇**新增**,指定受影響資源和任何相關資源的 ID 或 ARN。 1. 選擇**建立OpsItem**。 如果成功,頁面會顯示 OpsItem。委派管理員或管理帳戶為選取的成員帳戶建立 OpsItem 後,新 OpsItems 會顯示在管理員和成員帳戶的 OpsCenter 中。如需如何在 OpsItem 中設定選項的資訊,請參閱 [管理 OpsItems](OpsCenter-working-with-OpsItems.md)。 # 手動建立 OpsItems (AWS CLI) 下列處理程序說明如何使用 AWS Command Line Interface (AWS CLI) 建立 OpsItem。 **OpsItem 使用 建立 AWS CLI** 1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請安裝並設定 。 如需相關資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 1. 開啟 AWS CLI 並執行下列命令來建立 OpsItem。將每個*範例資源預留位置*取代為您自己的資訊。 ``` aws ssm create-ops-item \ --title "Descriptive_title" \ --description "Information_about_the_issue" \ --priority Number_between_1_and_5 \ --source Source_of_the_issue \ --operational-data Up_to_20_KB_of_data_or_path_to_JSON_file \ --notifications Arn="SNS_ARN_in_same_Region" \ --tags "Key=key_name,Value=a_value" ``` **從檔案指定營運資料** 當您建立 OpsItem 時,您可以從檔案指定營運資料。這個檔案必須是 JSON 檔案,且檔案內容必須使用以下格式。 ``` { "key_name": { "Type": "SearchableString", "Value": "Up to 20 KB of data" } } ``` 請見此處範例。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data file:///Users/TestUser1/Desktop/OpsItems/opsData.json ^ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" ^ --tags "Key=EC2,Value=Production" ``` **注意** 如需如何在不同的本機作業系統的命令列輸入 JSON 格式參數的資訊,請參閱《*AWS Command Line Interface 使用者指南*》中的[在 AWS CLI中搭配字串使用引號](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-quoting-strings.html)。 系統會傳回如下資訊。 ``` { "OpsItemId": "oi-1a2b3c4d5e6f" } ``` 1. 執行以下命令來檢視您建立的 OpsItem 的詳細資訊。 ``` aws ssm get-ops-item --ops-item-id ID ``` 系統會傳回如下資訊。 ``` { "OpsItem": { "CreatedBy": "arn:aws:iam::12345678:user/TestUser", "CreatedTime": 1558386334.995, "Description": "Log clean up may have failed which caused the disk to be full", "LastModifiedBy": "arn:aws:iam::12345678:user/TestUser", "LastModifiedTime": 1558386334.995, "Notifications": [ { "Arn": "arn:aws:sns:us-west-1:12345678:TestUser" } ], "Priority": 2, "RelatedOpsItems": [], "Status": "Open", "OpsItemId": "oi-1a2b3c4d5e6f", "Title": "EC2 instance disk full", "Source": "ec2", "OperationalData": { "EC2": { "Value": "12345", "Type": "SearchableString" } } } } ``` 1. 執行下列命令以更新 OpsItem。此命令會將狀態從 `Open` (預設值) 變更成 `InProgress`。 ``` aws ssm update-ops-item --ops-item-id ID --status InProgress ``` 此命令無輸出。 1. 再次執行以下命令,確認狀態是否已變更為 `InProgress`。 ``` aws ssm get-ops-item --ops-item-id ID ``` ## 建立 OpsItem 的範例 以下範例會說明如何使用 Linux 管理入口網站、macOS 或 Windows Server 建立 OpsItem。 **Linux 管理入口網站或 macOS** 以下命令會在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體磁碟已滿時建立 OpsItem。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"EC2":{"Value":"12345","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" \ --tags "Key=EC2,Value=ProductionServers" ``` 以下命令會在 `OperationalData` 中使用 `/aws/resources` 金鑰,來建立含 Amazon DynamoDB 相關資源的 OpsItem。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"/aws/resources":{"Value":"[{\"arn\": \"arn:aws:dynamodb:us-west-2:12345678:table/OpsItems\"}]","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-2:12345678:TestUser" ``` 以下命令會在 `OperationalData` 中使用 `/aws/automations` 金鑰,來建立可將 `AWS-ASGEnterStandby` 文件指定為相關聯的 Automation 執行手冊的 OpsItem。 ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 2 \ --source ec2 \ --operational-data '{"/aws/automations":{"Value":"[{\"automationId\": \"AWS-ASGEnterStandby\", \"automationType\": \"AWS::SSM::Automation\"}]","Type":"SearchableString"}}' \ --notifications Arn="arn:aws:sns:us-west-2:12345678:TestUser" ``` **Windows** 以下命令會在 Amazon Relational Database Service (Amazon RDS) 執行個體未回應時建立 OpsItem。 ``` aws ssm create-ops-item ^ --title "RDS instance not responding" ^ --description "RDS instance not responding to ping" ^ --priority 1 ^ --source RDS ^ --operational-data={\"RDS\":{\"Value\":\"abcd\",\"Type\":\"SearchableString\"}} ^ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser1" ^ --tags "Key=RDS,Value=ProductionServers" ``` 以下命令會在 `OperationalData` 中使用 `/aws/resources` 金鑰,來建立含 Amazon EC2 執行個體相關資源的 OpsItem。