View a markdown version of this page

Menggunakan runbook migrasi untuk OpsCenter - Incident Manager
Ikhtisar migrasiLangkah 1: Menyebarkan template CloudFormationLangkah 2: Migrasikan CloudWatch alarm dan aturan EventBridgeLangkah 3: Verifikasi migrasi AndaLangkah 4: Bersihkan sumber daya Manajer InsidenPemantauan dan pemecahan masalahPertanyaan umumSumber daya terkait

Manajer Insiden AWS Systems Manager tidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan Manajer Insiden AWS Systems Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan runbook migrasi untuk OpsCenter

Panduan ini memberikan step-by-step petunjuk untuk memigrasikan CloudWatch alarm Amazon dan EventBridge aturan Amazon Anda dari Pengelola AWS Systems Manager Insiden ke AWS Systems Manager OpsCenter menggunakan runbook migrasi otomatis.

Untuk ikhtisar OpsCenter kemampuan dan untuk memahami perbedaan antara Manajer Insiden dan OpsCenter, lihatMigrasi ke AWS Systems Manager OpsCenter.

Ikhtisar migrasi

Proses migrasi menggunakan runbook Automation Systems Manager untuk mengintegrasikan CloudWatch alarm dan EventBridge aturan yang ada. OpsCenter Prosesnya meliputi langkah-langkah berikut:

  • Menyebarkan infrastruktur - Menyebarkan CloudFormation tumpukan untuk membuat sumber daya yang diperlukan untuk runbook migrasi.

  • Migrasikan CloudWatch alarm dan EventBridge aturan - Jalankan runbook otomatisasi untuk memigrasikan sumber daya Anda. OpsCenter

  • Bersihkan sumber daya - Hapus Set Replikasi dan sumber daya Manajer Insiden lainnya secara opsional.

catatan

Runbook mendukung migrasi untuk satu pasangan akun-wilayah. Jika Anda memiliki sumber daya di beberapa akun atau wilayah, Anda harus menjalankan migrasi secara terpisah untuk setiap kombinasi wilayah akun.

Langkah 1: Menyebarkan template CloudFormation

Terapkan CloudFormation template untuk membuat peran IAM, bucket Amazon S3, dan topik Amazon SNS yang diperlukan oleh runbook migrasi.

Izin IAM yang diperlukan

Untuk menerapkan CloudFormation template ini, Anda memerlukan izin IAM untuk operasi CloudFormation tumpukan (cloudformation:CreateStack,cloudformation:DescribeStacks), manajemen peran IAM (,,,) iam:CreateRole iam:PutRolePolicyiam:AttachRolePolicy, pembuatan dan konfigurasi bucket iam:PassRole Amazon S3 (,), dan operasi topik Amazon SNS (s3:CreateBucket,,s3:PutBucket*). sns:CreateTopic sns:Subscribe sns:SetTopicAttributes

Untuk detail selengkapnya tentang CloudFormation izin, lihat referensi CloudFormation izin di CloudFormation Panduan Pengguna.

Untuk menyebarkan CloudFormation template menggunakan konsol

  1. Unduh dan ekstrak file AWS- IncidentManager - MigrationResources .zip yang berisi AWS-IncidentManager-MigrationResources.yaml template.

  2. Buka CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  3. Pilih Buat tumpukan.

  4. Di bagian Tentukan templat, pilih Unggah file templat.

  5. Pilih Pilih file, lalu pilih AWS-IncidentManager-MigrationResources.yaml file.

  6. Pilih Berikutnya.

  7. Pada halaman Tentukan detail tumpukan, masukkan yang berikut ini:

    • Nama tumpukan - Masukkan nama (misalnya,im-migration-infrastructure)

    • ApprovalEmail- Masukkan alamat email untuk menerima pemberitahuan persetujuan (hanya digunakan ketika parameter RequireManualApproval runbook disetel ke true).

    • IsPrimaryMigrationRegion- Pilih true apakah ini adalah wilayah pertama di akun Anda tempat Anda menerapkan tumpukan, jika tidak pilih false

  8. Pilih Berikutnya.

  9. Pada halaman Konfigurasikan opsi tumpukan, pilih Berikutnya.

  10. Pada halaman Ulasan, gulir ke bawah dan pilih Saya mengakui yang CloudFormation mungkin membuat sumber daya IAM dengan nama khusus.

  11. Pilih Kirim.

CloudFormation menampilkan CREATE_IN_PROGRESS status. Status berubah menjadi CREATE_COMPLETE saat tumpukan siap.

catatan

Jika Anda memiliki CloudWatch alarm atau EventBridge aturan di beberapa wilayah, gunakan CloudFormation tumpukan ini di setiap wilayah tempat Anda ingin melakukan migrasi.

