Utilizzo dei runbook di migrazione per OpsCenter - Incident Manager
Panoramica della migrazioneFase 1: Implementazione del modello CloudFormationFase 2: Migrazione degli CloudWatch allarmi e delle regole EventBridgePassaggio 3: verifica la migrazioneFase 4: Pulire le risorse di Incident ManagerMonitoraggio e risoluzione dei problemiDomande frequentiRisorse correlate

Strumento di gestione degli incidenti AWS Systems Manager non è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della Strumento di gestione degli incidenti AWS Systems Manager disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei runbook di migrazione per OpsCenter

Questa guida fornisce step-by-step istruzioni per la migrazione degli CloudWatch allarmi Amazon e delle EventBridge regole Amazon da AWS Systems Manager Incident Manager all' AWS Systems Manager OpsCenter utilizzo di runbook di migrazione automatizzati.

Per una panoramica delle OpsCenter funzionalità e per comprendere le differenze tra Incident Manager e OpsCenter, consulta. Migrazione verso AWS Systems Manager OpsCenter

Panoramica della migrazione

Il processo di migrazione utilizza i runbook di Systems Manager Automation per integrare gli CloudWatch allarmi e le EventBridge regole esistenti con. OpsCenter Il processo include le seguenti fasi:

  • Implementa l'infrastruttura: implementa lo CloudFormation stack per creare le risorse necessarie per i runbook di migrazione.

  • Migra CloudWatch allarmi e EventBridge regole: esegui i runbook di automazione verso cui migrare le tue risorse. OpsCenter

  • Pulisci le risorse: elimina facoltativamente il Replication Set e altre risorse di Incident Manager.

Nota

I runbook supportano la migrazione per una singola coppia account-area. Se disponi di risorse su più account o regioni, devi eseguire la migrazione separatamente per ogni combinazione account-area.

Fase 1: Implementazione del modello CloudFormation

Implementa il CloudFormation modello per creare il ruolo IAM, il bucket Amazon S3 e l'argomento Amazon SNS richiesti dai runbook di migrazione.

Autorizzazioni IAM richieste

Per distribuire questo CloudFormation modello, sono necessarie le autorizzazioni IAM per le operazioni di CloudFormation stack (cloudformation:CreateStack,cloudformation:DescribeStacks), la gestione dei ruoli IAM (iam:CreateRole,,,iam:PassRole) iam:PutRolePolicyiam:AttachRolePolicy, la creazione e la configurazione dei bucket Amazon S3 (,) e le operazioni tematiche di Amazon SNS (s3:CreateBucket,,s3:PutBucket*). sns:CreateTopic sns:Subscribe sns:SetTopicAttributes

Per i dettagli completi sulle CloudFormation autorizzazioni, consulta CloudFormation il riferimento alle autorizzazioni nella Guida per l'utente. CloudFormation

Per distribuire il CloudFormation modello utilizzando la console

  1. Scarica ed estrai il file AWS- IncidentManager - MigrationResources .zip che contiene il AWS-IncidentManager-MigrationResources.yaml modello.

  2. Apri la CloudFormation console in https://console.aws.amazon.com/cloudformazione.

  3. Seleziona Crea stack.

  4. Nella sezione Specify template(Specifica il modello) scegliere Upload a template file (Carica un file modello).

  5. Scegli il file, quindi seleziona il file. AWS-IncidentManager-MigrationResources.yaml

  6. Scegli Next (Successivo).

  7. Nella pagina Specificare i dettagli dello stack, inserisci quanto segue:

    • Nome dello stack: inserisci un nome (ad esempio,) im-migration-infrastructure

    • ApprovalEmail- Inserisci l'indirizzo e-mail per ricevere le notifiche di approvazione (utilizzato solo quando il parametro RequireManualApproval runbook è impostato su true).

    • IsPrimaryMigrationRegion- Scegli true se questa è la prima regione del tuo account in cui stai distribuendo lo stack, altrimenti scegli false

  8. Scegli Next (Successivo).

  9. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  10. Nella pagina di revisione, scorri verso il basso e seleziona Riconosco che CloudFormation potrebbe creare risorse IAM con nomi personalizzati.

  11. Seleziona Invia.

CloudFormation visualizza lo CREATE_IN_PROGRESS stato. Lo stato cambia CREATE_COMPLETE quando lo stack è pronto.

Nota

Se hai CloudWatch allarmi o EventBridge regole in più regioni, distribuisci questo CloudFormation stack in ogni regione in cui desideri eseguire la migrazione.

