Arbeiten mit gemeinsam genutzten Parametern in Parameter Store - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit gemeinsam genutzten Parametern in Parameter Store

Die gemeinsame Nutzung erweiterter Parameter vereinfacht die Verwaltung von Konfigurationsdaten in einer Umgebung mit mehreren Konten. Sie können Ihre Parameter zentral speichern und verwalten und sie mit anderen teilen AWS-Konten , die auf sie verweisen müssen.

Parameter Store lässt sich in AWS Resource Access Manager (AWS RAM) integrieren, um die erweiterte gemeinsame Nutzung von Parametern zu ermöglichen. AWS RAM ist ein Dienst, der es Ihnen ermöglicht, Ressourcen mit anderen zu teilen AWS-Konten oder über AWS Organizations.

Mit können Sie Ressourcen AWS RAM, die Ihnen gehören, gemeinsam nutzen, indem Sie eine gemeinsame Nutzung erstellen. Eine Ressourcenfreigabe gibt die freizugebenden Ressourcen, die zu erteilenden Berechtigungen und die Verbraucher an, mit denen die Freigabe erfolgen soll. Zu den Verbrauchern können folgende Angaben zählen:

  • AWS-Konten Spezifisch innerhalb oder außerhalb der Organisation in AWS Organizations

  • Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations

  • Ihre gesamte Organisation ist in AWS Organizations

Weitere Informationen zu AWS RAM finden Sie im AWS RAM Benutzerhandbuch.

In diesem Thema wird erklärt, wie Sie Parameter teilen, deren Eigentümer Sie sind, und wie Sie Parameter verwenden, die mit Ihnen gemeinsam genutzt werden.

Voraussetzungen für die Freigabe von Parametern

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie die Parameter von Ihrem Konto freigegebenen:

  • Um einen Parameter gemeinsam zu nutzen, müssen Sie ihn in Ihrem besitzen AWS-Konto. Sie können keinen Parameter freigeben, der für Sie freigegeben wurde.

  • Um einen Parameter gemeinsam nutzen zu können, muss er sich in der erweiterten Parameterebene befinden. Weitere Informationen zu den Parameterebenen finden Sie unter Verwalten von Parameterstufen. Hinweise zum Ändern eines vorhandenen Standardparameters in einen erweiterten Parameter finden Sie unter Ändern eines Standardparameters in einen fortgeschrittenen Parameter.

  • Um einen SecureString Parameter gemeinsam zu nutzen, muss er mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden, und Sie müssen den Schlüssel separat teilen AWS Key Management Service. Von AWS verwaltete Schlüssel kann nicht geteilt werden. Mit der Standardeinstellung verschlüsselte Parameter Von AWS verwalteter Schlüssel können aktualisiert werden, sodass stattdessen ein vom Kunden verwalteter Schlüssel verwendet wird. AWS KMS Schlüsseldefinitionen finden Sie unter AWS KMS Konzepte im AWS Key Management Service Entwicklerhandbuch.

  • Um einen Parameter mit Ihrer Organisation oder einer Organisationseinheit gemeinsam zu nutzen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

Freigabe eines Parameters

Um einen Parameter freigeben zu können, müssen Sie ihn einer Ressourcenfreigabe hinzufügen. Eine gemeinsam genutzte Ressource ist eine AWS RAM Ressource, mit der Sie Ihre Ressourcen gemeinsam nutzen können AWS-Konten. Eine Ressourcenfreigabe gibt die freizugebenden Ressourcen und die Konsumenten an, für die sie freigegeben werden.

Wenn Sie einen Parameter, dessen Eigentümer Sie sind, mit anderen teilen AWS-Konten, können Sie zwischen zwei AWS verwalteten Berechtigungen wählen, die Sie den Benutzern gewähren möchten. Weitere Informationen finden Sie unter Berechtigungssätze für die gemeinsame Nutzung von Parametern.

Wenn Sie Teil einer Organisation sind AWS Organizations und das Teilen innerhalb Ihrer Organisation aktiviert ist, können Sie Verbrauchern in Ihrer Organisation von der AWS RAM Konsole aus Zugriff auf den gemeinsamen Parameter gewähren. Andernfalls erhalten Konsumenten eine Einladung zur Teilnahme an der Ressourcenfreigabe und nach Annahme der Einladung wird ihnen Zugriff auf den freigegebenen Parameter gewährt.

Sie können einen Parameter, den Sie besitzen, über die AWS RAM oder die AWS CLI freigeben.

Anmerkung

Sie können einen Parameter zwar mithilfe der Systems Manager PutResourcePolicyManager-API-Operation gemeinsam nutzen, wir empfehlen jedoch, stattdessen AWS Resource Access Manager (AWS RAM) zu verwenden. Dies liegt daran, dass für die Verwendung des Parameters der zusätzliche Schritt PutResourcePolicy erforderlich ist, den Parameter mithilfe der AWS RAM PromoteResourceShareCreatedFromPolicyAPI-Operation auf eine standardmäßige Resource Share hochzustufen. Andernfalls wird der Parameter nicht von der Systems Manager DescribeParametersManager-API-Operation zurückgegeben, die die --shared Option verwendet.

