将 OpsCenter 与其他 Amazon Web Services 集成 - Amazon Systems Manager
Amazon CloudWatchAmazon CloudWatch Application InsightsAmazon DevOps GuruAmazon EventBridgeAmazon ConfigAmazon Security HubIncident Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 OpsCenter 与其他 Amazon Web Services 集成

OpsCenter 是 Amazon Systems Manager 的一项功能,它可以与多个 Amazon Web Services 集成,用于诊断和修复 Amazon 资源的问题。您必须先设置 Amazon Web Service,然后才能将其与 OpsCenter 集成。

默认情况下,以下 Amazon Web Services 将与 OpsCenter 集成,并可自动创建 OpsItems:

您必须将以下服务与 OpsCenter 集成,才能自动创建 OpsItems:

当这些服务中的任何服务创建 OpsItem 时,您都可以从 OpsCenter 管理和修复 OpsItem。有关更多信息,请参阅 管理 OpsItems修复 OpsItem 问题

有关每项 Amazon Web Service 及其如何与 OpsCenter 集成的更多信息,请参阅以下主题。

Amazon CloudWatch

Amazon CloudWatch 将监控您的 Amazon 资源和服务,并显示有关您使用的每项 Amazon Web Service 的指标。当警报进入警报状态时,CloudWatch 将创建 OpsItem。例如,您可以配置告警,在 Application Load Balancer 生成的 HTTP 错误出现峰值时自动创建 OpsItem。

下面的列表中显示了一些警报,您可以在 CloudWatch 中配置它们以创建 OpsItems:

  • Amazon DynamoDB:数据库读取和写入操作达到阈值

  • Amazon EC2:CPU 使用率达到阈值

  • Amazon 账单:预估费用达到阈值

  • Amazon EC2:实例未能通过状态检查

  • Amazon Elastic Block Store (EBS):磁盘空间使用率达到阈值

您可以创建警报或编辑现有警报,以创建 OpsItem。有关更多信息,请参阅 将 CloudWatch 警报配置为创建 OpsItems

当您使用“集成设置”启用 OpsCenter 时,它会将 CloudWatch 与 OpsCenter 集成。

Amazon CloudWatch Application Insights

使用 Amazon CloudWatch Application Insights,您可以为应用程序资源设置最合适的监视器以持续分析数据,以便找出应用程序出现问题的迹象。在 CloudWatch Application Insights 中配置应用程序资源时,可以选择让系统在 OpsCenter 中创建 OpsItems。对于在应用程序中检测到的每个问题,都会在 OpsCenter 控制台上创建一个 OpsItem。有关信息,请参阅《Amazon CloudWatch 用户指南》中的设置、配置和管理用于监控的应用程序

注意

从 2023 年 10 月 16 日起,由 CloudWatch Application Insights 创建的 OpsItems 标题和描述现在使用以下经过改进的格式:

OpsItem title: [<APPLICATION NAME>: <RESOURCE ID>] <PROBLEM SUMMARY>

OpsItem description:       

CloudWatch Application Insights has detected a problem in application <APPLICATION NAME>.
Problem summary: <PROBLEM SUMMARY>
Problem ID: <PROBLEM ID> (hyperlinks to the Application Insights problem summary page)
Problem Status: <PROBLEM STATUS>
Insight: <INSIGHT>

示例如下:

屏幕截图显示了从 CloudWatch Insight 创建的 OpsItem 内容的新格式。

Amazon DevOps Guru

Amazon DevOps Guru 应用机器学习来分析运营数据、应用程序指标以及应用程序事件,以识别偏离正常运营模式的行为。如果您让 DevOps Guru 在 OpsCenter 中生成 OpsItem,则每个洞察都会生成一个新的 OpsItem。您可以使用 OpsCenter 来管理您的 OpsItems。

DevOps Guru 自动创建 OpsItems。您可以使用 Systems Manager 的 Quick Setup 功能,使 Amazon DevOps Guru 创建 OpsItems。系统将通过使用 AWSServiceRoleForDevOpsGuru Amazon Identity and Access Management(IAM)服务相关角色创建 OpsItems。

