AWS Systems Manager Incident Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Incident Manager 可用性變更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Incident Manager 中自動或手動建立事件
Incident Manager 是 中的工具 AWS Systems Manager,可協助您管理和快速回應事件。您可以設定 Amazon CloudWatch 和 Amazon EventBridge,根據 CloudWatch 警示和 EventBridge 事件自動建立事件。您也可以在事件清單頁面上手動建立事件,或使用來自 AWS CLI 或 AWS SDK 的 [StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html) API 動作。Incident Manager 會將從相同 CloudWatch 警示或 EventBridge 事件建立的重複事件刪除為相同的事件。
對於 CloudWatch 警示或 EventBridge 事件自動建立的事件,Invent Manager 會嘗試在與事件規則或警示 AWS 區域 相同的 中建立事件。如果 Incident Manager 無法在 中使用 AWS 區域,CloudWatch 或 EventBridge 會自動在複寫集中指定的其中一個可用區域中建立事件。如需詳細資訊,請參閱[在 Incident Manager 中管理跨 AWS 帳戶 和 區域的事件](incident-manager-cross-account-cross-region.md)。
當系統建立事件時,Incident Manager 會自動收集事件所涉及 AWS 資源的相關資訊,並將此資訊新增至**相關項目**索引標籤。如果您在回應計畫中指定 Runbook,當系統建立事件時,Incident Manager 可以將事件所涉及 AWS 資源的相關資訊傳送至 Runbook。系統接著可以在啟動 Runbook 並嘗試修復問題時,以這些資源為目標。
當系統建立事件時,也會在 Systems Manager 的元件 OpsCenter 中建立父操作工作項目 (OpsItem),並將其連結至事件做為相關項目。您可以使用此 OpsItem 來追蹤相關工作和未來的事件分析。呼叫 OpsCenter 會產生成本。如需 OpsCenter 定價的詳細資訊,請參閱 [Systems Manager 定價](https://aws.amazon.com/systems-manager/pricing/)。
**重要**
請注意以下重要詳細資訊。
如果無法使用 Incident Manager,只有在複寫集中已指定至少兩個區域 AWS 區域 時,系統才能容錯移轉並在其他 中建立事件。如需設定複寫集的詳細資訊,請參閱 [Incident Manager 入門](getting-started.md)。
跨區域容錯移轉建立的事件不會叫用回應計劃中指定的 Runbook。
## 使用 CloudWatch 警示自動建立事件
CloudWatch 使用您的 CloudWatch 指標來提醒您環境中的變更,並自動執行啟動事件動作。CloudWatch 會與 Systems Manager 和 Incident Manager 搭配使用,從回應計劃範本建立事件。這需要下列先決條件:
+ Incident Manager 已設定並已建立複寫集。此步驟會在您的帳戶中建立 Incident Manager 服務連結角色,並提供必要的許可。
+ 已設定的 Incident Manager 回應計劃。若要了解如何設定 Incident Manager 回應計劃,請參閱本指南[在 Incident Manager 中建立和設定回應計劃](response-plans.md)*的事件準備*一節。
+ 監控應用程式的已設定 CloudWatch 指標。如需監控最佳實務,請參閱本指南[監控](incident-response.md#incident-response-monitoring)*事件準備*一節中的 。
**使用**啟動事件**動作建立警示**
1. 在 CloudWatch 中建立警示。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
1. 選擇警示要執行的動作時,請選取**新增 Systems Manager 動作**。
1. 選擇**建立事件**,然後選取此事件的**回應計畫**。
1. 完成所選警示類型指南中的其餘步驟。
**提示**
您也可以將建立事件動作新增至任何現有的警示。
## 使用 EventBridge 事件自動建立事件
EventBridge 規則會監控事件模式。如果事件符合定義的模式,則 Incident Manager 會使用所選的回應計劃建立事件。
### 使用 SaaS 合作夥伴事件建立事件
您可以設定 EventBridge 從軟體即服務 (SaaS) 合作夥伴應用程式和服務接收事件,以允許第三方整合。設定 EventBridge 接收來自第三方合作夥伴的事件後,您可以建立符合合作夥伴事件的規則來建立事件。若要查看第三方整合的清單,請參閱[從 SaaS 合作夥伴接收事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-partner-event-bus.html)。
**設定 EventBridge 以接收來自 SaaS 整合的事件。**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中, 選擇**合作夥伴事件來源**。
1. 使用搜尋列尋找您想要的合作夥伴,然後選擇為該合作夥伴**設定**。
