Uso de manuales de migración para OpsCenter - Incident Manager
Información general sobre la migraciónPaso 1: Implemente la plantilla CloudFormationPaso 2: migrar CloudWatch las alarmas y EventBridge las reglasPaso 3: Verifica la migraciónPaso 4: Limpiar los recursos de Incident ManagerSupervisión y solución de problemasPreguntas frecuentesRecursos relacionados

Administrador de incidentes de AWS Systems Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de Administrador de incidentes de AWS Systems Manager.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de manuales de migración para OpsCenter

En esta guía se proporcionan step-by-step instrucciones para migrar las CloudWatch alarmas y las EventBridge reglas de Amazon de AWS Systems Manager Incident Manager a AWS Systems Manager OpsCenter utilizar guías de migración automatizadas.

Para obtener una descripción general de OpsCenter las capacidades y comprender las diferencias entre Incident Manager y OpsCenter, consulte. Migración a AWS Systems Manager OpsCenter

Información general sobre la migración

El proceso de migración utiliza los manuales de automatización de Systems Manager para integrar sus CloudWatch alarmas y EventBridge reglas existentes. OpsCenter El proceso consta de los pasos siguientes:

  • Implemente la infraestructura: implemente la CloudFormation pila para crear los recursos necesarios para los manuales de migración.

  • Migre las CloudWatch alarmas y EventBridge las reglas: ejecute los manuales de automatización a los que desee migrar sus recursos. OpsCenter

  • Limpie los recursos: si lo desea, elimine el conjunto de replicación y otros recursos de Incident Manager.

nota

Los manuales admiten la migración de un solo par de cuenta-región. Si tiene recursos en varias cuentas o regiones, debe ejecutar la migración por separado para cada combinación de cuentas y regiones.

Paso 1: Implemente la plantilla CloudFormation

Implemente la CloudFormation plantilla para crear el rol de IAM, el bucket de Amazon S3 y el tema de Amazon SNS requeridos en los manuales de migración.

Permisos de IAM necesarios

Para implementar esta CloudFormation plantilla, necesita permisos de IAM para las operaciones de CloudFormation pila (cloudformation:CreateStack,cloudformation:DescribeStacks), la administración de roles de IAM (iam:CreateRole,,iam:PassRole) iam:PutRolePolicyiam:AttachRolePolicy, la creación y configuración de buckets de Amazon S3 (s3:CreateBucket,s3:PutBucket*) y las operaciones temáticas de Amazon SNS sns:CreateTopic (sns:Subscribe,,). sns:SetTopicAttributes

Para obtener información completa sobre los CloudFormation permisos, consulte la referencia sobre CloudFormation los permisos en la Guía del CloudFormation usuario.

Para implementar la CloudFormation plantilla mediante la consola

  1. Descargue y extraiga el archivo AWS- IncidentManager - MigrationResources .zip que contiene la AWS-IncidentManager-MigrationResources.yaml plantilla.

  2. Abra la CloudFormation consola en https://console.aws.amazon.com/cloudformation.

  3. Seleccione Crear pila.

  4. En la sección Specify template (Especificar plantilla) seleccione Upload a template file (Cargar un archivo de plantilla).

  5. Elija Elegir archivo y, a continuación, seleccione el AWS-IncidentManager-MigrationResources.yaml archivo.

  6. Elija Siguiente.

  7. En la página Especificar los detalles de la pila, introduzca lo siguiente:

    • Nombre de pila: introduzca un nombre (por ejemplo,im-migration-infrastructure)

    • ApprovalEmail- Introduzca la dirección de correo electrónico para recibir las notificaciones de aprobación (solo se utiliza cuando el parámetro RequireManualApproval runbook está establecido en true).

    • IsPrimaryMigrationRegion- Elige true si esta es la primera región de tu cuenta en la que vas a implementar la pila; de lo contrario, elige false

  8. Elija Siguiente.

  9. En la página Configurar opciones de pila, elija Siguiente.

  10. En la página de revisión, desplázate hacia abajo y selecciona Reconozco que CloudFormation podría crear recursos de IAM con nombres personalizados.

  11. Seleccione Enviar.

CloudFormation muestra el CREATE_IN_PROGRESS estado. El estado cambia a CREATE_COMPLETE cuando la pila está lista.

nota

Si tiene CloudWatch alarmas o EventBridge reglas en varias regiones, implemente esta CloudFormation pila en cada región en la que desee realizar la migración.

