Usando runbooks de migração para OpsCenter - Incident Manager
Visão geral da migraçãoEtapa 1: implantar o CloudFormation modeloEtapa 2: migrar CloudWatch alarmes e regras EventBridgeEtapa 3: verifique sua migraçãoEtapa 4: Limpar os recursos do Incident ManagerMonitoramento e solução de problemasPerguntas frequentesRecursos relacionados

AWS Systems Manager Incident Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte Mudança de disponibilidade do AWS Systems Manager Incident Manager.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando runbooks de migração para OpsCenter

Este guia fornece step-by-step instruções para migrar seus CloudWatch alarmes e EventBridge regras da Amazon do AWS Systems Manager Incident Manager para o AWS Systems Manager OpsCenter uso de runbooks de migração automatizados.

Para obter uma visão geral dos OpsCenter recursos e entender as diferenças entre o Incident Manager e OpsCenter, consulteMigrando para AWS Systems Manager OpsCenter.

Visão geral da migração

O processo de migração usa runbooks do Systems Manager Automation para integrar seus CloudWatch alarmes e EventBridge regras existentes com o. OpsCenter O processo inclui as seguintes etapas:

  • Implantar infraestrutura - implante a CloudFormation pilha para criar os recursos necessários para os runbooks de migração.

  • Migre CloudWatch alarmes e EventBridge regras - execute os runbooks de automação para migrar seus recursos para o. OpsCenter

  • Limpe os recursos - opcionalmente, exclua o Conjunto de Replicações e outros recursos do Incident Manager.

nota

Os runbooks oferecem suporte à migração para um único par conta-região. Se você tiver recursos em várias contas ou regiões, deverá executar a migração separadamente para cada combinação de conta-região.

Etapa 1: implantar o CloudFormation modelo

Implante o CloudFormation modelo para criar a função do IAM, o bucket do Amazon S3 e o tópico do Amazon SNS exigidos pelos runbooks de migração.

Permissões obrigatórias do IAM

Para implantar esse CloudFormation modelo, você precisa de permissões do IAM para operações de CloudFormation pilha (cloudformation:CreateStack,cloudformation:DescribeStacks), gerenciamento de funções do IAM (iam:CreateRole,iam:PutRolePolicy,iam:AttachRolePolicy,iam:PassRole), criação e configuração de buckets do Amazon S3 s3:CreateBucket (s3:PutBucket*,) e operações sns:CreateTopic de tópicos do Amazon SNS (,,). sns:Subscribe sns:SetTopicAttributes

Para obter detalhes completos sobre CloudFormation permissões, consulte a referência de CloudFormation permissões no Guia CloudFormation do usuário.

Para implantar o CloudFormation modelo usando o console

  1. Baixe e extraia o arquivo AWS- IncidentManager - MigrationResources .zip que contém o AWS-IncidentManager-MigrationResources.yaml modelo.

  2. Abra o CloudFormation console em https://console.aws.amazon.com/cloudformation.

  3. Selecione Criar pilha.

  4. Na seção Specify template (Especificar modelo) escolha Upload a template file (Fazer upload de um arquivo de modelo).

  5. Escolha Escolher arquivo e selecione o AWS-IncidentManager-MigrationResources.yaml arquivo.

  6. Escolha Próximo.

  7. Na página Especificar detalhes da pilha, insira o seguinte:

    • Nome da pilha - Insira um nome (por exemplo,im-migration-infrastructure)

    • ApprovalEmail- Insira o endereço de e-mail para receber notificações de aprovação (usado somente quando o parâmetro RequireManualApproval runbook está definido como verdadeiro).

    • IsPrimaryMigrationRegion- Escolha true se esta é a primeira região da sua conta em que você está implantando a pilha, caso contrário, escolha false

  8. Escolha Avançar.

  9. Na página Configurar opções de pilha, selecione Avançar.

  10. Na página de revisão, role para baixo e selecione Eu reconheço que isso CloudFormation pode criar recursos do IAM com nomes personalizados.

