`AWSPremiumSupport-OnboardWorkloadToIDR`

Beschreibung

Das AWSPremiumSupport-OnboardWorkloadToIDRRunbook unterstützt AWS Enterprise Support-Kunden dabei, mithilfe von Incident Detection and Response einen Workload für die Überwachung und das Management kritischer AWS Vorfälle zu integrieren. Ein Workload kann als eine Sammlung von AWS Ressourcen definiert werden, die einer AWS Ressourcengruppe oder einer AWS Service AppRegistry Catalog-Anwendung zugeordnet sind. Wenn keine AWS Ressourcengruppe oder eine AWS Service AppRegistry Catalog-Anwendung angegeben ist, erstellt das Runbook in Ihrem Namen mithilfe von Tagfiltern oder der AWS CloudFormation Stack-ID, deren Ressourcen Sie in die Gruppe aufnehmen möchten, eine Ressourcengruppe. Wenn Sie den Parameter CreateApplicationInsights auf setzenYes, stellt die Automatisierung eine Amazon CloudWatch Application Insights-Anwendung bereit, die verwendet AWS CloudFormation. CloudWatch Application Insights richtet empfohlene Metriken und Protokolle für ausgewählte Anwendungsressourcen mithilfe von CloudWatch Amazon-Statistiken, Protokollen und Ereignissen für Benachrichtigungen zu erkannten Problemen ein.

Wichtig

Dieses Runbook führt abhängig von den angegebenen Eingabeparametern die folgenden Aktionen in Ihrem Konto aus:

Erstellt eine neue AWS Ressourcengruppe unter Verwendung von „ AWS CloudFormation if“ ResourceGroupName oder AppRegistryApplication „not“. Nachdem der Stack erstellt wurde, versucht das Runbook, den Kündigungsschutz einzurichten.
Kennzeichnet die dem Workload zugeordnete AWS Ressourcengruppe, einschließlich des aws_idr Tags.
Erstellt eine auf Amazon CloudWatch Application Insights Resource basierende Anwendung, wenn der CreateApplicationInsights Eingabeparameter auf Yes gesetzt ist. Nachdem der Stack erstellt wurde, versucht das Runbook, den Terminierungsschutz für den Stack festzulegen.
Installiert die AWSServiceRoleForHealth_EventProcessor Service-Linked Role (SLR), um Zugriff auf Incident Detection and Response für die Erfassung von Warnmeldungen zu gewähren, wenn der InstallServiceLinkedRole Eingabeparameter auf gesetzt ist. Yes
Erstellt einen AWS Supportfall mit AWS Incident Detection and Response.

Wichtig

Um dieses Runbook nutzen und AWS Incident Detection and Response nutzen zu können, benötigen Sie ein AWS Enterprise Support (gegen Aufpreis) oder ein Unified Operations-Abonnement. Weitere Informationen finden Sie unter Support Tarife vergleichen.

Wie funktioniert es?

Das Runbook führt die folgenden allgemeinen Schritte aus:

Prüft, ob der aktuelle AWS Account Support Plan Enterprise ist; andernfalls endet die Automatisierung.
Legt anhand der angegebenen Parameter fest, ob eine vorhandene AWS Ressourcengruppe verwendet oder eine neue erstellt werden soll.
Generiert beim Erstellen einer neuen Ressourcengruppe eine AWS CloudFormation Vorlage und erstellt den Stapel mit den entsprechenden Tags.
Versieht die Ressourcengruppe mit den erforderlichen AWS Incident-Detection- und Response-Tags.
Installiert optional die serviceverknüpfte Rolle für AWS Incident Detection and Response.
Erstellt optional eine Amazon CloudWatch Application Insights-Anwendung für eine verbesserte Überwachung.
Erstellt einen AWS Support-Fall, um den Onboarding-Prozess abzuschließen.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

cloudformation:CreateStack
cloudformation:DescribeStackResource
cloudformation:DescribeStacks
cloudformation:UpdateTerminationProtection
iam:CreateServiceLinkedRole
resource-groups:CreateGroup
resource-groups:GetGroup
resource-groups:TagResource
servicecatalog-appregistry:GetApplication
support:CreateCase
support:DescribeSeverityLevels
support:DescribeServices
support:DescribeSupportLevel