Untuk penerapan multi-akun di seluruh AWS Organizations, gunakan dua: CloudFormation StackSets

  • Primer StackSet - Setel IsPrimaryMigrationRegion ke true untuk satu wilayah per akun

  • Sekunder StackSet - Setel IsPrimaryMigrationRegion ke false untuk semua wilayah lain

Untuk petunjuk, lihat Bekerja dengan CloudFormation StackSets di Panduan CloudFormation Pengguna.

Untuk menyebarkan CloudFormation template menggunakan AWS CLI

Untuk wilayah pertama di akun Anda, gunakan perintah berikut:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Untuk wilayah tambahan di akun yang sama, atur IsPrimaryMigrationRegion kefalse:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Untuk memverifikasi status tumpukan:


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Tunggu sampai perintah kembali CREATE_COMPLETE sebelum melanjutkan ke langkah berikutnya.

Langkah 2: Migrasikan CloudWatch alarm dan aturan EventBridge

Gunakan runbook Automation Systems Manager untuk memigrasikan CloudWatch alarm dan EventBridge aturan Anda dari Manajer Insiden ke. OpsCenter

Runbook migrasi

Untuk informasi selengkapnya tentang apa yang dilakukan runbook ini, termasuk deskripsi langkah terperinci, parameter input, dan output, lihat dokumentasi runbook.

Cara kerja runbook

Kedua runbook migrasi mengikuti alur kerja yang sama:

  • Discovery and batching - Menemukan semua CloudWatch alarm atau EventBridge aturan yang dikonfigurasi dengan tindakan rencana respons Manajer Insiden dan mengaturnya ke dalam batch yang dapat dikonfigurasi.

  • Persetujuan manual (opsional) - Secara default, memerlukan persetujuan eksplisit sebelum melanjutkan migrasi, dengan batas waktu 24 jam. Notifikasi Amazon SNS dikirim ke alamat email yang ditentukan selama CloudFormation penerapan. Semua konfigurasi dicadangkan ke Amazon S3, dan daftar lengkap sumber daya yang akan dimigrasikan disimpan untuk tinjauan manual. Langkah ini dapat dilewati dengan menyetel RequireManualApproval ke false.

  • Backup dan migrasi - Jika persetujuan manual disetel ke true, tunggu persetujuan lalu lanjutkan untuk mencadangkan setiap konfigurasi ke Amazon S3 dan melakukan migrasi. Jika disetel ke false, lanjutkan langsung ke pencadangan dan migrasi.

Parameter input

Kedua runbook memerlukan parameter berikut:

AutomationAssumeRole (Diperlukan)

ARN yang IM-Migration-Automation-Role dibuat oleh tumpukan. CloudFormation

ApproverArn (Diperlukan)

ARN dari peran IAM atau pengguna yang dapat meninjau dan menyetujui migrasi.

S3 BucketName (Diperlukan)

Nama bucket Amazon S3 yang dibuat oleh tumpukan. CloudFormation

SNSTopicArn (Diperlukan)

ARN dari topik Amazon SNS yang dibuat oleh tumpukan. CloudFormation

MaxNumberOfAlarmsToMigrate atau MaxNumberOfRulesToMigrate (Opsional)

Jumlah maksimum sumber daya untuk bermigrasi dalam satu eksekusi. Nilai yang valid: 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Default: 10000.

BatchSize (Opsional)

Jumlah sumber daya untuk diproses di setiap batch. Nilai yang valid: 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Default: 100. Runbook mendukung maksimum 100 × BatchSize sumber daya per eksekusi.

RequireManualApproval (Opsional)

Nilai Boolean untuk mengontrol apakah persetujuan manual diperlukan sebelum migrasi. Jika disetel ke true (default), Anda menerima email notifikasi Amazon SNS dengan lokasi Amazon S3 dari daftar sumber daya dan tautan ke konsol eksekusi otomatisasi untuk menyetujui, menolak, atau membatalkan. Ketika disetel ke false, runbook berlangsung secara otomatis setelah penemuan dan pencadangan. Nilai valid: true, false. Default: benar.

Untuk bermigrasi menggunakan konsol

  1. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager.

  2. Pada panel navigasi, pilih Otomatisasi.

  3. Cari nama runbook (AWS-MigrateIncidentManagerCloudWatchAlarmsatauAWS-MigrateIncidentManagerEventBridgeRules).

  4. Pilih Eksekusi otomatisasi.

  5. Masukkan nilai parameter dari output CloudFormation tumpukan Anda.

  6. (Opsional) Setel RequireManualApprovalke false jika Anda ingin melewati langkah persetujuan manual.

  7. Pilih Eksekusi.

  8. Jika RequireManualApproval disetel ke true (default), Anda menerima pemberitahuan email saat eksekusi menunggu peninjauan manual. Email berisi tautan persetujuan ke halaman konsol eksekusi otomatisasi. Tinjau daftar sumber daya di bucket Amazon S3, lalu setujui, tolak, atau batalkan dalam waktu 24 jam dari tautan email atau halaman konsol. Migrasi hanya berlangsung setelah persetujuan. Jika disetel ke false, migrasi akan berlangsung secara otomatis setelah pencadangan.