  11. Selecione Enviar.

CloudFormation exibe o CREATE_IN_PROGRESS status. O status muda para CREATE_COMPLETE quando a pilha está pronta.

nota

Se você tiver CloudWatch alarmes ou EventBridge regras em várias regiões, implante essa CloudFormation pilha em cada região em que deseja realizar a migração.

Para implantações de várias contas em AWS Organizations, use duas: CloudFormation StackSets

  • Primário StackSet - IsPrimaryMigrationRegion Definido como verdadeiro para uma região por conta

  • Secundário StackSet - IsPrimaryMigrationRegion Definido como falso para todas as outras regiões

Para obter instruções, consulte Trabalhando com CloudFormation StackSets no Guia CloudFormation do usuário.

Para implantar o CloudFormation modelo usando o AWS CLI

Para a primeira região da sua conta, use o seguinte comando:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=true \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-east-1

Para regiões adicionais na mesma conta, IsPrimaryMigrationRegion defina comofalse:


aws cloudformation create-stack \
    --stack-name im-migration-infrastructure \
    --template-body file://AWS-IncidentManager-MigrationResources.yaml \
    --parameters ParameterKey=ApprovalEmail,ParameterValue=your-email@example.com \
    ParameterKey=IsPrimaryMigrationRegion,ParameterValue=false \
    --capabilities CAPABILITY_NAMED_IAM \
    --region us-west-2

Para verificar o status da pilha:


aws cloudformation describe-stacks \
    --stack-name im-migration-infrastructure \
    --query 'Stacks[0].StackStatus' \
    --output text

Espere até que o comando retorne CREATE_COMPLETE antes de prosseguir para a próxima etapa.

Etapa 2: migrar CloudWatch alarmes e regras EventBridge

Use os runbooks do Systems Manager Automation para migrar seus CloudWatch alarmes e EventBridge regras do Incident Manager para o. OpsCenter

Runbooks de migração

Para obter mais informações sobre o que esses runbooks fazem, incluindo descrições detalhadas das etapas, parâmetros de entrada e saídas, consulte a documentação do runbook.

Como os runbooks funcionam

Os dois runbooks de migração seguem o mesmo fluxo de trabalho:

  • Descoberta e agrupamento em lotes - descobre todos os CloudWatch alarmes ou EventBridge regras configurados com as ações do plano de resposta do Incident Manager e os organiza em lotes configuráveis.

  • Aprovação manual (opcional) - Por padrão, exige aprovação explícita antes de prosseguir com a migração, com um tempo limite de 24 horas. Uma notificação do Amazon SNS é enviada para o endereço de e-mail especificado durante a CloudFormation implantação. Todas as configurações são copiadas para o Amazon S3, e a lista completa de recursos a serem migrados é armazenada para análise manual. Essa etapa pode ser ignorada definindo como RequireManualApproval false.

  • Backup e migração - Se a aprovação manual estiver definida como verdadeira, aguarda a aprovação e, em seguida, fará o backup de cada configuração no Amazon S3 e executará a migração. Se definido como false, prossegue diretamente para o backup e a migração.

Parâmetros de entrada

Ambos os runbooks exigem os seguintes parâmetros:

AutomationAssumeRole (Obrigatório)

O ARN do IM-Migration-Automation-Role criado pela pilha. CloudFormation

ApproverArn (Obrigatório)

O ARN da função do IAM ou do usuário que pode revisar e aprovar a migração.

S3 BucketName (Obrigatório)

O nome do bucket Amazon S3 criado pela pilha CloudFormation .

SNSTopicArn (Obrigatório)

O ARN do tópico do Amazon SNS criado pela pilha. CloudFormation

MaxNumberOfAlarmsToMigrate ou MaxNumberOfRulesToMigrate (opcional)

O número máximo de recursos a serem migrados em uma única execução. Valores válidos: 1, 5, 10, 50, 100, 500, 5000, 10000, 25000, 50000. Padrão: 10000.

