Verwendung von Migrations-Runbooks für OpsCenter - Incident Manager
Überblick über die MigrationSchritt 1: Stellen Sie die Vorlage bereit CloudFormationSchritt 2: CloudWatch Alarme und EventBridge Regeln migrierenSchritt 3: Überprüfen Sie Ihre MigrationSchritt 4: Bereinigen Sie die Incident Manager-RessourcenÜberwachung und ProblembehebungHäufig gestellte FragenZugehörige Ressourcen

AWS Systems Manager Incident Manager steht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems Manager Incident Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Migrations-Runbooks für OpsCenter

Dieses Handbuch enthält step-by-step Anweisungen zur Migration Ihrer CloudWatch Amazon-Alarme und EventBridge Amazon-Regeln von AWS Systems Manager Incident Manager zur AWS Systems Manager OpsCenter Verwendung automatisierter Migrations-Runbooks.

Einen Überblick über die OpsCenter Funktionen und Informationen zu den Unterschieden zwischen Incident Manager und OpsCenter finden Sie unter. Migration zu AWS Systems Manager OpsCenter

Überblick über die Migration

Der Migrationsprozess verwendet Systems Manager Automation-Runbooks, um Ihre vorhandenen CloudWatch Alarme und EventBridge Regeln in zu integrieren. OpsCenter Der Prozess umfasst die folgenden Schritte:

  • Infrastruktur bereitstellen — Stellen Sie den CloudFormation Stack bereit, um die erforderlichen Ressourcen für die Migrations-Runbooks zu erstellen.

  • CloudWatch Alarme und EventBridge Regeln migrieren — Führen Sie die Automatisierungs-Runbooks aus, zu denen Sie Ihre Ressourcen migrieren möchten. OpsCenter

  • Ressourcen bereinigen — Löschen Sie optional das Replication Set und andere Incident Manager-Ressourcen.

Anmerkung

Die Runbooks unterstützen die Migration für ein einzelnes Konto-Region-Paar. Wenn Sie über Ressourcen in mehreren Konten oder Regionen verfügen, müssen Sie die Migration für jede Kombination aus Konto und Region separat ausführen.

Schritt 1: Stellen Sie die Vorlage bereit CloudFormation

Stellen Sie die CloudFormation Vorlage bereit, um die IAM-Rolle, den Amazon S3-Bucket und das Amazon SNS SNS-Thema zu erstellen, die für die Migrations-Runbooks erforderlich sind.

Erforderliche IAM-Berechtigungen

Um diese CloudFormation Vorlage bereitzustellen, benötigen Sie IAM-Berechtigungen für CloudFormation Stack-Operationen (cloudformation:CreateStack,cloudformation:DescribeStacks), IAM-Rollenmanagement (iam:CreateRole,,,iam:PassRole) iam:PutRolePolicyiam:AttachRolePolicy, Amazon S3 S3-Bucket-Erstellung und -Konfiguration (s3:CreateBucket,s3:PutBucket*) und Amazon SNS SNS-Themenoperationen (sns:CreateTopic,,sns:Subscribe). sns:SetTopicAttributes

Vollständige Informationen zu CloudFormation Berechtigungen finden Sie in der Referenz zu CloudFormation Berechtigungen im CloudFormation Benutzerhandbuch.

So stellen Sie die CloudFormation Vorlage mithilfe der Konsole bereit

  1. Laden Sie die MigrationResourcesAWS-.zip-Datei herunterIncidentManager, die die AWS-IncidentManager-MigrationResources.yaml Vorlage enthält, und extrahieren Sie sie.

  2. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie im Abschnitt Specify template (Vorlage angeben) die Option Upload a template file (Vorlagendatei hochladen) aus.

  5. Wählen Sie Datei auswählen und wählen Sie dann die AWS-IncidentManager-MigrationResources.yaml Datei aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite „Stack-Details angeben“ Folgendes ein:

    • Stackname — Geben Sie einen Namen ein (z. B.im-migration-infrastructure)

    • ApprovalEmail- Geben Sie die E-Mail-Adresse für den Empfang von Genehmigungsbenachrichtigungen ein (wird nur verwendet, wenn der RequireManualApproval Runbook-Parameter auf true gesetzt ist).

