本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSPremiumSupport-OnboardWorkloadToIDR
描述
该AWSPremiumSupport-OnboardWorkloadToIDR运行手册可帮助 E AWS nterprise Support 客户使用事件检测和响应管理工作负载,进行监控和重大 AWS 事件管理。工作负载可以定义为与 AWS 资源组或 S AWS ervice Catalog AppRegistry 应用程序关联的 AWS 资源集合。如果未指定 AWS 资源组或 S AWS ervice Catalog AppRegistry 应用程序,则运行手册将使用标签筛选器或要将其资源包含在组中的 AWS CloudFormation 堆栈 ID 代表您创建一个资源组。如果您将参数设置为Yes,则自动使用CreateApplicationInsights预配置 Amazon Application Insights CloudWatch 应用程序 AWS CloudFormation。 CloudWatch Application Insights 使用 Amazon CloudWatch 指标、日志和事件为选定的应用程序资源设置推荐的指标和日志,以通知检测到的问题。
重要
此运行手册根据提供的输入参数在您的账户中执行以下操作:
使用 AWS CloudFormation 是否指定
ResourceGroupName或AppRegistryApplication未指定来创建新的 AWS 资源组。创建堆栈后,运行手册会尝试设置终止保护。标记与工作负载相关的 AWS 资源组,包括
aws_idr标签。如果
CreateApplicationInsights输入参数设置为,则创建基于 Amazon A CloudWatch pplication Insights 资源组的Yes应用程序。创建堆栈后,运行手册会尝试为堆栈设置终止保护。如果将
InstallServiceLinkedRole输入参数设置为,则安装AWSServiceRoleForHealth_EventProcessor服务相关角色 (SLR),以配置对事件检测和响应的警报摄取的访问权限。Yes使用 “ AWS 事件检测和响应” 创建 AWS 支持案例。
重要
要使用本运行手册并加入 AWS 事件检测和响应,您需要订阅 E AWS nterprise Support(需额外付费)或统一运营订阅。有关更多信息,请参阅比较 支持 计划
如何工作?
运行手册执行以下高级步骤:
检查当前的 Accoun AWS t Support 计划是否为企业版;否则自动化将结束。
根据提供的参数确定是使用现有 AWS 资源组还是创建新资源组。
如果创建新的资源组,则生成 AWS CloudFormation 模板并使用相应标签创建堆栈。
使用所需 AWS 的事件检测和响应标签标记资源组。
(可选)为 AWS 事件检测和响应安装服务相关角色。
(可选)创建 Amazon CloudWatch 应用程序见解应用程序以增强监控。
创建 AWS 支持案例以完成入职流程。
文档类型
自动化
所有者
Amazon
平台
/
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
cloudformation:CreateStackcloudformation:DescribeStackResourcecloudformation:DescribeStackscloudformation:UpdateTerminationProtectioniam:CreateServiceLinkedRoleresource-groups:CreateGroupresource-groups:GetGroupresource-groups:TagResourceservicecatalog-appregistry:GetApplicationsupport:CreateCasesupport:DescribeSeverityLevelssupport:DescribeServicessupport:DescribeSupportLevel
策略示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DescribeStackResource", "cloudformation:DescribeStacks", "cloudformation:UpdateTerminationProtection", "iam:CreateServiceLinkedRole", "resource-groups:CreateGroup", "resource-groups:GetGroup", "resource-groups:TagResource", "servicecatalog-appregistry:GetApplication", "support:CreateCase", "support:DescribeSeverityLevels", "support:DescribeServices", "support:DescribeSupportLevel" ], "Resource": "*" } ] }
说明
按照这些步骤对自动化进行配置:
-
AWSPremiumSupport-OnboardWorkloadToIDR在 Systems Manager 的 “文档” 下导航至。 -
选择 Execute automation(执行自动化)。
-
对于输入参数,请输入以下内容:
-
AutomationAssumeRole (可选):
描述:(可选) AWS 身份和访问管理 (IAM) Access Management 角色的亚马逊资源名称 (ARN),允许系统管理员自动化代表您执行操作。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
类型:
AWS::IAM::Role::Arn
-
WorkloadName (必填):
描述:(必填)工作负载的名称。如果
ResourceGroupName未提供,则使用工作负载名称来设置名称为的新 AWS 资源组IDR-AWS-<WorkloadName>。类型:
String允许模式:
^[a-zA-Z0-9_-]{1,128}$