BatchSize (Opcional)

O número de recursos a serem processados em cada lote. Valores válidos: 25, 50, 100, 200, 250, 300, 350, 400, 450, 500. Padrão: 100. O runbook suporta no máximo 100 × BatchSize recursos por execução.

RequireManualApproval (Opcional)

Valor booleano para controlar se a aprovação manual é necessária antes da migração. Quando definido como verdadeiro (padrão), você recebe um e-mail de notificação do Amazon SNS com a localização da lista de recursos no Amazon S3 e um link para o console de execução de automação para aprovar, negar ou cancelar. Quando definido como false, o runbook prossegue automaticamente após a descoberta e o backup. Valores válidos: verdadeiro, falso. Padrão: true.

Para migrar usando o console

  1. Abra o console do Systems Manager em https://console.aws.amazon.com/systems-manager.

  2. No painel de navegação à esquerda, escolha Automation.

  3. Pesquise o nome do runbook (AWS-MigrateIncidentManagerCloudWatchAlarmsouAWS-MigrateIncidentManagerEventBridgeRules).

  4. Escolha Execute automation.

  5. Insira os valores dos parâmetros das saídas da CloudFormation pilha.

  6. (Opcional) RequireManualApprovalDefina como false se quiser pular a etapa de aprovação manual.

  7. Clique em Executar.

  8. Se RequireManualApproval estiver definido como verdadeiro (padrão), você receberá uma notificação por e-mail quando a execução aguardar a revisão manual. O e-mail contém um link de aprovação para a página do console de execução de automação. Analise a lista de recursos no bucket do Amazon S3 e, em seguida, aprove, negue ou cancele em 24 horas a partir do link do e-mail ou da página do console. A migração só prossegue após a aprovação. Se definido como falso, a migração prossegue automaticamente após o backup.

  9. Aguarde até que o status de execução mude para Sucesso.

Para migrar usando o AWS CLI

Para CloudWatch alarmes:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerCloudWatchAlarms" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Para EventBridge regras:


aws ssm start-automation-execution \
    --document-name "AWS-MigrateIncidentManagerEventBridgeRules" \
    --parameters '{
        "AutomationAssumeRole": ["arn:aws:iam::123456789012:role/IM-Migration-Automation-Role"],
        "ApproverArn": ["arn:aws:iam::123456789012:role/Admin"],
        "S3BucketName": ["im-migration-logs-123456789012-us-east-1"],
        "SNSTopicArn": ["arn:aws:sns:us-east-1:123456789012:Automation-IM-Migration-Approvals"],
        "RequireManualApproval": ["false"]
    }' \
    --region us-east-1

Para revisar a lista de recursos no Amazon S3:


# For CloudWatch alarms
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/CloudWatch/review_CW_alarms_to_migrate_123456789012_us-east-1.json ./

# For EventBridge rules
aws s3 cp s3://im-migration-logs-123456789012-us-east-1/review/EventBridge/review_EB_rules_to_migrate_123456789012_us-east-1.json ./

Se RequireManualApproval estiver definido como verdadeiro, revise a lista de recursos e aprove a migração clicando no link de aprovação na notificação por e-mail ou na página do console de execução de automação. Se definido como false, a migração prossegue automaticamente após o backup.

Etapa 3: verifique sua migração

Depois de concluir a migração, verifique se seus recursos estão funcionando corretamente:

  • Acione um alarme ou evento de teste: ative um dos CloudWatch alarmes ou EventBridge regras migrados para gerar uma notificação de teste.

  • Confirme OpsItem a criação - Verifique se um OpsItem é criado automaticamente OpsCenter quando o alarme ou evento é acionado.

  • Validar o mapeamento de gravidade - Verifique se o nível de gravidade da configuração original do Incident Manager está preservado corretamente no OpsItem. (Aplicável somente aos CloudWatch alarmes).

Etapa 4: Limpar os recursos do Incident Manager

Depois de migrar com sucesso seus CloudWatch alarmes e EventBridge regras, você pode, opcionalmente, limpar os recursos do Incident Manager para que estejam totalmente fora do serviço.

