本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 事件检测和响应
AWS Systems Manager 自动化为 AWS 事件检测和响应提供了预定义的运行手册。有关运行手册的更多信息,请参阅[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。有关如何查看运行手册内容的信息,请参阅 [查看运行手册内容](automation-runbook-reference.md#view-automation-json)。
**Topics**
+ [`AWSPremiumSupport-OnboardWorkloadToIDR`](automation-awspremisumsupport-onboardworkloadtoidr.md)
# `AWSPremiumSupport-OnboardWorkloadToIDR`
**描述**
该**AWSPremiumSupport-OnboardWorkloadToIDR**运行手册可帮助 E AWS nterprise Support 客户使用事件检测和响应管理工作负载,进行监控和重大 AWS 事件管理。工作负载可以定义为与 AWS 资源组或 S AWS ervice Catalog AppRegistry 应用程序关联的 AWS 资源集合。如果未指定 AWS 资源组或 S AWS ervice Catalog AppRegistry 应用程序,则运行手册将使用标签筛选器或要将其资源包含在组中的 AWS CloudFormation 堆栈 ID 代表您创建一个资源组。如果您将参数设置为`Yes`,则自动使用`CreateApplicationInsights`预配置 Amazon Application Insights CloudWatch 应用程序 AWS CloudFormation。 CloudWatch Application Insights 使用 Amazon CloudWatch 指标、日志和事件为选定的应用程序资源设置推荐的指标和日志,以通知检测到的问题。
**重要**
此运行手册根据提供的输入参数在您的账户中执行以下操作:
使用 AWS CloudFormation 是否指定`ResourceGroupName`或`AppRegistryApplication`未指定来创建新的 AWS 资源组。创建堆栈后,运行手册会尝试设置终止保护。
标记与工作负载相关的 AWS 资源组,包括`aws_idr`标签。
如果`CreateApplicationInsights`输入参数设置为,则创建基于 Amazon A CloudWatch pplication Insights 资源组的`Yes`应用程序。创建堆栈后,运行手册会尝试为堆栈设置终止保护。
如果将`InstallServiceLinkedRole`输入参数设置为,则安装`AWSServiceRoleForHealth_EventProcessor`服务相关角色 (SLR),以配置对事件检测和响应的警报摄取的访问权限。`Yes`
使用 “ AWS 事件检测和响应” 创建 AWS 支持案例。
**重要**
要使用本运行手册并加入 AWS 事件检测和响应,您需要订阅 E AWS nterprise Support(需额外付费)或统一运营订阅。有关更多信息,请参阅[比较 支持 计划](https://aws.amazon.com/premiumsupport/plans/)。
**如何工作?**
运行手册执行以下高级步骤:
+ 检查当前的 Accoun AWS t Support 计划是否为企业版;否则自动化将结束。
+ 根据提供的参数确定是使用现有 AWS 资源组还是创建新资源组。
+ 如果创建新的资源组,则生成 AWS CloudFormation 模板并使用相应标签创建堆栈。
+ 使用所需 AWS 的事件检测和响应标签标记资源组。
+ (可选)为 AWS 事件检测和响应安装服务相关角色。
+ (可选)创建 Amazon CloudWatch 应用程序见解应用程序以增强监控。
+ 创建 AWS 支持案例以完成入职流程。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-OnboardWorkloadToIDR)
**文档类型**
自动化
**所有者**
Amazon
**平台**
/
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStackResource`
+ `cloudformation:DescribeStacks`
+ `cloudformation:UpdateTerminationProtection`
+ `iam:CreateServiceLinkedRole`
+ `resource-groups:CreateGroup`
+ `resource-groups:GetGroup`
+ `resource-groups:TagResource`
+ `servicecatalog-appregistry:GetApplication`
+ `support:CreateCase`
+ `support:DescribeSeverityLevels`
+ `support:DescribeServices`
+ `support:DescribeSupportLevel`
策略示例:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackResource",
"cloudformation:DescribeStacks",
"cloudformation:UpdateTerminationProtection",
"iam:CreateServiceLinkedRole",
"resource-groups:CreateGroup",
"resource-groups:GetGroup",
"resource-groups:TagResource",
"servicecatalog-appregistry:GetApplication",
"support:CreateCase",
"support:DescribeSeverityLevels",
"support:DescribeServices",
"support:DescribeSupportLevel"
],
"Resource": "*"
}
]
}
```
**说明**
按照这些步骤对自动化进行配置:
1. [https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description)在 Systems Manager 的 “文档” 下导航至。
1. 选择 **Execute automation**(执行自动化)。
1. 对于输入参数,请输入以下内容:
+ **AutomationAssumeRole (可选):**
+ 描述:(可选) AWS 身份和访问管理 (IAM) Access Management 角色的亚马逊资源名称 (ARN),允许系统管理员自动化代表您执行操作。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ 类型:`AWS::IAM::Role::Arn`
+ **WorkloadName (必填):**
+ 描述:(必填)工作负载的名称。如果`ResourceGroupName`未提供,则使用工作负载名称来设置名称为的新 AWS 资源组`IDR-AWS-`。
+ 类型:`String`
+ 允许模式:`^[a-zA-Z0-9_-]{1,128}$`
+ **WorkloadDescription (必填):**
