AWS Systems Manager Incident Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Incident Manager 可用性变更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在事件管理器中自动或手动创建事件
<a name="incident-creation"></a>

事件管理器是一款工具 AWS Systems Manager，可帮助您管理和快速响应事件。您可以将 Amazon CloudWatch 和 Amazon 配置 EventBridge 为根据 CloudWatch 警报和事件自动创建 EventBridge 事件。您也可以在事件列表页面上手动创建事件，也可以使用或 AWS SDK 中的 [StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html)API 操作来创建事件。 AWS CLI Incident Manager 会将同一 CloudWatch 警报或事件中创建的事件重复数据删除到同一个 EventBridge 事件中。

对于由 CloudWatch 警报或 EventBridge 事件自动创建的事件，事件管理器会尝试创建与事件规则或警报 AWS 区域 相同的事件。如果事件管理器在中不可用 AWS 区域， CloudWatch 或者在复制集中指定的可用区域之一中 EventBridge 自动创建事件。有关更多信息，请参阅 [在事件管理器 AWS 账户 中管理跨地区的事件](incident-manager-cross-account-cross-region.md)。

当系统创建事件时，事件管理器会自动收集有关事件中涉及的 AWS 资源的信息，并将这些信息添加到 “**相关项目**” 选项卡中。如果您在响应计划中指定了运行手册，当系统创建事件时，Incident Manager 就可以将事件中涉及的 AWS 资源信息发送到运行手册。然后，系统可以在启动运行手册并尝试修复问题时瞄准这些资源。

当系统创建事件时，它还会在中创建父操作工作项目 (OpsItem) OpsCenter，这是 Systems Manager 的组件，并将其作为相关项链接到事件。您可以使用它 OpsItem 来跟踪相关工作和 future 事件分析。要求 OpsCenter 支付费用的电话。有关 OpsCenter 定价的更多信息，请参阅 S [ystems Manager 定价](https://aws.amazon.com/systems-manager/pricing/)。

**重要**  
请注意以下重要详细信息。  
 AWS 区域 如果事件管理器不可用，则只有在复制集中至少指定了两个区域时，系统才能进行故障转移并在其他区域中创建事件。有关配置复制集的信息，请参阅 [开始使用 Incident Manager](getting-started.md)。
跨区域失效转移创建的事件不会调用响应计划中指定的运行手册。

## 使用 CloudWatch 警报自动创建事件
<a name="incident-tracking-auto-alarms"></a>

CloudWatch 使用您的 CloudWatch 指标来提醒您环境中的变化并自动执行启动事件操作。 CloudWatch 当警报进入警报状态时，与 Systems Manager 和 Incident Manager 合作，根据响应计划模板创建事件。这需要以下先决条件：
+ 已配置 Incident Manager 并创建复制集。该步骤将在您的账户中创建 Incident Manager 服务关联角色，并提供必要的权限。
+ 配置的 Incident Manager 响应计划。要了解如何配置 Incident Manager 响应计划，请参阅 [在事件管理器中创建和配置响应计划](response-plans.md) 本指南的*事件准备*部分。
+ 监控应用程序的配置 CloudWatch 指标。有关监控最佳实践，请参阅本指南的*事件准备*部分的 [监控](incident-response.md#incident-response-monitoring)。

**要使用**开始事件**操作创建警报**

1. 在中创建警报 CloudWatch。有关更多信息，请参阅[亚马逊* CloudWatch 用户指南中的使用亚马逊 CloudWatch *警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。

1. 选择要执行的警报操作时，请选择**添加 Systems Manager 操作**。

1. 选择**创建事件**，然后选择该事件的**响应计划**。

1. 完成所选警报类型指南中的其余步骤。

**提示**  
您还可以将创建事件操作添加到任何现有警报中。

## 使用事件自动创建 EventBridge 事件
<a name="incident-tracking-auto-eventbridge"></a>

EventBridge 规则监视事件模式。如果事件符合定义的模式，Incident Manager 就会使用所选的响应计划创建事件。

### 使用 SaaS 合作伙伴事件创建事件
<a name="incident-tracking-auto-eventbridge-saas"></a>

您可以配置 EventBridge 为接收来自软件即服务 (SaaS) 合作伙伴应用程序和服务的事件，从而允许第三方集成。配置 EventBridge 为接收来自第三方合作伙伴的事件后，您可以创建与合作伙伴事件相匹配的规则以创建事件。要查看第三方集成列表，请参阅[接收来自 SaaS 合作伙伴的事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-partner-event-bus.html)。

