View a markdown version of this page

AWSPremiumSupport-OnboardWorkloadToIDR - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSPremiumSupport-OnboardWorkloadToIDR

Descrição

O AWSPremiumSupport-OnboardWorkloadToIDRrunbook ajuda os clientes do AWS Enterprise Support a incorporar uma carga de trabalho para monitoramento e gerenciamento de incidentes críticos usando a Detecção e Resposta a AWS Incidentes. Uma carga de trabalho pode ser definida como uma coleção de AWS recursos associados a um AppRegistry aplicativo AWS Resource Group ou AWS Service Catalog. Se um grupo de AWS recursos ou um AppRegistry aplicativo do AWS Service Catalog não forem especificados, o runbook cria um grupo de recursos em seu nome usando filtros de tag ou o ID da AWS CloudFormation pilha cujos recursos você deseja incluir no grupo. Se você definir o parâmetro comoYes, CreateApplicationInsights a automação provisiona um CloudWatch aplicativo Amazon Application Insights usando AWS CloudFormation. CloudWatch O Application Insights configura métricas e registros recomendados para recursos de aplicativos selecionados usando CloudWatch métricas, registros e eventos da Amazon para notificações sobre problemas detectados.

Importante

Esse runbook executa as seguintes ações em sua conta, dependendo dos parâmetros de entrada fornecidos:

  • Cria um novo grupo AWS de recursos usando AWS CloudFormation se AppRegistryApplication estão ResourceGroupName ou não especificados. Depois que a pilha é criada, o runbook tenta definir a proteção contra encerramento.

  • Marca o grupo de AWS recursos associado à carga de trabalho, incluindo a aws_idr tag.

  • Cria um CloudWatch aplicativo baseado em grupos de recursos do Amazon Application Insights se o parâmetro CreateApplicationInsights de entrada estiver definido como. Yes Depois que a pilha é criada, o runbook tenta definir a proteção de encerramento para a pilha.

  • Instala a função AWSServiceRoleForHealth_EventProcessor vinculada ao serviço (SLR) para fornecer acesso para ingestão de alertas à Detecção e Resposta a Incidentes se o parâmetro de InstallServiceLinkedRole entrada estiver definido como. Yes

  • Cria um caso de AWS suporte com Detecção e Resposta a AWS Incidentes.

Importante

Para usar esse runbook e integrar a Detecção e Resposta a AWS Incidentes, você precisa de um Enterprise AWS Support (com taxa adicional) ou de uma assinatura de operações unificadas. Para obter mais informações, consulte Comparar Planos Suporte.

Como funciona?

O runbook executa as seguintes etapas de alto nível:

  • Verifica se o AWS Account Support Plan atual é Enterprise; caso contrário, a automação termina.

  • Determina se deve usar um grupo de AWS recursos existente ou criar um novo com base nos parâmetros fornecidos.

  • Ao criar um novo grupo de recursos, gera um AWS CloudFormation modelo e cria a pilha com as tags apropriadas.

  • Marca o Grupo de Recursos com as tags necessárias de Detecção e Resposta a AWS Incidentes.

  • Opcionalmente, instala a função vinculada ao serviço para Detecção e Resposta a AWS Incidentes.

  • Opcionalmente, cria um CloudWatch aplicativo Amazon Application Insights para monitoramento aprimorado.

  • Cria um caso de AWS suporte para concluir o processo de integração.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

/

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • cloudformation:CreateStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:UpdateTerminationProtection

  • iam:CreateServiceLinkedRole

  • resource-groups:CreateGroup

  • resource-groups:GetGroup

  • resource-groups:TagResource

  • servicecatalog-appregistry:GetApplication

  • support:CreateCase

  • support:DescribeSeverityLevels

  • support:DescribeServices

  • support:DescribeSupportLevel

Exemplo de política: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackResource",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateTerminationProtection",
                "iam:CreateServiceLinkedRole",
                "resource-groups:CreateGroup",
                "resource-groups:GetGroup",
                "resource-groups:TagResource",
                "servicecatalog-appregistry:GetApplication",
                "support:CreateCase",
                "support:DescribeSeverityLevels",
                "support:DescribeServices",
                "support:DescribeSupportLevel"
            ],
            "Resource": "*"
            }
        ]
        }

Instruções

Siga estas etapas para configurar a automação:

  1. Navegue até AWSPremiumSupport-OnboardWorkloadToIDRem Systems Manager em Documentos.

  2. Selecione Execute automation (Executar automação).

  3. Para os parâmetros de entrada, insira o seguinte:

    • AutomationAssumeRole (Opcional):

      • Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

      • Tipo: AWS::IAM::Role::Arn

    • WorkloadName (Obrigatório):

      • Descrição: (Obrigatório) O nome da carga de trabalho. Se não ResourceGroupName for fornecido, o nome da carga de trabalho será usado para configurar um novo grupo AWS de recursos com o nomeIDR-AWS-<WorkloadName>.

      • Tipo: String

      • Padrão de permissão: ^[a-zA-Z0-9_-]{1,128}$

    • WorkloadDescription (Obrigatório):

      • Descrição: (Obrigatório) A descrição da carga de trabalho. Insira uma breve descrição para detalhar os casos de uso dessa carga de trabalho. Inclua o usuário final principal e a função dessa carga de trabalho.