+ 描述:(必填)工作负载描述。输入简短描述以详细说明此工作负载的用例。请包括主要最终用户和该工作负载的功能。
+ 类型:`String`
+ 允许模式:`^[a-zA-Z0-9.:;,-_&() ]{1,1024}$`
+ **AppRegistryApplication (可选):**
+ 描述:(可选)S AWS ervice Catalog AppRegistry 应用程序的名称或 ID。如果未提供,则必须为提供输入`ResourceGroupName`。
+ 类型:`String`
+ 允许模式:`^$|^[a-zA-Z0-9.-_]{1,128}$`
+ 默认值:`""`
+ **ResourceGroupName (可选):**
+ 描述:(可选)现有 AWS 资源组的名称(如果`AppRegistryApplication`未提供)。如果要创建资源组,则必须为新资源组提供输入`TagFilters`,也可以选择`ResourceTypeFilters`创建新的 AWS 资源组。
+ 类型:`String`
+ 允许模式:`^$|^[a-zA-Z0-9_.-]{1,128}$`
+ 默认值:`""`
+ **TagFilters (视情况而定):**
+ 描述:(视情况而定)与附加到资源的标签进行比较的 key/values (字符串/字符串列表)对列表 AWS 。如果您未指定现有 AWS 资源组`ResourceGroupName`或,则此参数用于创建新的资源组`AppRegistryApplication`。
+ 类型:`StringMap`
+ **ResourceTypeFilters (视情况而定):**
+ 描述:(视情况而定)Resource Groups 支持的资源类型列表。
+ 类型:`StringList`
+ 最大物品数:`10`
+ 默认值:`AWS::AllSupported`
+ **InstallServiceLinkedRole (可选):**
+ 描述:(可选)选择`Yes`安装`AWSServiceRoleForHealth_EventProcessor`服务相关角色 (SLR)。
+ 类型:`String`
+ 允许的值:`[Yes,No]`
+ 默认值:`No`
+ **CreateApplicationInsights (可选):**
+ 描述:(可选)选择`Yes`创建基于 Amazon A CloudWatch pplication Insights 资源组的应用程序。
+ 类型:`String`
+ 允许的值:`[Yes,No]`
+ 默认值:`No`
+ **ComplianceAndRegulatoryRequirements (必填):**
+ 描述:(必填)适用于此工作负载的合规性 and/or 法规要求以及事件发生 AWS 后需要采取的任何行动。
+ 类型:`String`
+ 允许模式:`^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ **非AWSComponents (可选):**
+ 描述:(可选)详细说明此工作负载的任何本地或非AWS 组件? 如果是,它们是什么,它们执行什么功能。
+ 类型:`String`
+ 允许模式:`^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ 默认值:`""`
+ **UpstreamDownstreamDependencies (可选):**
+ 描述:(可选)未装载的任何 upstream/downstream 组件的详细信息,如果出现中断,这些组件可能会影响此工作负载。
+ 类型:`String`
+ 允许模式:`^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ 默认值:`""`
+ **FailoverDisasterRecoveryPlan (可选):**
+ 描述:(可选)提供可用区和区域级别的所有手动或自动 failover/disaster 恢复计划的详细信息。
+ 类型:`String`
+ 允许模式:`^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ 默认值:`""`
+ **BridgeDetails (可选):**
+ 描述:(可选)贵公司建立的静态 incident/crisis 管理桥梁。如果您使用非静态网桥,请指定您的首选应用程序,并 AWS 将在事件发生期间请求这些详细信息。
+ 类型:`String`
+ 允许的值:`[Amazon Chime bridge, Non-Static bridge, Static bridge]`
+ 默认值:`Amazon Chime bridge`
+ **SubscriptionStartDate (必填):**
+ 描述:(必填)您要开始订阅 “ AWS 事件检测和响应” 的日期,`YYYY-MM-DD`格式为。
+ 类型:`String`
+ 允许模式:`^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$`
1. 选择**执行**。
1. 自动化启动。
1. 文档将执行以下步骤:
+ **查看AWSSupport套餐**:
检查当前的 Accoun AWS t Support 计划是否为企业版;否则自动化将结束。
+ **BranchOnResourceGroup**:
根据是否提供了现有 AWS 资源组来分支自动化。如果未提供,则自动化会创建一个新的 AWS 资源组。
+ **GetAppRegistryApplication**:
获取有关 S AWS ervice Catalog AppRegistry 应用程序的元数据信息(如果提供)。
+ **GenerateResourceGroupTemplate**:
使用指定的标签过滤器为 AWS 资源组生成 AWS CloudFormation 模板。
+ **CreateResourceGroup**:
使用创建新的 AWS 资源组 AWS CloudFormation。
+ **TagResourceGroup**:
使用 AWS 事件检测和响应 (IDR) 所需的标签标记资源组。
+ **InstallServiceLinkedRole**:
如果需要,安装 AWS 事件检测和响应 (IDR) 服务相关角色。
+ **CreateApplicationInsightsApplication**:
根据要求创建 Amazon CloudWatch 应用程序见解应用程序。
+ **CreateAwsSupportCase**:
使用 “ AWS 事件检测和响应” 创建 AWS 支持案例。
1. 完成后,请查看 “**输出**” 部分,了解执行的详细结果。
**参考**
Systems Manager Automation
+ [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description)
+ [运行自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [设置自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support 自动化工作流程](https://aws.amazon.com/premiumsupport/technology/saw/)
+ [开始使用 AWS 事件检测和响应](https://docs.aws.amazon.com//IDR/latest/userguide/getting-started-idr.html)
+ [事件检测和响应中的工作负载发现](https://docs.aws.amazon.com//IDR/latest/userguide/idr-gs-discovery.html)