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data={\"/aws/resources\":{\"Value\":\"[{\\"""arn\\""":\\"""arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0\\"""}]\",\"Type\":\"SearchableString\"}} ``` 以下命令會在 `OperationalData` 中使用 `/aws/automations` 金鑰,來建立可將 `AWS-RestartEC2Instance` 執行手冊指定為相關聯的 Automation 執行手冊的 OpsItem。 ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 2 ^ --source ec2 ^ --operational-data={\"/aws/automations\":{\"Value\":\"[{\\"""automationId\\""":\\"""AWS-RestartEC2Instance\\”"",\\"""automationType\\""":\\"""AWS::SSM::Automation\\"""}]\",\"Type\":\"SearchableString\"}} ``` # 手動建立 OpsItems (PowerShell) 下列程序說明如何使用 AWS Tools for Windows PowerShell建立 OpsItem。 **OpsItem 使用 建立 AWS Tools for Windows PowerShell** 1. 開啟 AWS Tools for Windows PowerShell 並執行下列命令來指定您的登入資料。 ``` Set-AWSCredentials –AccessKey key-name –SecretKey key-name ``` 1. 執行下列命令, AWS 區域 為您的PowerShell工作階段設定 。 ``` Set-DefaultAWSRegion -Region Region ``` 1. 執行下列命令以建立新的 OpsItem。將每個*範例資源預留位置*取代為您自己的資訊。這個命令會指定 Systems Manager Automation Runbook 來修復此 OpsItem。 ``` $opsItem = New-Object Amazon.SimpleSystemsManagement.Model.OpsItemDataValue $opsItem.Type = [Amazon.SimpleSystemsManagement.OpsItemDataType]::SearchableString $opsItem.Value = '[{\"automationId\":\"runbook_name\",\"automationType\":\"AWS::SSM::Automation\"}]' $newHash = @{" /aws/automations"=[Amazon.SimpleSystemsManagement.Model.OpsItemDataValue]$opsItem} New-SSMOpsItem ` -Title "title" ` -Description "description" ` -Priority priority_number ` -Source AWS_service ` -OperationalData $newHash ``` 如果成功,命令會輸出新 OpsItem 的 ID。 以下範例指定受損 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Resource Name (ARN)。 ``` $opsItem = New-Object Amazon.SimpleSystemsManagement.Model.OpsItemDataValue $opsItem.Type = [Amazon.SimpleSystemsManagement.OpsItemDataType]::SearchableString $opsItem.Value = '[{\"arn\":\"arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0\"}]' $newHash = @{" /aws/resources"=[Amazon.SimpleSystemsManagement.Model.OpsItemDataValue]$opsItem} New-SSMOpsItem -Title "EC2 instance disk full still" -Description "Log clean up may have failed which caused the disk to be full" -Priority 2 -Source ec2 -OperationalData $newHash ``` # 管理 OpsItems OpsCenter是 中的工具 AWS Systems Manager,OpsItems會從建立追蹤到解析。如果為 OpsCenter 設定了跨帳戶管理,則委派管理員或管理帳戶可以從其帳戶管理 OpsItems。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 您可以使用 Systems Manager 主控台中的下列頁面來檢視和管理 OpsItems: + **摘要** – 顯示「待處理」和「進行中」的 OpsItems 計數、依來源和存在時間分類的 OpsItems 計數,以及操作洞察的計數。您可以依來源和 OpsItems 狀態來篩選 OpsItems。 + **OpsItems** – 顯示包含多個資訊欄位的 OpsItems 清單,其例如標題、ID、優先順序、描述、OpsItem 的來源以及上次更新日期和時間。您可以使用此頁面手動建立 OpsItems、設定來源、變更 OpsItem 的狀態,以及依新事件篩選 OpsItems。您可以選擇 OpsItem 以顯示其 **OpsItems 詳細資訊**頁面。 + **OpsItem 詳細資訊** – 提供詳細的洞察和工具,供您用來管理 OpsItem。OpsItems 詳細資訊頁面包含下列索引標籤: + **概觀** – 顯示相關資源、過去 30 天內執行的執行手冊,以及您可以執行的可用執行手冊清單。您還可以檢視類似的 OpsItems,新增操作資料和新增相關的 OpsItems。 + **相關資源詳細資訊** – 顯示來自數個 AWS 服務的資源相關資訊。展開**資源詳細資訊**區段,以檢視託管資源 AWS 的服務所提供的資源相關資訊。您也可以使用 **Related resources** (相關資源) 清單切換與此 OpsItem 關聯的其他相關資源。 如需有關如何管理 OpsItems 的詳細資訊,請參閱下列主題。 **Topics** + [檢視 OpsItem 的詳細資訊](OpsCenter-working-with-OpsItems-viewing-details.md) + [編輯 OpsItem](OpsCenter-working-with-OpsItems-editing-details.md) + [將相關的資源新增至 OpsItem](OpsCenter-working-with-OpsItems-adding-related-resources.md) + [將相關的 OpsItems 新增至 OpsItem](OpsCenter-working-with-OpsItems-adding-related-OpsItems.md) + [將操作資料新增至 OpsItem](OpsCenter-working-with-OpsItems-adding-operational-data.md) + [為 OpsItem 建立事件](OpsCenter-working-with-OpsItems-create-an-incident.md) + [管理重複的 OpsItems](OpsCenter-working-deduplication.md) + [分析操作洞察以減少 OpsItems](OpsCenter-working-operational-insights.md) + [檢視 OpsCenter 日誌和報告](OpsCenter-logging-auditing.md) # 檢視 OpsItem 的詳細資訊 若要全面檢視 OpsItem,請使用 OpsCenter 主控台中的 **OpsItem 詳細資訊**頁面。**概觀**頁面會顯示以下資訊: + **OpsItems 詳細資訊** – 顯示所選 OpsItem 的一般資訊。 + **相關資源** – 相關資源是受影響的資源,或啟動建立 OpsItem 之事件的資源。 + **過去 30 天的自動化執行** – 過去 30 天內執行的執行手冊清單。 + **執行手冊** – 您可以從可用的執行手冊清單中選擇一個執行手冊。 + **類似的 OpsItem** – 這是系統產生的 OpsItems 清單,其可能是與您有關或是您感興趣的項目。若要產生清單,系統會掃描所有 OpsItems 的標題和描述,並傳回使用類似字詞的 OpsItems。 + **操作資料** – 操作資料是自訂的資料,可提供有關 OpsItem 的實用參考詳細資訊。例如,您可以指定日誌檔案、錯誤字串、授權金鑰、故障診斷秘訣,或其他相關資料。 + **相關的 OpsItem** – 您可指定以某種方式與目前 OpsItem 相關之 OpsItems 的 ID。 + **相關資源詳細資訊** – 顯示資料提供者,包括來自 的 Amazon CloudWatch 指標和警示、 AWS CloudTrail 日誌和詳細資訊 AWS Config。 **檢視 OpsItem 的詳細資訊** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 OpsItem 來檢視其詳細資訊。 # 編輯 OpsItem **OpsItem 詳細資訊**區段包含有關 OpsItem 的資訊,包括描述、標題、來源、OpsItem ID 和狀態。