Um einen Parameter, den Sie besitzen, mithilfe der AWS RAM Konsole gemeinsam zu nutzen

Siehe Erstellen einer Ressourcenfreigabe in AWS RAM im AWS RAM -Benutzerhandbuch.

Treffen Sie die folgenden Auswahlen, während Sie das Verfahren abschließen:

  • Wählen Sie auf der Seite Schritt 1 unter Ressourcen Parameter Store Advanced Parameter „aus und aktivieren Sie dann das Kontrollkästchen jedes Parameters in der erweiterten Parameterebene, den Sie freigeben möchten.

  • Wählen Sie auf der Seite Schritt 2 für Verwaltete Berechtigungen die Berechtigung aus, die Verbrauchern gewährt werden soll, wie weiter unten unter Berechtigungssätze für die gemeinsame Nutzung von Parametern in diesem Thema beschrieben.

Wählen Sie andere Optionen auf der Grundlage Ihrer Ziele für die gemeinsame Nutzung von Parametern aus.

Um einen Parameter, den Sie besitzen, mit dem AWS CLI

Verwenden der create-resource-shareBefehl zum Hinzufügen von Parametern zu einer neuen Ressourcenfreigabe.

Verwenden der associate-resource-shareBefehl zum Hinzufügen von Parametern zu einer vorhandenen Ressourcenfreigabe.

Im folgenden Beispiel wird eine neue Ressourcenfreigabe erstellt, um Parameter mit Verbrauchern in einer Organisation und in einem Einzelkonto gemeinsam zu nutzen.

aws ram create-resource-share \ --name "MyParameter" \ --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \ --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

Beenden der Freigabe eines Parameters

Wenn Sie die gemeinsame Nutzung eines gemeinsam genutzten Parameters beenden, kann das Verbraucherkonto nicht mehr auf den Parameter zugreifen.

Um die Freigabe eines Parameters in Ihrem Besitz zu beenden, müssen Sie diesen aus der Ressourcenfreigabe entfernen. Sie können dies mit dem Systems Manager Konsole, AWS RAM Konsole oder die AWS CLI.

Um die gemeinsame Nutzung eines Parameters, dessen Eigentümer Sie sind, über die AWS RAM Konsole zu beenden

Siehe Aktualisieren einer Ressourcenfreigabe in AWS RAM im AWS RAM -Benutzerhandbuch.

Um die gemeinsame Nutzung eines Parameters, dessen Eigentümer Sie sind, zu beenden, verwenden Sie AWS CLI

Verwenden Sie den disassociate-resource-share-Befehl.

Identifizieren freigegebenen Parametern

Besitzer und Konsumenten können freigegebene Parameter mithilfe der AWS CLI identifizieren.

Um gemeinsam genutzte Parameter mit dem zu identifizieren AWS CLI

Um gemeinsam genutzte Parameter mit dem zu identifizieren AWS CLI, können Sie zwischen dem Systems Manager describe-parameters Manager-Befehl und dem AWS RAM list-resources Befehl wählen.

Wenn Sie die --shared-Option mit describe-parameters verwenden, gibt der Befehl die Parameter zurück, die mit Ihnen gemeinsam genutzt werden.

Im Folgenden wird ein Beispiel gezeigt:

aws ssm describe-parameters --shared

Zugreifen auf freigegebene Parameter

Verbraucher können mit den AWS Befehlszeilentools und auf gemeinsam genutzte Parameter zugreifen AWS SDKs. Bei Verbraucherkonten sind Parameter, die mit diesem Konto gemeinsam genutzt werden, nicht auf der Seite Meine Parameter enthalten.

CLI-Beispiel: Zugreifen auf gemeinsam genutzte Parameterdetails mit dem AWS CLI

Um mit dem auf Details gemeinsam genutzter Parameter zuzugreifen AWS CLI, können Sie den get-parameter oder get-parametersBefehle. Sie müssen den vollständigen Parameter-ARN als angeben, um den --name-Parameter von einem anderen Konto abzurufen.

Im Folgenden wird ein Beispiel gezeigt.

aws ssm get-parameter \ --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
Unterstützte und nicht unterstützte Integrationen für gemeinsam genutzte Parameter

Derzeit können Sie gemeinsam genutzte Parameter in den folgenden Integrationsszenarien verwenden:

Die folgenden Szenarien und integrierten Services unterstützen derzeit nicht die Verwendung von freigegebenen Parametern:

Berechtigungssätze für die gemeinsame Nutzung von Parametern

Verbraucherkonten erhalten schreibgeschützten Zugriff auf die Parameter, die Sie mit ihnen teilen. Der Verbraucher kann den Parameter nicht aktualisieren oder löschen. Der Verbraucher kann den Parameter nicht mit einem dritten Konto teilen.