Per le implementazioni multi-account tra AWS Organizations, usane due: CloudFormation StackSets

  • Primario StackSet: impostato su true IsPrimaryMigrationRegion per una regione per account

  • Secondario StackSet: IsPrimaryMigrationRegion impostato su false per tutte le altre regioni

Per istruzioni, consultate Working with CloudFormation StackSets nella Guida CloudFormation per l'utente.

Per distribuire il CloudFormation modello utilizzando il AWS CLI

Per la prima regione del tuo account, usa il seguente comando:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Per altre regioni nello stesso account, imposta IsPrimaryMigrationRegion sufalse:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Per verificare lo stato dello stack:


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Attendi che il comando ritorni CREATE_COMPLETE prima di procedere al passaggio successivo.

Fase 2: Migrazione degli CloudWatch allarmi e delle regole EventBridge

Usa i runbook di Systems Manager Automation per migrare gli CloudWatch allarmi e le EventBridge regole da Incident Manager a. OpsCenter

Runbook di migrazione

Per ulteriori informazioni sulle funzioni di questi runbook, incluse descrizioni dettagliate dei passaggi, parametri di input e output, consulta la documentazione del runbook.

Come funzionano i runbook

Entrambi i runbook di migrazione seguono lo stesso flusso di lavoro:

  • Individuazione e suddivisione in batch: rileva tutti gli CloudWatch allarmi o le EventBridge regole configurati con le azioni del piano di risposta di Incident Manager e li organizza in batch configurabili.

  • Approvazione manuale (opzionale): per impostazione predefinita, richiede l'approvazione esplicita prima di procedere con la migrazione, con un timeout di 24 ore. Una notifica Amazon SNS viene inviata all'indirizzo e-mail specificato durante CloudFormation la distribuzione. Viene eseguito il backup di tutte le configurazioni su Amazon S3 e l'elenco completo delle risorse da migrare viene archiviato per la revisione manuale. Questo passaggio può essere ignorato impostando su false. RequireManualApproval

  • Backup e migrazione: se l'approvazione manuale è impostata su true, attende l'approvazione, quindi procede al backup di ogni configurazione su Amazon S3 ed esegue la migrazione. Se impostato su false, passa direttamente al backup e alla migrazione.

Parametri di input

Entrambi i runbook richiedono i seguenti parametri:

AutomationAssumeRole (Obbligatorio)

L'ARN del file IM-Migration-Automation-Role creato dallo stack. CloudFormation

ApproverArn (Obbligatorio)

L'ARN del ruolo o dell'utente IAM che può esaminare e approvare la migrazione.

S3 (obbligatorio) BucketName

Il nome del bucket Amazon S3 creato dallo stack. CloudFormation

SNSTopicArn (obbligatorio)

L'ARN dell'argomento Amazon SNS creato dallo stack. CloudFormation

MaxNumberOfAlarmsToMigrate oppure (Facoltativo MaxNumberOfRulesToMigrate )

Il numero massimo di risorse da migrare in una singola esecuzione. Valori validi: 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Impostazione predefinita: 10000

BatchSize (Facoltativo)

Il numero di risorse da elaborare in ogni batch. Valori validi: 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Valore predefinito: 100. Il runbook supporta un massimo di 100 × BatchSize risorse per esecuzione.

RequireManualApproval (Facoltativo)

Valore booleano per controllare se è richiesta l'approvazione manuale prima della migrazione. Se impostato su true (impostazione predefinita), ricevi un'e-mail di notifica di Amazon SNS con la posizione Amazon S3 dell'elenco delle risorse e un collegamento alla console di esecuzione dell'automazione per approvare, negare o annullare. Se impostato su false, il runbook procede automaticamente dopo il rilevamento e il backup. Valori validi: true, false. Default: true.

Per migrare utilizzando la console

  1. Aprire la console di Systems Manager in https://console.aws.amazon.com/systems-manager.

  2. Nel pannello di navigazione, scegli Automazione.

  3. Cerca il nome del runbook (o). AWS-MigrateIncidentManagerCloudWatchAlarms AWS-MigrateIncidentManagerEventBridgeRules

  4. Scegli Esegui automazione.

  5. Inserisci i valori dei parametri dagli output CloudFormation dello stack.

  6. (Facoltativo) Imposta su RequireManualApprovalfalsese desideri saltare la fase di approvazione manuale.

  7. Scegli Esegui.

  8. Se RequireManualApproval è impostato su true (impostazione predefinita), riceverai una notifica via e-mail quando l'esecuzione attende la revisione manuale. L'e-mail contiene un link di approvazione alla pagina della console di esecuzione dell'automazione. Controlla l'elenco delle risorse nel bucket Amazon S3, quindi approva, rifiuta o annulla entro 24 ore dal collegamento e-mail o dalla pagina della console. La migrazione procede solo dopo l'approvazione. Se impostato su false, la migrazione procede automaticamente dopo il backup.