  9. Tunggu status eksekusi berubah menjadi Sukses.

Untuk bermigrasi menggunakan AWS CLI

Untuk CloudWatch alarm:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Untuk EventBridge aturan:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Untuk meninjau daftar sumber daya di Amazon S3:


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Jika RequireManualApproval disetel ke true, tinjau daftar sumber daya dan setujui migrasi dengan mengeklik tautan persetujuan di notifikasi email atau dari halaman konsol eksekusi otomatisasi. Jika disetel ke false, migrasi akan berlangsung secara otomatis setelah pencadangan.

Langkah 3: Verifikasi migrasi Anda

Setelah menyelesaikan migrasi, verifikasi bahwa sumber daya Anda berfungsi dengan benar:

  • Memicu alarm atau peristiwa pengujian - Aktifkan salah satu CloudWatch alarm atau EventBridge aturan yang dimigrasi untuk menghasilkan pemberitahuan pengujian.

  • Konfirmasikan OpsItem pembuatan - Verifikasi bahwa sebuah OpsItem dibuat secara otomatis OpsCenter saat alarm atau peristiwa dipicu.

  • Validasi pemetaan tingkat keparahan - Periksa apakah tingkat keparahan dari konfigurasi Manajer Insiden asli Anda dipertahankan dengan benar di. OpsItem (Hanya berlaku untuk CloudWatch alarm).

Langkah 4: Bersihkan sumber daya Manajer Insiden

Setelah berhasil memigrasikan CloudWatch alarm dan EventBridge aturan, Anda dapat secara opsional membersihkan sumber daya Manajer Insiden untuk sepenuhnya keluar dari layanan.

Untuk petunjuk terperinci tentang menghapus Set Replikasi, rencana respons, kontak, runbook, dan sumber daya Manajer Insiden lainnya, lihat. Membersihkan Sumber Daya Manajer Insiden

Hapus CloudFormation tumpukan (opsional)

Anda dapat menghapus CloudFormation tumpukan untuk menghapus peran IAM, topik Amazon SNS, dan bucket Amazon S3 yang dibuat untuk migrasi.

penting

Bucket Amazon S3 yang berisi cadangan semua sumber daya yang dimigrasi harus dikosongkan sebelum penghapusan tumpukan. CloudFormation tidak dapat menghapus bucket Amazon S3 yang berisi objek.

Untuk menghapus CloudFormation tumpukan


aws cloudformation delete-stack --stack-name <your-stack-name>

Pemantauan dan pemecahan masalah

CloudWatch Log - Aktivitas migrasi dicatat ke CloudWatch Log:

  • CloudWatch alarm: /aws/ssm/incidentmanager/cwmigration

  • EventBridge aturan: /aws/ssm/incidentmanager/ebmigration

Struktur cadangan Amazon S3 - Semua konfigurasi dicadangkan ke Amazon S3 sebelum migrasi:


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Masalah umum:

  • Pemberitahuan Amazon SNS tidak diterima (bila RequireManualApproval = true) - Periksa langganan topik Amazon SNS:

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Kegagalan migrasi sebagian - Periksa CloudWatch Log untuk pesan kesalahan terperinci dan coba lagi otomatisasi dengan ukuran batch yang dikurangi.

Prosedur rollback:

Jika Anda perlu memutar kembali migrasi:

  • Ambil cadangan dari Amazon S3:

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Kembalikan sumber daya:

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Pertanyaan umum

T: Apa yang terjadi jika waktu otomatisasi habis selama persetujuan?

J: Waktu otomatisasi habis setelah 24 jam jika tidak ada persetujuan yang diterima. Anda dapat memulai ulang otomatisasi dengan parameter yang sama.

T: Dapatkah saya memigrasikan sumber daya lintas wilayah?

A: Tidak. Setiap wilayah harus dimigrasikan secara terpisah menggunakan eksekusi otomatisasi khusus wilayah.

T: Berapa lama waktu migrasi?

J: Waktu migrasi tergantung pada jumlah sumber daya:

  • ~ 100 alarm/aturan: 5-10 menit

  • ~ 1000 alarm/aturan: 30-60 menit

  • ~ 10000 alarm/aturan: 2-4 jam

T: Apakah tingkat keparahan dipertahankan setelah migrasi ke OpsCenter?

J: Ya. Tingkat keparahan yang dikonfigurasi dalam tingkat dampak rencana respons Manajer Insiden dipertahankan dan secara otomatis dipetakan ke tingkat OpsCenter keparahan yang sesuai selama migrasi CloudWatch alarm. Ini tidak berlaku untuk EventBridge aturan.

T: Apakah saya akan dikenakan biaya untuk menjalankan runbook otomatisasi?

A: Tidak. Runbook otomatisasi migrasi tidak dikenakan biaya eksekusi. Namun, OpsCenter penggunaan setelah migrasi akan dikenakan biaya. Untuk detailnya, lihat dokumentasi harga Systems Manager.