    • IsPrimaryMigrationRegion- Wählen Sie aus, true ob dies die erste Region in Ihrem Konto ist, in der Sie den Stack bereitstellen, andernfalls wählen Sie false

  8. Wählen Sie Weiter aus.

  9. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  10. Scrollen Sie auf der Bewertungsseite nach unten und wählen Sie Ich bestätige, dass CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.

  11. Wählen Sie Absenden aus.

CloudFormation zeigt den CREATE_IN_PROGRESS Status an. Der Status ändert sich zu dem CREATE_COMPLETE Zeitpunkt, an dem der Stapel bereit ist.

Anmerkung

Wenn Sie CloudWatch Alarme oder EventBridge Regeln in mehreren Regionen haben, stellen Sie diesen CloudFormation Stack in jeder Region bereit, in der Sie die Migration durchführen möchten.

Verwenden Sie für AWS unternehmensweite Bereitstellungen mit mehreren Konten zwei: CloudFormation StackSets

  • Primär StackSet — Für eine Region IsPrimaryMigrationRegion pro Konto auf „true“ setzen

  • Sekundär StackSet — Für alle anderen Regionen IsPrimaryMigrationRegion auf „Falsch“ gesetzt

Anweisungen finden Sie CloudFormation StackSets im CloudFormation Benutzerhandbuch unter Arbeiten mit.

Um die CloudFormation Vorlage mit dem zu implementieren AWS CLI

Verwenden Sie für die erste Region in Ihrem Konto den folgenden Befehl:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Stellen Sie für weitere Regionen in demselben Konto Folgendes IsPrimaryMigrationRegion einfalse:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Um den Stack-Status zu überprüfen:


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Warten Sie, bis der Befehl zurückkehrt, CREATE_COMPLETE bevor Sie mit dem nächsten Schritt fortfahren.

Schritt 2: CloudWatch Alarme und EventBridge Regeln migrieren

Verwenden Sie die Systems Manager Automation-Runbooks, um Ihre CloudWatch Alarme und EventBridge Regeln von Incident Manager zu zu OpsCenter migrieren.

Runbooks für die Migration

Weitere Informationen zur Funktionsweise dieser Runbooks, einschließlich detaillierter Schrittbeschreibungen, Eingabeparameter und Ausgaben, finden Sie in der Runbook-Dokumentation.

So funktionieren die Runbooks

Beide Migrations-Runbooks folgen demselben Workflow:

  • Erkennung und Batching — Erkennt alle CloudWatch Alarme oder EventBridge Regeln, die mit den Aktionen des Incident Manager-Reaktionsplans konfiguriert sind, und organisiert sie in konfigurierbaren Batches.

  • Manuelle Genehmigung (optional) — In der Standardeinstellung ist eine ausdrückliche Genehmigung erforderlich, bevor mit der Migration fortgefahren werden kann. Das Timeout beträgt 24 Stunden. Eine Amazon SNS SNS-Benachrichtigung wird an die bei der CloudFormation Bereitstellung angegebene E-Mail-Adresse gesendet. Alle Konfigurationen werden auf Amazon S3 gesichert, und die vollständige Liste der zu migrierenden Ressourcen wird zur manuellen Überprüfung gespeichert. Dieser Schritt kann übersprungen werden, indem die Einstellung auf „False“ RequireManualApproval gesetzt wird.

  • Backup und Migration — Wenn die manuelle Genehmigung auf „true“ gesetzt ist, wird auf die Genehmigung gewartet. Anschließend wird jede Konfiguration auf Amazon S3 gesichert und die Migration durchgeführt. Wenn dieser Wert auf „False“ gesetzt ist, wird direkt mit der Sicherung und Migration fortgefahren.

Eingabeparameter

Beide Runbooks benötigen die folgenden Parameter:

AutomationAssumeRole (Erforderlich)

Der ARN des vom CloudFormation Stack IM-Migration-Automation-Role erstellten.

ApproverArn (Erforderlich)

Der ARN der IAM-Rolle oder des Benutzers, der die Migration überprüfen und genehmigen kann.