Beispiel für eine Richtlinie:


{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

Navigieren Sie AWSPremiumSupport-OnboardWorkloadToIDRim Systems Manager unter Dokumente zu.
Wählen Sie Execute automation (Automatisierung ausführen).
Geben Sie für die Eingabeparameter Folgendes ein:
- AutomationAssumeRole (Fakultativ):
  - Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
  - Typ: AWS::IAM::Role::Arn
- WorkloadName (Erforderlich):
  - Beschreibung: (Erforderlich) Der Name des Workloads. Wenn nicht angegeben, ResourceGroupName wird der Workload-Name verwendet, um eine neue AWS Ressourcengruppe mit dem Namen einzurichtenIDR-AWS-<WorkloadName>.
  - Typ: String
  - Muster zulassen: ^[a-zA-Z0-9_-]{1,128}$
- WorkloadDescription (Erforderlich):
  - Beschreibung: (Erforderlich) Die Beschreibung des Workloads. Geben Sie eine kurze Beschreibung ein, um die Anwendungsfälle dieses Workloads detailliert zu beschreiben. Bitte geben Sie den primären Endbenutzer und die Funktion dieses Workloads an.
  - Typ: String
  - Muster zulassen: ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$
- AppRegistryApplication (Fakultativ):
  - Beschreibung: (Optional) Der Name oder die ID der AWS Service AppRegistry Catalog-Anwendung. Falls nicht angegeben, müssen Sie eine Eingabe für angebenResourceGroupName.
  - Typ: String
  - Muster zulassen: ^$|^[a-zA-Z0-9.-_]{1,128}$
  - Standard: ""
- ResourceGroupName (Fakultativ):
  - Beschreibung: (Optional) Der Name einer vorhandenen AWS Ressourcengruppe, falls er nicht angegeben AppRegistryApplication wird. Wenn Sie eine Ressourcengruppe erstellen möchten, müssen Sie eine Eingabe für eine neue Ressourcengruppe angeben TagFilters und optional ResourceTypeFilters eine neue AWS Ressourcengruppe erstellen.
  - Typ: String
  - Muster zulassen: ^$|^[a-zA-Z0-9_.-]{1,128}$
  - Standard: ""
- TagFilters (Bedingt):
  - Beschreibung: (Bedingt) Die Liste der Paare key/values (Zeichenfolge/Zeichenkettenliste), die mit den Tags verglichen werden, die an Ihre AWS Ressourcen angehängt sind. Dieser Parameter wird verwendet, um eine neue AWS Ressourcengruppe zu erstellen, wenn Sie kein ResourceGroupName vorhandenes oder angeben. AppRegistryApplication
  - Typ: StringMap
- ResourceTypeFilters (Bedingt):
  - Beschreibung: (Bedingt) Die Liste der Ressourcentypen, die von Resource Groups unterstützt werden.
  - Typ: StringList
  - Max. Anzahl Artikel: 10
  - Standard: AWS::AllSupported
- InstallServiceLinkedRole (Fakultativ):
  - Beschreibung: (Optional) Wählen Sie Yes diese Option, um die AWSServiceRoleForHealth_EventProcessor serviceverknüpfte Rolle (SLR) zu installieren.
  - Typ: String
  - Zulässige Werte: [Yes,No]
  - Standard: No
- CreateApplicationInsights (Fakultativ):
  - Beschreibung: (Optional) Wählen Sie Yes diese Option, um eine auf Amazon CloudWatch Application Insights Resource basierende Anwendung auf Gruppenbasis zu erstellen.
  - Typ: String
  - Zulässige Werte: [Yes,No]
  - Standard: No
- ComplianceAndRegulatoryRequirements (Erforderlich):
  - Beschreibung: (Erforderlich) Geltende and/or regulatorische Compliance-Anforderungen für diesen Workload und alle Maßnahmen, die AWS nach einem Vorfall erforderlich sind.
  - Typ: String
  - Muster zulassen: ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$
- Nicht AWSComponents (optional):
  - Beschreibung: (Optional) Geben Sie bitte alle lokalen Komponenten oder AWS Komponenten anderer Anbieter für diesen Workload an? Falls ja, um welche handelt es sich dabei und welche Funktionen erfüllen sie?
  - Typ: String
  - Muster zulassen: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$
  - Standard: ""
- UpstreamDownstreamDependencies (Fakultativ):
  - Beschreibung: (Optional) Einzelheiten zu allen upstream/downstream Komponenten, die nicht integriert sind und sich bei einem Ausfall auf diese Arbeitslast auswirken könnten.
  - Typ: String
  - Muster zulassen: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$
  - Standard: ""
- FailoverDisasterRecoveryPlan (Fakultativ):
  - Beschreibung: (Optional) Geben Sie Einzelheiten zu allen manuellen oder automatisierten failover/disaster Wiederherstellungsplänen auf AZ- und regionaler Ebene an.
  - Typ: String
  - Muster zulassen: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$
  - Standard: ""
- BridgeDetails (Fakultativ):
  - Beschreibung: (Optional) Die statische incident/crisis Verwaltungsbrücke, die von Ihrem Unternehmen eingerichtet wurde. Wenn Sie eine nicht statische Bridge verwenden, geben Sie Ihre bevorzugte Anwendung an. Diese Informationen AWS werden bei einem Vorfall abgefragt.
  - Typ: String
  - Zulässige Werte: [Amazon Chime bridge, Non-Static bridge, Static bridge]
  - Standard: Amazon Chime bridge
- SubscriptionStartDate (Erforderlich):
  - Beschreibung: (Erforderlich) Das Datum im YYYY-MM-DD Format, an dem Sie Ihr Abonnement für AWS Incident Detection and Response starten möchten.
  - Typ: String
  - Muster zulassen: ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$
Wählen Sie Ausführen aus.
Die Automatisierung wird initiiert.
Das Dokument führt die folgenden Schritte aus:
- AWSSupportPlan überprüfen:
  
