Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Affectation de politiques de paramètres
Les politiques de paramètre vous aident à gérer un ensemble croissant de paramètres en vous permettant de leur attribuer des critères spécifiques, tels que la date d'expiration ou la durée de vie. Les politiques de paramètres sont particulièrement utiles pour vous obliger à mettre à jour ou à supprimer les mots de passe et les données de configuration stockés dansParameter Store, une fonctionnalité de AWS Systems Manager. Parameter Storepropose les types de politiques suivants : Expiration
ExpirationNotification
, etNoChangeNotification
.
Note
Pour implémenter les cycles de vie de rotation des mots de passe, utilisez. AWS Secrets Manager Vous pouvez effectuer une rotation, gérer et récupérer les informations d'identification de la base de données, les clés d'API et d'autres secrets tout au long de leur cycle de vie à l'aide de Secrets Manager. Pour plus d'informations, voir Qu'est-ce que c'est AWS Secrets Manager ? dans le guide de AWS Secrets Manager l'utilisateur.
Parameter Store applique les politiques de paramètre à l'aide d'analyses asynchrones et périodiques. Une fois que vous avez créé une politique, vous n'avez pas besoin d'effectuer d'autres actions pour l'appliquer. Parameter Store exécute automatiquement l'action définie par la politique en fonction des critères que vous avez spécifiés.
Note
Les politiques de paramètre sont disponibles pour les paramètres qui utilisent le niveau de paramètres avancés. Pour plus d’informations, consultez Gestion des niveaux de paramètres.
Une politique de paramètre est une séquence JSON, comme illustré dans le tableau suivant. Vous pouvez attribuer une politique lorsque vous créez un nouveau paramètre avancé ; vous pouvez aussi appliquer une politique en mettant à jour un paramètre. Parameter Store prend en charge les types suivants de politiques de paramètre.
Politique | Détails | Exemples |
---|---|---|
Expiration |
Cette politique supprime le paramètre. Vous pouvez spécifier une date et une heure spécifiques en utilisant le format NoteCet exemple utilise le format |
|
ExpirationNotification |
Cette politique déclenche un événement sur Amazon EventBridge (EventBridge) qui vous informe de l'expiration. Cette politique vous permet de recevoir des notifications avant la date d'expiration, exprimées en unités de jours ou d'heures. |
|
NoChangeNotification |
Cette politique déclenche un événement EventBridge si un paramètre n'a pas été modifié pendant une période spécifiée. Ce type de politique est utile quand, par exemple, un mot de passe doit être modifié dans un délai donné. Cette politique détermine quand envoyer une notification en lisant l'attribut |
|
Vous pouvez attribuer plusieurs politiques à un paramètre. Par exemple, vous pouvez attribuer Expiration
des ExpirationNotification
politiques afin que le système déclenche un EventBridge événement pour vous informer de la suppression imminente d'un paramètre. Vous pouvez attribuer un maximum de dix (10) politiques à un paramètre.
L'exemple suivant montre la syntaxe d'une demande d'PutParameterAPI qui attribue quatre politiques à un nouveau SecureString
paramètre nomméProdDB3
.
{ "Name": "ProdDB3", "Description": "Parameter with policies", "Value": "P@ssW*rd21", "Type": "SecureString", "Overwrite": "True", "Policies": [ { "Type": "Expiration", "Version": "1.0", "Attributes": { "Timestamp": "2018-12-02T21:34:33.000Z" } }, { "Type": "ExpirationNotification", "Version": "1.0", "Attributes": { "Before": "30", "Unit": "Days" } }, { "Type": "ExpirationNotification", "Version": "1.0", "Attributes": { "Before": "15", "Unit": "Days" } }, { "Type": "NoChangeNotification", "Version": "1.0", "Attributes": { "After": "20", "Unit": "Days" } } ] }
Ajout de politiques à un paramètre existant
Cette section contient des informations sur la façon d'ajouter des politiques à un paramètre existant à l'aide de la AWS Systems Manager console, du AWS Command Line Interface (AWS CLI) et AWS Tools for Windows PowerShell . Pour plus d'informations sur la création d'un nouveau paramètre incluant des politiques, consultez Création de paramètres Systems Manager.
