AWSPremiumSupport-OnboardWorkloadToIDR - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSPremiumSupport-OnboardWorkloadToIDR

Descripción

El AWSPremiumSupport-OnboardWorkloadToIDRmanual ayuda a los clientes de AWS Enterprise Support a incorporar una carga de trabajo para la supervisión y la gestión de incidentes críticos mediante AWS Incident Detection and Response. Una carga de trabajo se puede definir como un conjunto de AWS recursos asociados a un grupo de AWS recursos o a una AppRegistry aplicación AWS de Service Catalog. Si no se especifica un grupo de AWS recursos o una AppRegistry aplicación de AWS Service Catalog, el runbook crea un grupo de recursos en su nombre mediante filtros de etiquetas o el identificador de AWS CloudFormation pila cuyos recursos desee incluir en el grupo. Si estableces el parámetro CreateApplicationInsights enYes, la automatización aprovisiona una aplicación de Amazon CloudWatch Application Insights mediante AWS CloudFormation. CloudWatch Application Insights configura las métricas y los registros recomendados para los recursos de la aplicación seleccionados mediante CloudWatch métricas, registros y eventos de Amazon para las notificaciones sobre los problemas detectados.

importante

Este manual realiza las siguientes acciones en su cuenta en función de los parámetros de entrada proporcionados:

  • Crea un nuevo grupo AWS de recursos utilizando AWS CloudFormation si se AppRegistryApplication especifican ResourceGroupName o no. Una vez creada la pila, el runbook intenta establecer la protección de terminación.

  • Etiqueta el grupo de AWS recursos asociado a la carga de trabajo, incluida la aws_idr etiqueta.

  • Crea una CloudWatch aplicación basada en un grupo de recursos de Amazon Application Insights si el parámetro CreateApplicationInsights de entrada está establecido en. Yes Una vez creada la pila, el runbook intenta establecer la protección de terminación para la pila.

  • Instala el rol AWSServiceRoleForHealth_EventProcessor vinculado al servicio (SLR) para proporcionar acceso a la detección y respuesta a incidentes para la recepción de alertas si el InstallServiceLinkedRole parámetro de entrada está establecido en. Yes

  • Crea un caso de AWS soporte con AWS detección y respuesta a incidentes.

importante

Para usar este manual e incorporarse a AWS Incident Detection and Response, necesita una suscripción a AWS Enterprise Support (con cargo adicional) o a Unified Operations. Para obtener más información, consulte Comparar planes de Soporte.

¿Cómo funciona?

El manual incluye los siguientes pasos generales:

  • Comprueba si el AWS Account Support Plan actual es Enterprise; de lo contrario, la automatización finaliza.

  • Determina si se debe utilizar un grupo de AWS recursos existente o crear uno nuevo en función de los parámetros proporcionados.

  • Si crea un nuevo grupo de recursos, genera una AWS CloudFormation plantilla y crea la pila con las etiquetas adecuadas.

  • Etiquete el grupo de recursos con las etiquetas de detección y respuesta a AWS incidentes necesarias.

  • Si lo desea, instala la función vinculada al servicio para la detección y respuesta a AWS incidentes.

  • Si lo desea, crea una CloudWatch aplicación Amazon Application Insights para mejorar la supervisión.

  • Crea un caso de AWS soporte para completar el proceso de incorporación.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

/

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • cloudformation:CreateStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:UpdateTerminationProtection

  • iam:CreateServiceLinkedRole

  • resource-groups:CreateGroup

  • resource-groups:GetGroup

  • resource-groups:TagResource

  • servicecatalog-appregistry:GetApplication

  • support:CreateCase

  • support:DescribeSeverityLevels

  • support:DescribeServices

  • support:DescribeSupportLevel

Ejemplo de política: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSPremiumSupport-OnboardWorkloadToIDRSystems Manager, en Documentos.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • AutomationAssumeRole (Opcional):

      • Descripción: (opcional) El nombre del recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

      • Tipo: AWS::IAM::Role::Arn

    • WorkloadName (Obligatorio):

      • Descripción: (obligatorio) Nombre de la carga de trabajo. Si no ResourceGroupName se proporciona, el nombre de la carga de trabajo se utiliza para configurar un nuevo grupo de AWS recursos con ese nombreIDR-AWS-<WorkloadName>.

      • Tipo: String

      • Patrón de permisos: ^[a-zA-Z0-9_-]{1,128}$

    • WorkloadDescription (Obligatorio):

      • Descripción: (Obligatoria) La descripción de la carga de trabajo. Introduzca una breve descripción para detallar los casos de uso de esta carga de trabajo. Incluya el usuario final principal y la función de esta carga de trabajo.

      • Tipo: String

      • Patrón de permisos: ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$

    • AppRegistryApplication (Opcional):

      • Descripción: (opcional) El nombre o el ID de la AppRegistry aplicación AWS Service Catalog. Si no se proporciona, debe introducir una entrada paraResourceGroupName.