 您可以編輯單一 OpsItem,或可以選取多個 OpsItems,然後編輯下列欄位:**狀態**、**優先順序**、**嚴重性**、**類別**。 Amazon EventBridge 建立 OpsItem 時,會填入**標題**、**來源**和**描述**欄位。您可以編輯**標題**和**描述**欄位,但無法編輯**來源**欄位。 **注意** 主控台支援 OpsItem 描述欄位中的大多數 Markdown 格式。如需詳細資訊,請參閱《 入門指南》中的[在主控台中使用 Markdown](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/aws-markdown.html)。 * AWS 管理主控台 * 一般而言,您可以編輯 OpsItem 的下列可設定資料: + **標題** – OpsItem 的名稱。來源會建立 OpsItem 的標題。 + **描述** – 關於此 OpsItem 的資訊,包含 (如合適) 重現問題的步驟。 + **狀態**:OpsItem 的狀態。如需有效狀態值的清單,請參閱《AWS Systems Manager API 參考》**中的 [OpsItem Status](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_OpsItem.html#systemsmanager-Type-OpsItem-Status)。 + **優先順序** – OpsItem 的優先順序可以介於 1 至 5 之間。建議您的組織決定每個優先順序層級的意義,及各層級對應的服務水準協議。 + **嚴重性** – OpsItem 的嚴重性可以介於 1 至 4 之間,其中 1 為嚴重,2 為高,3 為中等,4 為低。 + **類別** – OpsItem 的類別可以是可用性、成本、效能、復原或安全性。 + **通知** – 編輯 OpsItem 時,可以在**通知**欄位中指定 Amazon Simple Notification Service 主題的 Amazon Resource Name (ARN)。透過指定 ARN,您確保所有利害關係人都會在編輯 OpsItem 時收到通知,包括狀態變更。如需詳細資訊,請參閱《[https://docs.aws.amazon.com/sns/latest/dg/](https://docs.aws.amazon.com/sns/latest/dg/)》。 **重要** Amazon SNS 主題必須存在於與 AWS 區域 相同的 中OpsItem。如果主題和 OpsItem 分屬不同區域,系統會傳回錯誤。 OpsCenter 具有與 的雙向整合 AWS Security Hub CSPM。當您更新與安全性調查結果相關的OpsItem狀態和嚴重性時,這些變更會自動傳送至 Security Hub CSPM,以確保您始終看到最新且正確的資訊。 從 Security Hub CSPM 調查結果建立 OpsItem 時,Security Hub CSPM 中繼資料會自動新增至 的操作資料欄位OpsItem。如果刪除這些中繼資料,雙向更新將無法再運作。 **編輯 OpsItem 詳細資訊** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 OpsItem ID 以開啟詳細資訊頁面或選擇多個 OpsItems。如果選擇多個 OpsItems,則您只能編輯狀態、優先順序、嚴重性或類別。如果編輯多個 OpsItems,則 OpsCenter 會在您選擇新的狀態、優先順序、嚴重性或類別時立即更新並儲存您的變更。 1. 在 **OpsItem details (OpsItem 詳細資訊)** 區段,選擇 **Edit (編輯)**。 1. 根據您組織指定的需求和準則編輯 OpsItem 的詳細資訊。 1. 完成後,請選擇**儲存**。 # 將相關的資源新增至 OpsItem 每個 OpsItem 都包含**相關資源**區段,此區域會列出相關資源的 Amazon Resource Name (ARN)。*相關資源*是需要調查的受影響 AWS 資源。 如果 Amazon EventBridge 建立 OpsItem,系統會自動使用資源的 ARN 填入 OpsItem。您可以手動指定相關資源的 ARN。針對某些 ARN 類型,OpsCenter 會自動建立深層連結,在 OpsCenter 主控台中直接顯示資源的詳細資訊。例如,如果您將一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 ARN 指定為相關資源,則 OpsCenter 會提取該 EC2 執行個體的詳細資訊。這可讓您檢視受影響 AWS 資源的詳細資訊,而不必離開 OpsCenter。 **檢視相關資源並新增至 OpsItem** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 ** (OpsItems)** 索引標籤。 1. 選擇 OpsItem ID。 ![\[OpsCenter 概觀頁面的新 OpsItem。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_working_scenario_1.png) 1. 若要檢視受影響資源的資訊,請選擇 **Related resources details (相關資源詳細資訊)** 標籤。 ![\[檢視 OpsItem 的「相關資源詳細資訊」索引標籤。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_working_scenario_1_5.png) 這個索引標籤會顯示來自多種 AWS 服務之資源的相關資訊。展開**資源詳細資訊**區段,以檢視託管資源的 AWS 服務 所提供的資源相關資訊。您也可以使用 **Related resources** (相關資源) 清單切換與此 OpsItem 關聯的其他相關資源。 1. 若要新增其他相關資源,請選擇 **Overview (概觀)** 標籤。 1. 在 **Related resources (相關資源)** 區段中,選擇 **Add (新增)**。 1. 對於 **Resource Type** (資源類型),選擇清單中的資源。 1. 對於 **Resource ID** (資源 ID),輸入 ID 或 Amazon Resource Name (ARN)。您所選擇的資訊類型取決於您在上個步驟所選擇的資源。 **注意** 您可以手動新增其他相關資源的 ARN。每個 OpsItem 最多可以列出 100 個相關的資源 ARN。 下表列出了會自動建立相關資源深層連結的資源類型。 **支援的資源類型** | 資源名稱 | ARN 格式 | | --- | --- | | AWS Certificate Manager 憑證 | 
arn:aws:acm:region:account-id:certificate/certificate-id
| | Amazon EC2 Auto Scaling 群組 | 
arn:aws:autoscaling:region:account-id:autoScalingGroup:groupid:autoScalingGroupName/groupfriendlyname
| | Amazon CloudFront 分佈 | 
arn:aws:cloudfront::account-id:*
| | AWS CloudFormation 堆疊 | 
arn:aws:cloudformation:region:account-id:stack/stackname/additionalidentifier
| | Amazon CloudWatch 警示 | 
arn:aws:cloudwatch:region:account-id:alarm:alarm-name
| | AWS CloudTrail 線索 | 