将 OpsCenter 与 DevOps Guru 集成

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Quick Setup

  3. 自定义 DevOps Guru 配置选项页面上,选择选项卡。

  4. DevOps Guru 窗格中,选择创建

  5. 对于配置选项,选择启用 Amazon Systems Manager OpsItems。

  6. 完成设置后,选择创建

Amazon EventBridge

Amazon EventBridge 将提供事件流,这些事件描述了 Amazon 资源中的更改。当您使用“集成设置”启用 OpsCenter 时,它会将 EventBridge 与 OpsCenter 集成,并启用默认 EventBridge 规则。根据这些规则,EventBridge 将创建 OpsItems。使用规则,您可以筛选事件并将其路由到 OpsCenter,以进行调查和修复。

注意

Amazon EventBridge(前身为 Amazon CloudWatch Events)提供了 CloudWatch Events 的所有功能和一些新功能,如自定义事件总线、第三方事件源和架构注册表。

以下是您可以在 EventBridge 中配置以创建 OpsItem 的一些规则:

  • Security Hub:已发出安全提示

  • Amazon DynamoDB 节流事件

  • Amazon Elastic Compute Cloud Auto Scaling:启动实例失败

  • Systems Manager:运行自动化失败

  • Amazon Health:计划维护提示

  • Amazon EC2:实例状态已从运行更改为停止

根据您的要求,您可以创建规则或编辑现有规则来创建 OpsItems。有关如何编辑规则以创建 OpsItem 的说明,请参阅 配置 EventBridge 规则以创建 OpsItems

Amazon Config

Amazon Config 可以提供关于您的 Amazon Web Services 账户中 Amazon 资源的配置的详细信息。

Amazon Config 不直接与 OpsCenter 集成。相反,您可以创建一条向 Amazon EventBridge 发送事件的 Amazon Config 规则,例如当 Amazon Config 检测到不合规的实例时。然后,EventBridge 根据您创建的 EventBridge 规则评估该事件。如果规则匹配,EventBridge 会将事件转换为 OpsItem,并将其作为目标传输到 OpsCenter。

使用此 OpsItem,您可以追踪不合规资源的详细信息、记录调查操作,并提供对一致修复操作的访问权限。

相关信息

配置 EventBridge 规则以创建 OpsItems

使用 Amazon Systems ManagerOpsCenter 和 Amazon Config 进行合规性监控

Amazon Security Hub

Amazon Security Hub 从跨 Amazon Web Services 账户 和服务中收集为调查发现的安全数据。Security Hub 使用一组规则来检测和生成调查发现,可帮助您识别所管理资源的安全问题、确定其优先级并对其进行修复。按照本主题所述,配置集成后,Systems Manager 会为 OpsCenter 中的 Security Hub 调查发现创建 OpsItems。

注意

OpsCenter 与 Security Hub 进行双向集成。这意味着,如果您更新了与安全调查发现相关的 OpsItem 的状态严重性字段,则系统会将更改与 Security Hub 同步。同样,对调查发现的任何更改都会自动在 OpsCenter 中的相应 OpsItems 中更新。

根据 Security Hub 调查发现创建 OpsItem 时,Security Hub 元数据会自动添加到 OpsItem 的操作数据字段中。如果删除此元数据,则双向更新将不再起作用。

默认情况下,Systems Manager 会针对重大和高严重性的调查发现创建 OpsItems。您可以手动配置 OpsCenter,以便针对中等和低严重性调查发现创建 OpsItems。OpsCenter 不会为信息性调查发现创建 OpsItems,因为这种结果无需修复。有关 Security Hub 严重性级别的更多信息,请参阅《Amazon Security Hub API Reference》中的 Severity

开始前的准备工作

在配置 OpsCenter 以便基于 Security Hub 的调查发现创建 OpsItems 之前,请确认您已完成 Security Hub 的设置任务。有关更多信息,请参阅 Amazon Security Hub 用户指南中的设置 Security Hub

当您将 Security Hub 与 OpsCenter 集成时,系统将使用 OpsItems IAM 服务相关角色创建 AWSServiceRoleForSystemsManagerOpsDataSync。有关该角色的更多信息,请参阅 使用角色为 Explorer 创建 OpsData 和 OpsItems