Para despliegues con varias cuentas en AWS Organizations, usa dos: CloudFormation StackSets

  • Principal StackSet: se establece en True IsPrimaryMigrationRegion para una región por cuenta

  • Secundario StackSet: se establece en falso IsPrimaryMigrationRegion para todas las demás regiones

Para obtener instrucciones, consulte Utilización CloudFormation StackSets en la Guía CloudFormation del usuario.

Para implementar la CloudFormation plantilla mediante el AWS CLI

Para la primera región de tu cuenta, usa el siguiente comando:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Para regiones adicionales de la misma cuenta, establézcalo IsPrimaryMigrationRegion enfalse:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Para verificar el estado de la pila:


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Espere a que vuelva el comando CREATE_COMPLETE antes de continuar con el siguiente paso.

Paso 2: migrar CloudWatch las alarmas y EventBridge las reglas

Utilice los manuales de automatización de Systems Manager para migrar sus CloudWatch alarmas y EventBridge reglas de Incident Manager a OpsCenter.

Cuadernos de migración

Para obtener más información sobre lo que hacen estos manuales de ejecución, incluidas las descripciones detalladas de los pasos, los parámetros de entrada y los resultados, consulte la documentación del manual de ejecución.

Cómo funcionan los manuales de ejecución

Ambos manuales de migración siguen el mismo flujo de trabajo:

  • Detección y procesamiento por lotes: descubre todas las CloudWatch alarmas o EventBridge reglas configuradas con las acciones del plan de respuesta de Incident Manager y las organiza en lotes configurables.

  • Aprobación manual (opcional): de forma predeterminada, se requiere una aprobación explícita antes de continuar con la migración, con un tiempo de espera de 24 horas. Se envía una notificación de Amazon SNS a la dirección de correo electrónico especificada durante CloudFormation la implementación. Se hace una copia de seguridad de todas las configuraciones en Amazon S3 y se guarda la lista completa de los recursos que se van a migrar para su revisión manual. Este paso se puede omitir si se establece en RequireManualApproval false.

  • Backup y migración: si la aprobación manual se establece en True, espera la aprobación y, a continuación, realiza una copia de seguridad de cada configuración en Amazon S3 y realiza la migración. Si se establece en false, pasa directamente a la copia de seguridad y la migración.

Parámetros de entrada

Ambos manuales de ejecución requieren los siguientes parámetros:

AutomationAssumeRole (Obligatorio)

El ARN del IM-Migration-Automation-Role creado por la CloudFormation pila.

ApproverArn (Obligatorio)

El ARN del rol o usuario de IAM que puede revisar y aprobar la migración.

S3 BucketName (obligatorio)

El nombre del bucket de Amazon S3 creado por la CloudFormation pila.

SNSTopicArn (obligatorio)

El ARN del tema de Amazon SNS creado por la pila. CloudFormation

MaxNumberOfAlarmsToMigrate o MaxNumberOfRulesToMigrate (opcional)

El número máximo de recursos que se van a migrar en una sola ejecución. Valores válidos: 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Predeterminado: 10000.

BatchSize (Opcional)

La cantidad de recursos que se van a procesar en cada lote. Valores válidos: 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Valor predeterminado: 100. El manual de ejecución admite un máximo de 100 × BatchSize recursos por ejecución.

RequireManualApproval (Opcional)

Valor booleano para controlar si se requiere la aprobación manual antes de la migración. Si se establece en true (predeterminado), recibirá un correo electrónico de notificación de Amazon SNS con la ubicación de Amazon S3 de la lista de recursos y un enlace a la consola de ejecución de la automatización para aprobarla, denegarla o cancelarla. Si se establece en false, el runbook continúa automáticamente después de detectarlo y hacer una copia de seguridad. Valores válidos: verdadero, falso. Valor predeterminado: verdadero.

Para migrar mediante la consola

  1. Abra la consola de Systems Manager en https://console.aws.amazon.com/systems-manager.

  2. En el panel de navegación, elija automatización.

  3. Busque el nombre (o) del runbook. AWS-MigrateIncidentManagerCloudWatchAlarms AWS-MigrateIncidentManagerEventBridgeRules

  4. Elija Ejecutar automatización.

  5. Introduzca los valores de los parámetros de las salidas de la CloudFormation pila.

  6. (Opcional) RequireManualApprovalfalseConfigúrelo si desea omitir el paso de aprobación manual.

  7. Elija Ejecutar.

  8. Si RequireManualApproval se establece en true (predeterminado), recibirá una notificación por correo electrónico cuando la ejecución esté pendiente de revisión manual. El correo electrónico contiene un enlace de aprobación a la página de la consola de ejecución de la automatización. Revise la lista de recursos del bucket de Amazon S3 y, a continuación, apruebe, deniegue o cancele en un plazo de 24 horas desde el enlace del correo electrónico o desde la página de la consola. La migración solo se lleva a cabo después de la aprobación. Si se establece en falso, la migración se realiza automáticamente después de la copia de seguridad.

