AWSPremiumSupport-OnboardWorkloadToIDR - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSPremiumSupport-OnboardWorkloadToIDR

Description

Le AWSPremiumSupport-OnboardWorkloadToIDRrunbook aide les clients du support aux AWS entreprises à intégrer une charge de travail pour la surveillance et la gestion des incidents critiques à l'aide de la détection et de la réponse aux AWS incidents. Une charge de travail peut être définie comme un ensemble de AWS ressources associées à un groupe de AWS ressources ou à une AppRegistry application AWS Service Catalog. Si aucun groupe de AWS ressources ou aucune AppRegistry application AWS Service Catalog n'est spécifié, le runbook crée un groupe de ressources en votre nom à l'aide de filtres de balises ou de l'ID de AWS CloudFormation pile dont vous souhaitez inclure les ressources dans le groupe. Si vous définissez le paramètre surYes, CreateApplicationInsights l'automatisation approvisionne une CloudWatch application Amazon Application Insights à l'aide de AWS CloudFormation. CloudWatch Application Insights définit les métriques et les journaux recommandés pour les ressources d'application sélectionnées à l'aide CloudWatch des métriques, des journaux et des événements Amazon pour les notifications relatives aux problèmes détectés.

Important

Ce runbook exécute les actions suivantes dans votre compte en fonction des paramètres d'entrée fournis :

  • Crée un nouveau groupe de AWS ressources en utilisant AWS CloudFormation if ResourceGroupName or AppRegistryApplication not specified. Une fois la pile créée, le runbook essaie de définir la protection de terminaison.

  • Balise le groupe de AWS ressources associé à la charge de travail, y compris le aws_idr tag.

  • Crée une CloudWatch application basée sur un groupe de ressources Amazon Application Insights si le paramètre CreateApplicationInsights d'entrée est défini sur. Yes Une fois la pile créée, le runbook essaie de définir une protection de terminaison pour la pile.

  • Installe le rôle AWSServiceRoleForHealth_EventProcessor lié au service (SLR) pour permettre à Incident Detection and Response d'accéder à Incident Detection and Response pour l'ingestion des alertes si le paramètre InstallServiceLinkedRole d'entrée est défini sur. Yes

  • Crée un dossier d' AWS assistance avec AWS Incident Detection and Response.

Important

Pour utiliser ce manuel et accéder à AWS Incident Detection and Response, vous avez besoin d'un abonnement AWS Enterprise Support (payant) ou d'Unified Operations. Pour plus d'informations, voir Comparer les Support forfaits.

Fonctionnement

Le runbook exécute les étapes de haut niveau suivantes :

  • Vérifie si le plan de Support du AWS compte actuel est Enterprise ; sinon, l'automatisation prend fin.

  • Détermine s'il faut utiliser un groupe de AWS ressources existant ou en créer un nouveau en fonction des paramètres fournis.

  • Si vous créez un nouveau groupe de ressources, génère un AWS CloudFormation modèle et crée la pile avec les balises appropriées.

  • Balise le groupe de ressources avec les balises de détection et de réponse aux AWS incidents requises.

  • Installe éventuellement le rôle lié au service pour la détection et la réponse aux AWS incidents.

  • Crée éventuellement une CloudWatch application Amazon Application Insights pour une surveillance améliorée.

  • Crée un dossier d' AWS assistance pour terminer le processus d'intégration.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

/

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • cloudformation:CreateStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:UpdateTerminationProtection

  • iam:CreateServiceLinkedRole

  • resource-groups:CreateGroup

  • resource-groups:GetGroup

  • resource-groups:TagResource

  • servicecatalog-appregistry:GetApplication

  • support:CreateCase

  • support:DescribeSeverityLevels

  • support:DescribeServices

  • support:DescribeSupportLevel

Exemple de politique : 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez AWSPremiumSupport-OnboardWorkloadToIDRà Systems Manager sous Documents.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      • Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

      • Type : AWS::IAM::Role::Arn

    • WorkloadName (Obligatoire) :

      • Description : (Obligatoire) Nom de la charge de travail. S'il n'ResourceGroupNameest pas fourni, le nom de la charge de travail est utilisé pour configurer un nouveau groupe de AWS ressources portant ce nomIDR-AWS-<WorkloadName>.

      • Type : String

      • Autoriser le modèle : ^[a-zA-Z0-9_-]{1,128}$

    • WorkloadDescription (Obligatoire) :

      • Description : (Obligatoire) Description de la charge de travail. Entrez une brève description pour détailler les cas d'utilisation de cette charge de travail. Veuillez inclure l'utilisateur final principal et la fonction de cette charge de travail.

      • Type : String

      • Autoriser le modèle : ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$

    • AppRegistryApplication (Facultatif) :

      • Description : (Facultatif) Le nom ou l'ID de l' AppRegistry application AWS Service Catalog. Si ce n'est pas le cas, vous devez fournir une entrée pourResourceGroupName.