1. 選擇 **Copy (複製)**,將您的帳戶 ID 複製到剪貼簿。
**注意**
若要與 Salesforce 整合,請使用 [Amazon AppFlow 使用者指南](https://docs.aws.amazon.com/appflow/latest/userguide/EventBridge.html)中所述的步驟。
1. 前往合作夥伴的網站,並依照指示建立合作夥伴事件來源。請對此使用您的帳戶 ID。您建立的事件來源僅適用於您的帳戶。
1. 返回 EventBridge 主控台,然後在導覽窗格中選擇**合作夥伴事件來源**。
1. 選取合作夥伴事件來源旁邊的按鈕,然後選擇 **Associate with event bus (與事件匯流排建立關聯)**。
**建立從 SaaS 合作夥伴觸發事件的規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 選擇**建立規則**。
1. 輸入規則的名稱和描述。
在同一個區域和同一個事件匯流排上,規則不能與另一個規則同名。
1. 針對**事件匯流排**,選擇與此合作夥伴對應的事件匯流排。
1. 針對**規則類型**,選擇**具有事件模式的規則**。
1. 選擇**下一步**。
1. 在**事件來源**欄位中,選擇 **AWS 事件或 EventBridge 合作夥伴事件**。
1. 針對**事件模式**,選擇**事件模式表單**。
1. 針對**事件來源**,選擇 **EventBridge 合作夥伴**
1. 針對**合作夥伴**,選擇合作夥伴的名稱。
1. 針對 **Event type** (事件類型),選擇 **All Events** (所有事件) 或選擇要用於此規則的事件類型。如果您選擇 **All Events (所有事件)**,此合作夥伴事件來源發出的所有事件都將符合規則。
如果您想要自訂事件模式,請選擇**編輯**、進行變更,然後選擇**儲存**。
1. 選擇**下一步**。
1. 針對**選取目標**,選擇 **Incident Manager 回應計畫**,然後選擇**回應計畫**。
**注意**
選取回應計劃時,您擁有並與您的帳戶共用的所有回應計劃都會出現在**回應計劃**下拉式清單中。
1. EventBridge 可以建立執行規則所需的 IAM 角色:
+ 若要自動建立 IAM 角色,請選擇 **Create a new role for this specific resource (為此特定資源建立新角色)**。
+ 若要使用您之前建立的 IAM 角色,請選擇 **Use existing role (使用現有角色)**。
1. 選擇**下一步**。
1. (選用) 為規則輸入一或多個標籤。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的 [Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)。
1. 選擇**下一步**。
1. 檢閱您的規則,然後選擇**建立規則**。
### 使用 AWS 服務事件建立事件
EventBridge 也會從支援服務的事件中 AWS [列出的 AWS 服務接收事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html)。與為 SaaS 合作夥伴設定規則的方式類似,您可以為 AWS 服務設定規則。
**建立從 AWS 服務觸發事件的規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中,選擇**規則**。
1. 選擇**建立規則**。
1. 輸入規則的名稱和描述。
在同一個區域和同一個事件匯流排上,規則不能與另一個規則同名。
1. 針對**事件匯流排**選擇**預設值**。
1. 針對**規則類型**選擇**具有事件模式的規則**。
1. 選擇**下一步**。
1. 在**事件來源**欄位中,選擇 **AWS 事件或 EventBridge 合作夥伴事件**。
1. 針對**事件模式**,選擇**事件模式表單**。
1. 在**事件來源**欄位中,選擇 **AWS 服務**。
1. 針對**服務名稱**,選擇監控事件的服務。
1. 針對 **Event type** (事件類型),選擇 **All Events** (所有事件) 或選擇要用於此規則的事件類型。如果您選擇 **All Events (所有事件)**,此合作夥伴事件來源發出的所有事件都將符合規則。
如果您想要自訂事件模式,請選擇**編輯**、進行變更,然後選擇**儲存**。
1. 選擇**下一步**。
1. 針對**選取目標**,選擇 **Incident Manager 回應計畫**,然後選擇**回應計畫**。
**注意**
選取回應計劃時,您擁有並與您的帳戶共用的所有回應計劃都會出現在**回應計劃**下拉式清單中。
1. EventBridge 可以建立執行規則所需的 IAM 角色:
+ 若要自動建立 IAM 角色,請選擇 **Create a new role for this specific resource (為此特定資源建立新角色)**。
+ 若要使用您之前建立的 IAM 角色,請選擇 **Use existing role (使用現有角色)**。
1. 選擇**下一步**。
1. (選用) 為規則輸入一或多個標籤。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的 [Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)。
1. 選擇**下一步**。
1. 檢閱您的規則,然後選擇**建立規則**。
