Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Systems Manager Parameter Store
Parameter Store, eine Funktion von AWS Systems Manager, bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen. Sie können Daten wie Passwörter, Datenbankzeichenfolgen, Amazon Machine Image (AMI) IDs und Lizenzcodes als Parameterwerte speichern. Sie können Werte als Klartext oder als verschlüsselte Daten speichern. Sie können Systems Manager-Parameter in Skripts, Befehlen, SSM-Dokumenten und Konfigurations- und Automatisierungs-Workflows referenzieren, indem Sie den eindeutigen Namen verwenden, den Sie beim Erstellen des Parameters angegeben haben. Um mit Parameter Store zu beginnen, öffnen Sie die Systems-Manager-Konsole
Parameter Store ist auch in Secrets Manager integriert. Sie können Secrets-Manager-Geheimnisse abrufen, wenn Sie andere AWS-Services verwenden, die bereits Referenzen zu Parameter Store-Parametern unterstützen. Weitere Informationen finden Sie unter Referenzieren von AWS Secrets Manager-Geheimnissen über Parameter Store-Parameter.
Anmerkung
Um Lebenszyklen für die Passwortrotation zu implementieren, verwenden Sie. AWS Secrets Manager Sie können Datenbankanmeldeinformationen, API-Schlüssel und andere geheime Informationen mit Secrets Manager während ihres gesamten Lebenszyklus mühelos rotieren, verwalten und abfragen. Weitere Informationen finden Sie unter Was ist? AWS Secrets Manager im AWS Secrets Manager Benutzerhandbuch.
Welche Vorteile bietet Parameter Store meiner Organisation?
Parameter Store bietet die folgenden Vorteile:
-
Verwenden Sie einen sicheren, skalierbaren, gehosteten Verschlüsselungsmanagementservice ohne zu verwaltende Server.
-
Verbessern Sie Ihre Sicherheit, indem Sie Ihre Daten von Ihrem Code trennen.
-
Speichern Sie Konfigurationsdaten und verschlüsselte Zeichenfolgen in Hierarchien und verfolgen Sie Versionen nach.
-
Steuern und prüfen Sie Zugriff genau.
-
Speichern Sie Parameter zuverlässig, da Parameter Store in mehreren Availability Zones in einer AWS-Region gehostet wird.
An wen richtet sich Parameter Store?
-
Jeder AWS Kunde, der eine zentrale Möglichkeit zur Verwaltung von Konfigurationsdaten haben möchte.
-
Softwareentwickler, die verschiedene Logins und Referenzströme speichern möchten.
-
Administratoren, die Benachrichtigungen erhalten möchten, wenn ihre Secrets und Passwörter geändert werden oder nicht.
Über welche Features verfügt Parameter Store?
-
Änderungsbenachrichtigung
Sie können Änderungsbenachrichtigungen konfigurieren und automatisierte Aktionen für beide Parameter und Parameterrichtlinien auslösen. Weitere Informationen finden Sie unter Benachrichtigungen einrichten oder Aktionen auf Parameter Store der Grundlage von Ereignissen auslösen.
-
Organisieren von Parametern
Sie können Ihre Parameter individuell markieren, um anhand der Tags, die Sie ihnen zugewiesen haben, einen oder mehrere Parameter zu identifizieren. Sie können Parameter z. B. nach bestimmten Umgebungen oder Abteilungen taggen. Weitere Informationen finden Sie unter Markieren von Systems Manager-Parametern.
-
Beschriftungsversionen
Sie können einen Alias für Versionen Ihres Parameters zuordnen, indem Sie Beschriftungen erstellen. Dank Beschriftungen können Sie sich den Zweck einer Parameterversion merken, wenn mehrere Versionen vorhanden sind.
-
Datenvalidierung
Sie können Parameter erstellen, die auf eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance verweisen, und Parameter Store überprüft diese Parameter, um sicherzustellen, dass es auf den erwarteten Ressourcentyp verweist, dass die Ressource vorhanden ist und dass der Kunde die Berechtigung hat, die Ressource zu verwenden. Sie können beispielsweise einen Parameter mit Amazon Machine Image (AMI) ID als einen Wert mit
aws:ec2:image
-Datentyp erstellen und Parameter Store führt einen asynchronen Validierungsvorgang aus, um sicherzustellen, dass der Parameterwert die Formatierungsanforderungen für eine AMI ID erfüllt und dass das angegebene AMI in Ihrem AWS-Konto verfügbar ist. -
Referenz-Secrets
Parameter Storeist integriert, AWS Secrets Manager sodass Sie Secrets Manager abrufen können, wenn Sie andere verwenden AWS-Services , die bereits Verweise auf Parameter Store Parameter unterstützen.
