Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de paramètres de Parameter Store dans les fonctions AWS Lambda
Parameter Store, une fonctionnalité de AWS Systems Manager, fournit un stockage hiérarchique sécurisé pour la gestion des données de configuration et la gestion des secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données, des ID d'Amazon Machine Image (AMI) et des codes de licence en tant que valeurs de paramètres.
Pour utiliser les paramètres Parameter Store des AWS Lambda fonctions sans utiliser de SDK, vous pouvez utiliser l'extension Lambda AWS Parameters and Secrets. Cette extension récupère les valeurs de paramètre et les met en cache pour une utilisation future. L'utilisation de l'extension Lambda peut réduire vos coûts en diminuant le nombre d'appels d'API vers Parameter Store. L'utilisation de l'extension peut également améliorer la latence, car la récupération d'un paramètre mis en cache est plus rapide que sa récupération depuis Parameter Store.
Une extension Lambda est un processus complémentaire qui améliore les capacités d'une fonction Lambda. Une extension est comme un client qui s'exécute en parallèle d'une invocation Lambda. Ce client parallèle peut s'interfacer avec votre fonction à tout moment au cours de son cycle de vie. Pour plus d'informations sur les extensions Lambda, veuillez consulter API Extensions Lambda dans le Guide du développeur AWS Lambda .
L'extension Lambda AWS Parameters and Secrets fonctionne à la fois pour etParameter Store. AWS Secrets Manager Pour savoir comment utiliser l'extension Lambda avec des secrets depuis Secrets Manager, consultez la section Utiliser des AWS Secrets Manager secrets dans les AWS Lambda fonctions du Guide de l'AWS Secrets Manager utilisateur.
Informations connexes
Utilisation de l'extension Lambda AWS Parameter and Secrets pour mettre en cache des paramètres et des secrets
Fonctionnement de l'extension
Pour utiliser des paramètres dans une fonction Lambda sans extension Lambda, vous devez configurer votre fonction Lambda pour qu'elle reçoive des mises à jour de configuration en l'intégrant à l'action d'API GetParameter pour Parameter Store.
Lorsque vous utilisez l'extension Lambda AWS Parameters and Secrets, l'extension extrait la valeur du paramètre Parameter Store et la stocke dans le cache local. Ensuite, la valeur mise en cache est utilisée pour d'autres invocations jusqu'à son expiration. Les valeurs mises en cache expirent une fois leur valeur time-to-live (TTL) transmise. Vous pouvez configurer la valeur TTL à l'aide de la variable d'environnement SSM_PARAMETER_STORE_TTL, comme expliqué plus loin dans cette rubrique.
Si la TTL du cache configurée n'a pas expiré, la valeur du paramètre mise en cache est utilisée. Si le délai est expiré, la valeur mise en cache est invalidée et la valeur du paramètre est récupérée depuis Parameter Store.
En outre, le système détecte les valeurs de paramètres fréquemment utilisées et les conserve dans le cache tout en effaçant celles qui sont expirées ou inutilisées.
Détails de l'implémentation
Utilisez les informations suivantes pour vous aider à configurer l'extension Lambda AWS Parameters and Secrets.
- Authentification
-
Pour autoriser et authentifier les requêtes de Parameter Store, l'extension utilise les mêmes informations d'identification que celles utilisées pour exécuter la fonction Lambda elle-même. Par conséquent, le rôle AWS Identity and Access Management (IAM) utilisé pour exécuter la fonction doit disposer des autorisations suivantes pour interagir avec Parameter Store :
-
ssm:GetParameter: obligatoire pour récupérer les paramètres depuis Parameter Store -
kms:Decrypt: obligatoire si vous récupérez des paramètresSecureStringdepuis Parameter Store
Pour plus d'informations, veuillez consulter Rôle d'exécution AWS Lambda dans le Guide du développeur AWS Lambda .
