AWS Systems Manager Parameter Store - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Parameter Store

Parameter Store, eine Funktion von AWS Systems Manager, bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen. Sie können Daten wie Passwörter, Datenbankzeichenfolgen, Amazon Machine Image (AMI) IDs und Lizenzcodes als Parameterwerte speichern. Sie können Werte als Klartext oder als verschlüsselte Daten speichern. Sie können Systems Manager-Parameter in Skripts, Befehlen, SSM-Dokumenten und Konfigurations- und Automatisierungs-Workflows referenzieren, indem Sie den eindeutigen Namen verwenden, den Sie beim Erstellen des Parameters angegeben haben. Um mit Parameter Store zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Parameter Store aus.

Parameter Store ist auch in Secrets Manager integriert. Sie können Secrets-Manager-Geheimnisse abrufen, wenn Sie andere AWS-Services verwenden, die bereits Referenzen zu Parameter Store-Parametern unterstützen. Weitere Informationen finden Sie unter Referenzieren von AWS Secrets Manager-Geheimnissen über Parameter Store-Parameter.

Anmerkung

Um Lebenszyklen für die Passwortrotation zu implementieren, verwenden Sie. AWS Secrets Manager Sie können Datenbankanmeldeinformationen, API-Schlüssel und andere geheime Informationen mit Secrets Manager während ihres gesamten Lebenszyklus mühelos rotieren, verwalten und abfragen. Weitere Informationen finden Sie unter Was ist? AWS Secrets Manager im AWS Secrets Manager Benutzerhandbuch.

Welche Vorteile bietet Parameter Store meiner Organisation?

Parameter Store bietet die folgenden Vorteile:

  • Verwenden Sie einen sicheren, skalierbaren, gehosteten Verschlüsselungsmanagementservice ohne zu verwaltende Server.

  • Verbessern Sie Ihre Sicherheit, indem Sie Ihre Daten von Ihrem Code trennen.

  • Speichern Sie Konfigurationsdaten und verschlüsselte Zeichenfolgen in Hierarchien und verfolgen Sie Versionen nach.

  • Steuern und prüfen Sie Zugriff genau.

  • Speichern Sie Parameter zuverlässig, da Parameter Store in mehreren Availability Zones in einer AWS-Region gehostet wird.

An wen richtet sich Parameter Store?

  • Jeder AWS Kunde, der eine zentrale Möglichkeit zur Verwaltung von Konfigurationsdaten haben möchte.

  • Softwareentwickler, die verschiedene Logins und Referenzströme speichern möchten.

  • Administratoren, die Benachrichtigungen erhalten möchten, wenn ihre Secrets und Passwörter geändert werden oder nicht.

Über welche Features verfügt Parameter Store?

  • Änderungsbenachrichtigung

    Sie können Änderungsbenachrichtigungen konfigurieren und automatisierte Aktionen für beide Parameter und Parameterrichtlinien auslösen. Weitere Informationen finden Sie unter Benachrichtigungen einrichten oder Aktionen auf Parameter Store der Grundlage von Ereignissen auslösen.

  • Organisieren von Parametern

    Sie können Ihre Parameter individuell markieren, um anhand der Tags, die Sie ihnen zugewiesen haben, einen oder mehrere Parameter zu identifizieren. Sie können Parameter z. B. nach bestimmten Umgebungen oder Abteilungen taggen. Weitere Informationen finden Sie unter Markieren von Systems Manager-Parametern.

  • Beschriftungsversionen

    Sie können einen Alias für Versionen Ihres Parameters zuordnen, indem Sie Beschriftungen erstellen. Dank Beschriftungen können Sie sich den Zweck einer Parameterversion merken, wenn mehrere Versionen vorhanden sind.

  • Datenvalidierung

    Sie können Parameter erstellen, die auf eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance verweisen, und Parameter Store überprüft diese Parameter, um sicherzustellen, dass es auf den erwarteten Ressourcentyp verweist, dass die Ressource vorhanden ist und dass der Kunde die Berechtigung hat, die Ressource zu verwenden. Sie können beispielsweise einen Parameter mit Amazon Machine Image (AMI) ID als einen Wert mit aws:ec2:image-Datentyp erstellen und Parameter Store führt einen asynchronen Validierungsvorgang aus, um sicherzustellen, dass der Parameterwert die Formatierungsanforderungen für eine AMI ID erfüllt und dass das angegebene AMI in Ihrem AWS-Konto verfügbar ist.

  • Referenz-Secrets

    Parameter Storeist integriert, AWS Secrets Manager sodass Sie Secrets Manager abrufen können, wenn Sie andere verwenden AWS-Services , die bereits Verweise auf Parameter Store Parameter unterstützen.

  • Parameter mit anderen Konten teilen

    Sie können die Konfigurationsdaten optional in einer einzigen Datei zentralisieren AWS-Konto und Parameter mit anderen Konten teilen, die darauf zugreifen müssen.

  • Von anderen aus zugänglich AWS-Services

    Sie können Parameter Store-Parameter mit anderen Systems-Manager-Funktionen und AWS-Services zum Abrufen von Geheimnissen und Konfigurationsdaten aus einem zentralen Speicher verwenden. Parameter funktionieren mit Systems Manager Manager-Funktionen wie Run Command Automatisierung und State Manager Funktionen von AWS Systems Manager. Sie können auch in einer Reihe anderer Parameter auf Parameter verweisen AWS-Services, z. B. in den folgenden:

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integrieren Sie mit anderen AWS-Services

    Konfigurieren Sie die Integration mit den folgenden Optionen AWS-Services für Verschlüsselung, Benachrichtigung, Überwachung und Prüfung:

Was ist ein Parameter?