      • Type : String

      • Autoriser le modèle : ^$|^[a-zA-Z0-9.-_]{1,128}$

      • Valeur par défaut : ""

    • ResourceGroupName (Facultatif) :

      • Description : (Facultatif) Le nom d'un groupe de AWS ressources existant s'il n'AppRegistryApplicationest pas fourni. Si vous souhaitez créer un groupe de ressources, vous devez fournir une entrée TagFilters et éventuellement ResourceTypeFilters créer un nouveau groupe de AWS ressources.

      • Type : String

      • Autoriser le modèle : ^$|^[a-zA-Z0-9_.-]{1,128}$

      • Valeur par défaut : ""

    • TagFilters (Conditionnel) :

      • Description : (Conditionnel) Liste des paires key/values (chaîne/liste de chaînes) qui sont comparées aux balises associées à vos AWS ressources. Ce paramètre est utilisé pour créer un nouveau groupe de AWS ressources si vous ne spécifiez aucun ResourceGroupName ou existantAppRegistryApplication.

      • Type : StringMap

    • ResourceTypeFilters (Conditionnel) :

      • Description : (Conditionnel) Liste des types de ressources pris en charge par Resource Groups.

      • Type : StringList

      • Nombre maximum d'articles : 10

      • Valeur par défaut : AWS::AllSupported

    • InstallServiceLinkedRole (Facultatif) :

      • Description : (Facultatif) Sélectionnez cette option Yes pour installer le rôle AWSServiceRoleForHealth_EventProcessor lié au service (SLR).

      • Type : String

      • Valeurs autorisées : [Yes,No]

      • Valeur par défaut : No

    • CreateApplicationInsights (Facultatif) :

      • Description : (Facultatif) Sélectionnez cette option Yes pour créer une CloudWatch application basée sur un groupe de ressources Amazon Application Insights.

      • Type : String

      • Valeurs autorisées : [Yes,No]

      • Valeur par défaut : No

    • ComplianceAndRegulatoryRequirements (Obligatoire) :

      • Description : (Obligatoire) Exigences and/or réglementaires de conformité applicables à cette charge de travail et à toute action requise AWS après un incident.

      • Type : String

      • Autoriser le modèle : ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

    • Non AWSComponents (facultatif) :

      • Description : (Facultatif) Précisez les AWS composants sur site ou non pour cette charge de travail ? Dans l'affirmative, quels sont-ils et quelles fonctions remplissent-ils ?

      • Type : String

      • Autoriser le modèle : ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valeur par défaut : ""

    • UpstreamDownstreamDependencies (Facultatif) :

      • Description : (Facultatif) Détails des upstream/downstream composants non intégrés, susceptibles d'affecter cette charge de travail en cas de panne.

      • Type : String

      • Autoriser le modèle : ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valeur par défaut : ""

    • FailoverDisasterRecoveryPlan (Facultatif) :

      • Description : (Facultatif) Fournissez les détails de tout plan de failover/disaster reprise manuel ou automatisé au niveau de l'AZ et de la région.

      • Type : String

      • Autoriser le modèle : ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Valeur par défaut : ""

    • BridgeDetails (Facultatif) :

      • Description : (Facultatif) Le pont incident/crisis de gestion statique établi par votre entreprise. Si vous utilisez un pont non statique, spécifiez votre application préférée et AWS vous demanderez ces informations lors d'un incident.

      • Type : String

      • Valeurs autorisées : [Amazon Chime bridge, Non-Static bridge, Static bridge]

      • Valeur par défaut : Amazon Chime bridge

    • SubscriptionStartDate (Obligatoire) :

      • Description : (Obligatoire) Date au YYYY-MM-DD format à laquelle vous souhaitez commencer votre abonnement à la détection et à la réponse aux AWS incidents.

      • Type : String

      • Autoriser le modèle : ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$

  4. Sélectionnez Exécuter.

  5. L'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • Vérifiez le AWSSupport plan :

      Vérifie si le plan de Support du AWS compte actuel est Enterprise ; sinon, l'automatisation prend fin.

    • BranchOnResourceGroup:

      Branche l'automatisation sur la question de savoir si un groupe de AWS ressources existant a été fourni. Si ce n'est pas le cas, l'automatisation crée un nouveau groupe de AWS ressources.

    • GetAppRegistryApplication:

      Obtient les informations de métadonnées relatives à l' AppRegistry application AWS Service Catalog si elles sont fournies.

    • GenerateResourceGroupTemplate:

      Génère un AWS CloudFormation modèle pour le groupe de AWS ressources avec les filtres de balises spécifiés.

    • CreateResourceGroup:

      Crée un nouveau groupe de AWS ressources en utilisant AWS CloudFormation.

    • TagResourceGroup:

      Balise le groupe de ressources avec les balises requises pour la détection et la réponse aux AWS incidents (IDR).

    • InstallServiceLinkedRole:

      Installe le rôle AWS lié au service IDR (Incident Detection and Response) si demandé.

    • CreateApplicationInsightsApplication:

      Crée une CloudWatch application Amazon Application Insights sur demande.

    • CreateAwsSupportCase:

      Crée un dossier d' AWS assistance avec AWS Incident Detection and Response.

  7. Une fois l'exécution terminée, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

Références

Systems Manager Automation