Utilisation des runbooks de migration pour OpsCenter - Incident Manager
Présentation de la migrationÉtape 1 : Déployer le CloudFormation modèleÉtape 2 : migrer les CloudWatch alarmes et EventBridge les règlesÉtape 3 : vérifier votre migrationÉtape 4 : Nettoyer les ressources du gestionnaire d'incidentsSurveillance et résolution des problèmesQuestions fréquentes (FAQ)Ressources connexes

AWS Systems Manager Incident Manager n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems Manager Incident Manager la section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des runbooks de migration pour OpsCenter

Ce guide fournit des step-by-step instructions pour migrer vos CloudWatch alarmes Amazon et vos EventBridge règles Amazon depuis AWS Systems Manager Incident Manager vers l' AWS Systems Manager OpsCenter utilisation de runbooks de migration automatisés.

Pour un aperçu des OpsCenter fonctionnalités et pour comprendre les différences entre Incident Manager et OpsCenter, voirMigration vers AWS Systems Manager OpsCenter.

Présentation de la migration

Le processus de migration utilise les runbooks Systems Manager Automation pour intégrer vos CloudWatch alarmes et EventBridge règles existantes. OpsCenter Le processus comprend les étapes suivantes :

  • Déployer l'infrastructure : déployez la CloudFormation pile pour créer les ressources requises pour les runbooks de migration.

  • Migrer les CloudWatch alarmes et EventBridge les règles : exécutez les runbooks d'automatisation vers lesquels migrer vos ressources. OpsCenter

  • Nettoyer les ressources : supprimez éventuellement le jeu de réplication et les autres ressources du gestionnaire d'incidents.

Note

Les runbooks prennent en charge la migration pour une seule paire compte-région. Si vous disposez de ressources réparties sur plusieurs comptes ou régions, vous devez exécuter la migration séparément pour chaque combinaison compte-région.

Étape 1 : Déployer le CloudFormation modèle

Déployez le CloudFormation modèle pour créer le rôle IAM, le compartiment Amazon S3 et la rubrique Amazon SNS requis par les runbooks de migration.

Autorisations IAM requises

Pour déployer ce CloudFormation modèle, vous avez besoin d'autorisations IAM pour les opérations de CloudFormation stack (cloudformation:CreateStack,cloudformation:DescribeStacks), la gestion des rôles IAM (iam:CreateRole,,iam:PutRolePolicy,iam:PassRole)iam:AttachRolePolicy, la création et la configuration de compartiments Amazon S3 (s3:CreateBucket,s3:PutBucket*) et les opérations sur les rubriques Amazon SNS sns:CreateTopic (sns:Subscribe,,). sns:SetTopicAttributes

Pour plus de détails sur CloudFormation les autorisations, consultez la référence CloudFormation aux autorisations dans le guide de CloudFormation l'utilisateur.

Pour déployer le CloudFormation modèle à l'aide de la console

  1. Téléchargez et extrayez le fichier AWS- IncidentManager - MigrationResources .zip qui contient le AWS-IncidentManager-MigrationResources.yaml modèle.

  2. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Créer la pile.

  4. Dans la section Spécifier un modèle, sélectionnez Charger un modèle de fichier.

  5. Choisissez Choisir un fichier, puis sélectionnez le AWS-IncidentManager-MigrationResources.yaml fichier.

  6. Choisissez Suivant.

  7. Sur la page Spécifier les détails de la pile, entrez ce qui suit :

    • Nom de la pile : entrez un nom (par exemple,im-migration-infrastructure)

    • ApprovalEmail- Entrez l'adresse e-mail pour recevoir les notifications d'approbation (uniquement utilisée lorsque le paramètre RequireManualApproval runbook est défini sur true).

    • IsPrimaryMigrationRegion- Choisissez true s'il s'agit de la première région de votre compte dans laquelle vous déployez la pile, sinon choisissez false

  8. Choisissez Next (Suivant).

  9. Sur la page Configurer les options de pile, choisissez Suivant.

  10. Sur la page de révision, faites défiler la page vers le bas et sélectionnez Je reconnais que cela CloudFormation pourrait créer des ressources IAM avec des noms personnalisés.

  11. Sélectionnez Soumettre.

CloudFormation affiche le CREATE_IN_PROGRESS statut. Le statut passe au CREATE_COMPLETE moment où la pile est prête.

Note

Si vous avez des CloudWatch alarmes ou des EventBridge règles dans plusieurs régions, déployez cette CloudFormation pile dans chaque région où vous souhaitez effectuer la migration.

Pour les déploiements multi-comptes au sein d' AWS Organizations, utilisez-en deux : CloudFormation StackSets

  • StackSetPrincipal : défini IsPrimaryMigrationRegion sur true pour une région par compte

  • Secondaire StackSet : défini IsPrimaryMigrationRegion sur false pour toutes les autres régions

Pour obtenir des instructions, reportez-vous à la section Travailler avec CloudFormation StackSets dans le guide de CloudFormation l'utilisateur.