arn:aws:cloudtrail:region:account-id:trail/trailname
| | AWS CodeBuild 專案 | 
arn:aws:codebuild:region:account-id:resourcetype/resource
| | AWS CodePipeline | 
arn:aws:codepipeline:region:account-id:resource-specifier
| | Amazon DevOps Guru 洞察 | 
arn:aws:devops-guru:region:account-id:insight/proactive or reactive/resource-id
| | Amazon DynamoDB 資料表 | 
arn:aws:dynamodb:region:account-id:table/tablename
| | Amazon Elastic Compute Cloud (Amazon EC2) 客戶閘道 | 
arn:aws:ec2:region:account-id:customer-gateway/cgw-id
| | Amazon EC2 彈性 IP | 
arn:aws:ec2:region:account-id:eip/eipalloc-id
| | Amazon EC2 專用主機 | 
arn:aws:ec2:region:account-id:dedicated-host/host-id
| | Amazon EC2 執行個體 | 
arn:aws:ec2:region:account-id:instance/instance-id
| | Amazon EC2 網際網路閘道 | 
arn:aws:ec2:region:account-id:internet-gateway/igw-id
| | Amazon EC2 網路存取控制清單 (network ACL) | 
arn:aws:ec2:region:account-id:network-acl/nacl-id
| | Amazon EC2 網路界面 | 
arn:aws:ec2:region:account-id:network-interface/eni-id
| | Amazon EC2 路由表 | 
arn:aws:ec2:region:account-id:route-table/route-table-id
| | Amazon EC2 安全群組 | 
arn:aws:ec2:region:account-id:security-group/security-group-id
| | Amazon EC2 子網路 | 
arn:aws:ec2:region:account-id:subnet/subnet-id
| | Amazon EC2 磁碟區 | 
arn:aws:ec2:region:account-id:volume/volume-id
| | Amazon EC2 VPC | 
arn:aws:ec2:region:account-id:vpc/vpc-id
| | Amazon EC2 VPN 連接 | 
arn:aws:ec2:region:account-id:vpn-connection/vpn-id
| | Amazon EC2 VPN 閘道 | 
arn:aws:ec2:region:account-id:vpn-gateway/vgw-id
| | AWS Elastic Beanstalk 應用程式 | 
arn:aws:elasticbeanstalk:region:account-id:application/applicationname
| | Elastic Load Balancing (Classic Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/name
| | Elastic Load Balancing (Application Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
| | Elastic Load Balancing (Network Load Balancer) | 
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/load-balancer-name/load-balancer-id
| | AWS Identity and Access Management (IAM) 群組 | 
arn:aws:iam::account-id:group/group-name
| | IAM 政策 | 
arn:aws:iam::account-id:policy/policy-name
| | IAM 角色 | 
arn:aws:iam::account-id:role/role-name
| | IAM 使用者 | 
arn:aws:iam::account-id:user/user-name
| | AWS Lambda 函數 | 
arn:aws:lambda:region:account-id:function:function-name
| | Amazon Relational Database Service (Amazon RDS) 叢集 | 
arn:aws:rds:region:account-id:cluster:db-cluster-name
| | Amazon RDS 資料庫執行個體 | 
arn:aws:rds:region:account-id:db:db-instance-name
| | Amazon RDS 訂閱 | 
arn:aws:rds:region:account-id:es:subscription-name
| | Amazon RDS 安全群組 | 
arn:aws:rds:region:account-id:secgrp:security-group-name
| | Amazon RDS 叢集快照 | 
arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name
| | Amazon RDS 子網路群組 | 
arn:aws:rds:region:account-id:subgrp:subnet-group-name
| | Amazon Redshift 叢集 | 
arn:aws:redshift:region:account-id:cluster:cluster-name
| | Amazon Redshift 參數群組 | 
arn:aws:redshift:region:account-id:parametergroup:parameter-group-name
| | Amazon Redshift 安全群組 | 
arn:aws:redshift:region:account-id:securitygroup:security-group-name
| | Amazon Redshift 叢集快照 | 
arn:aws:redshift:region:account-id:snapshot:cluster-name/snapshot-name
| | Amazon Redshift 子網路群組 | 
arn:aws:redshift:region:account-id:subnetgroup:subnet-group-name
| | Amazon Simple Storage Service (Amazon S3) 儲存貯體 | 
arn:aws:s3:::bucket_name
| | AWS Config 受 AWS Systems Manager 管節點庫存的記錄 | 
arn:aws:ssm:region:account-id:managed-instance-inventory/node_id
| | Systems Manager State Manager 關聯 | 
arn:aws:ssm:region:account-id:association/association_ID