-
Parameter mit anderen Konten teilen
Sie können die Konfigurationsdaten optional in einer einzigen Datei zentralisieren AWS-Konto und Parameter mit anderen Konten teilen, die darauf zugreifen müssen.
-
Von anderen aus zugänglich AWS-Services
Sie können Parameter Store-Parameter mit anderen Systems-Manager-Funktionen und AWS-Services zum Abrufen von Geheimnissen und Konfigurationsdaten aus einem zentralen Speicher verwenden. Parameter funktionieren mit Systems Manager Manager-Funktionen wie Run Command Automatisierung und State Manager Funktionen von AWS Systems Manager. Sie können auch in einer Reihe anderer Parameter auf Parameter verweisen AWS-Services, z. B. in den folgenden:
-
Amazon Elastic Compute Cloud (Amazon EC2)
-
Amazon Elastic Container Service (Amazon ECS)
-
AWS Secrets Manager
-
AWS Lambda
-
AWS CloudFormation
-
AWS CodeBuild
-
AWS CodePipeline
-
AWS CodeDeploy
-
-
Integrieren Sie mit anderen AWS-Services
Konfigurieren Sie die Integration mit den folgenden Optionen AWS-Services für Verschlüsselung, Benachrichtigung, Überwachung und Prüfung:
-
AWS Key Management Service (AWS KMS)
-
Amazon-Simple-Notification-Service (Amazon-SNS)
-
Amazon CloudWatch: Weitere Informationen finden Sie unterKonfiguration von EventBridge Regeln für Parameter und Parameterrichtlinien.
-
Amazon EventBridge: Weitere Informationen finden Sie unter Überwachung von Systems Manager Manager-Statusänderungen mithilfe von SNS Amazon-Benachrichtigungen undReferenz: Amazon EventBridge Ereignismuster und -typen für Systems Manager.
-
AWS CloudTrail: Weitere Informationen finden Sie unter AWS Systems Manager APIAnrufe protokollieren mit AWS CloudTrail.
-
Was ist ein Parameter?
Ein Parameter Store-Parameter ist eine beliebige Datenmenge, die in Parameter Store gespeichert wird, z. B. ein Textblock, eine Namensliste, ein Passwort, eine AMI-ID, ein Lizenzschlüssel usw. Sie können diese Daten zentral und sicher in Ihren Skripten, Befehlen und SSM-Dokumenten referenzieren.
Wenn Sie auf einen Parameter verweisen, geben Sie den Parameternamen unter Verwendung der folgenden Konvention an:
{{ssm:
}}parameter-name
Anmerkung
Parameter können nicht referenziert oder in den Werten anderer Parameter verschachtelt werden. Sie können {{}}
oder {{ssm:
nicht in einen Parameterwert aufnehmen.parameter-name
}}
Parameter Store bietet Unterstützung für drei Arten von Parametern: String
, StringList
und SecureString
.
Mit einer Ausnahme geben Sie beim Erstellen oder Aktualisieren eines Parameters den Parameterwert als Klartext ein und Parameter Store führt keine Validierung für den eingegebenen Text aus. Bei String
-Parametern können Sie jedoch den Datentyp als aws:ec2:image
angeben und Parameter Store prüft , ob der eingegebene Wert das richtige Format für ein Amazon EC2 AMI aufweist. Beispiel: ami-12345abcdeEXAMPLE
.
Parametertyp: String
Standardmäßig bestehen String
-Parameter aus einem beliebigen Textblock, den Sie eingeben. Beispielsweise:
-
abc123
-
Example Corp
-
<img src="images/bannerImage1.png"/>
Typ des Parameters: StringList
StringList
-Parameter enthalten eine durch Komma getrennte Liste von Werten wie in den folgenden Beispielen gezeigt.