Pour déployer le CloudFormation modèle à l'aide du AWS CLI

Pour la première région de votre compte, utilisez la commande suivante :


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Pour les régions supplémentaires associées au même compte, définissez les paramètres IsPrimaryMigrationRegion false suivants :


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Pour vérifier l'état de la pile :


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Attendez le retour de la commande CREATE_COMPLETE avant de passer à l'étape suivante.

Étape 2 : migrer les CloudWatch alarmes et EventBridge les règles

Utilisez les runbooks Systems Manager Automation pour migrer vos CloudWatch alarmes et EventBridge règles d'Incident Manager vers OpsCenter.

Runbooks de migration

Pour plus d'informations sur le fonctionnement de ces runbooks, y compris les descriptions détaillées des étapes, les paramètres d'entrée et les sorties, consultez la documentation des runbooks.

Comment fonctionnent les runbooks

Les deux runbooks de migration suivent le même flux de travail :

  • Découverte et traitement par lots : découvre toutes les CloudWatch alarmes ou EventBridge règles configurées avec les actions du plan de réponse d'Incident Manager et les organise en lots configurables.

  • Approbation manuelle (facultative) : nécessite par défaut une approbation explicite avant de procéder à la migration, avec un délai d'expiration de 24 heures. Une notification Amazon SNS est envoyée à l'adresse e-mail spécifiée lors CloudFormation du déploiement. Toutes les configurations sont sauvegardées sur Amazon S3, et la liste complète des ressources à migrer est stockée pour examen manuel. Cette étape peut être ignorée en réglant la valeur RequireManualApproval sur false.

  • Sauvegarde et migration : si l'approbation manuelle est définie sur true, attend l'approbation, puis sauvegarde chaque configuration sur Amazon S3 et effectue la migration. Si ce paramètre est défini sur false, passe directement à la sauvegarde et à la migration.

Paramètres d’entrée

Les deux runbooks nécessitent les paramètres suivants :

AutomationAssumeRole (Obligatoire)

L'ARN du IM-Migration-Automation-Role créé par la CloudFormation pile.

ApproverArn (Obligatoire)

L'ARN du rôle ou de l'utilisateur IAM qui peut examiner et approuver la migration.

S3 BucketName (obligatoire)

Nom du compartiment Amazon S3 créé par la CloudFormation pile.

SNSTopicArn (obligatoire)

L'ARN de la rubrique Amazon SNS créée par la CloudFormation pile.

MaxNumberOfAlarmsToMigrate ou MaxNumberOfRulesToMigrate (Facultatif)

Le nombre maximum de ressources à migrer en une seule exécution. Valeurs valides : 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Par défaut : 10 000

BatchSize (Facultatif)

Le nombre de ressources à traiter dans chaque lot. Valeurs valides : 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Par défaut : 100. Le runbook prend en charge un maximum de 100 BatchSize ressources par exécution.

RequireManualApproval (Facultatif)

Valeur booléenne permettant de contrôler si une approbation manuelle est requise avant la migration. Lorsque ce paramètre est défini sur true (par défaut), vous recevez un e-mail de notification Amazon SNS indiquant l'emplacement de la liste des ressources sur Amazon S3 et un lien vers la console d'exécution de l'automatisation pour approuver, refuser ou annuler. Lorsqu'il est défini sur false, le runbook se lance automatiquement après la découverte et la sauvegarde. Valeurs valides : vrai, faux. Valeur par défaut : vraie.

Pour effectuer une migration à l'aide de la console

  1. Ouvrez la console Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager.

  2. Dans le panneau de navigation de gauche, sélectionnez Automation (Automatisation).

  3. Recherchez le nom du runbook (AWS-MigrateIncidentManagerCloudWatchAlarmsouAWS-MigrateIncidentManagerEventBridgeRules).

  4. Choisissez Execute automation (Exécuter l’automatisation).

  5. Entrez les valeurs des paramètres à partir des sorties de votre CloudFormation pile.

  6. (Facultatif) Définissez RequireManualApprovalcette option false si vous souhaitez ignorer l'étape d'approbation manuelle.

  7. Sélectionnez Execute (Exécuter).

  8. S'il RequireManualApproval est défini sur true (par défaut), vous recevez une notification par e-mail lorsque l'exécution attend une révision manuelle. L'e-mail contient un lien d'approbation vers la page de la console d'exécution automatique. Consultez la liste des ressources dans le compartiment Amazon S3, puis approuvez, refusez ou annulez dans les 24 heures suivant le lien de l'e-mail ou la page de console. La migration n'a lieu qu'après approbation. Si ce paramètre est défini sur false, la migration se poursuit automatiquement après la sauvegarde.

