Ajout de politiques à un paramètre existant

Affectation de politiques de paramètres

Les politiques de paramètre vous aident à gérer un ensemble croissant de paramètres en vous permettant de leur attribuer des critères spécifiques, tels que la date d'expiration ou la durée de vie. Les politiques de paramètres sont particulièrement utiles pour vous obliger à mettre à jour ou à supprimer les mots de passe et les données de configuration stockés dansParameter Store, une fonctionnalité de AWS Systems Manager. Parameter Storepropose les types de politiques suivants : ExpirationExpirationNotification, etNoChangeNotification.

Note

Pour implémenter les cycles de vie de rotation des mots de passe, utilisez. AWS Secrets Manager Vous pouvez effectuer une rotation, gérer et récupérer les informations d'identification de la base de données, les clés d'API et d'autres secrets tout au long de leur cycle de vie à l'aide de Secrets Manager. Pour plus d'informations, voir Qu'est-ce que c'est AWS Secrets Manager ? dans le guide de AWS Secrets Manager l'utilisateur.

Parameter Store applique les politiques de paramètre à l'aide d'analyses asynchrones et périodiques. Une fois que vous avez créé une politique, vous n'avez pas besoin d'effectuer d'autres actions pour l'appliquer. Parameter Store exécute automatiquement l'action définie par la politique en fonction des critères que vous avez spécifiés.

Note

Les politiques de paramètre sont disponibles pour les paramètres qui utilisent le niveau de paramètres avancés. Pour plus d’informations, consultez Gestion des niveaux de paramètres.

Une politique de paramètre est une séquence JSON, comme illustré dans le tableau suivant. Vous pouvez attribuer une politique lorsque vous créez un nouveau paramètre avancé ; vous pouvez aussi appliquer une politique en mettant à jour un paramètre. Parameter Store prend en charge les types suivants de politiques de paramètre.

Politique Détails Exemples

Politique	Détails	Exemples
Expiration	Cette politique supprime le paramètre. Vous pouvez spécifier une date et une heure spécifiques en utilisant le format `ISO_INSTANT` ou le format `ISO_OFFSET_DATE_TIME`. Pour modifier la date de suppression du paramètre, vous devez mettre à jour la politique. La mise à jour d'un paramètre n'affecte pas la date ou l'heure d'expiration de la politique qui lui est associée. Lorsque la date et l'heure d'expiration sont atteintes, Parameter Store supprime le paramètre. Note Cet exemple utilise le format `ISO_INSTANT`. Vous pouvez également spécifier une date et une heure en utilisant le format `ISO_OFFSET_DATE_TIME`. Voici un exemple : `2019-11-01T22:13:48.87+10:30:00`.	`{ "Type": "Expiration", "Version": "1.0", "Attributes": { "Timestamp": "2018-12-02T21:34:33.000Z" } }`
ExpirationNotification	Cette politique déclenche un événement sur Amazon EventBridge (EventBridge) qui vous informe de l'expiration. Cette politique vous permet de recevoir des notifications avant la date d'expiration, exprimées en unités de jours ou d'heures.	`{ "Type": "ExpirationNotification", "Version": "1.0", "Attributes": { "Before": "15", "Unit": "Days" } }`
NoChangeNotification	Cette politique déclenche un événement EventBridge si un paramètre n'a pas été modifié pendant une période spécifiée. Ce type de politique est utile quand, par exemple, un mot de passe doit être modifié dans un délai donné. Cette politique détermine quand envoyer une notification en lisant l'attribut `LastModifiedTime` du paramètre. Si vous modifiez un paramètre, le système réinitialise la période de notification en fonction de la nouvelle valeur de `LastModifiedTime`.	`{ "Type": "NoChangeNotification", "Version": "1.0", "Attributes": { "After": "20", "Unit": "Days" } }`

Expiration

Cette politique supprime le paramètre. Vous pouvez spécifier une date et une heure spécifiques en utilisant le format ISO_INSTANT ou le format ISO_OFFSET_DATE_TIME. Pour modifier la date de suppression du paramètre, vous devez mettre à jour la politique. La mise à jour d'un paramètre n'affecte pas la date ou l'heure d'expiration de la politique qui lui est associée. Lorsque la date et l'heure d'expiration sont atteintes, Parameter Store supprime le paramètre.

Note

Cet exemple utilise le format ISO_INSTANT. Vous pouvez également spécifier une date et une heure en utilisant le format ISO_OFFSET_DATE_TIME. Voici un exemple : 2019-11-01T22:13:48.87+10:30:00.


{
    "Type": "Expiration",
    "Version": "1.0",
    "Attributes": {
        "Timestamp": "2018-12-02T21:34:33.000Z"
    }
}

ExpirationNotification

Cette politique déclenche un événement sur Amazon EventBridge (EventBridge) qui vous informe de l'expiration. Cette politique vous permet de recevoir des notifications avant la date d'expiration, exprimées en unités de jours ou d'heures.


{
    "Type": "ExpirationNotification",
    "Version": "1.0",
    "Attributes": {
        "Before": "15",
        "Unit": "Days"
    }
}

NoChangeNotification

Cette politique déclenche un événement EventBridge si un paramètre n'a pas été modifié pendant une période spécifiée. Ce type de politique est utile quand, par exemple, un mot de passe doit être modifié dans un délai donné.

Cette politique détermine quand envoyer une notification en lisant l'attribut LastModifiedTime du paramètre. Si vous modifiez un paramètre, le système réinitialise la période de notification en fonction de la nouvelle valeur de LastModifiedTime.