Rubriques
Ajouter des politiques à un paramètre existant (console)
Utilisez la procédure suivante pour ajouter des politiques à un paramètre en utilisant la console Systems Manager.
Pour ajouter des politiques à un paramètre existant
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Parameter Store.
-
Sélectionnez l'option en regard du paramètre que vous souhaitez mettre à jour afin d'inclure les politiques, puis sélectionnez Edit (Modifier).
-
Choisir Advanced (Avancé).
-
(Facultatif) Dans la section Parameter policies (Politiques de paramètre), sélectionnez Enabled (Activé). Vous pouvez spécifier une date d'expiration et une ou plusieurs politiques de notification pour ce paramètre.
-
Sélectionnez Enregistrer les modifications.
Important
-
Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
-
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en utilisant des crochets et des accolades, comme suit :
[{}]
-
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.
Ajouter des politiques à un paramètre existant (AWS CLI)
Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide de l' AWS CLI.
Pour ajouter des politiques à un paramètre existant
Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez Installation ou mise à jour de la version la plus récente de l' AWS CLI.
-
Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque
example resource placeholder
(espace réservé pour les ressources) avec vos propres informations.Voici un exemple incluant une politique d'expiration qui supprime le paramètre au bout de 15 jours. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique
NoChangeNotification
si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (3l3vat3131
) comme paramètre de mot de passe et une AWS KMS key AWS Key Management Service . Pour plus d'informations AWS KMS keys, consultez la section AWS Key Management Service Concepts du guide du AWS Key Management Service développeur. -
Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez
parameter name
(nom du paramètre) avec vos propres informations.
Important
-
Parameter Store conserve les politiques d'un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
-
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Remplacez chaque
example resource placeholder
(espace réservé pour les ressources) avec vos propres informations. Par exemple : -
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.
Ajouter des politiques à un paramètre existant (Outils pour Windows PowerShell)
Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide des Outils pour Windows PowerShell. Remplacez chaque example resource placeholder
(espace réservé pour les ressources) avec vos propres informations.
Pour ajouter des politiques à un paramètre existant
-
Ouvrez Outils pour Windows PowerShell et exécutez la commande suivante pour spécifier vos informations d'identification. Vous devez soit disposer des autorisations d'administrateur dans Amazon Elastic Compute Cloud (Amazon EC2), soit avoir obtenu les autorisations appropriées AWS Identity and Access Management dans (IAM).
Set-AWSCredentials ` –AccessKey
access-key-name
` –SecretKeysecret-key-name
-
Exécutez la commande suivante pour définir la région de votre PowerShell session. L'exemple utilise la région USA Est (Ohio) (us-east-2).
Set-DefaultAWSRegion ` -Region us-east-2
-
Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque
example resource placeholder
(espace réservé pour les ressources) avec vos propres informations.Write-SSMParameter ` -Name "
parameter name
" ` -Value "parameter value
" ` -Type "parameter type
" ` -Policies "[{policies-enclosed-in-brackets-and-curly-braces
}]" ` -OverwriteVoici un exemple incluant une politique d'expiration qui supprime le paramètre à minuit (GMT) le 13 mai 2020. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique
NoChangeNotification
si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (3l3vat3131
) comme paramètre de mot de passe et une Clé gérée par AWS.Write-SSMParameter ` -Name "/Finance/Payroll/3l3vat3131" ` -Value "P@sSwW)rd" ` -Type "SecureString" ` -Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" ` -Overwrite
-
Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez
parameter name
(nom du paramètre) avec vos propres informations.(Get-SSMParameterValue -Name "
parameter name
").Parameters
Important
-
Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
-
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Par exemple :
Write-SSMParameter ` -Name "
parameter name
" ` -Value "parameter value
" ` -Type "parameter type
" ` -Policies "[{}]" -
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.