Administración de niveles de parámetros

Parameter Store, una capacidad de AWS Systems Manager, incluye parámetros estándar y parámetros avanzados. Puede configurar individualmente parámetros para utilizar la capa de parámetros estándar (la capa predeterminada) o la capa de parámetros avanzados.

Puede cambiar un parámetro estándar a un parámetro avanzado en cualquier momento, pero no puede revertir un parámetro avanzado a un parámetro estándar. Esto se debe a que revertir un parámetro avanzado a un parámetro estándar haría que el sistema truncara el tamaño del parámetro de 8 KB a 4 KB, lo que provocaría una pérdida de datos. El proceso de reversión también eliminaría las políticas asociadas al parámetro. Además, los parámetros avanzados utilizan otra forma de cifrado diferente a la de los parámetros estándar. Para obtener más información, consulte ¿Cómo AWS Systems ManagerParameter Store utiliza AWS KMS en la Guía para Desarrolladores AWS Key Management Service .

Si ya no necesita un parámetro avanzado, o si ya no desea incurrir en gastos por un parámetro avanzado, elimínelo y vuelva a crearlo como un nuevo parámetro estándar.

En la siguiente tabla se describen las diferencias entre las capas.

	Estándar	Advanced (Avanzado)
Número total de parámetros permitidos (por Cuenta de AWS y Región de AWS)	10 000	100 000
Tamaño máximo del valor del parámetro	4 KB	8 KB
Políticas de parámetros disponibles	No	Sí Para obtener más información, consulte Asignación de políticas de parámetros.
Costo	Sin cargo adicional.	Se aplican cargos Para obtener más información, consulte AWS Systems Manager los precios de Parameter Store.

Especificación de una capa de parámetros predeterminada

En las solicitudes para crear o actualizar un parámetro (es decir, la operación PutParameter), puede especificar la capa de parámetros que se va a utilizar en la solicitud. A continuación, se muestra un ejemplo de uso de AWS Command Line Interface (AWS CLI).

Linux & macOS

aws ssm put-parameter \
    --name "default-ami" \
    --type "String" \
    --value "t2.micro" \
    --tier "Standard"

Windows

aws ssm put-parameter ^
    --name "default-ami" ^
    --type "String" ^
    --value "t2.micro" ^
    --tier "Standard"

Siempre que especifique una capa en la solicitud, Parameter Store crea o actualiza el parámetro de acuerdo con su solicitud. Sin embargo, si no especifica explícitamente una capa en una solicitud, la configuración predeterminada de Parameter Store establece en qué capa se crea el parámetro.

La capa predeterminada cuando comienza a utilizar Parameter Store es la capa de parámetros estándar. Si utiliza la capa de parámetros avanzados, puede especificar una de las siguientes opciones como predeterminada:

• Avanzado: con esta opción, Parameter Store evalúa todas las solicitudes como parámetros avanzados.

• Capas inteligentes: con esta opción, Parameter Store evalúa cada solicitud para determinar si el parámetro es estándar o avanzado.

  Si la solicitud no incluye ninguna opción que requiera un parámetro avanzado, el parámetro se crea en la capa de parámetros estándar. Si se incluyen en la solicitud una o varias opciones que requieren un parámetro avanzado, Parameter Store crea un parámetro en la capa de parámetros avanzados.

Beneficios de las capas inteligentes

A continuación se indican los motivos por los que podría elegir las capas inteligentes como capa predeterminada.

Control de costos: las capas inteligentes ayudan a controlar los costos relacionados con los parámetros al crear siempre parámetros estándar a menos que sea absolutamente necesario un parámetro avanzado.

Actualización automática a la capa de parámetros avanzados: cuando realiza un cambio en el código que requiere actualizar un parámetro estándar a un parámetro avanzado, las capas inteligentes se encargan de la conversión. No es necesario cambiar el código para gestionar la actualización.

A continuación, se muestran algunos ejemplos de actualización automática:

• Sus AWS CloudFormation plantillas proporcionan numerosos parámetros cuando se ejecutan. Cuando este proceso hace que alcance la cuota de 10 000 parámetros en el nivel de parámetros estándar, Intelligent-Tiering lo actualiza automáticamente al nivel de parámetros avanzados y sus procesos no se interrumpen. AWS CloudFormation

• Puede almacenar un valor de certificado en un parámetro, rotar el valor del certificado con regularidad y el contenido es inferior a la cuota de 4 KB del nivel de parámetros estándar. Si el valor de un certificado de sustitución supera los 4 KB, las capas inteligentes actualizan automáticamente el parámetro a la capa de parámetros avanzados.