{
    "Type": "NoChangeNotification",
    "Version": "1.0",
    "Attributes": {
        "After": "20",
        "Unit": "Days"
    }
}

Vous pouvez attribuer plusieurs politiques à un paramètre. Par exemple, vous pouvez attribuer Expiration des ExpirationNotification politiques afin que le système déclenche un EventBridge événement pour vous informer de la suppression imminente d'un paramètre. Vous pouvez attribuer un maximum de dix (10) politiques à un paramètre.

L'exemple suivant montre la syntaxe d'une demande d'PutParameterAPI qui attribue quatre politiques à un nouveau SecureString paramètre nomméProdDB3.


{
    "Name": "ProdDB3",
    "Description": "Parameter with policies",
    "Value": "P@ssW*rd21",
    "Type": "SecureString",
    "Overwrite": "True",
    "Policies": [
        {
            "Type": "Expiration",
            "Version": "1.0",
            "Attributes": {
                "Timestamp": "2018-12-02T21:34:33.000Z"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "30",
                "Unit": "Days"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "15",
                "Unit": "Days"
            }
        },
        {
            "Type": "NoChangeNotification",
            "Version": "1.0",
            "Attributes": {
                "After": "20",
                "Unit": "Days"
            }
        }
    ]
}

Ajout de politiques à un paramètre existant

Cette section contient des informations sur la façon d'ajouter des politiques à un paramètre existant à l'aide de la AWS Systems Manager console, du AWS Command Line Interface (AWS CLI) et AWS Tools for Windows PowerShell . Pour plus d'informations sur la création d'un nouveau paramètre incluant des politiques, consultez Création de paramètres Systems Manager.

Rubriques

Ajouter des politiques à un paramètre existant (console)
Ajouter des politiques à un paramètre existant (AWS CLI)
Ajouter des politiques à un paramètre existant (Outils pour Windows PowerShell)

Ajouter des politiques à un paramètre existant (console)

Utilisez la procédure suivante pour ajouter des politiques à un paramètre en utilisant la console Systems Manager.

Pour ajouter des politiques à un paramètre existant

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Dans le panneau de navigation, sélectionnez Parameter Store.
Sélectionnez l'option en regard du paramètre que vous souhaitez mettre à jour afin d'inclure les politiques, puis sélectionnez Edit (Modifier).
Choisir Advanced (Avancé).
(Facultatif) Dans la section Parameter policies (Politiques de paramètre), sélectionnez Enabled (Activé). Vous pouvez spécifier une date d'expiration et une ou plusieurs politiques de notification pour ce paramètre.
Sélectionnez Enregistrer les modifications.

Important

Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en utilisant des crochets et des accolades, comme suit : [{}]
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.

Ajouter des politiques à un paramètre existant (AWS CLI)

Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide de l' AWS CLI.

Pour ajouter des politiques à un paramètre existant

Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.

Pour de plus amples informations, consultez Installation ou mise à jour de la version la plus récente de l' AWS CLI.

Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

Voici un exemple incluant une politique d'expiration qui supprime le paramètre au bout de 15 jours. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique NoChangeNotification si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (3l3vat3131) comme paramètre de mot de passe et une AWS KMS key AWS Key Management Service . Pour plus d'informations AWS KMS keys, consultez la section AWS Key Management Service Concepts du guide du AWS Key Management Service développeur.

Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez parameter name (nom du paramètre) avec vos propres informations.

Important

Parameter Store conserve les politiques d'un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations. Par exemple :
Linux & macOS
```
aws ssm put-parameter \
    --name parameter name \
    --type parameter type  \
    --value 'parameter value' \
    --policies "[{}]"
```
Windows
```
aws ssm put-parameter ^
    --name parameter name ^
    --type parameter type  ^
    --value 'parameter value' ^
    --policies "[{}]"
```
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.

Ajouter des politiques à un paramètre existant (Outils pour Windows PowerShell)

Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide des Outils pour Windows PowerShell. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

Pour ajouter des politiques à un paramètre existant

Ouvrez Outils pour Windows PowerShell et exécutez la commande suivante pour spécifier vos informations d'identification. Vous devez soit disposer des autorisations d'administrateur dans Amazon Elastic Compute Cloud (Amazon EC2), soit avoir obtenu les autorisations appropriées AWS Identity and Access Management dans (IAM).
```
Set-AWSCredentials `
    –AccessKey access-key-name `
    –SecretKey secret-key-name
```
Exécutez la commande suivante pour définir la région de votre PowerShell session. L'exemple utilise la région USA Est (Ohio) (us-east-2).
```
Set-DefaultAWSRegion `
    -Region us-east-2
```
Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.
```
Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{policies-enclosed-in-brackets-and-curly-braces}]" `
    -Overwrite
```
Voici un exemple incluant une politique d'expiration qui supprime le paramètre à minuit (GMT) le 13 mai 2020. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique NoChangeNotification si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (3l3vat3131) comme paramètre de mot de passe et une Clé gérée par AWS.
```
Write-SSMParameter `
    -Name "/Finance/Payroll/3l3vat3131" `
    -Value "P@sSwW)rd" `
    -Type "SecureString" `
    -Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" `
    -Overwrite
```
Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez parameter name (nom du paramètre) avec vos propres informations.
```
(Get-SSMParameterValue -Name "parameter name").Parameters
```

Important

Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Par exemple :
```
Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{}]"
```
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Recherche de paramètres

Utiliser des hiérarchies de paramètres