View a markdown version of this page

AWSPremiumSupport-OnboardWorkloadToIDR - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSPremiumSupport-OnboardWorkloadToIDR

Deskripsi

AWSPremiumSupport-OnboardWorkloadToIDRRunbook ini membantu pelanggan AWS Enterprise Support dalam beban kerja untuk pemantauan dan manajemen insiden kritis menggunakan Deteksi dan Respons AWS Insiden. Beban kerja dapat didefinisikan sebagai kumpulan AWS sumber daya yang terkait dengan Grup AWS Sumber Daya atau AppRegistry aplikasi AWS Service Catalog. Jika Grup AWS Sumber Daya atau AppRegistry aplikasi AWS Service Catalog tidak ditentukan, runbook akan membuat Grup Sumber Daya atas nama Anda menggunakan filter tag atau ID AWS CloudFormation tumpukan yang sumber dayanya ingin disertakan dalam grup. Jika Anda mengatur parameter CreateApplicationInsights keYes, maka otomatisasi menyediakan aplikasi Amazon CloudWatch Application Insights menggunakan AWS CloudFormation. CloudWatch Wawasan Aplikasi menyiapkan metrik dan log yang direkomendasikan untuk sumber daya aplikasi yang dipilih menggunakan CloudWatch metrik Amazon, Log, dan Peristiwa untuk pemberitahuan tentang masalah yang terdeteksi.

penting

Runbook ini melakukan tindakan berikut di akun Anda tergantung pada parameter input yang disediakan:

  • Membuat Grup AWS Sumber Daya baru menggunakan AWS CloudFormation jika ResourceGroupName atau AppRegistryApplication tidak ditentukan. Setelah tumpukan dibuat, runbook mencoba mengatur perlindungan terminasi.

  • Menandai Grup AWS Sumber Daya terkait beban kerja, termasuk aws_idr tag.

  • Membuat aplikasi berbasis grup Amazon CloudWatch Application Insights Resource jika parameter CreateApplicationInsights input disetel ke. Yes Setelah tumpukan dibuat, runbook mencoba mengatur perlindungan terminasi untuk tumpukan.

  • Menginstal peran AWSServiceRoleForHealth_EventProcessor terkait layanan (SLR) untuk menyediakan akses untuk konsumsi peringatan ke Deteksi dan Respons Insiden jika parameter input disetel ke. InstallServiceLinkedRole Yes

  • Membuat kasus AWS dukungan dengan Deteksi dan Respons AWS Insiden.

penting

Untuk menggunakan runbook ini dan onboard untuk Deteksi dan Respons AWS Insiden, Anda memerlukan AWS Dukungan Perusahaan (dengan biaya tambahan) atau Langganan Operasi Terpadu. Untuk informasi selengkapnya, lihat Bandingkan Dukungan Paket.

Bagaimana cara kerjanya?

Runbook melakukan langkah-langkah tingkat tinggi berikut:

  • Memeriksa apakah Rencana Dukungan AWS Akun saat ini adalah Perusahaan; jika tidak, otomatisasi berakhir.

  • Menentukan apakah akan menggunakan Grup AWS Sumber Daya yang ada atau membuat yang baru berdasarkan parameter yang disediakan.

  • Jika membuat Grup Sumber Daya baru, buat AWS CloudFormation template dan buat tumpukan dengan tag yang sesuai.

  • Menandai Grup Sumber Daya dengan tag Deteksi dan Respons AWS Insiden yang diperlukan.

  • Secara opsional menginstal peran terkait layanan untuk Deteksi dan Respons AWS Insiden.

  • Secara opsional membuat aplikasi Amazon CloudWatch Application Insights untuk pemantauan yang ditingkatkan.

  • Membuat kasus AWS dukungan untuk menyelesaikan proses orientasi.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

/

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • cloudformation:CreateStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:UpdateTerminationProtection

  • iam:CreateServiceLinkedRole

  • resource-groups:CreateGroup

  • resource-groups:GetGroup

  • resource-groups:TagResource

  • servicecatalog-appregistry:GetApplication

  • support:CreateCase

  • support:DescribeSeverityLevels

  • support:DescribeServices

  • support:DescribeSupportLevel

Contoh Kebijakan: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSPremiumSupport-OnboardWorkloadToIDRSystems Manager di bawah Documents.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole (Opsional):

      • Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

      • Tipe: AWS::IAM::Role::Arn

    • WorkloadName (Diperlukan):

      • Deskripsi: (Wajib) Nama beban kerja. Jika tidak ResourceGroupName disediakan, nama beban kerja digunakan untuk menyiapkan Grup AWS Sumber Daya baru dengan nama IDR-AWS-<WorkloadName> tersebut.

      • Tipe: String

      • Izinkan Pola: ^[a-zA-Z0-9_-]{1,128}$

    • WorkloadDescription (Diperlukan):

      • Deskripsi: (Wajib) Deskripsi beban kerja. Masukkan deskripsi singkat untuk merinci kasus penggunaan beban kerja ini. Harap sertakan pengguna akhir utama dan fungsi beban kerja ini.

      • Tipe: String

      • Izinkan Pola: ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$

    • AppRegistryApplication (Opsional):

      • Deskripsi: (Opsional) Nama atau ID AppRegistry aplikasi AWS Service Catalog. Jika tidak disediakan, Anda harus memberikan masukan untukResourceGroupName.