-
WorkloadDescription (必填):
描述:(必填)工作负载描述。输入简短描述以详细说明此工作负载的用例。请包括主要最终用户和该工作负载的功能。
类型:
String允许模式:
^[a-zA-Z0-9.:;,-_&() ]{1,1024}$
-
AppRegistryApplication (可选):
描述:(可选)S AWS ervice Catalog AppRegistry 应用程序的名称或 ID。如果未提供,则必须为提供输入
ResourceGroupName。类型:
String允许模式:
^$|^[a-zA-Z0-9.-_]{1,128}$默认值:
""
-
ResourceGroupName (可选):
描述:(可选)现有 AWS 资源组的名称(如果
AppRegistryApplication未提供)。如果要创建资源组,则必须为新资源组提供输入TagFilters,也可以选择ResourceTypeFilters创建新的 AWS 资源组。类型:
String允许模式:
^$|^[a-zA-Z0-9_.-]{1,128}$默认值:
""
-
TagFilters (视情况而定):
描述:(视情况而定)与附加到资源的标签进行比较的 key/values (字符串/字符串列表)对列表 AWS 。如果您未指定现有 AWS 资源组
ResourceGroupName或,则此参数用于创建新的资源组AppRegistryApplication。类型:
StringMap
-
ResourceTypeFilters (视情况而定):
描述:(视情况而定)Resource Groups 支持的资源类型列表。
类型:
StringList最大物品数:
10默认值:
AWS::AllSupported
-
InstallServiceLinkedRole (可选):
描述:(可选)选择
Yes安装AWSServiceRoleForHealth_EventProcessor服务相关角色 (SLR)。类型:
String允许的值:
[Yes,No]默认值:
No
-
CreateApplicationInsights (可选):
描述:(可选)选择
Yes创建基于 Amazon A CloudWatch pplication Insights 资源组的应用程序。类型:
String允许的值:
[Yes,No]默认值:
No
-
ComplianceAndRegulatoryRequirements (必填):
描述:(必填)适用于此工作负载的合规性 and/or 法规要求以及事件发生 AWS 后需要采取的任何行动。
类型:
String允许模式:
^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$
-
非AWSComponents (可选):
描述:(可选)详细说明此工作负载的任何本地或非AWS 组件? 如果是,它们是什么,它们执行什么功能。
类型:
String允许模式:
^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$默认值:
""
-
UpstreamDownstreamDependencies (可选):
描述:(可选)未装载的任何 upstream/downstream 组件的详细信息,如果出现中断,这些组件可能会影响此工作负载。
类型:
String允许模式:
^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$默认值:
""
-
FailoverDisasterRecoveryPlan (可选):
描述:(可选)提供可用区和区域级别的所有手动或自动 failover/disaster 恢复计划的详细信息。
类型:
String允许模式:
^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$默认值:
""
-
BridgeDetails (可选):
描述:(可选)贵公司建立的静态 incident/crisis 管理桥梁。如果您使用非静态网桥,请指定您的首选应用程序,并 AWS 将在事件发生期间请求这些详细信息。
类型:
String允许的值:
[Amazon Chime bridge, Non-Static bridge, Static bridge]默认值:
Amazon Chime bridge
-
SubscriptionStartDate (必填):
描述:(必填)您要开始订阅 “ AWS 事件检测和响应” 的日期,
YYYY-MM-DD格式为。类型:
String允许模式:
^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$
-
-
选择执行。
-
自动化启动。
-
文档将执行以下步骤:
-
查看AWSSupport套餐:
检查当前的 Accoun AWS t Support 计划是否为企业版;否则自动化将结束。
-
BranchOnResourceGroup:
根据是否提供了现有 AWS 资源组来分支自动化。如果未提供,则自动化会创建一个新的 AWS 资源组。
-
GetAppRegistryApplication:
获取有关 S AWS ervice Catalog AppRegistry 应用程序的元数据信息(如果提供)。
-
GenerateResourceGroupTemplate:
使用指定的标签过滤器为 AWS 资源组生成 AWS CloudFormation 模板。
-
CreateResourceGroup:
使用创建新的 AWS 资源组 AWS CloudFormation。
-
TagResourceGroup:
使用 AWS 事件检测和响应 (IDR) 所需的标签标记资源组。
-
InstallServiceLinkedRole:
如果需要,安装 AWS 事件检测和响应 (IDR) 服务相关角色。
-
CreateApplicationInsightsApplication:
根据要求创建 Amazon CloudWatch 应用程序见解应用程序。
-
CreateAwsSupportCase:
使用 “ AWS 事件检测和响应” 创建 AWS 支持案例。
-
-
完成后,请查看 “输出” 部分,了解执行的详细结果。
参考
Systems Manager Automation