Monday,Wednesday,Friday
CSV,TSV,CLF,ELF,JSON
Parametertyp: SecureString
Ein SecureString
-Parameter kann aus beliebigen vertraulichen Daten bestehen, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder als Klartext referenzieren sollen (z. B. Passwörter oder Lizenzschlüssel), erstellen Sie diese Parameter mit dem SecureString
-Datentyp.
Wichtig
Speichern Sie keine vertraulichen Daten in einem String
- oder StringList
-Parameter. Verwenden Sie für alle vertraulichen Daten, die verschlüsselt bleiben müssen, nur den SecureString
-Parametertyp.
Weitere Informationen finden Sie unter Erstellen eines SecureString-Parameters (AWS CLI).
Wir empfehlen die Verwendung von SecureString
-Parametern in den folgenden Szenarien:
-
Sie möchten Daten/Parameter überall verwenden, AWS-Services ohne die Werte als Klartext in Befehlen, Funktionen, Agentenprotokollen oder Protokollen verfügbar zu machen. CloudTrail
-
Sie möchten steuern, welche Personen auf vertrauliche Daten zugreifen können.
-
Sie möchten in der Lage sein, zu überprüfen, wann auf sensible Daten zugegriffen wird (). CloudTrail
-
Sie möchten Ihre sensiblen Daten verschlüsseln und Sie möchten Ihre eigenen Verschlüsselungsschlüssel für die Zugriffsverwaltung verwenden.
Wichtig
Nur der Wert eines SecureString
-Parameters wird verschlüsselt. Der Name des Parameters, die Beschreibung und andere Eigenschaften sind nicht verschlüsselt.
Sie können den SecureString
Parametertyp für Textdaten verwenden, die Sie verschlüsseln möchten, z. B. Kennwörter, Anwendungsgeheimnisse, vertrauliche Konfigurationsdaten oder andere Arten von Daten, die Sie schützen möchten. SecureString
Daten werden mit einem Schlüssel ver- und entschlüsselt. AWS KMS Sie können entweder einen Standard-KMS-Schlüssel verwenden, der von bereitgestellt wird, AWS oder Sie können Ihren eigenen AWS KMS key erstellen und verwenden. (Verwenden Sie Ihre eigenen AWS KMS key , wenn Sie den Benutzerzugriff auf SecureString
-Parameter einschränken möchten. Weitere Informationen finden Sie unter IAM-Berechtigungen für die Verwendung von AWS Standardschlüsseln und vom Kunden verwalteten Schlüsseln.)
Sie können SecureString
Parameter auch zusammen mit anderen verwenden AWS-Services. Im folgenden Beispiel ruft die Lambda-Funktion mithilfe der GetParametersAPI einen SecureString
Parameter ab.
from __future__ import print_function import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value
AWS KMS Verschlüsselung und Preisgestaltung
Wenn Sie bei der Erstellung Ihres SecureString
Parameters den Parametertyp wählen, verschlüsselt Systems AWS KMS Manager den Parameterwert.
Wichtig
Parameter Store unterstützt nur KMS-Schlüssel zur symmetrischen Verschlüsselung. Sie können keinen KMS-Schlüssel zur asymmetrischen Verschlüsselung verwenden, um Ihre Parameter zu verschlüsseln. Wie Sie feststellen, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, erfahren Sie unter Erkennen symmetrischer und asymmetrischer Schlüssel im AWS Key Management Service -Entwicklerhandbuch.
Für die Erstellung eines SecureString
Parameters fallen keine Gebühren Parameter Store an, es fallen jedoch Gebühren für die Verwendung der AWS KMS Verschlüsselung an. Weitere Informationen finden Sie unter AWS Key Management Service
-Preise
Weitere Informationen zu Von AWS verwaltete Schlüssel und vom Kunden verwalteten Schlüsseln finden Sie unter AWS Key Management Service Konzepte im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zu AWS KMS Verschlüsselung Parameter Store und Verschlüsselung finden Sie unter AWS Systems ManagerParameter StoreAnwendungsmöglichkeiten AWS KMS.
Anmerkung
Verwenden Sie die AWS KMS DescribeKey
Operation Von AWS verwalteter Schlüssel, um eine anzuzeigen. Dieses AWS Command Line Interface (AWS CLI) Beispiel dient DescribeKey
zum Anzeigen eines Von AWS verwalteter Schlüssel.
aws kms describe-key --key-id alias/aws/ssm
- Weitere Informationen