S3 BucketName (erforderlich)

Der Name des Amazon S3 S3-Buckets, der vom CloudFormation Stack erstellt wurde.

SNSTopicArn (Erforderlich)

Der ARN des Amazon SNS SNS-Themas, das vom CloudFormation Stack erstellt wurde.

MaxNumberOfAlarmsToMigrate oder MaxNumberOfRulesToMigrate (optional)

Die maximale Anzahl von Ressourcen, die in einer einzigen Ausführung migriert werden sollen. Gültige Werte: 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Standard: 10000.

BatchSize (Fakultativ)

Die Anzahl der Ressourcen, die in jedem Stapel verarbeitet werden sollen. Gültige Werte: 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Standard: 100. Das Runbook unterstützt maximal 100 × BatchSize Ressourcen pro Ausführung.

RequireManualApproval (Fakultativ)

Boolescher Wert, um zu steuern, ob vor der Migration eine manuelle Genehmigung erforderlich ist. Wenn diese Option auf true (Standard) gesetzt ist, erhalten Sie eine Amazon SNS-Benachrichtigungs-E-Mail mit dem Amazon S3-Speicherort der Ressourcenliste und einem Link zur Automation-Ausführungskonsole zur Genehmigung, Ablehnung oder Stornierung. Wenn diese Option auf „False“ gesetzt ist, wird das Runbook nach der Erkennung und Sicherung automatisch fortgesetzt. Gültige Werte: true, false. Standard: true

Um mit der Konsole zu migrieren

  1. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager.

  2. Klicken Sie im Navigationsbereich auf Automation.

  3. Suchen Sie nach dem Runbook-Namen (oder). AWS-MigrateIncidentManagerCloudWatchAlarms AWS-MigrateIncidentManagerEventBridgeRules

  4. Wählen Sie Automatisierung ausführen.

  5. Geben Sie die Parameterwerte aus Ihren CloudFormation Stack-Ausgaben ein.

  6. (Optional) Stellen Sie diese Option ein RequireManualApproval, false wenn Sie den manuellen Genehmigungsschritt überspringen möchten.

  7. Wählen Sie Ausführen.

  8. Wenn diese RequireManualApproval Option auf „true“ gesetzt ist (Standardeinstellung), erhalten Sie eine E-Mail-Benachrichtigung, wenn die Ausführung auf eine manuelle Überprüfung wartet. Die E-Mail enthält einen Genehmigungslink zur Seite der Automation Execution Console. Überprüfen Sie die Ressourcenliste im Amazon S3 S3-Bucket und genehmigen, verweigern oder stornieren Sie sie dann innerhalb von 24 Stunden entweder über den E-Mail-Link oder die Konsolenseite. Die Migration wird erst nach der Genehmigung fortgesetzt. Wenn der Wert auf false gesetzt ist, wird die Migration nach dem Backup automatisch fortgesetzt.

  9. Warten Sie, bis sich der Ausführungsstatus auf Erfolgreich ändert.

Um mit dem zu migrieren AWS CLI

Für CloudWatch Alarme:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Für EventBridge Regeln:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

So überprüfen Sie die Ressourcenliste in Amazon S3:


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Wenn diese RequireManualApproval Option auf „true“ gesetzt ist, überprüfen Sie die Ressourcenliste und genehmigen Sie die Migration, indem Sie auf den Genehmigungslink in der E-Mail-Benachrichtigung oder auf der Seite der Automation-Ausführungskonsole klicken. Wenn der Wert auf „False“ gesetzt ist, wird die Migration nach dem Backup automatisch fortgesetzt.

Schritt 3: Überprüfen Sie Ihre Migration

Stellen Sie nach Abschluss der Migration sicher, dass Ihre Ressourcen ordnungsgemäß funktionieren:

  • Einen Testalarm oder ein Testereignis auslösen — Aktivieren Sie einen Ihrer migrierten CloudWatch Alarme oder EventBridge Regeln, um eine Testbenachrichtigung zu generieren.

  • OpsItem Erstellung bestätigen — Stellen Sie sicher, dass automatisch eine erstellt OpsItem wird, OpsCenter wenn der Alarm oder das Ereignis ausgelöst wird.