## 手動建立事件
回應者可以使用預先定義的回應計劃,使用 Incident Manager 主控台手動追蹤事件。使用下列步驟來建立事件。
1. 開啟 [Incident Manager 主控台](https://console.aws.amazon.com/systems-manager/incidents/home)。
1. 選擇**開始事件**。
1. 針對**回應計劃**,從清單中選擇回應計劃。
1. (選用) 若要覆寫已定義回應計劃提供的標題,請輸入**事件標題**。
1. (選用) 若要覆寫已定義回應計劃提供的影響,請輸入事件**的影響**。
### 手動啟動事件所需的 IAM 許可
若要手動啟動事件,使用者需要存取 Incident Manager 主控台、檢視回應計劃和啟動事件的許可。當使用者啟動事件時,Incident Manager 會使用[轉送存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) (FAS) 來呼叫 `StartEngagement`。 `StartIncident`
下列 IAM 政策提供手動啟動事件的必要許可、檢視可與其建立事件的回應計畫,以及在建立事件之後檢視和編輯事件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm-incidents:StartIncident",
"ssm-incidents:GetResponsePlan",
"ssm-incidents:ListResponsePlans",
"ssm-incidents:TagResource",
"ssm-incidents:GetIncidentRecord",
"ssm-incidents:ListIncidentRecords",
"ssm-incidents:UpdateIncidentRecord"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm-contacts:StartEngagement"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "ssm-incidents.amazonaws.com"
}
}
}
]
}
```
------
此政策包含以下許可:
+ [ssm-incidents:StartIncident](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_StartIncident.html) - 允許使用者使用主控台或 API 手動啟動事件。這會從回應計劃建立新的事件記錄。
+ [ssm-incidents:GetResponsePlan](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_GetResponsePlan.html) - 允許使用者擷取特定回應計劃的相關資訊。
+ [ssm-incidents:ListResponsePlans](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_ListResponsePlans.html) - 允許使用者列出其帳戶中的所有回應計劃。
+ [ssm-incidents:TagResource](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_TagResource.html) - 允許將標籤新增至 Incident Manager 資源,包括事件和回應計劃。
+ [ssm-incidents:GetIncidentRecord](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_GetIncidentRecord.html) - 允許使用者擷取特定事件的詳細資訊。
+ [ssm-incidents:ListIncidentRecords](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_ListIncidentRecords.html) - 允許使用者列出其帳戶中的所有事件。
+ [ssm-incidents:UpdateIncidentRecord](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_UpdateIncidentRecord.html) - 允許使用者更新現有事件的詳細資訊。
+ [ssm-contacts:StartEngagement](https://docs.aws.amazon.com/incident-manager/latest/APIReference/API_SSMContacts_StartEngagement.html) (有條件) - 允許 Incident Manager 開始與聯絡人互動。條件可確保只能透過 Incident Manager 呼叫。
+ [ssm:CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html) (有條件) - 允許 Incident Manager 在 OpsCenter 中建立 OpsItem。 OpsCenter 條件可確保只能透過 Incident Manager 呼叫。
[aws:CalledViaFirst](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledviafirst) 條件金鑰可確保只有在請求透過 Incident Manager 服務時,才能使用特定許可 (例如 `StartEngagement`)。此方法使用 FAS 而非服務連結角色,可防止可能產生安全風險的潛在跨帳戶呼叫。