| # 將相關的 OpsItems 新增至 OpsItem 透過使用 **OpsItems 詳細資訊**頁面**相關的 OpsItems**,您可以調查操作問題並提供問題的情境。OpsItems 能以不同的方式建立關聯,包括 OpsItems 之間的上/下層關係、根本原因或重複性。您可以將一個 OpsItem 與另一個建立關聯,以便在**相關的 OpsItem**區段中顯示。您可以為與目前 OpsItem 相關的其他 OpsItems 指定最多 10 個 ID。 ![\[檢視相關的 OpsItems。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_working_scenario_4.png) **新增相關 OpsItem** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 OpsItem ID 以開啟詳細資訊頁面。 1. 在 **Related (相關的 OpsItem)** 區段中,選擇 **Add (新增)**。 1. 針對 **OpsItem ID**,指定 ID。 1. 選擇**新增**。 # 將操作資料新增至 OpsItem 操作資料是自訂的資料,可提供有關 OpsItem 的實用參考詳細資訊。您可以輸入多個營運資料的金鑰/值對。例如,您可以指定日誌檔案、錯誤字串、授權金鑰、故障診斷秘訣,或其他相關資料。索引鍵的最大長度可以是 128 個字元,值的大小上限可以是 20 KB。 ![\[檢視 OpsItem 的營運資料。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_working_scenario_7.png) 您可以讓帳戶中的其他使用者可搜尋此資料,也可以限制搜尋的存取權。可搜尋資料表示,所有能存取 OpsItem **概觀**頁面的使用者 (如 [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html) API 操作所提供) 都可以檢視和搜尋指定的資料。只有能夠存取 OpsItem 的使用者可檢視非可搜尋操作資料 (如 [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html) API 動作所提供)。 **將營運資料新增到 OpsItem** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 OpsItem ID 以開啟其詳細資訊頁面。 1. 展開**操作資料**。 1. 如果沒有 OpsItem 的操作資料,則選擇**新增**。如果已有 OpsItem 的營運資料,請選擇 **Manage (管理)**。 在您建立營運資料之後,您可以選擇 **Manage (管理)**,編輯金鑰和值、移除營運資料,或新增其他金鑰/值對。 1. 針對 **Key (金鑰)**,指定一或多個字詞,協助使用者了解資料的用途。 **重要** 操作資料金鑰*無法*以下列項目開頭:`amazon`、`aws`、`amzn`、`ssm`、`/amazon`、`/aws`、`/amzn`、`/ssm`。 1. 針對 **Value (值)**,指定資料。 1. 選擇**儲存**。 **注意** 您可以透過使用 **OpsItems** 頁面上的 **Operational data (營運資料)** 運算子來篩選 OpsItems。在**搜尋**方塊中,選擇**操作資料**,然後以 JSON 輸入索引鍵/值組。您必須使用以下格式來輸入索引鍵/值組:`{"key":"key_name","value":"a_value"}` # 為 OpsItem 建立事件 使用下列程序為 OpsItem 手動建立事件以追蹤和管理事件 AWS Systems Manager Incident Manager,這是 中的工具 AWS Systems Manager。*事件*是指任何意外中斷或服務質量下降。如需有關 Incident Manager 的詳細資訊,請參閱 [OpsCenter 與其他 整合 AWS 服務](OpsCenter-applications-that-integrate.md)。 **手動建立 OpsItem 事件** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 如果 Incident Manager 為您建立 OpsItem,請選擇它並前往步驟 5。如果沒有,請選擇 **Create OpsItem** (建立 OpsItem) 並填寫表格。如果您沒有看到此按鈕,請選擇 **OpsItems** 索引標籤,然後選擇 **Create OpsItem** (建立 OpsItem)。 1. 如果建立了 OpsItem,則請將其開啟。 1. 選擇 **Start Incident** (開始事件)。 1. 在**回應計劃**中,選擇您要指派給此事件的 Incident Manager 回應計劃。 1. (選用) 對於 **Title** (標題) 中,輸入描述名稱,以協助其他團隊成員了解事件的本質。如果不輸入新的標題,OpsCenter 會使用回應計劃中的標題建立 OpsItem 和 Incident Manager 中的對應事件。 1. (選用)對於 **Incident impact** (事件影響),選擇此事件的影響層級。如果您沒有選擇影響層級,OpsCenter 會使用回應計劃中的標題建立 OpsItem 和 Incident Manager 中的對應事件。 1. 選擇 **開始使用**。 # 管理重複的 OpsItems OpsCenter 可以從多個 AWS 服務接收單一來源的多個重複 OpsItems。OpsCenter 會使用內建邏輯和可設定重複資料刪除字串的組合來避免建立重複的 OpsItems。在呼叫 [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) API 操作時, AWS Systems Manager 會套用重複資料刪除內建邏輯。 AWS Systems Manager 使用以下重複資料刪除邏輯: 1. 建立 OpsItem 時,Systems Manager 會根據重複資料刪除字串和起始 OpsItem 的資源來建立會和存放雜湊。 1. 如果收到了另一個建立 OpsItem 的請求,系統會檢查新請求的重複資料刪除字串。 1. 如果此重複資料刪除字串存在相符的雜湊,Systems Manager 會檢查現有 OpsItem 的狀態。如果現有 OpsItem 的狀態為「待處理」或「進行中」,則不會建立 OpsItem。如果已解決現有的 OpsItem,Systems Manager 會建立新的 OpsItem。 建立 OpsItem 後,您就*不能*在該 OpsItem 中編輯或變更重複資料刪除字串。 若要管理重複的 OpsItems,可以執行以下操作: + 編輯針對以 OpsCenter 為目標的 Amazon EventBridge 規則的重複資料刪除字串。如需詳細資訊,請參閱[編輯預設 EventBridge 規則中的重複資料刪除字串](#OpsCenter-working-deduplication-editing-cwe)。 + 請在您手動建立 OpsItem 時,指定重複資料刪除字串。如需詳細資訊,請參閱[使用 指定重複資料刪除字串 AWS CLI](#OpsCenter-working-deduplication-configuring-manual-cli)。 + 使用操作洞察來檢閱和解決重複的 OpsItems。您可以使用執行手冊來解決重複的 OpsItems。 為協助您解決重複的 OpsItems 並減少來源建立之 OpsItems 的數量,Systems Manager 提供了自動化執行手冊。如需相關資訊,請參閱[根據洞察解決重複 OpsItems](OpsCenter-working-operational-insights.md#OpsCenter-working-operational-insights-resolve)。 ## 編輯預設 EventBridge 規則中的重複資料刪除字串 使用下列處理程序指定以 OpsCenter 為目標之 EventBridge 規則的重複資料刪除字串。 **編輯 EventBridge 規則的重複資料刪除字串** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。 1. 在導覽窗格中,選擇**規則**。 1. 選擇規則,然後選擇 **Edit** (編輯)。 1. 前往 **Select target(s)** (選擇目標) 頁面。 1. 在 **Additional settings** (其他設定) 區段中,選擇 **Configure input transformer** (設定輸入轉換器)。 1. 在 **Template** (範本) 方塊中,尋找 `"operationalData": { "/aws/dedup"` JSON 項目和您要編輯的重複資料刪除字串。 EventBridge 規則中的重複資料刪除字串項目使用下列 JSON 格式。 ``` "operationalData": { "/aws/dedup": {"type": "SearchableString","value": "{\"dedupString\":\"Words the system should use to check for duplicate OpsItems\"}"}} ``` 請見此處範例。 ``` "operationalData": { "/aws/dedup": {"type": "SearchableString","value": "{\"dedupString\":\"SSMOpsCenter-EBS-volume-performance-issue\"}"}} ``` 1. 編輯重複資料刪除字串,然後選擇**確認**。 1. 選擇**下一步**。 1. 選擇**下一步**。 1. 選擇**更新規則**。 ## 使用 指定重複資料刪除字串 AWS CLI 當您OpsItem使用 AWS Systems Manager 主控台或 手動建立新的 時,可以指定重複資料刪除字串 AWS CLI。如需在主控台手動建立 OpsItem 時輸入重複資料刪除字串的詳細資訊,請參閱 [手動建立 OpsItems](OpsCenter-manually-create-OpsItems.md)。如果使用的是 AWS CLI,則可以為 `OperationalData` 參數輸入重複資料刪除字串。參數語法要使用 JSON,如下範例所示。 ``` --operational-data '{"/aws/dedup":{"Value":"{\"dedupString\": \"Words the system should use to check for duplicate OpsItems\"}","Type":"SearchableString"}}' ``` 這裡的範例命令會指定 `disk full` 的重複資料刪除字串。 ------ #### [ Linux & macOS ] ``` aws ssm create-ops-item \ --title "EC2 instance disk full" \ --description "Log clean up may have failed which caused the disk to be full" \ --priority 1 \ --source ec2 \ --operational-data '{"/aws/dedup":{"Value":"{\"dedupString\": \"disk full\"}","Type":"SearchableString"}}' \ --tags "Key=EC2,Value=ProductionServers" \ --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser" ``` ------ #### [ Windows ] ``` aws ssm create-ops-item ^ --title "EC2 instance disk full" ^ --description "Log clean up may have failed which caused the disk to be full" ^ --priority 1 ^ --source EC2 ^ --operational-data={\"/aws/dedup\":{\"Value\":\"{\\"""dedupString\\""":\\"""disk full\\"""}\",\"Type\":\"SearchableString\"}} ^ --tags "Key=EC2,Value=ProductionServers" --notifications Arn="arn:aws:sns:us-west-1:12345678:TestUser" ``` ------ # 分析操作洞察以減少 OpsItems OpsCenter *操作洞察*會顯示有關重複的 OpsItems 的資訊。OpsCenter 會自動分析您帳戶中的 OpsItems 並產生三種類型的*洞察結果*。您可以在 OpsCenter **摘要**索引標籤的**操作洞察**區段中檢視此資訊。 + **重複的 OpsItems**:當八個或更多 OpsItems 具有相同資源的相同標題時,便會產生一個洞察結果。 + **最常見的標題**:當超過 50 個 OpsItems 具有相同的標題時,便會產生一個洞察結果。 + **產生最多的資源 OpsItems** – 當 AWS 資源有超過 10 個開啟的 時,會產生洞見OpsItems。這些洞察結果及其對應的資源會顯示在 OpsCenter **摘要**索引標籤中的**產生最多 OpsItems 資源**表格中。資源會以 OpsItem 計數遞減的順序列出。 **注意** OpsCenter 會為下列資源類型建立**產生最多 OpsItems 的資源**洞察結果: Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 Amazon EC2 安全群組 Amazon EC2 Auto Scaling 群組 Amazon Relational Database Service (Amazon RDS) 資料庫 Amazon RDS 叢集 AWS Lambda 函數 Amazon DynamoDB 資料表 Elastic Load Balancing 負載平衡器 Amazon Redshift 叢集 AWS Certificate Manager 憑證 Amazon Elastic Block Store 磁碟區 OpsCenter 強制執行每種類型最多 15 個洞察結果的限制。如果某個類型達到此限制,則 OpsCenter 不再顯示該類型的更多洞察結果。若要檢視更多洞察結果,您必須解決與該類型的操作洞察結果相關聯的所有 OpsItems。如果因為 15 個洞察結果限制而無法在主控台中顯示某個待處理的洞察結果,則在關閉另一個洞察結果之後,該洞察結果就會顯示出來。 選擇洞察後,OpsCenter 會顯示受影響 OpsItems 和資源的相關資訊。以下螢幕擷取畫面顯示範例,其中包含重複 OpsItem 洞察的詳細資訊。 ![\[OpsCenter 洞察結果的詳細資訊檢視,其中包含 OpsItems 的相關資訊。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsCenter-insights-detailed.png) 操作洞察預設為關閉。如需有關使用操作洞察的詳細資訊,請參閱下列主題。 **Topics** + [啟用操作洞察](#OpsCenter-working-operational-insights-viewing) + [根據洞察解決重複 OpsItems](#OpsCenter-working-operational-insights-resolve) + [停用操作洞察](#OpsCenter-working-operational-insights-disable) ## 啟用操作洞察 您可以在 Systems Manager 主控台的 **OpsCenter** 頁面上啟用操作洞察。啟用操作洞察後,Systems Manager 會建立稱為 `AWSServiceRoleForAmazonSSM_OpsInsights` 的 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Systems Manager 的特殊 IAM 角色類型。服務連結角色是預先定義的,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。如需 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色的詳細資訊,請參閱[使用角色在 Systems Manager OpsCenter 中建立操作洞察 OpsItems](using-service-linked-roles-service-action-4.md)。 **注意** 記下以下重要資訊: 您的 AWS 帳戶 需支付操作洞察費用。如需詳細資訊,請參閱[AWS Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。 OpsCenter 會定期使用批次處理重新整理洞察。這表示顯示在 OpsCenter 中的洞察清單可能不同步。 使用以下程序以在 OpsCenter 中啟用和檢視操作洞察。 **啟用和檢視操作洞察** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 在**操作洞察可用**訊息方塊中,選擇**啟用**。如果您沒有看到此訊息,請向下捲動至**操作洞察**區段,然後選擇**啟用**。 1. 啟用此功能後,在**摘要**索引標籤上,向下捲動至**操作洞察**區段。 1. 若要檢視已篩選的洞察結果清單,請選擇**重複的 OpsItems**、**最常見的標題**或**產生最多 OpsItems 的資源**旁的連結。若要檢視所有洞察,請選擇 **View all operational insights** (檢視所有操作洞察)。 1. 選擇洞察 ID 以檢視詳細資訊。 ## 根據洞察解決重複 OpsItems 若要解決洞察,您必須先解決與洞察相關聯的所有 OpsItems。您可以使用 `AWS-BulkResolveOpsItemsForInsight` Runbook 來解決與洞察相關聯的 OpsItems。 為協助您解決重複的 OpsItems 並減少來源建立之 OpsItems 的數量,Systems Manager 提供了下列自動化執行手冊: + `AWS-BulkResolveOpsItems` Runbook 會解決符合指定篩選條件的 OpsItems。 + `AWS-AddOpsItemDedupStringToEventBridgeRule` 執行手冊新增了與指定 Amazon EventBridge 規則相關聯之所有 OpsItem 目標的重複資料刪除字串。如果規則已經有重複資料刪除字串,則執行手冊不會新增重複資料刪除字串。 + 如果規則產生數十或數百個 OpsItems,則 `AWS-DisableEventBridgeRule` 會關閉 EventBridge 中的規則。 **解決操作洞察結果** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 在 **Overview** (概觀) 索引標籤上,向下捲動至 **Operational insights** (操作洞察)。 1. 選擇**檢視所有操作洞察結果**。 1. 選擇洞察 ID 以檢視詳細資訊。 1. 選擇一個執行手冊,然後選擇**執行**。 ## 停用操作洞察 關閉操作洞察後,系統會停止建立新的洞察,並停止在主控台中顯示洞察。任何作用中的洞察都會在系統中保持不變,儘管您不會在主控台中看到這些資訊。如果再次啟用此功能,則系統會顯示先前未解決的洞察,並開始建立新的洞察。使用下列程序來關閉操作洞察。 **關閉操作洞察** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇**設定**。 1. 在 **Operational insights** (操作洞察) 區段中,選擇 **Edit** (編輯),然後切換 **Disable** (停用) 選項。 1. 選擇**儲存**。 # 檢視 OpsCenter 日誌和報告 AWS CloudTrail 會記錄 AWS Systems Manager OpsCenter對 主控台、 AWS Command Line Interface (AWS CLI) 和 SDK 的 API 呼叫。您可以在 CloudTrail 主控台中,或在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中檢視資訊。Amazon S3 會使用儲存貯體存放您帳戶的所有 CloudTrail 日誌。 OpsCenter 動作的日誌顯示建立、更新、取得和描述 OpsItem 活動。如需檢視和使用 Systems Manager 活動的 CloudTrail 日誌的詳細資訊,請參閱 [使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。 AWS Systems Manager OpsCenter 為您提供下列有關 的資訊OpsItems: + **OpsItem 狀態摘要** – 依狀態 (「待處理和正在進行」、「待處理」或「正在進行」) 提供 OpsItems 摘要。 + **最多開啟的來源 OpsItems** – 提供開啟 的頂端明細 AWS 服務 OpsItems。 + **OpsItems (依來源和存在時間) ** – 提供依來源和建立天數分組的 OpsItems 計數。 **檢視 OpsCenter 報告摘要** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 在 OpsItems **概觀**頁面上,選擇**摘要**。 1. 在 **OpsItems by source and age** (依來源和年齡的 OpsItem) 下,選擇搜尋列以根據 **Source** (來源) 篩選 OpsItems。使用清單來根據 **Status (狀態)** 進行篩選。 # 刪除 OpsItems 您可以使用 AWS Command Line Interface 或 AWS SDK OpsItem呼叫[刪除OpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteOpsItem.html) API 操作來刪除個人。您無法刪除 AWS 管理主控台中的 OpsItem。若要刪除 OpsItem,您的 AWS Identity and Access Management (IAM) 使用者、群組或角色必須具有管理員許可,或者您必須獲得呼叫 `DeleteOpsItem` API 操作的許可。 **重要** 請留意有關此操作的下列重要資訊。 刪除 OpsItem 是無法復原的動作。您無法復原已刪除的 OpsItem。 此操作會使用*最終一致性模式*,這表示系統可能需要幾分鐘的時間才能完成此操作。如果您刪除 OpsItem 並立即呼叫 (例如 [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)),則已刪除的 OpsItem 可能仍會出現在回應中。 此為等冪操作。如果您為相同的 OpsItem 重複呼叫此操作,則系統不會拋出異常。如果第一次呼叫成功,所有其他呼叫均會傳回與第一次呼叫相同的成功回應。 此操作不支援跨帳戶呼叫。委派管理員或管理帳戶無法刪除其他帳戶中的 OpsItems,即使 OpsCenter 已設定了跨帳戶管理亦然。如需有關跨帳戶管理的詳細資訊,請參閱 [(選用) 設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-setting-up-cross-account.md)。 如果您收到 `OpsItemLimitExceededException`,您就可以刪除一或多個 OpsItems,以減少低於配額限制的 OpsItems 總數。如需此例外狀況的詳細資訊,請參閱 [使用 OpsCenter 來疑難排解問題](OpsCenter-troubleshooting.md)。 ## 刪除 OpsItem 使用下列程序來刪除 OpsItem。 **刪除 OpsItem** 1. 如果您尚未安裝和設定 AWS CLI。如需詳細資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 1. 執行下列命令。以您要刪除的 OpsItem 之 ID 來取代 *ID*。 ``` aws ssm delete-ops-item --ops-item-id ID ``` 如果成功,此命令不會傳回任何資料。 # 修正 OpsItem 問題 使用 AWS Systems Manager Automation Runbook,您可以修復 中識別 AWS 的資源問題OpsItem。自動化使用預先定義的 Runbook 來修復 AWS 資源的常見問題。 每個 OpsItem 都包括**執行手冊**區段,其中提供了可用於修復的執行手冊清單。當您從清單中選擇 Automation 執行手冊時,OpsCenter 會自動顯示一些執行文件所需的欄位。執行 Automation 執行手冊時,系統會將執行手冊與 OpsItem 的相關資源建立關聯。Amazon EventBridge 建立 OpsItem 後,它會將執行手冊與該 OpsItem 建立關聯。OpsCenter 會為 OpsItem 保留 30 天的 Automation 執行手冊記錄。 您可以選擇狀態來檢視有關該執行手冊的重要詳細資訊,例如自動化失敗的原因,以及發生失敗時 Automation 執行手冊執行的步驟,如下列範例所示。 ![\[上次執行 Automation Runbook 的狀態資訊。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_automation_results.png) 所選 OpsItem 的 **Related resource details** (相關資源詳細資訊) 頁面包括 **Run automation** (執行自動化) 清單。您可以選擇最近或資源特定的 Automation 執行手冊進行執行以修復問題。此頁面也包含資料提供者,包括 Amazon CloudWatch 指標和警示、 AWS CloudTrail 日誌,以及來自 的詳細資訊 AWS Config。 ![\[「相關資源」索引標籤上可用的指標。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_automation_related_resource_details.png) 您可以在主控台中選擇 Runbook 名稱或使用 [Systems Manager Automation Runbook Reference](automation-documents-reference.md),檢視 Automation Runbook 資訊。 ## 使用執行手冊修復 OpsItem 在您使用 Automation 執行手冊來修復 OpsItem 問題之前,請執行下列動作: + 驗證您是否具有執行 Systems Manager Automation Runbook 的許可。如需詳細資訊,請參閱[設定自動化](automation-setup.md)。 + 收集要執行之自動化的資源特定 ID 資訊。例如,如果想要執行可重新啟動 EC2 執行個體的自動化,則必須指定要重新啟動的 EC2 執行個體 ID。 **執行 Automation Runbook 修復 OpsItem 問題** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇 OpsItem ID 以開啟詳細資訊頁面。 ![\[OpsCenter 概觀頁面上的新 OpsItem。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/OpsItems_working_scenario_1.png) 1. 捲動至 **Runbooks** 區段。 1. 使用搜尋列或右上角的號碼尋找您要執行的 Automation 執行手冊。 1. 選擇 Runbook,然後選擇 **Execute (執行)**。 1. 輸入執行手冊所需的資訊,然後選擇**提交**。 啟動執行手冊,系統會返回上一個畫面並顯示狀態。 1. 在**過去 30 天的 Automation 執行**區段中,選擇**執行 ID** 連結以檢視步驟和執行狀態。 ## 使用關聯的執行手冊修復 OpsItem 在您執行 OpsItem 的 Automation 執行手冊之後,OpsCenter 會將執行手冊與該 OpsItem 建立關聯。*相關聯*的執行手冊排名會高於**執行手冊**清單中的其他執行手冊。 使用下列處理程序執行已與 OpsItem 中相關資源建立關聯的 Automation Runbook。如需新增相關資源的資訊,請參閱 [管理 OpsItems](OpsCenter-working-with-OpsItems.md)。 **執行與資源相關聯之 Runbook 以修復 OpsItem 問題** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 開啟 OpsItem。 1. 在 **Related resources** (相關資源) 區段中,選擇您要執行 Automation Runbook 的資源。 1. 選擇 **Run automation** (執行自動化),然後選擇您要執行的相關聯 Automation Runbook。 1. 輸入 Runbook 所需的資訊,然後選擇 **Execute (執行)**。 啟動執行手冊,系統會返回上一個畫面並顯示狀態。 1. 在**過去 30 天的 Automation 執行**區段中,選擇**執行 ID** 連結以檢視步驟和執行狀態。 # 檢視 OpsCenter 摘要報告 AWS Systems Manager OpsCenter 包含會自動顯示下列資訊的摘要頁面: + **OpsItem 狀態摘要**:按狀態列出的 OpsItems 摘要,例如 `Open` 和 `In progress`。 + **有最多待處理 OpsItem 的來源 OpsItems**:有待處理 OpsItems 之前幾項 AWS 服務 的明細。 + **OpsItems (依來源和存在時間) **:依來源和建立天數分組的 OpsItems 計數。 **檢視 OpsCenter 摘要報告** 1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的主控台。[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 1. 在導覽窗格中,選擇 **OpsCenter**,然後選擇**摘要**索引標籤。 1. 在 **OpsItems (依來源和存在時間)** 區段中,執行下列操作: 1. (選用) 在篩選欄位中,選擇**來源**,選取 `Equal`、`Begin With`、或 `Not Equal`,然後輸入搜尋參數。 1. 在相鄰的清單中選取下列狀態值之一: + `Open` + `In progress` + `Resolved` + `Open and in progress` + `All` # 使用 OpsCenter 來疑難排解問題 本主題包含的資訊可協助您針對 OpsCenter 的常見錯誤和問題進行疑難排解。 ## 您收到 OpsItemLimitExceededException 如果您的 AWS 帳戶 已達到呼叫 CreateOpsItem API 操作時OpsItems允許的數目上限,您會收到 `OpsItemLimitExceededException`。如果您OpsItems的呼叫超過下列任一配額的 數目上限,則 會OpsCenter傳回例外狀況: + OpsItems AWS 帳戶 每個區域 (包括 `Open`和 `Resolved` OpsItems) 的總數:500,000 + OpsItems AWS 帳戶 每月數量上限:10,000 這些配額適用於從任何來源建立的 OpsItems,但下列項目除外: + OpsItems 由 AWS Security Hub CSPM 問題清單建立 + 當事件管理員事件開啟時自動生成的 OpsItems 從這些來源建立的 OpsItems 不會計入您的 OpsItem 配額中,但會針對每個 OpsItem 向您收取費用。 如果您收到 `OpsItemLimitExceededException`,您就可以手動刪除 OpsItems,直到您低於使您無法建立新 OpsItem 的配額為止。同樣地,刪除為 Security Hub CSPM 調查結果或 Incident Manager 事件OpsItems建立的 ,並不會減少配額OpsItems強制執行的總數。您必須從其他來源刪除 OpsItems。如需有關如何刪除 OpsItem 的資訊,請參閱 [刪除 OpsItems](OpsCenter-delete-OpsItems.md)。 ## 您收到來自 的大量 AWS 自動產生的大型帳單 OpsItems 如果您已設定與 的整合 AWS Security Hub CSPM, 會OpsItems為 Security Hub CSPM 調查結果OpsCenter建立 。根據 Security Hub CSPM 產生的調查結果數量,以及您在設定整合時登入的帳戶, OpsCenter可以產生大量 OpsItems,但需付費。以下是與 Security Hub CSPM 調查結果OpsItems所產生的相關更具體的詳細資訊: + 如果您在設定 OpsCenter和 Security Hub CSPM 整合時登入 Security Hub CSPM 管理員帳戶,系統會OpsItems為管理員*和*所有成員帳戶中的問題清單建立 。所有 OpsItems 都會*在管理員帳戶中*建立。取決於各種因素,這可能導致您需要向 AWS支付超乎預期的大帳單。 如果您在設定整合時使用成員帳戶登入,則系統只會針對該個別帳戶中的調查結果建立 OpsItems。如需 Security Hub CSPM 管理員帳戶、成員帳戶及其與 EventBridge 事件摘要之調查結果關聯的詳細資訊,請參閱*AWS Security Hub 《 使用者指南*》中的 [Security Hub CSPM 與 EventBridge 整合的類型](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-integration-types.html)。 + 針對每個建立 OpsItem 的調查結果,系統會按照標準價格向您收取建立 OpsItem 的費用。如果您編輯 OpsItem或在 Security Hub CSPM 中更新對應的調查結果 (這會觸發OpsItem更新),也會向您收取費用。 + OpsItems 與 整合所建立的 目前 AWS Security Hub CSPM *不受*區域中OpsItems每個帳戶 500,000 個配額上限的限制。因此,Security Hub CSPM 警示可以在帳戶中OpsItems的每個區域中建立超過 500,000 個收費項目。 因此,對於高生產環境,我們建議將 Security Hub CSPM 問題清單的範圍限制為僅高嚴重性的問題。 **重要** 如果您認為大量 OpsItems 是錯誤建立的,且您的 AWS 帳單未經保證,請聯絡 支援。 如果您不再希望系統OpsItems為 Security Hub CSPM 調查結果建立 ,請使用下列程序。 **停止接收 Security Hub OpsItems CSPM 問題清單** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **OpsCenter**。 1. 選擇**設定**。 1. 在 **Security Hub CSPM 調查結果**區段中,選擇**編輯。** 1. 選擇滑桿以將**已啟用**變更為**已停用**。如果您無法切換滑桿,表示您的 尚未啟用 Security Hub CSPM AWS 帳戶。 1. 選擇**儲存**以儲存您的組態。 OpsCenter 不再OpsItems根據 Security Hub CSPM 調查結果建立 。 **重要** 如果 將設定OpsCenter切換回**已啟用**並繼續OpsItems為問題清單建立,請登入 Systems Manager 委派管理員帳戶或 AWS Organizations 管理帳戶,然後重複此程序。如果您沒有登入這些帳戶的許可,請聯絡您的系統管理員,並要求他們重複此程序以停用帳戶的整合功能。