  9. Attendez que le statut d'exécution passe à Success.

Pour effectuer une migration à l'aide du AWS CLI

Pour les CloudWatch alarmes :


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Pour EventBridge les règles :


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Pour consulter la liste des ressources dans Amazon S3 :


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Si RequireManualApproval ce paramètre est défini sur true, consultez la liste des ressources et approuvez la migration en cliquant sur le lien d'approbation figurant dans la notification par e-mail ou sur la page de la console d'exécution automatique. Si ce paramètre est défini sur false, la migration se poursuit automatiquement après la sauvegarde.

Étape 3 : vérifier votre migration

Une fois la migration terminée, vérifiez que vos ressources fonctionnent correctement :

  • Déclenchez une alarme ou un événement de test : activez l'une de vos CloudWatch alarmes ou EventBridge règles migrées pour générer une notification de test.

  • Confirmer OpsItem la création - Vérifiez qu'un OpsItem est automatiquement créé OpsCenter lorsque l'alarme ou l'événement se déclenche.

  • Validez le mappage de gravité : vérifiez que le niveau de gravité de votre configuration initiale d'Incident Manager est correctement préservé dans le OpsItem. (Applicable uniquement aux CloudWatch alarmes).

Étape 4 : Nettoyer les ressources du gestionnaire d'incidents

Après avoir migré avec succès vos CloudWatch alarmes et vos EventBridge règles, vous pouvez éventuellement nettoyer les ressources d'Incident Manager pour vous déconnecter complètement du service.

Pour obtenir des instructions détaillées sur la suppression du kit de réplication, des plans de réponse, des contacts, des runbooks et d'autres ressources du gestionnaire d'incidents, consultezNettoyage des ressources du gestionnaire d'incidents.

Supprimer CloudFormation des piles (facultatif)

Vous pouvez supprimer les CloudFormation piles pour supprimer le rôle IAM, la rubrique Amazon SNS et le compartiment Amazon S3 créés pour la migration.

Important

Le compartiment Amazon S3 contenant les sauvegardes de toutes les ressources migrées doit être vidé avant la suppression de la pile. CloudFormation Impossible de supprimer les compartiments Amazon S3 contenant des objets.

Pour supprimer la CloudFormation pile


aws cloudformation delete-stack --stack-name <your-stack-name>

Surveillance et résolution des problèmes

CloudWatch Journaux : les activités de migration sont enregistrées dans CloudWatch Logs :

  • CloudWatch alarmes : /aws/ssm/incidentmanager/cwmigration

  • EventBridge règles : /aws/ssm/incidentmanager/ebmigration

Structure de sauvegarde Amazon S3 : toutes les configurations sont sauvegardées sur Amazon S3 avant la migration :


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Problèmes courants :

  • Notification Amazon SNS non reçue (lorsque RequireManualApproval =true) - Vérifiez l'abonnement à la rubrique Amazon SNS :

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Échec partiel de la migration : consultez CloudWatch les journaux pour obtenir des messages d'erreur détaillés et réessayez l'automatisation avec une taille de lot réduite.

Procédure de rétrogradation :

Si vous devez annuler la migration :

  • Récupérez des sauvegardes depuis Amazon S3 :

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Restaurez les ressources :

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Questions fréquentes (FAQ)

Q : Que se passe-t-il si l'automatisation expire pendant l'approbation ?

R : L'automatisation expire au bout de 24 heures si aucune approbation n'est reçue. Vous pouvez redémarrer l'automatisation avec les mêmes paramètres.

Q : Puis-je migrer des ressources d'une région à l'autre ?

R : Non. Chaque région doit être migrée séparément à l'aide d'exécutions automatisées spécifiques à chaque région.

Q : Combien de temps dure la migration ?

R : Le temps de migration dépend du nombre de ressources :

  • ~100 alarmes/règles : 5 à 10 minutes

  • ~1000 alarmes/règles : 30 à 60 minutes

  • ~10000 alarmes/règles : 2-4 heures

Q : La sévérité est-elle préservée après la migration vers OpsCenter ?

A : Oui. La gravité configurée dans les niveaux d'impact du plan de réponse d'Incident Manager est préservée et automatiquement mappée aux niveaux de OpsCenter gravité appropriés lors de la migration des CloudWatch alarmes. Cela ne s'applique pas aux EventBridge règles.

Q : L'exécution des runbooks d'automatisation me sera-t-elle facturée ?

R : Non. Les runbooks d'automatisation de la migration n'entraînent pas de frais d'exécution. Toutefois, OpsCenter l'utilisation après la migration entraînera des frais. Pour plus de détails, consultez la documentation tarifaire de Systems Manager.