AWS Systems Manager Incident Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Incident Manager 可用性變更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 AWS Secrets Manager 秘密中存放 PagerDuty 存取憑證 為回應計劃開啟與 PagerDuty 的整合後,Incident Manager 會以下列方式使用 PagerDuty: + Incident Manager 在 Incident Manager 中建立新事件時,會在 PagerDuty 中建立對應的事件。 + 您在 PagerDuty 中建立的分頁工作流程和升級政策會在 PagerDuty 環境中使用。不過,Incident Manager 不會匯入您的 PagerDuty 組態。 + Incident Manager 會將時間軸事件作為備註發佈到 PagerDuty 中的事件,最多 2,000 個備註。 + 當您在 Incident Manager 中解決相關事件時,您可以選擇自動解決 PagerDuty 事件。 若要將 Incident Manager 與 PagerDuty 整合,您必須先在 AWS Secrets Manager 中建立包含 PagerDuty 登入資料的秘密。這些允許 Incident Manager 與您的 PagerDuty 服務通訊。然後,您可以在 Incident Manager 中建立的回應計畫中包含 PagerDuty 服務。 您在 Secrets Manager 中建立的此秘密必須包含適當的 JSON 格式下列項目: + 來自 PagerDuty 帳戶的 API 金鑰。您可以使用一般存取 REST API 金鑰或使用者字符 REST API 金鑰。 + 來自 PagerDuty 子網域的有效使用者電子郵件地址。 + 您部署子網域的 PagerDuty 服務區域。 **注意** PagerDuty 子網域中的所有服務都會部署到相同的服務區域。 **先決條件** 在 Secrets Manager 中建立秘密之前,請確定您符合下列要求。 **KMS 金鑰** 您必須使用在 AWS Key Management Service () 中建立*的客戶受管金鑰*來加密您建立的秘密AWS KMS。當您建立存放 PagerDuty 登入資料的秘密時,請指定此金鑰。 Secrets Manager 提供使用 加密秘密的選項 AWS 受管金鑰,但不支援此加密模式。 客戶受管金鑰必須符合下列要求: + **金鑰類型**:選擇**對稱**。 + **金鑰用量**:選擇**加密和解密**。 + **區域性**:如果您想要將回應計劃複寫至多個 AWS 區域,請務必選取**多區域金鑰**。   **金鑰政策** 設定回應計劃的使用者必須在金鑰的資源型政策`kms:Decrypt`中具有 `kms:GenerateDataKey`和 的許可。`ssm-incidents.amazonaws.com` 服務主體必須具有金鑰資源型政策`kms:Decrypt`中 `kms:GenerateDataKey`和 的許可。 下列政策示範這些許可。將每個{{使用者輸入預留位置}}替換為自己的資訊。 **** ``` { "Version":"2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "{{IAM_ARN_of_principal_creating_response_plan}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] } ``` 如需有關建立新的客戶受管金鑰的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。如需 AWS KMS 金鑰的詳細資訊,請參閱 [AWS KMS 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。 如果現有的客戶受管金鑰符合所有先前的要求,您可以編輯其政策來新增這些許可。如需有關更新客戶受管金鑰中政策的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。 您可以指定條件金鑰來進一步限制存取。例如,下列政策僅允許在美國東部 (俄亥俄) 區域 (us-east-2) 透過 Secrets Manager 存取: ``` { "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ``` **`GetSecretValue` 許可** 建立回應計畫的 IAM 身分 (使用者、角色或群組) 必須具有 IAM 許可 `secretsmanager:GetSecretValue`。 **在 AWS Secrets Manager 秘密中存放 PagerDuty 存取憑證** 1. 請遵循*AWS Secrets Manager 《 使用者指南*》中[建立 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)中的步驟 3a。 1. 對於步驟 3b,對於**鍵/值對**,請執行下列動作: + 選擇**純文字**索引標籤。 + 將方塊的預設內容取代為下列 JSON 結構: ``` { "pagerDutyToken": "{{pagerduty-token}}", "pagerDutyServiceRegion": "{{pagerduty-region}}", "pagerDutyFromEmail": "{{pagerduty-email}}" } ``` + 在您貼上的 JSON 範例中,取代{{預留位置值}},如下所示: + {{pagerduty-token}}:從您的 PagerDuty 帳戶的一般存取 REST API 金鑰或使用者字符 REST API 金鑰的值。 如需相關資訊,請參閱 *PagerDuty 知識庫*中的 [API 存取金鑰](https://support.pagerduty.com/docs/api-access-keys)。 + {{pagerduty-region}}:託管 PagerDuty 子網域的 PagerDuty 資料中心的服務區域。 如需相關資訊,請參閱 *PagerDuty 知識庫*中的[服務區域](https://support.pagerduty.com/docs/service-regions)。 + {{pagerduty-email}}:屬於您 PagerDuty 子網域之使用者的有效電子郵件地址。 如需相關資訊,請參閱 *PagerDuty 知識庫*中的[管理使用者](https://support.pagerduty.com/docs/users)。 下列範例顯示完整的 JSON 秘密,其中包含必要的 PagerDuty 登入資料: ``` { "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" } ``` 1. 在步驟 3c 中,針對**加密金鑰**,選擇您建立的客戶受管金鑰,以符合先前**先決條件**區段中列出的要求。 1. 在步驟 4c 中,針對**資源許可**執行下列動作: + 展開**資源許可**。 + 選擇**編輯許可**。 + 將政策方塊的預設內容取代為下列 JSON 結構: ``` { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ``` + 選擇**儲存**。 1. 在步驟 4d 中,對於**複寫秘密**,如果您將回應計畫複寫到多個項目,請執行下列動作 AWS 區域: + 展開**複寫秘密**。 + 針對 **AWS 區域**,選取您複寫回應計劃的目標區域。 + 針對**加密金鑰**,選擇您在此區域中建立或複寫的客戶受管金鑰,以符合**先決條件**區段下列出的要求。 + 針對每個額外項目 AWS 區域,選擇**新增區域**,然後選取區域名稱和客戶受管金鑰。 1. 完成*AWS Secrets Manager 《 使用者指南*》中[建立 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)中的其餘步驟。 如需有關如何將 PagerDuty 服務新增至 Incident Manager 事件工作流程的資訊,請參閱主題 中的[將 PagerDuty 服務整合到回應計劃](response-plans.md#anchor-pagerduty)中[建立回應計畫](response-plans.md#response-plans-create)。 **相關資訊** [如何使用 PagerDuty 和 ( 操作和遷移部落格) 自動化事件回應 AWS Systems Manager Incident Manager](https://aws.amazon.com/blogs/mt/how-to-automate-incident-response-with-pagerduty-and-aws-systems-manager-incident-manager/)AWS 雲端 *AWS Secrets Manager 《 使用者指南*》中的 [中的秘密加密 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)