**配置 EventBridge 为接收来自 SaaS 集成的事件。**

1. 打开亚马逊 EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。

1. 在导航窗格中，选择**合作伙伴事件源**。

1. 使用搜索栏查找所需的合作伙伴，然后为该合作伙伴选择**设置**。

1. 选择**复制**，将您的账户 ID 复制到剪贴板。
**注意**  
要与 Salesforce 集成，请使用[亚马逊 AppFlow 用户指南](https://docs.aws.amazon.com/appflow/latest/userguide/EventBridge.html)中描述的步骤。

1. 转到合作伙伴的网站，并按照说明创建合作伙伴事件源。对此操作使用您的账户 ID。您创建的事件源只能在您的账户中使用。

1. 返回 EventBridge 控制台，在导航窗格中选择**合作伙伴事件源**。

1. 选择合作伙伴事件源旁边的按钮，然后选择**与事件总线关联**。

**创建可触发来自 SaaS 合作伙伴的事件的规则**

1. 打开亚马逊 EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。

1. 在导航窗格中，选择**规则**。

1. 选择**创建规则**。

1. 为规则输入名称和描述。

   规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。

1. 对于**事件总线**，请选择对应于该合作伙伴的事件总线。

1. 对于**规则类型**，选择**具有事件模式的规则**。

1. 选择**下一步**。

1. 对于**事件来源**，选择**AWS 事件或 EventBridge 合作伙伴事件**。

1. 对于**事件模式**，选择**事件模式表**。

1. 对于**事件来源**，请选择**EventBridge合作伙伴**

1. 对于**合作伙伴**，请选择合作伙伴的名称。

1. 对于**事件类型**，选择**所有事件**或选择要用于此规则的事件类型。如果您选择**所有事件**，此合作伙伴事件源发送的所有事件都将匹配规则。

   如果您希望自定义事件模式，请选择**编辑**，做出修改，然后选择**保存**。

1. 选择**下一步**。

1. 对于**选择目标**，选择 **Incident Manager 响应计划**，然后选择**响应计划**。
**注意**  
选择响应计划时，您拥有并已与您的账户共享的所有响应计划都会显示在**响应计划**下拉列表中。

1. EventBridge 可以创建您的规则运行所需的 IAM 角色：
   + 要自动创建 IAM 角色，请选择**为此特定资源创建新角色**。
   + 要使用您之前创建的 IAM 角色，请选择**使用现有角色**。

1. 选择**下一步**。

1. （可选）为规则输入一个或多个标签。有关更多信息，请参阅《[亚马逊* EventBridge 用户指南》中的亚马逊 EventBridge*标签](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)。

1. 选择**下一步**。

1. 检查规则，然后选择**创建规则**。

### 使用 AWS 服务事件创建事件
<a name="incident-tracking-auto-eventbridge-aws"></a>

EventBridge 还会接收[来自支持 AWS 服务事件中列出的 AWS 服务](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html)的事件。与为 SaaS 合作伙伴配置规则的方式类似，您可以为 AWS 服务配置规则。

**创建触发来自 AWS 服务的事件的规则**

1. 打开亚马逊 EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。

1. 在导航窗格中，选择**规则**。

1. 选择**创建规则**。

1. 为规则输入名称和描述。

   规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。

1. 对于**事件总线**，选择**默认**。

1. 对于**规则类型**，选择**具有事件模式的规则**。

1. 选择**下一步**。

1. 对于**事件来源**，选择**AWS 事件或 EventBridge 合作伙伴事件**。

1. 对于**事件模式**，选择**事件模式表**。

1. 对于**事件源**，选择 **AWS 服务**。

1. 对于**服务名称**，选择监控事件的服务。

1. 对于**事件类型**，选择**所有事件**或选择要用于此规则的事件类型。如果您选择**所有事件**，此合作伙伴事件源发送的所有事件都将匹配规则。

   如果您希望自定义事件模式，请选择**编辑**，做出修改，然后选择**保存**。

1. 选择**下一步**。

1. 对于**选择目标**，选择 **Incident Manager 响应计划**，然后选择**响应计划**。
**注意**  
选择响应计划时，您拥有并已与您的账户共享的所有响应计划都会显示在**响应计划**下拉列表中。