  9. Espere a que el estado de ejecución cambie a Éxito.

Para migrar mediante el AWS CLI

Para CloudWatch las alarmas:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Para EventBridge las reglas:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Para revisar la lista de recursos en Amazon S3:


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Si RequireManualApproval se establece en true, revise la lista de recursos y apruebe la migración haciendo clic en el enlace de aprobación que aparece en la notificación por correo electrónico o en la página de la consola de ejecución de la automatización. Si se establece en falso, la migración se realiza automáticamente tras la copia de seguridad.

Paso 3: Verifica la migración

Tras completar la migración, compruebe que los recursos funcionan correctamente:

  • Active una alarma o un evento de prueba: active una de las CloudWatch alarmas o EventBridge reglas migradas para generar una notificación de prueba.

  • Confirme OpsItem la creación: compruebe que OpsItem se crea automáticamente una OpsCenter cuando se activa la alarma o el evento.

  • Valide el mapa de gravedad: compruebe que el nivel de gravedad de la configuración original de Incident Manager se conserva correctamente en el OpsItem. (Aplicable solo a CloudWatch las alarmas).

Paso 4: Limpiar los recursos de Incident Manager

Tras migrar correctamente las CloudWatch alarmas y EventBridge las reglas, si lo desea, puede limpiar los recursos de Incident Manager para desconectarlos por completo del servicio.

Para obtener instrucciones detalladas sobre cómo eliminar el conjunto de réplicas, los planes de respuesta, los contactos, los manuales de instrucciones y otros recursos de Incident Manager, consulte. Limpieza de los recursos del administrador de incidentes

Eliminar CloudFormation pilas (opcional)

Puede eliminar las CloudFormation pilas para eliminar la función de IAM, el tema de Amazon SNS y el bucket de Amazon S3 creados para la migración.

importante

El depósito de Amazon S3 que contiene las copias de seguridad de todos los recursos migrados debe vaciarse antes de eliminar la pila. CloudFormation no puede eliminar los buckets de Amazon S3 que contienen objetos.

Para eliminar la pila CloudFormation 


aws cloudformation delete-stack --stack-name <your-stack-name>

Supervisión y solución de problemas

CloudWatch Registros: las actividades de migración se registran en los CloudWatch registros:

  • CloudWatch alarmas: /aws/ssm/incidentmanager/cwmigration

  • EventBridge reglas: /aws/ssm/incidentmanager/ebmigration

Estructura de backup de Amazon S3: se hace una copia de seguridad de todas las configuraciones en Amazon S3 antes de la migración:


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Problemas comunes:

  • No se ha recibido la notificación de Amazon SNS (cuando RequireManualApproval es cierto): compruebe la suscripción al tema de Amazon SNS:

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Fallos de migración parciales: consulte CloudWatch los registros para ver los mensajes de error detallados y vuelva a intentar la automatización con un tamaño de lote reducido.

Procedimiento de reversión:

Si necesita revertir la migración:

  • Recupere copias de seguridad de Amazon S3:

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Restaure los recursos:

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Preguntas frecuentes

P: ¿Qué ocurre si se agota el tiempo de espera de la automatización durante la aprobación?

R: La automatización caduca después de 24 horas si no se recibe la aprobación. Puede reiniciar la automatización con los mismos parámetros.

P: ¿Puedo migrar los recursos de una región a otra?

R: No. Cada región debe migrarse por separado mediante ejecuciones de automatización específicas de la región.

P: ¿Cuánto tarda la migración?

R: El tiempo de migración depende de la cantidad de recursos:

  • Aproximadamente 100 alarmas/reglas: de 5 a 10 minutos

  • ~1000 alarmas/reglas: 30-60 minutos

  • ~10000 alarmas/reglas: de 2 a 4 horas

P: ¿Se conserva la gravedad tras la migración a? OpsCenter

R: Sí. La gravedad configurada en los niveles de impacto del plan de respuesta de Incident Manager se conserva y se asigna automáticamente a los niveles de OpsCenter gravedad adecuados durante la migración de las CloudWatch alarmas. Esto no se aplica a EventBridge las reglas.

P: ¿Se me cobrará por ejecutar los manuales de automatización?

R: No. Los manuales de automatización de la migración no incurren en cargos de ejecución. Sin embargo, el OpsCenter uso después de la migración generará cargos. Para obtener más información, consulte la documentación de precios de Systems Manager.