AWSPremiumSupport-OnboardWorkloadToIDR - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSPremiumSupport-OnboardWorkloadToIDR

Descrizione

Il AWSPremiumSupport-OnboardWorkloadToIDRrunbook aiuta i clienti di AWS Enterprise Support a integrare un carico di lavoro per il monitoraggio e la gestione degli incidenti critici utilizzando Incident Detection and AWS Response. Un carico di lavoro può essere definito come una raccolta di AWS risorse associate a un' AppRegistry applicazione AWS Resource Group o AWS Service Catalog. Se non viene specificata un' AppRegistry applicazione AWS Resource Group o AWS Service Catalog, il runbook crea un Resource Group per conto dell'utente utilizzando i filtri dei tag o l'ID AWS CloudFormation dello stack di cui si desidera includere le risorse nel gruppo. Se imposti il parametro suYes, CreateApplicationInsights l'automazione effettua il provisioning di un' CloudWatch applicazione Amazon Application Insights utilizzando AWS CloudFormation. CloudWatch Application Insights imposta metriche e log consigliati per risorse applicative selezionate utilizzando CloudWatch metriche Amazon, Logs ed Events per le notifiche sui problemi rilevati.

Importante

Questo runbook esegue le seguenti azioni nell'account in base ai parametri di input forniti:

  • Crea un nuovo gruppo di AWS risorse utilizzando AWS CloudFormation if ResourceGroupName or AppRegistryApplication not specified. Dopo la creazione dello stack, il runbook tenta di impostare la protezione dalla terminazione.

  • Etichetta il AWS Resource Group associato al carico di lavoro, incluso il tag. aws_idr

  • Crea un' CloudWatch applicazione basata sul gruppo Amazon Application Insights Resource se il parametro CreateApplicationInsights di input è impostato Yes su. Dopo la creazione dello stack, il runbook tenta di impostare la protezione dalla terminazione per lo stack.

  • Installa il ruolo AWSServiceRoleForHealth_EventProcessor collegato al servizio (SLR) per fornire l'accesso per l'inserimento degli avvisi a Incident Detection and Response se il parametro di input è impostato su. InstallServiceLinkedRole Yes

  • Crea un caso di AWS supporto con Incident Detection and Response. AWS

Importante

Per utilizzare questo runbook e integrare AWS Incident Detection and Response, è necessario un Enterprise AWS Support (a pagamento) o un abbonamento Unified Operations. Per ulteriori informazioni, consulta Confronta i piani. Supporto

Come funziona?

Il runbook esegue i seguenti passaggi di alto livello:

  • Verifica se l'attuale AWS Account Support Plan è Enterprise; in caso contrario l'automazione termina.

  • Determina se utilizzare un gruppo di AWS risorse esistente o crearne uno nuovo in base ai parametri forniti.

  • Se si crea un nuovo gruppo di risorse, genera un AWS CloudFormation modello e crea lo stack con i tag appropriati.

  • Etichetta il Resource Group con i tag AWS Incident Detection and Response richiesti.

  • Facoltativamente, installa il ruolo collegato al servizio per AWS Incident Detection and Response.

  • Facoltativamente, crea un' CloudWatch applicazione Amazon Application Insights per un monitoraggio avanzato.

  • Crea una richiesta di AWS supporto per completare il processo di onboarding.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

/

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • cloudformation:CreateStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:UpdateTerminationProtection

  • iam:CreateServiceLinkedRole

  • resource-groups:CreateGroup

  • resource-groups:GetGroup

  • resource-groups:TagResource

  • servicecatalog-appregistry:GetApplication

  • support:CreateCase

  • support:DescribeSeverityLevels

  • support:DescribeServices

  • support:DescribeSupportLevel

Politica di esempio: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Istruzioni

Segui questi passaggi per configurare l'automazione:

  1. Accedere AWSPremiumSupport-OnboardWorkloadToIDRa Systems Manager nella sezione Documenti.

  2. Seleziona Execute automation (Esegui automazione).

  3. Per i parametri di input, immettete quanto segue:

    • AutomationAssumeRole (Facoltativo):

      • Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

      • Tipo: AWS::IAM::Role::Arn

    • WorkloadName (Obbligatorio):

      • Descrizione: (Obbligatorio) Il nome del carico di lavoro. Se non ResourceGroupName viene fornito, il nome del carico di lavoro viene utilizzato per configurare un nuovo gruppo di AWS risorse con lo stesso nome. IDR-AWS-<WorkloadName>

      • Tipo: String

      • Pattern consentito: ^[a-zA-Z0-9_-]{1,128}$

    • WorkloadDescription (Obbligatorio):

      • Descrizione: (Obbligatoria) La descrizione del carico di lavoro. Inserisci una breve descrizione per dettagliare i casi d'uso di questo carico di lavoro. Includi l'utente finale principale e la funzione di questo carico di lavoro.

      • Tipo: String

      • Pattern consentito: ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$

    • AppRegistryApplication (Facoltativo):

      • Descrizione: (Facoltativo) Il nome o l'ID dell' AppRegistry applicazione AWS Service Catalog. Se non viene fornito, è necessario fornire un input perResourceGroupName.