1. EventBridge 可以创建您的规则运行所需的 IAM 角色：
   + 要自动创建 IAM 角色，请选择**为此特定资源创建新角色**。
   + 要使用您之前创建的 IAM 角色，请选择**使用现有角色**。

1. 选择**下一步**。

1. （可选）为规则输入一个或多个标签。有关更多信息，请参阅《[亚马逊* EventBridge 用户指南》中的亚马逊 EventBridge*标签](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)。

1. 选择**下一步**。

1. 检查规则，然后选择**创建规则**。

## 手动创建事件
<a name="incident-tracking-manual"></a>

响应者可以使用预定义的响应计划，使用 Incident Manager 控制台手动跟踪事件。请按照以下步骤创建事件。

1. 打开 [Incident Manager 控制台](https://console.aws.amazon.com/systems-manager/incidents/home)。

1. 选择**启动事件**。

1. 对于**响应计划**，请从列表中选择一个响应计划。

1. （可选）要覆盖已定义的响应计划提供的标题，请输入**事件标题**。

1. （可选）要覆盖定义的响应计划提供的影响，请输入事件的**影响**。

### 手动启动事件所需的 IAM 权限
<a name="incident-tracking-manual-permissions"></a>

要手动启动事件，用户需要访问事件管理器控制台、查看响应计划和启动事件的权限。当用户启动事件时，事件管理器使用[前向访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) (FAS) 将`StartEngagement`呼叫作为事件的一部分`StartIncident`。

以下 IAM 策略为手动启动事件、查看可用于创建事件的响应计划以及在事件创建后查看和编辑事件提供了必要的权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-incidents:StartIncident",
                "ssm-incidents:GetResponsePlan",
                "ssm-incidents:ListResponsePlans",
                "ssm-incidents:TagResource",
                "ssm-incidents:GetIncidentRecord",
                "ssm-incidents:ListIncidentRecords",
                "ssm-incidents:UpdateIncidentRecord"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm-contacts:StartEngagement"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateOpsItem"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
                }
            }
        }
    ]
}
```

------

该策略包含以下权限：
+ [ssm-事件：StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html)-允许用户使用控制台或 API 手动启动事件。这会根据响应计划创建新的事件记录。
+ [ssm-事件：GetResponsePlan](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_GetResponsePlan.html)-允许用户检索有关特定响应计划的信息。
+ [ssm-事件：ListResponsePlans](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_ListResponsePlans.html)-允许用户列出其账户中的所有响应计划。
+ [ssm-事件：TagResource](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_TagResource.html)-允许向事件管理器资源添加标签，包括事件和响应计划。
+ [ssm-事件：GetIncidentRecord](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_GetIncidentRecord.html)-允许用户检索有关特定事件的详细信息。
+ [ssm-事件：ListIncidentRecords](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_ListIncidentRecords.html)-允许用户列出其账户中的所有事件。
+ [ssm-事件：UpdateIncidentRecord](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_UpdateIncidentRecord.html)-允许用户更新现有事件的详细信息。
+ [ssm-contacts：StartEngagement（有条件）-允许事件管理员开始与联系人](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_SSMContacts_StartEngagement.html)互动。该条件确保只能通过事件管理器进行调用。
+ [ssm: CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)（带条件）-允许事件管理器在 in OpsItem 中创建一个。 OpsCenter该条件确保只能通过事件管理器进行调用。

a [ws: CalledViaFirst](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledviafirst) 条件密钥可确保某些权限（例如`StartEngagement`）只能在请求通过事件管理器服务发出时使用。这种方法使用 FAS 而不是服务相关角色，这样可以防止可能构成安全风险的潜在跨账户调用。