Ein Parameter Store-Parameter ist eine beliebige Datenmenge, die in Parameter Store gespeichert wird, z. B. ein Textblock, eine Namensliste, ein Passwort, eine AMI-ID, ein Lizenzschlüssel usw. Sie können diese Daten zentral und sicher in Ihren Skripten, Befehlen und SSM-Dokumenten referenzieren.

Wenn Sie auf einen Parameter verweisen, geben Sie den Parameternamen unter Verwendung der folgenden Konvention an:

{{ssm:parameter-name}}

Anmerkung

Parameter können nicht referenziert oder in den Werten anderer Parameter verschachtelt werden. Sie können {{}} oder {{ssm:parameter-name}} nicht in einen Parameterwert aufnehmen.

Parameter Store bietet Unterstützung für drei Arten von Parametern: String, StringList und SecureString.

Mit einer Ausnahme geben Sie beim Erstellen oder Aktualisieren eines Parameters den Parameterwert als Klartext ein und Parameter Store führt keine Validierung für den eingegebenen Text aus. Bei String-Parametern können Sie jedoch den Datentyp als aws:ec2:image angeben und Parameter Store prüft , ob der eingegebene Wert das richtige Format für ein Amazon EC2 AMI aufweist. Beispiel: ami-12345abcdeEXAMPLE.

Parametertyp: String

Standardmäßig bestehen String-Parameter aus einem beliebigen Textblock, den Sie eingeben. Beispielsweise:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

Typ des Parameters: StringList

StringList-Parameter enthalten eine durch Komma getrennte Liste von Werten wie in den folgenden Beispielen gezeigt.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

Parametertyp: SecureString

Ein SecureString-Parameter kann aus beliebigen vertraulichen Daten bestehen, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder als Klartext referenzieren sollen (z. B. Passwörter oder Lizenzschlüssel), erstellen Sie diese Parameter mit dem SecureString-Datentyp.

Wichtig

Speichern Sie keine vertraulichen Daten in einem String- oder StringList-Parameter. Verwenden Sie für alle vertraulichen Daten, die verschlüsselt bleiben müssen, nur den SecureString-Parametertyp.

Weitere Informationen finden Sie unter Erstellen eines SecureString-Parameters (AWS CLI).

Wir empfehlen die Verwendung von SecureString-Parametern in den folgenden Szenarien:

  • Sie möchten Daten/Parameter überall verwenden, AWS-Services ohne die Werte als Klartext in Befehlen, Funktionen, Agentenprotokollen oder Protokollen verfügbar zu machen. CloudTrail

  • Sie möchten steuern, welche Personen auf vertrauliche Daten zugreifen können.

  • Sie möchten in der Lage sein, zu überprüfen, wann auf sensible Daten zugegriffen wird (). CloudTrail

  • Sie möchten Ihre sensiblen Daten verschlüsseln und Sie möchten Ihre eigenen Verschlüsselungsschlüssel für die Zugriffsverwaltung verwenden.

Wichtig

Nur der Wert eines SecureString-Parameters wird verschlüsselt. Der Name des Parameters, die Beschreibung und andere Eigenschaften sind nicht verschlüsselt.

Sie können den SecureString Parametertyp für Textdaten verwenden, die Sie verschlüsseln möchten, z. B. Kennwörter, Anwendungsgeheimnisse, vertrauliche Konfigurationsdaten oder andere Arten von Daten, die Sie schützen möchten. SecureStringDaten werden mit einem Schlüssel ver- und entschlüsselt. AWS KMS Sie können entweder einen Standard-KMS-Schlüssel verwenden, der von bereitgestellt wird, AWS oder Sie können Ihren eigenen AWS KMS key erstellen und verwenden. (Verwenden Sie Ihre eigenen AWS KMS key , wenn Sie den Benutzerzugriff auf SecureString-Parameter einschränken möchten. Weitere Informationen finden Sie unter IAM-Berechtigungen für die Verwendung von AWS Standardschlüsseln und vom Kunden verwalteten Schlüsseln.)

Sie können SecureString Parameter auch zusammen mit anderen verwenden AWS-Services. Im folgenden Beispiel ruft die Lambda-Funktion mithilfe der GetParametersAPI einen SecureString Parameter ab.

from __future__ import print_function import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value
AWS KMS Verschlüsselung und Preisgestaltung

Wenn Sie bei der Erstellung Ihres SecureString Parameters den Parametertyp wählen, verschlüsselt Systems AWS KMS Manager den Parameterwert.

Wichtig

Parameter Store unterstützt nur KMS-Schlüssel zur symmetrischen Verschlüsselung. Sie können keinen KMS-Schlüssel zur asymmetrischen Verschlüsselung verwenden, um Ihre Parameter zu verschlüsseln. Wie Sie feststellen, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, erfahren Sie unter Erkennen symmetrischer und asymmetrischer Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Für die Erstellung eines SecureString Parameters fallen keine Gebühren Parameter Store an, es fallen jedoch Gebühren für die Verwendung der AWS KMS Verschlüsselung an. Weitere Informationen finden Sie unter AWS Key Management Service -Preise.

Weitere Informationen zu Von AWS verwaltete Schlüssel und vom Kunden verwalteten Schlüsseln finden Sie unter AWS Key Management Service Konzepte im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zu AWS KMS Verschlüsselung Parameter Store und Verschlüsselung finden Sie unter AWS Systems ManagerParameter StoreAnwendungsmöglichkeiten AWS KMS.

Anmerkung

Verwenden Sie die AWS KMS DescribeKey Operation Von AWS verwalteter Schlüssel, um eine anzuzeigen. Dieses AWS Command Line Interface (AWS CLI) Beispiel dient DescribeKey zum Anzeigen eines Von AWS verwalteter Schlüssel.

aws kms describe-key --key-id alias/aws/ssm