警告

请注意以下有关与 Security Hub 进行 OpsCenter 集成的定价的重要信息:

  • 如果您在配置 OpsCenter 和 Security Hub 集成时登录到 Security Hub 管理员账户,则系统会针对在管理员所有成员账户中的调查发现创建 OpsItems。OpsItems 均在管理员账户中创建。根据各种因素,这可能会导致来自 Amazon 的意外巨额账单。

    如果您在配置集成时登录到成员账户,则系统仅针对该个人账户中的调查发现创建 OpsItems。有关 Security Hub 管理员账户、成员账户及其与 EventBridge 调查发现事件源关系的更多信息,请参阅《Amazon Security Hub User Guide》中的 Types of Security Hub integration with EventBridge

  • 对于创建 OpsItem 的每个调查发现,都将按常规价格向您收取创建 OpsItem 的费用。如果您编辑了 OpsItem 或在 Security Hub 中更新了相应的调查发现(这会触发 OpsItem 更新),则也会产生费用。

配置 OpsCenter 以便为 Security Hub 调查发现创建 OpsItems

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 OpsCenter

  3. 选择设置

  4. Security Hub 调查发现部分,选择编辑

  5. 选择滑块将已禁用更改为已启用

  6. 如果您希望系统针对中等或低严重性调查发现创建 OpsItems,请切换这些选项。

  7. 选择 Save (保存) 以保存您的配置。

如果您不再希望系统为 Security Hub 调查发现创建 OpsItems,请使用以下步骤。

停止接收 Security Hub 调查发现的 OpsItems

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 OpsCenter

  3. 选择设置

  4. Security Hub 调查发现部分,选择编辑

  5. 选择滑块将已启用更改为已禁用。如果无法切换滑块,则说明您的 Amazon Web Services 账户 尚未启用 Security Hub。

  6. 选择保存以保存您的配置。OpsCenter 不再根据 Security Hub 的调查发现创建 OpsItems。

重要

Systems Manager 委派的管理员或 Amazon Organizations 管理账户可以通过在 Explorer 中创建资源数据同步,从而在 OpsCenter 中为多个账户和 Amazon Web Services 区域 启用 Security Hub 调查发现。如果在 Explorer 中启用了 Security Hub 源,并且存在以成员账户(禁用了 Security Hub)为目标的资源数据同步,则以管理员选择的设置优先。OpsCenter 继续为 Security Hub 调查发现创建 OpsItems。要停止在被资源数据同步视作目标的成员账户中为 Security Hub 调查发现创建 OpsItems,请联系管理员移除您在资源数据同步中的账户,或者在 Explorer 中关闭 Security Hub 源。有关在 Explorer 中更改设置的信息,请参阅 编辑 Systems Manager Explorer 数据源

Incident Manager

Incident Manager 是 Amazon Systems Manager 的一项功能,它提供了一个事件管理控制台,可帮助缓解影响您的 Amazon 托管应用程序的事件并从中恢复。事件是指任何计划外的服务中断或质量下降。在设置并配置 Incident Manager 后,系统将在 OpsCenter 中自动创建 OpsItems。

当系统在 Incident Manager 中创建事件时,它还会在 OpsCenter 中创建一个 OpsItem,并将该事件显示为相关项目。如果 OpsItem 已经存在,则 Incident Manager 不会创建 OpsItem。第一个 OpsItem 称为父 OpsItem。如果某一事件的规模和范围扩大,则您可以向现有 OpsItem 中添加多个事件。如果需要,您可以为 OpsItem 手动创建事件。在事件关闭后,您可以在 Incident Manager 中创建分析,以便查看和改进相似问题的修复过程。

默认情况下,OpsCenter 将与 Incident Manager 集成。如果未设置 Incident Manager,则 OpsCenter 页面将显示一条消息,以设置 Incident Manager。当 Incident Manager 创建 OpsItem 时,您可以从 OpsCenter 管理和修复 OpsItem。有关为 OpsItem 创建事件的说明,请参阅 为 OpsItem 创建事件