  Prüft, ob der aktuelle AWS Account Support Plan Enterprise ist; andernfalls endet die Automatisierung.
- BranchOnResourceGroup:
  
  Verzweigt die Automatisierung danach, ob eine bestehende AWS Ressourcengruppe bereitgestellt wurde. Falls nicht angegeben, erstellt die Automatisierung eine neue AWS Ressourcengruppe.
- GetAppRegistryApplication:
  
  Ruft Metadateninformationen über die AWS Service AppRegistry Catalog-Anwendung ab, sofern diese bereitgestellt werden.
- GenerateResourceGroupTemplate:
  
  Generiert eine AWS CloudFormation Vorlage für die AWS Ressourcengruppe mit den angegebenen Tagfiltern.
- CreateResourceGroup:
  
  Erstellt eine neue AWS Ressourcengruppe mithilfe von AWS CloudFormation.
- TagResourceGroup:
  
  Kennzeichnet die Ressourcengruppe mit den erforderlichen IDR-Tags ( AWS Incident Detection and Response).
- InstallServiceLinkedRole:
  
  Installiert auf AWS Anfrage die dienstbezogene Rolle Incident Detection and Response (IDR).
- CreateApplicationInsightsApplication:
  
  Erstellt auf Anfrage eine Amazon CloudWatch Application Insights-Anwendung.
- CreateAwsSupportCase:
  
  Erstellt einen AWS Supportfall mit AWS Incident Detection and Response.
Nach Abschluss der Ausführung finden Sie im Abschnitt Outputs die detaillierten Ergebnisse der Ausführung.

Referenzen

Systems Manager Automation

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erkennung und Reaktion auf Vorfälle

Amazon Kinesis Data Streams