  9. Attendi che lo stato di esecuzione passi a Successo.

Per migrare utilizzando il AWS CLI

Per gli CloudWatch allarmi:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Per le EventBridge regole:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Per esaminare l'elenco delle risorse in Amazon S3:


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Se RequireManualApproval è impostato su true, rivedi l'elenco delle risorse e approva la migrazione facendo clic sul link di approvazione nella notifica e-mail o dalla pagina della console di esecuzione dell'automazione. Se impostato su false, la migrazione procede automaticamente dopo il backup.

Passaggio 3: verifica la migrazione

Dopo aver completato la migrazione, verifica che le tue risorse funzionino correttamente:

  • Attiva un allarme o un evento di test: attiva uno degli CloudWatch allarmi o delle EventBridge regole migrati per generare una notifica di test.

  • Conferma OpsItem la creazione: verifica che OpsItem venga creato automaticamente un messaggio OpsCenter quando si attiva l'allarme o l'evento.

  • Convalida la mappatura della gravità: verifica che il livello di gravità della configurazione originale di Incident Manager sia correttamente mantenuto in. OpsItem (Applicabile solo agli CloudWatch allarmi).

Fase 4: Pulire le risorse di Incident Manager

Dopo aver eseguito correttamente la migrazione degli CloudWatch allarmi e EventBridge delle regole, puoi facoltativamente ripulire le risorse di Incident Manager in modo che siano completamente escluse dal servizio.

Per istruzioni dettagliate sull'eliminazione del Replication Set, dei piani di risposta, dei contatti, dei runbook e di altre risorse di Incident Manager, vedere. Pulizia delle risorse di Incident Manager

Eliminare gli CloudFormation stack (opzionale)

Puoi eliminare gli CloudFormation stack per rimuovere il ruolo IAM, l'argomento Amazon SNS e il bucket Amazon S3 creato per la migrazione.

Importante

Il bucket Amazon S3 contenente i backup di tutte le risorse migrate deve essere svuotato prima dell'eliminazione dello stack. CloudFormation non può eliminare i bucket Amazon S3 che contengono oggetti.

Per eliminare lo stack CloudFormation 


aws cloudformation delete-stack --stack-name <your-stack-name>

Monitoraggio e risoluzione dei problemi

CloudWatch Registri: le attività di migrazione vengono registrate nei registri: CloudWatch

  • CloudWatch allarmi: /aws/ssm/incidentmanager/cwmigration

  • EventBridge regole: /aws/ssm/incidentmanager/ebmigration

Struttura di backup di Amazon S3: viene eseguito il backup di tutte le configurazioni su Amazon S3 prima della migrazione:


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Problemi comuni:

  • Notifica Amazon SNS non ricevuta (when RequireManualApproval =true) - Verifica l'abbonamento all'argomento Amazon SNS:

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Errori di migrazione parziali: controlla i CloudWatch log per i messaggi di errore dettagliati e riprova l'automazione con un batch di dimensioni ridotte.

Procedura di rollback:

Se è necessario ripristinare la migrazione:

  • Recupera i backup da Amazon S3:

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Ripristina le risorse:

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Domande frequenti

D: Cosa succede se l'automazione scade durante l'approvazione?

R: L'automazione scade dopo 24 ore se non viene ricevuta alcuna approvazione. È possibile riavviare l'automazione con gli stessi parametri.

D: Posso migrare le risorse tra le regioni?

R: No. Ogni regione deve essere migrata separatamente utilizzando esecuzioni di automazione specifiche per regione.

D: Quanto dura la migrazione?

R: Il tempo di migrazione dipende dal numero di risorse:

  • ~ 100 allarmi/regole: 5-10 minuti

  • ~ 1000 allarmi/regole: 30-60 minuti

  • ~10000 allarmi/regole: 2-4 ore

D: La gravità viene mantenuta dopo la migrazione a? OpsCenter

R: Sì. La gravità configurata nei livelli di impatto del piano di risposta di Incident Manager viene preservata e mappata automaticamente ai livelli di OpsCenter gravità appropriati durante la migrazione degli CloudWatch allarmi. Questo non si applica alle EventBridge regole.

D: Mi verrà addebitato un costo per l'esecuzione dei runbook di automazione?

R: No. I runbook di automazione della migrazione non prevedono costi di esecuzione. Tuttavia, OpsCenter l'utilizzo dopo la migrazione comporterà costi. Per i dettagli, consulta la documentazione sui prezzi di Systems Manager.