AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

OpsCenter 入门

要开始使用 OpsCenter,请完成以下步骤。

开始前的准备工作

在开始使用 OpsCenter 之前,请查看定价详细信息。有关更多信息,请参阅 AWS Systems Manager 定价。此外,验证您的 IAM 用户、组或角色是否有权使用 Systems Manager 的特性和功能。有关更多信息,请参阅 设置 AWS Systems Manager

注意

利用 OpsCenter,您可以通过使用 Systems Manager Automation 文档(运行手册)来修正与 AWS 资源相关的问题。要使用此修正功能,您必须有权运行 Systems Manager Automation 文档。有关更多信息,请参阅 Automation 入门

步骤 1:配置 CloudWatch Events 权限以便自动创建 OpsItems

您可以配置 Amazon CloudWatch Events 以自动创建 OpsItems 来响应事件,例如 AWS 资源的状态更改、安全设置更改或服务不可用状态。默认情况下,Amazon CloudWatch Events 无权创建 OpsItems。通过使用 AWS Identity and Access Management (IAM) 策略授予权限。您将策略分配给一个角色,然后将此角色附加到 CloudWatch Events。

本节包括以下过程。

使用以下过程可创建一个 IAM 策略,此策略允许 CloudWatch Events 自动创建 OpsItems。

为 CloudWatch Events 创建 OpsCenter 策略

  1. Sign in to the AWS Management Console and open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择 Policies

  3. 选择 Create policy

  4. 选择 JSON 选项卡。

  5. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:CreateOpsItem", "Resource": "*" } ] }
  6. 选择查看策略

  7. 查看策略页面上,对于名称,输入一个名称。例如:OpsCenter-CWE-Policy

  8. 对于描述,输入有关此策略的信息(用于标识此策略的用途)。

  9. 选择 Create policy

使用以下过程可创建一个 IAM 角色,该角色允许 CloudWatch Events 在 OpsCenter 中自动创建 OpsItems。

为 CloudWatch Events 创建 OpsCenter 角色

  1. Sign in to the AWS Management Console and open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择 Roles

  3. 选择创建角色

  4. 创建角色 页面上的选择可信实体类型 下,验证是否已选择 AWS 服务

  5. 选择将使用此角色的服务 下,选择 CloudWatch Events

  6. 选择使用案例 下,选择 CloudWatch Events,然后选择下一步:权限

  7. 权限页面上,保留默认设置并选择下一步:标签

  8. (可选)在标签页面上,指定键/值标签对,然后选择下一步:审核

  9. 审核页面上,对于角色名称,输入一个名称。例如:OpsItem-CWE-Role

  10. 对于描述,保留默认描述或输入有关此策略的信息(用于标识此策略的用途)。

  11. 选择创建角色

使用以下过程可将您之前创建的策略附加到您刚刚创建的角色。

将 OpsCenter 策略附加到 CloudWatch Events 的 OpsCenter 角色

  1. Sign in to the AWS Management Console and open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择 Roles

  3. 找到您刚刚创建的角色。

  4. 选择角色名称以打开摘要页面。

  5. (可选)您可以在创建此角色时分离自动分配给此角色的策略。选择每个策略旁边的 X 可分离该策略。

  6. 选择 Attach policies (附加策略)。​

  7. 附加权限页面上,找到您之前创建的 OpsCenter 策略。

  8. 选择该策略,然后选择附加策略。IAM 会将您返回角色页。

  9. 选择角色名称以打开摘要页面。

  10. 复制角色 ARN。在使用 CloudWatch Events 配置 OpsCenter 以自动创建 OpsItems 时,您必须指定此 ARN。有关更多信息,请参阅启用默认 CloudWatch Events 规则以便自动创建 OpsItems

CloudWatch Events 现在具有在 OpsCenter 中自动创建 OpsItems 所需的权限。

步骤 2:为 OpsCenter 配置用户或组权限

只能在用于创建 OpsItems 的账户中查看或编辑它。您无法跨 AWS 账户共享或传输 OpsItems。因此,我们建议您在用于运行 AWS 工作负载的 AWS 账户中为 OpsCenter 配置权限。然后,您可以在该账户中创建 AWS Identity and Access Management (IAM) 用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个 AWS 账户中创建、查看和编辑 OpsItems。