Para obter instruções detalhadas sobre como excluir o Conjunto de Replicação, planos de resposta, contatos, runbooks e outros recursos do Incident Manager, consulte. Limpando os recursos do Incident Manager

Excluir CloudFormation pilhas (opcional)

Você pode excluir as CloudFormation pilhas para remover a função do IAM, o tópico do Amazon SNS e o bucket do Amazon S3 criados para a migração.

Importante

O bucket do Amazon S3 contendo backups de todos os recursos migrados deve ser esvaziado antes da exclusão da pilha. CloudFormation não é possível excluir buckets do Amazon S3 que contenham objetos.

Para excluir a CloudFormation pilha


aws cloudformation delete-stack --stack-name <your-stack-name>

Monitoramento e solução de problemas

CloudWatch Registros - As atividades de migração são registradas em CloudWatch Registros:

  • CloudWatch alarmes: /aws/ssm/incidentmanager/cwmigration

  • EventBridge regras: /aws/ssm/incidentmanager/ebmigration

Estrutura de backup do Amazon S3 — Todas as configurações são copiadas para o Amazon S3 antes da migração:


migration-logs-{AccountId}-{Region}/
├── backups/
│   ├── CloudWatch/
│   │   └── {AccountId}/
│   │       └── {Region}/
│   │           └── {AlarmName}_backup.json
│   └── EventBridge/
│       └── {AccountId}/
│           └── {Region}/
│               └── {RuleName}_backup.json
└── review/
    ├── CloudWatch/
    │   └── review_CW_alarms_to_migrate_{AccountId}_{Region}.json
    └── EventBridge/
        └── review_EB_rules_to_migrate_{AccountId}_{Region}.json

Problemas comuns:

  • Notificação do Amazon SNS não recebida (quando RequireManualApproval = verdadeira) - Verifique a assinatura do tópico do Amazon SNS:

    
aws sns list-subscriptions-by-topic --topic-arn <sns-topic-arn>

  • Falhas parciais na migração - Verifique CloudWatch os registros para ver as mensagens de erro detalhadas e repita a automação com um tamanho de lote reduzido.

Procedimento de reversão:

Se você precisar reverter a migração:

  • Recupere backups do Amazon S3:

    
aws s3 sync s3://im-migration-logs-123456789012-us-east-1/backups/ ./backups/

  • Restaure recursos:

    
# For CloudWatch alarms
aws cloudwatch put-metric-alarm --cli-input-json file://backups/CloudWatch/123456789012/us-east-1/MyAlarm_backup.json

# For EventBridge rules
aws events put-targets --rule MyRule --targets file://backups/EventBridge/123456789012/us-east-1/MyRule_backup.json

Perguntas frequentes

P: O que acontece se a automação expirar durante a aprovação?

R: A automação expira após 24 horas se nenhuma aprovação for recebida. Você pode reiniciar a automação com os mesmos parâmetros.

P: Posso migrar recursos entre regiões?

R: Não. Cada região deve ser migrada separadamente usando execuções de automação específicas da região.

P: Quanto tempo demora a migração?

R: O tempo de migração depende do número de recursos:

  • ~ 100 alarmes/regras: 5-10 minutos

  • ~ 1000 alarmes/regras: 30-60 minutos

  • ~ 10000 alarmes/regras: 2-4 horas

P: A severidade é preservada após a migração para OpsCenter?

R: Sim. A severidade configurada nos níveis de impacto do plano de resposta do Incident Manager é preservada e mapeada automaticamente para os níveis de OpsCenter severidade apropriados durante a migração do CloudWatch alarme. Isso não se aplica às EventBridge regras.

P: Serei cobrado pela execução dos runbooks de automação?

R: Não. Os runbooks de automação de migração não incorrem em taxas de execução. No entanto, o OpsCenter uso após a migração incorrerá em cobranças. Para obter detalhes, consulte a documentação de preços do Systems Manager.