  • Überprüfen Sie die Schweregradzuweisung — Vergewissern Sie sich, dass der Schweregrad aus Ihrer ursprünglichen Incident Manager-Konfiguration in der korrekt beibehalten wurde OpsItem. (Gilt nur für CloudWatch Alarme).

Schritt 4: Bereinigen Sie die Incident Manager-Ressourcen

Nachdem Sie Ihre CloudWatch Alarme und EventBridge Regeln erfolgreich migriert haben, können Sie optional die Incident Manager-Ressourcen bereinigen, um sie vollständig vom Service zu entfernen.

Ausführliche Anweisungen zum Löschen des Replication Sets, der Reaktionspläne, Kontakte, Runbooks und anderer Incident Manager-Ressourcen finden Sie unter. Aufräumen der Incident Manager-Ressourcen

CloudFormation Stapel löschen (optional)

Sie können die CloudFormation Stacks löschen, um die für die Migration erstellte IAM-Rolle, das Amazon SNS SNS-Thema und den Amazon S3 S3-Bucket zu entfernen.

Wichtig

Der Amazon S3 S3-Bucket, der Backups aller migrierten Ressourcen enthält, muss vor dem Löschen des Stacks geleert werden. CloudFormation Amazon S3 S3-Buckets, die Objekte enthalten, können nicht gelöscht werden.

Um den Stapel zu löschen CloudFormation 


aws cloudformation delete-stack --stack-name <your-stack-name>

Überwachung und Problembehebung

CloudWatch Protokolle — Migrationsaktivitäten werden in Logs CloudWatch protokolliert:

  • CloudWatch Alarme: /aws/ssm/incidentmanager/cwmigration

  • EventBridge Regeln: /aws/ssm/incidentmanager/ebmigration

Amazon S3-Backup-Struktur — Alle Konfigurationen werden vor der Migration auf Amazon S3 gesichert:


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Häufig auftretende Probleme:

  • Amazon SNS SNS-Benachrichtigung nicht erhalten (wenn RequireManualApproval =true) — Überprüfen Sie das Amazon SNS SNS-Themenabonnement:

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Teilweise Fehler bei der Migration — Suchen Sie in den CloudWatch Protokollen nach detaillierten Fehlermeldungen und versuchen Sie erneut, die Automatisierung mit einer reduzierten Batchgröße durchzuführen.

Rollback-Verfahren:

Wenn Sie die Migration rückgängig machen müssen:

  • Backups von Amazon S3 abrufen:

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Ressourcen wiederherstellen:

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Häufig gestellte Fragen

F: Was passiert, wenn bei der Automatisierung während der Genehmigung ein Timeout auftritt?

A: Die Automatisierung läuft nach 24 Stunden ab, wenn keine Genehmigung eingeht. Sie können die Automatisierung mit denselben Parametern neu starten.

F: Kann ich Ressourcen zwischen Regionen migrieren?

A: Nein. Jede Region muss mithilfe regionsspezifischer Automatisierungsausführungen separat migriert werden.

F: Wie lange dauert die Migration?

A: Die Migrationszeit hängt von der Anzahl der Ressourcen ab:

  • ~100 Alarme/Regeln: 5-10 Minuten

  • ~1000 Alarme/Regeln: 30-60 Minuten

  • ~10000 Alarme/Regeln: 2-4 Stunden

F: Wird der Schweregrad nach der Migration zu beibehalten? OpsCenter

A: Ja. Der im Incident Manager-Reaktionsplan für die Auswirkungsstufen konfigurierte Schweregrad wird beibehalten und während der CloudWatch Alarmmigration automatisch den entsprechenden OpsCenter Schweregraden zugeordnet. Dies gilt nicht für EventBridge Regeln.

F: Wird mir die Ausführung der Automation-Runbooks in Rechnung gestellt?

A: Nein. Für die Runbooks zur Migrationsautomatisierung fallen keine Ausführungsgebühren an. Für die OpsCenter Nutzung nach der Migration fallen jedoch Gebühren an. Einzelheiten finden Sie in der Preisdokumentation für Systems Manager.