      • Tipo: String

      • Padrão de permissão: ^[a-zA-Z0-9.:;,-_&() ]{1,1024}$

    • AppRegistryApplication (Opcional):

      • Descrição: (Opcional) O nome ou ID do AppRegistry aplicativo AWS Service Catalog. Se não for fornecido, você deverá fornecer uma entrada paraResourceGroupName.

      • Tipo: String

      • Padrão de permissão: ^$|^[a-zA-Z0-9.-_]{1,128}$

      • Padrão: ""

    • ResourceGroupName (Opcional):

      • Descrição: (Opcional) O nome de um grupo de AWS recursos existente, se não AppRegistryApplication for fornecido. Se quiser criar um grupo de recursos, você deve fornecer uma entrada TagFilters e, opcionalmente, ResourceTypeFilters criar um novo grupo de AWS recursos.

      • Tipo: String

      • Padrão de permissão: ^$|^[a-zA-Z0-9_.-]{1,128}$

      • Padrão: ""

    • TagFilters (Condicional):

      • Descrição: (Condicional) A lista de pares key/values (string/lista de strings) que são comparados às tags anexadas aos seus recursos. AWS Esse parâmetro é usado para criar um novo grupo de AWS recursos se você não especificar um ResourceGroupName ou existenteAppRegistryApplication.

      • Tipo: StringMap

    • ResourceTypeFilters (Condicional):

      • Descrição: (Condicional) A lista de tipos de recursos suportados pelo Resource Groups.

      • Tipo: StringList

      • Número máximo de itens: 10

      • Padrão: AWS::AllSupported

    • InstallServiceLinkedRole (Opcional):

      • Descrição: (Opcional) Selecione Yes para instalar a função AWSServiceRoleForHealth_EventProcessor vinculada ao serviço (SLR).

      • Tipo: String

      • Valores permitidos: [Yes,No]

      • Padrão: No

    • CreateApplicationInsights (Opcional):

      • Descrição: (Opcional) Selecione Yes para criar um CloudWatch aplicativo baseado em grupos de recursos do Amazon Application Insights.

      • Tipo: String

      • Valores permitidos: [Yes,No]

      • Padrão: No

    • ComplianceAndRegulatoryRequirements (Obrigatório):

      • Descrição: (Obrigatório) Requisitos and/or regulatórios de conformidade aplicáveis para essa carga de trabalho e quaisquer ações necessárias AWS após um incidente.

      • Tipo: String

      • Padrão de permissão: ^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

    • Não AWSComponents (opcional):

      • Descrição: (Opcional) Detalhe algum AWS componente local ou não para essa carga de trabalho? Em caso afirmativo, o que são e quais funções desempenham.

      • Tipo: String

      • Padrão de permissão: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Padrão: ""

    • UpstreamDownstreamDependencies (Opcional):

      • Descrição: (Opcional) Detalhes de quaisquer upstream/downstream componentes que não estão sendo integrados, o que pode afetar essa carga de trabalho em caso de interrupção.

      • Tipo: String

      • Padrão de permissão: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Padrão: ""

    • FailoverDisasterRecoveryPlan (Opcional):

      • Descrição: (Opcional) Forneça detalhes de quaisquer planos de failover/disaster recuperação manuais ou automatizados nos níveis regional e de AZ.

      • Tipo: String

      • Padrão de permissão: ^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$

      • Padrão: ""

    • BridgeDetails (Opcional):

      • Descrição: (Opcional) A ponte incident/crisis de gerenciamento estático estabelecida pela sua empresa. Se você utilizar uma ponte não estática, especifique sua aplicação preferida e AWS solicitará esses detalhes durante um incidente.

      • Tipo: String

      • Valores permitidos: [Amazon Chime bridge, Non-Static bridge, Static bridge]

      • Padrão: Amazon Chime bridge

    • SubscriptionStartDate (Obrigatório):

      • Descrição: (Obrigatório) A data no YYYY-MM-DD formato em que você deseja iniciar sua assinatura de Detecção e Resposta a AWS Incidentes.

      • Tipo: String

      • Padrão de permissão: ^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$

  4. Selecione Executar.

  5. A automação é iniciada.

  6. O bucket realiza as seguintes etapas:

    • Verifique o AWSSupport plano:

      Verifica se o AWS Account Support Plan atual é Enterprise; caso contrário, a automação termina.

    • BranchOnResourceGroup:

      Ramifica a automação para determinar se um grupo AWS de recursos existente foi fornecido. Se não for fornecida, a automação cria um novo grupo AWS de recursos.

    • GetAppRegistryApplication:

      Obtém informações de metadados sobre o AppRegistry aplicativo AWS Service Catalog, se fornecidas.

    • GenerateResourceGroupTemplate:

      Gera um AWS CloudFormation modelo para o Grupo AWS de Recursos com os filtros de tag especificados.

    • CreateResourceGroup:

      Cria um novo grupo de AWS recursos usando AWS CloudFormation.

    • TagResourceGroup:

      Marca o grupo de recursos com as tags necessárias de Detecção e Resposta a AWS Incidentes (IDR).

    • InstallServiceLinkedRole:

      Instala a função vinculada ao serviço de Detecção e Resposta a AWS Incidentes (IDR), se solicitada.

    • CreateApplicationInsightsApplication:

      Cria um CloudWatch aplicativo Amazon Application Insights, se solicitado.

    • CreateAwsSupportCase:

      Cria um caso de AWS suporte com Detecção e Resposta a AWS Incidentes.

  7. Após a conclusão, revise a seção Saídas para obter os resultados detalhados da execução.

Referências

Automação do Systems Manager