      • Tipo: String

      • Permitir patrón: ^$|^[a-zA-Z0-9.-_]{1,128}$

      • Valor predeterminado: ""

    • ResourceGroupName (Opcional):

      • Descripción: (opcional) El nombre de un grupo de AWS recursos existente si no AppRegistryApplication se proporciona. Si desea crear un grupo de recursos, debe proporcionar una entrada TagFilters y, si lo desea, ResourceTypeFilters crear un nuevo grupo de AWS recursos.

      • Tipo: String

      • Permitir patrón: ^$|^[a-zA-Z0-9_.-]{1,128}$

      • Valor predeterminado: ""

    • TagFilters (Condicional):

      • Descripción: (Condicional) La lista de pares key/values (cadena/lista de cadenas) que se comparan con las etiquetas adjuntas a los recursos. AWS Este parámetro se utiliza para crear un nuevo grupo AWS de recursos si no se especifica un o existenteResourceGroupName. AppRegistryApplication

      • Tipo: StringMap

    • ResourceTypeFilters (Condicional):

      • Descripción: (Condicional) La lista de tipos de recursos compatibles con Resource Groups.

      • Tipo: StringList

      • Número máximo de artículos: 10

      • Valor predeterminado: AWS::AllSupported

    • InstallServiceLinkedRole (Opcional):

      • Descripción: (opcional) Seleccione esta opción Yes para instalar la función AWSServiceRoleForHealth_EventProcessor vinculada al servicio (SLR).

      • Tipo: String

      • Valores permitidos: [Yes,No]

      • Valor predeterminado: No

    • CreateApplicationInsights (Opcional):

      • Descripción: (opcional) Seleccione esta opción Yes para crear una aplicación basada en un grupo de recursos de Amazon CloudWatch Application Insights.

      • Tipo: String

      • Valores permitidos: [Yes,No]

      • Valor predeterminado: No

    • ComplianceAndRegulatoryRequirements (Obligatorio):

      • Descripción: (Obligatorio) Requisitos and/or normativos de cumplimiento aplicables a esta carga de trabajo y cualquier acción necesaria AWS después de un incidente.

      • Tipo: String

      • Patrón de permisos: ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

    • No AWSComponents (opcional):

      • Descripción: (opcional) ¿Detalla algún AWS componente local o ajeno a esta carga de trabajo? Si es así, ¿qué son y qué funciones desempeñan?

      • Tipo: String

      • Permitir patrón: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valor predeterminado: ""

    • UpstreamDownstreamDependencies (Opcional):

      • Descripción: (opcional) Detalles de cualquier upstream/downstream componente que no esté incorporado y que podría afectar a esta carga de trabajo en caso de producirse una interrupción.

      • Tipo: String

      • Patrón de permisos: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valor predeterminado: ""

    • FailoverDisasterRecoveryPlan (Opcional):

      • Descripción: (opcional) Proporcione detalles de cualquier plan de failover/disaster recuperación manual o automatizado a nivel regional y de Arizona.

      • Tipo: String

      • Patrón de permisos: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valor predeterminado: ""

    • BridgeDetails (Opcional):

      • Descripción: (opcional) El puente incident/crisis de administración estática establecido por su empresa. Si utiliza un puente no estático, especifique su aplicación preferida y AWS solicitará estos detalles durante un incidente.

      • Tipo: String

      • Valores permitidos: [Amazon Chime bridge, Non-Static bridge, Static bridge]

      • Valor predeterminado: Amazon Chime bridge

    • SubscriptionStartDate (Obligatorio):

      • Descripción: (Obligatorio) La fecha en el YYYY-MM-DD formato en que desea iniciar su suscripción a la detección y respuesta a AWS incidentes.

      • Tipo: String

      • Patrón de permisos: ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • Compruebe el AWSSupport plan:

      Comprueba si el AWS Account Support Plan actual es Enterprise; de lo contrario, la automatización finaliza.

    • BranchOnResourceGroup:

      Ramifica la automatización en función de si se proporcionó un grupo de AWS recursos existente. Si no se proporciona, la automatización crea un nuevo grupo AWS de recursos.

    • GetAppRegistryApplication:

      Obtiene la información de metadatos sobre la AppRegistry aplicación AWS Service Catalog, si se proporciona.

    • GenerateResourceGroupTemplate:

      Genera una AWS CloudFormation plantilla para el grupo AWS de recursos con los filtros de etiquetas especificados.

    • CreateResourceGroup:

      Crea un nuevo grupo de AWS recursos mediante AWS CloudFormation.

    • TagResourceGroup:

      Etiqueta el grupo de recursos con las etiquetas requeridas para la detección y respuesta a AWS incidentes (IDR).

    • InstallServiceLinkedRole:

      Instala la función vinculada al servicio de detección y respuesta a AWS incidentes (IDR) si se solicita.

    • CreateApplicationInsightsApplication:

      Crea una CloudWatch aplicación Amazon Application Insights si se solicita.

    • CreateAwsSupportCase:

      Crea un caso de AWS soporte con detección y respuesta a AWS incidentes.

  7. Una vez finalizada, revise la sección de resultados para ver los resultados detallados de la ejecución.

Referencias

Automatización de Systems Manager