OpsCenter 使用以下 API 操作。如果您的 IAM 用户、组或角色有权访问这些操作,则您可使用 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。

以下过程介绍了如何将完全访问内联策略添加到 IAM 用户。如果您愿意,您可以通过将以下内联策略分配到用户的账户、组或角色来指定只读权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems" ], "Resource": "*" } ] }

有关创建和编辑 IAM 策略的更多信息,请参阅 IAM User Guide 中的创建 IAM 策略。有关如何将此策略分配到 IAM 组的信息,请参阅将策略附加到 IAM 组

  1. Sign in to the AWS Management Console and open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择用户

  3. 在列表中,选择一个名称。

  4. 选择 Permissions 选项卡。

  5. 在页面右侧,在 Permission policies (权限策略) 下,选择 Add inline policy (添加内联策略)

  6. 选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:GetOpsSummary" ], "Resource": "*" } ] }
  8. 选择查看策略

  9. 查看策略页面上,对于名称,输入内联策略的名称。例如:OpsCenter-Access-Full

  10. 选择 Create policy

通过使用标签限制对 OpsItems 的访问

您还可以通过使用指定标签的内联 IAM 策略来限制对 OpsItems 的访问。该策略使用以下格式。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "One_or_more_OpsItem_API_actions" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/tag_key": "tag_value" } } } ] }

在下面的示例中,指定了标签键 Department 和标签值 Finance。利用此策略,用户只能调用 GetOpsItem API 操作来查看之前已用键 Department 和值 Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }

在下面的示例中,指定了用于查看和更新 OpsItems 的 API 操作。此策略还指定了两组标签键/值对:Department-Finance 和 Project-Unity。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }

有关向 OpsItem 添加标签的更多信息,请参阅手动创建 OpsItems

步骤 3:(可选)为您的组织创建 OpsItem 指南

我们建议每个组织都创建一组简单的指南,以提高创建和编辑 OpsItems 时的一致性。利用指南,用户可更轻松地找到和解决 OpsItems。组织的指南应定义用户在以下 OpsItem 字段中输入信息时的最佳实践。

注意

Amazon CloudWatch Events 填充自动生成的 OpsItems 的标题描述 字段。您可以编辑标题描述字段,但无法编辑字段。

字段 描述

职务

指南应鼓励一致的 OpsItem 命名体验。例如,您的指南可能要求每个标题包含有关受影响的资源、状态、环境以及积极处理该问题的工程师的姓名或别名的信息(如果适用)。CloudWatch 创建的所有 OpsItems 都包含一个描述导致创建 OpsItem 的事件的标题,但您可以编辑这些标题。

您可以在 OpsItems 中搜索标题contains。如果您的命名指南鼓励一致地使用关键字,则可改进搜索结果。

指南可以包括指定 ID、软件版本号(如果适用)或其他相关数据,以帮助用户确定问题的根源。在创建 OpsItem 后,无法编辑字段。

优先级

(可选)指南包括确定组织的最高和最低优先级,以及任何基于优先级的服务级别协议。您可以指定优先级 1 到 5。

描述

指南应建议包含有关问题的多少详细信息以及用于复制问题的任何步骤(如果适用)。

通知

指南应建议在创建或编辑 OpsItems 时指定哪个 Amazon Simple Notification Service (SNS) 主题 Amazon 资源名称 (ARN)。请注意,SNS 通知是特定于区域的。这意味着,您必须指定一个与 OpsItem 位于同一 AWS 区域内的 ARN。

相关资源

指南可以包含有关哪些资源应该或不应该指定 ARN 的详细信息。对于受支持的 AWS 资源类型,ARN 将创建指向有关资源的详细信息的深层链接。

操作数据

您可以指定每个提供有关问题的上下文的 OpsItem 的自定义数据以及其他相关数据以供将来参考。您可以指定可搜索的自定义数据。所有有权访问 OpsItem“Overview (概述)”页面的用户都可以搜索和查看此数据。您还可以指定私有自定义数据,该数据仅可供有权访问此 OpsItem 的用户查看。

指南可以指定键/值对的结构和标准。这些键/值对可以描述操作数据和分辨率详细信息,从而改进搜索结果。