      • Tipe: String

      • Izinkan Pola: ^$|^[a-zA-Z0-9.-_]{1,128}$

      • Default: ""

    • ResourceGroupName (Opsional):

      • Deskripsi: (Opsional) Nama Grup AWS Sumber Daya yang AppRegistryApplication ada jika tidak disediakan. Jika Anda ingin membuat Grup Sumber Daya, Anda harus memberikan masukan untuk TagFilters dan secara opsional ResourceTypeFilters untuk membuat Grup AWS Sumber Daya baru.

      • Tipe: String

      • Izinkan Pola: ^$|^[a-zA-Z0-9_.-]{1,128}$

      • Default: ""

    • TagFilters (Bersyarat):

      • Deskripsi: (Bersyarat) Daftar pasangan key/values (string/daftar string) yang dibandingkan dengan tag yang dilampirkan ke sumber daya Anda. AWS Parameter ini digunakan untuk membuat Grup AWS Sumber Daya baru jika Anda tidak menentukan yang sudah ada ResourceGroupName atauAppRegistryApplication.

      • Tipe: StringMap

    • ResourceTypeFilters (Bersyarat):

      • Deskripsi: (Bersyarat) Daftar jenis sumber daya yang didukung oleh Resource Groups.

      • Tipe: StringList

      • Item Maks: 10

      • Default: AWS::AllSupported

    • InstallServiceLinkedRole (Opsional):

      • Deskripsi: (Opsional) Pilih Yes untuk menginstal peran AWSServiceRoleForHealth_EventProcessor terkait layanan (SLR).

      • Tipe: String

      • Nilai yang Diizinkan: [Yes,No]

      • Default: No

    • CreateApplicationInsights (Opsional):

      • Deskripsi: (Opsional) Pilih Yes untuk membuat aplikasi berbasis grup Amazon CloudWatch Application Insights Resource.

      • Tipe: String

      • Nilai yang Diizinkan: [Yes,No]

      • Default: No

    • ComplianceAndRegulatoryRequirements (Diperlukan):

      • Deskripsi: (Wajib) Persyaratan and/or peraturan kepatuhan yang berlaku untuk beban kerja ini dan tindakan apa pun yang diperlukan AWS setelah insiden.

      • Tipe: String

      • Izinkan Pola: ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

    • Non AWSComponents (Opsional):

      • Deskripsi: (Opsional) Detail apakah ada di lokasi atau AWS non-komponen untuk beban kerja ini? Jika demikian, apa itu dan fungsi apa yang mereka lakukan.

      • Tipe: String

      • Izinkan Pola: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Default: ""

    • UpstreamDownstreamDependencies (Opsional):

      • Deskripsi: (Opsional) Detail upstream/downstream komponen apa pun yang tidak di-onboard, yang dapat memengaruhi beban kerja ini jika mengalami pemadaman.

      • Tipe: String

      • Izinkan Pola: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Default: ""

    • FailoverDisasterRecoveryPlan (Opsional):

      • Deskripsi: (Opsional) Berikan rincian rencana failover/disaster pemulihan manual atau otomatis di AZ dan tingkat regional.

      • Tipe: String

      • Izinkan Pola: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Default: ""

    • BridgeDetails (Opsional):

      • Deskripsi: (Opsional) Jembatan incident/crisis manajemen statis yang didirikan oleh perusahaan Anda. Jika Anda menggunakan jembatan non-statis, tentukan aplikasi pilihan Anda dan AWS akan meminta rincian ini selama insiden.

      • Tipe: String

      • Nilai yang Diizinkan: [Amazon Chime bridge, Non-Static bridge, Static bridge]

      • Default: Amazon Chime bridge

    • SubscriptionStartDate (Diperlukan):

      • Deskripsi: (Wajib) Tanggal dalam YYYY-MM-DD format yang Anda inginkan untuk memulai langganan Deteksi dan Respons AWS Insiden.

      • Tipe: String

      • Izinkan Pola: ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • Periksa AWSSupport Rencana:

      Memeriksa apakah Rencana Dukungan AWS Akun saat ini adalah Perusahaan; jika tidak, otomatisasi berakhir.

    • BranchOnResourceGroup:

      Memcabangkan otomatisasi apakah Grup AWS Sumber Daya yang ada disediakan. Jika tidak disediakan, otomatisasi membuat Grup AWS Sumber Daya baru.

    • GetAppRegistryApplication:

      Mendapat informasi metadata tentang AppRegistry aplikasi AWS Service Catalog jika disediakan.

    • GenerateResourceGroupTemplate:

      Menghasilkan AWS CloudFormation template untuk Grup AWS Sumber Daya dengan filter tag yang ditentukan.

    • CreateResourceGroup:

      Membuat Grup AWS Sumber Daya baru dengan menggunakan AWS CloudFormation.

    • TagResourceGroup:

      Menandai grup sumber daya dengan tag AWS Incident Detection and Response (IDR) yang diperlukan.

    • InstallServiceLinkedRole:

      Menginstal peran terkait layanan Deteksi dan Respons AWS Insiden (IDR) jika diminta.

    • CreateApplicationInsightsApplication:

      Membuat aplikasi Amazon CloudWatch Application Insights jika diminta.

    • CreateAwsSupportCase:

      Membuat kasus AWS dukungan dengan Deteksi dan Respons AWS Insiden.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci.

Referensi

Otomatisasi Systems Manager