Wenn Sie eine Ressourcenfreigabe AWS Resource Access Manager für die gemeinsame Nutzung Ihrer Parameter erstellen, können Sie aus zwei AWS verwalteten Berechtigungssätzen wählen, um diesen schreibgeschützten Zugriff zu gewähren:

AWSRAMDefaultBerechtigungSSMParameterReadOnly

Erlaubte Aktionen: DescribeParameters, GetParameter, GetParameters

AWSRAMPermissionSSMParameterReadOnlyWithHistory

Erlaubte Aktionen: DescribeParameters, GetParameter, GetParameters, GetParameterHistory

Wenn Sie die Schritte unter Erstellen einer gemeinsamen Ressource in AWS RAM im AWS RAM -Benutzerhandbuch ausführen, wählen Sie Parameter Store Advanced Parameters als Ressourcentyp und eine dieser verwalteten Berechtigungen aus, je nachdem, ob Benutzer den Parameterverlauf anzeigen sollen oder nicht.

Anmerkung

Wenn Sie gemeinsam genutzte Parameter programmgesteuert abrufen (z. B. mithilfe von AWS Lambda), müssen Sie möglicherweise allen IAM-Rollen, die API-Aktionen aufrufen, die ssm:PutResourcePolicy Berechtigungen ssm:GetResourcePolicies und hinzufügen. AWS Resource Access Manager

Maximaler Durchsatz für freigegebene Parameter

Systems Manager begrenzt den maximalen Durchsatz (Transaktionen pro Sekunde) für GetParameter und GetParameters. Operationen. Der Durchsatz wird auf der Ebene der einzelnen Konten durchgesetzt. Daher kann jedes Konto, das einen gemeinsamen Parameter verwendet, seinen maximal zulässigen Durchsatz nutzen, ohne von anderen Konten beeinflusst zu werden. Weitere Informationen zum maximalen Durchsatz für Parameter finden Sie in den folgenden Themen:

Preisgestaltung für freigegebene Parameter

Kontoübergreifendes Teilen ist nur in der erweiterten Parameterstufe verfügbar. Für erweiterte Parameter fallen Gebühren zum aktuellen Preis für den Speicher und die API-Nutzung für jeden erweiterten Parameter an. Die Kosten für die Speicherung der erweiterten Parameter werden dem Eigentümerkonto angerechnet. Für jedes nutzende Konto, das einen API-Aufruf an einen gemeinsam genutzten erweiterten Parameter tätigt, wird die Nutzung des Parameters in Rechnung gestellt.

Wenn Konto A beispielsweise einen erweiterten Parameter, MyAdvancedParameter, erstellt, werden diesem Konto 0,05 USD pro Monat für die Speicherung des Parameters berechnet.

Konto A teilt dann MyAdvancedParameter mit Konto B und Konto C. Während eines Monats tätigen die drei Konten Anrufe an MyAdvancedParameter. In der folgenden Tabelle sind die Gebühren aufgeführt, die für sie je nach Anzahl der von ihnen getätigten Anrufe anfallen würden.

Anmerkung

Die Gebühren in der folgenden Tabelle dienen nur zur Veranschaulichung. Informationen zur Überprüfung der aktuellen Preise finden Sie unter AWS Systems Manager Preise für Parameter Store.

Account Anzahl der Aufrufe Gebühren
Konto A (Besitzkonto) 10 000 Anrufe
  • Erweiterter Parameterspeicher für einen Monat: 0,05 USD

  • 10 000 Anrufe zu MyAdvancedParameter: 0,05 USD

  • Insgesamt: 0,10 USD

Konto B (Verbraucherkonto) 20 000 Anrufe
  • 20 000 Anrufe zu MyAdvancedParameter: 0,10 USD

  • Insgesamt: 0,10 USD

Konto C (Verbraucherkonto) 30 000 Anrufe
  • 30 000 Anrufe zu MyAdvancedParameter: 0,15 USD

  • Insgesamt: 0,15 USD

Kontoübergreifender Zugriff für geschlossene AWS-Konten

Wenn der AWS-Konto , der einen gemeinsamen Parameter besitzt, geschlossen wird, verlieren alle verbrauchenden Konten den Zugriff auf den gemeinsamen Parameter. Wenn das Konto, das Eigentümer ist, innerhalb von 90 Tagen nach der Schließung des Kontos wieder geöffnet wird, erhalten die verbrauchenden Konten wieder Zugriff auf die zuvor freigegebenen Parameter. Weitere Informationen zur Wiedereröffnung eines Kontos während der Zeit nach der Schließung finden Sie im AWS Account Management Referenzhandbuch unter Zugriff auf Ihr Konto, AWS-Konto nachdem Sie es geschlossen haben.