• Desea asociar numerosos parámetros estándar existentes a una política de parámetros, que requiere la capa de parámetros avanzados. En lugar de tener que incluir la opción --tier Advanced en todas las llamadas para actualizar los parámetros, las capas inteligentes actualizan automáticamente los parámetros a la capa de parámetros avanzados. La opción de capas inteligentes actualiza los parámetros de estándar a avanzado siempre que se introducen criterios para la capa de parámetros avanzados.

Entre las opciones que requieren un parámetro avanzado se incluyen las siguientes:

• El tamaño del contenido del parámetro es superior a 4 KB.

• El parámetro utiliza una política de parámetros.

• En la actualidad, ya existen más de 10 000 parámetros en su interior. Cuenta de AWS Región de AWS

Opciones de capa predeterminadas

Las opciones de capa que puede especificar como valor predeterminado son las siguientes.

• Estándar: la capa de parámetros estándar es la capa predeterminada cuando comienza a utilizar Parameter Store. Con el nivel de parámetros estándar, puede crear 10 000 parámetros para cada uno Región de AWS de ellos. Cuenta de AWS El tamaño del contenido de cada parámetro puede ser igual a un máximo de 4 KB. Los parámetros estándar no admiten políticas de parámetros. El uso de la capa de parámetros estándar no conlleva ningún cargo adicional. Al elegir Estándar como capa predeterminada, Parameter Store siempre intenta crear un parámetro estándar para las solicitudes que no especifican una capa.

• Avanzado: utilice el nivel de parámetros avanzados para crear un máximo de 100 000 parámetros para cada uno de ellos. Región de AWS Cuenta de AWS El tamaño del contenido de cada parámetro puede ser igual a un máximo de 8 KB. Los parámetros avanzados admiten políticas de parámetros. El uso de la capa de parámetros avanzados conlleva un cargo. Para obtener más información, consulte AWS Systems Manager los precios de. Parameter Store Al elegir Advanced (Avanzado) como capa predeterminada, Parameter Store siempre intenta crear un parámetro avanzado para las solicitudes que no especifican una capa.

  nota

  Si elige la capa de parámetros avanzados, autorice explícitamente a AWS que cargue a su cuenta los parámetros avanzados que cree.

• Capas inteligentes: con la opción de capas inteligente, Parameter Store determina si debe utilizar la capa de parámetros estándar o la capa de parámetros avanzados en función del contenido de la solicitud. Por ejemplo, si ejecuta un comando para crear un parámetro con un contenido inferior a 4 KB y hay menos de 10 000 parámetros Región de AWS en su memoria Cuenta de AWS actual y no especifica una política de parámetros, se crea un parámetro estándar. Si ejecuta un comando para crear un parámetro con más de 4 KB de contenido, si ya tiene más de 10 000 parámetros en la actualidad Región de AWS o si especifica una política de parámetros, se crea un parámetro avanzado. Cuenta de AWS

  nota

  Al elegir Intelligent-Tiering, autorice explícitamente AWS a cargar en su cuenta cualquier parámetro avanzado que haya creado.

Puede cambiar la configuración de capa predeterminada de Parameter Store en cualquier momento.

Configuración de permisos para especificar una capa predeterminada de Parameter Store

Compruebe que tiene permiso en AWS Identity and Access Management (IAM) para cambiar el nivel de parámetros predeterminado Parameter Store mediante una de las siguientes acciones:

• Asegúrese de adjuntar la política de AdministratorAccess a su entidad de IAM (como usuario, grupo o rol).

• Asegúrese de que tiene permiso para cambiar la configuración de capa predeterminada mediante las siguientes acciones de la API:

  • GetServiceSetting

  • UpdateServiceSetting

  • ResetServiceSetting

Otorgue los siguientes permisos a la entidad de IAM a fin de permitir que un usuario vea y cambie la configuración de nivel predeterminada para los parámetros en una Región de AWS específica de una Cuenta de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier"
        }
    ]
}

Los administradores pueden especificar el permiso de solo lectura mediante la asignación de los siguientes permisos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "*"
        }
    ]
}

Para dar acceso, añada permisos a los usuarios, grupos o roles:

• Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .

• Usuarios administrados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidades de terceros (federación) en la Guía del usuario de IAM.

• Usuarios de IAM:

  • Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.

  • (No recomendado) Asocie una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Especificación o cambio de la capa predeterminada de Parameter Store (consola)

El siguiente procedimiento muestra cómo utilizar la consola de Systems Manager para especificar o cambiar el nivel de parámetros predeterminado para el Cuenta de AWS y actual Región de AWS.

sugerencia

Si aún no ha creado un parámetro, puede usar AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell cambiar el nivel de parámetros predeterminado. Para obtener más información, consulte Especificación o cambio de la capa predeterminada de Parameter Store (AWS CLI) y Especificación o cambio de la capa predeterminada de Parameter Store (PowerShell).