      • Tipo: String

      • Pattern consentito: ^$|^[a-zA-Z0-9.-_]{1,128}$

      • Impostazione predefinita: ""

    • ResourceGroupName (Facoltativo):

      • Descrizione: (Facoltativo) Il nome di un gruppo di AWS risorse esistente, se non AppRegistryApplication viene fornito. Se si desidera creare un gruppo di risorse, è necessario fornire un input TagFilters e, facoltativamente, ResourceTypeFilters creare un nuovo gruppo di AWS risorse.

      • Tipo: String

      • Pattern consentito: ^$|^[a-zA-Z0-9_.-]{1,128}$

      • Impostazione predefinita: ""

    • TagFilters (Condizionale):

      • Descrizione: (Condizionale) L'elenco di coppie key/values (stringa/elenco di stringhe) che vengono confrontate con i tag allegati alle risorse. AWS Questo parametro viene utilizzato per creare un nuovo gruppo di AWS risorse se non si specifica un o esistente. ResourceGroupName AppRegistryApplication

      • Tipo: StringMap

    • ResourceTypeFilters (Condizionale):

      • Descrizione: (Condizionale) L'elenco dei tipi di risorse supportati da Resource Groups.

      • Tipo: StringList

      • Numero massimo di articoli: 10

      • Impostazione predefinita: AWS::AllSupported

    • InstallServiceLinkedRole (Opzionale):

      • Descrizione: (Facoltativo) Seleziona questa opzione Yes per installare il ruolo AWSServiceRoleForHealth_EventProcessor collegato al servizio (SLR).

      • Tipo: String

      • Valori consentiti: [Yes,No]

      • Impostazione predefinita: No

    • CreateApplicationInsights (Facoltativo):

      • Descrizione: (Facoltativo) Seleziona questa opzione Yes per creare un' CloudWatch applicazione basata sul gruppo Amazon Application Insights Resource.

      • Tipo: String

      • Valori consentiti: [Yes,No]

      • Impostazione predefinita: No

    • ComplianceAndRegulatoryRequirements (Obbligatorio):

      • Descrizione: (Obbligatorio) Requisiti and/or normativi di conformità applicabili per questo carico di lavoro e qualsiasi azione richiesta AWS dopo un incidente.

      • Tipo: String

      • Pattern consentito: ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

    • No AWSComponents (opzionale):

      • Descrizione: (Facoltativo) Dettagli su eventuali AWS componenti locali o non per questo carico di lavoro? In caso affermativo, cosa sono e quali funzioni svolgono.

      • Tipo: String

      • Consenti modello: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Impostazione predefinita: ""

    • UpstreamDownstreamDependencies (Facoltativo):

      • Descrizione: (Facoltativo) Informazioni su eventuali upstream/downstream componenti non integrati, che potrebbero influire sul carico di lavoro in caso di interruzione.

      • Tipo: String

      • Pattern consentito: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Impostazione predefinita: ""

    • FailoverDisasterRecoveryPlan (Facoltativo):

      • Descrizione: (Facoltativo) Fornisci i dettagli di eventuali piani di failover/disaster ripristino manuali o automatizzati a livello di zona e regionale.

      • Tipo: String

      • Pattern consentito: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Impostazione predefinita: ""

    • BridgeDetails (Facoltativo):

      • Descrizione: (Facoltativo) Il ponte di incident/crisis gestione statico stabilito dalla vostra azienda. Se utilizzate un bridge non statico, specificate l'applicazione preferita e AWS richiederete questi dettagli durante un incidente.

      • Tipo: String

      • Valori consentiti: [Amazon Chime bridge, Non-Static bridge, Static bridge]

      • Impostazione predefinita: Amazon Chime bridge

    • SubscriptionStartDate (Obbligatorio):

      • Descrizione: (Obbligatorio) La data nel YYYY-MM-DD formato in cui desideri iniziare l'abbonamento AWS Incident Detection and Response.

      • Tipo: String

      • Pattern consentito: ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$

  4. Seleziona Esegui.

  5. L'automazione si avvia.

  6. Il documento esegue le seguenti operazioni:

    • Controlla il AWSSupport piano:

      Verifica se l'attuale AWS Account Support Plan è Enterprise; in caso contrario l'automazione termina.

    • BranchOnResourceGroup:

      Suddivide l'automazione a seconda che sia stato fornito un AWS Resource Group esistente. Se non viene fornita, l'automazione crea un nuovo gruppo di AWS risorse.

    • GetAppRegistryApplication:

      Ottiene informazioni sui metadati sull' AppRegistry applicazione AWS Service Catalog, se fornite.

    • GenerateResourceGroupTemplate:

      Genera un AWS CloudFormation modello per il AWS Resource Group con i filtri di tag specificati.

    • CreateResourceGroup:

      Crea un nuovo gruppo di AWS risorse utilizzando AWS CloudFormation.

    • TagResourceGroup:

      Contrassegna il gruppo di risorse con i tag obbligatori per AWS Incident Detection and Response (IDR).

    • InstallServiceLinkedRole:

      Installa il ruolo collegato al servizio AWS Incident Detection and Response (IDR), se richiesto.

    • CreateApplicationInsightsApplication:

      Crea un' CloudWatch applicazione Amazon Application Insights, se richiesto.

    • CreateAwsSupportCase:

      Crea un caso di AWS supporto con AWS Incident Detection and Response.

  7. Dopo il completamento, consulta la sezione Output per i risultati dettagliati dell'esecuzione.

Riferimenti

Systems Manager Automation