Para especificar o cambiar la capa predeterminada de Parameter Store

1. Abre la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, elija Parameter Store.

   -o bien-

   Si la página de AWS Systems Manager inicio se abre primero, elija el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Parameter Store.

3. Elija la pestaña Settings.

4. Elija Cambiar la capa predeterminada.

5. Elija una de las siguientes opciones.

   • Estándar

   • Advanced (Avanzado)

   • Intelligent-Tiering

   Para obtener información sobre estas opciones, consulte Especificación de una capa de parámetros predeterminada.

6. Revise el mensaje y seleccione Aceptar.

Si desea cambiar la configuración de capa predeterminada más adelante, repita este procedimiento y especifique una opción de capa predeterminada diferente.

Especificación o cambio de la capa predeterminada de Parameter Store (AWS CLI)

El siguiente procedimiento muestra cómo utilizar el AWS CLI para cambiar la configuración del nivel de parámetros por defecto para la Cuenta de AWS y actual Región de AWS.

Para especificar o cambiar la capa predeterminada de Parameter Store mediante la AWS CLI

1. Abra AWS CLI y ejecute el siguiente comando para cambiar la configuración predeterminada del nivel de parámetros para un parámetro específico Región de AWS en un Cuenta de AWS.

   aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier --setting-value tier-option

   la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región Este de EE. UU. (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

   Los valores de opción-capa incluyen Standard, Advanced y Intelligent-Tiering. Para obtener información sobre estas opciones, consulte Especificación de una capa de parámetros predeterminada.

   No se obtienen resultados si el comando se ejecuta satisfactoriamente.

2. Ejecute el siguiente comando para ver la configuración de servicio de nivel de parámetros predeterminada actual para Parameter Store el Cuenta de AWS y actual Región de AWS.

   aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier

   El sistema devuelve información similar a la siguiente.

   {
       "ServiceSetting": {
           "SettingId": "/ssm/parameter-store/default-parameter-tier",
           "SettingValue": "Advanced",
           "LastModifiedDate": 1556551683.923,
           "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier",
           "Status": "Customized"
       }
   }

Si desea cambiar de nuevo la configuración predeterminada de la capa, repita este procedimiento y especifique una opción de SettingValue diferente.

Especificación o cambio de la capa predeterminada de Parameter Store (PowerShell)

El siguiente procedimiento muestra cómo utilizar las Herramientas para Windows PowerShell para cambiar la configuración de nivel de parámetros predeterminada para una cuenta específica Región de AWS de Amazon Web Services.

Para especificar o cambiar el nivel Parameter Store predeterminado mediante PowerShell

1. Cambie el nivel Parameter Store predeterminado en el actual Cuenta de AWS y Región de AWS utilice las AWS Tools for PowerShell (Herramientas para PowerShell).

   Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -SettingValue "tier-option" -Region region

   la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región Este de EE. UU. (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

   Los valores de opción-capa incluyen Standard, Advanced y Intelligent-Tiering. Para obtener información sobre estas opciones, consulte Especificación de una capa de parámetros predeterminada.

   No se obtienen resultados si el comando se ejecuta satisfactoriamente.

2. Ejecute el siguiente comando para ver la configuración de servicio de nivel de parámetros predeterminada actual para Parameter Store el Cuenta de AWS y actual Región de AWS.

   Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -Region region

   la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región EE.UU. Este (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

   El sistema devuelve información similar a la siguiente.

   ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier
   LastModifiedDate : 4/29/2019 3:35:44 PM
   LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper
   SettingId        : /ssm/parameter-store/default-parameter-tier
   SettingValue     : Advanced
   Status           : Customized
   

Si desea cambiar de nuevo la configuración predeterminada de la capa, repita este procedimiento y especifique una opción de SettingValue diferente.

Cambio de un parámetro estándar a un parámetro avanzado

Utilice el siguiente procedimiento para cambiar un parámetro estándar existente a un parámetro avanzado. Para obtener información acerca de cómo crear un nuevo parámetro avanzado, consulte Creación de parámetros de Systems Manager.

Para cambiar un parámetro estándar a un parámetro avanzado

1. Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, elija Parameter Store.

   -o bien-

   Si la página de AWS Systems Manager inicio se abre primero, elija el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Parameter Store.

3. Elija un parámetro y, a continuación, elija Editar.

4. En Descripción, escriba información acerca del parámetro.

5. Seleccione Avanzado.

6. En Valor, introduzca el valor del parámetro. Los parámetros avanzados tienen un valor máximo de 8 KB.

7. Elija Guardar cambios.