-
- Instanciation
-
Lambda instancie des instances distinctes correspondant au niveau de simultanéité requis par votre fonction. Chaque instance est isolée et conserve son propre cache local de vos données de configuration. Pour plus d'informations sur les instances Lambda et la simultanéité, veuillez consulter Configuration de la simultanéité réservée Lambda dans le Guide du développeur AWS Lambda .
- Aucune dépendance au kit SDK
-
L'extension Lambda AWS Parameters and Secrets fonctionne indépendamment de toute bibliothèque de langage du AWS SDK. Il n'est pas nécessaire de disposer d'un AWS SDK pour envoyer des requêtes GET àParameter Store.
- Port du Localhost
-
Utilisez
localhostdans vos requêtes GET. L'extension envoie des requêtes au port localhost 2773. Vous n'avez pas besoin de spécifier un point de terminaison externe ou interne pour utiliser l'extension. Vous pouvez configurer le port en définissant laPARAMETERS_SECRETS_EXTENSION_HTTP_PORTvariable d'environnement.Par exemple, dans Python, votre URL GET peut ressembler à l'exemple suivant.
parameter_url = ('http://localhost:' + port + '/systemsmanager/parameters/get/?name=' + ssm_parameter_path) - Modifications apportées à la valeur d'un paramètre avant l'expiration de la TTL
-
L'extension ne détecte pas les modifications apportées à la valeur du paramètre et n'effectue pas d'actualisation automatique avant l'expiration de la TTL. Si vous modifiez la valeur d'un paramètre, les opérations utilisant la valeur de paramètre mise en cache peuvent échouer jusqu'à la prochaine actualisation du cache. Si vous prévoyez de modifier fréquemment la valeur d'un paramètre, nous vous recommandons de définir une valeur TTL plus courte.
- Exigence d'en-tête
-
Pour récupérer des paramètres depuis le cache de l'extension, l'en-tête de votre requête GET doit inclure une référence
X-Aws-Parameters-Secrets-Token. Définissez le jeton surAWS_SESSION_TOKEN, qui est fourni par Lambda pour toutes les fonctions en cours d'exécution. L'utilisation de cet en-tête indique que l'appelant se trouve dans l'environnement Lambda. - Exemple
-
L'exemple suivant dans Python illustre une requête de base permettant de récupérer la valeur d'un paramètre mis en cache.
import urllib.request import os import json aws_session_token = os.environ.get('AWS_SESSION_TOKEN') def lambda_handler(event, context): # Retrieve /my/parameter from Parameter Store using extension cache req = urllib.request.Request('http://localhost:2773/systemsmanager/parameters/get?name=%2Fmy%2Fparameter') req.add_header('X-Aws-Parameters-Secrets-Token', aws_session_token) config = urllib.request.urlopen(req).read() return json.loads(config) - Prise en charge par ARM
-
L'extension ne supporte pas du tout l'architecture ARM Régions AWS là où les x86 architectures x86_64 et sont prises en charge.
Pour la liste complète des ARN d'extension, veuillez consulter AWS Paramètres et secrets (ARN de l'extension Lambda).
- Journalisation
-
Lambda enregistre les informations d'exécution relatives à l'extension ainsi qu'à la fonction à l'aide d'Amazon CloudWatch Logs. Par défaut, l'extension enregistre une quantité minimale d'informations dans CloudWatch. Pour journaliser plus d'informations, définissez la variable d'environnement
PARAMETERS_SECRETS_EXTENSION_LOG_LEVELsurDEBUG.
Ajout de l'extension à une fonction Lambda
Pour utiliser l'extension Lambda AWS Parameters and Secrets, vous devez l'ajouter à votre fonction Lambda sous forme de couche.
Utilisez l'une des méthodes suivantes pour ajouter l'extension à votre fonction.
- AWS Management Console (Option d'ajout d'une couche)
-
Ouvrez la AWS Lambda console à l'adresse https://console.aws.amazon.com/lambda/
. -
Choisissez votre fonction. Dans la zone Layers (Couches), choisissez Add a layer (Ajouter une couche).
-
Dans la zone Choisir une couche, sélectionnez l'option Couches AWS .
-
Pour Couches AWS , sélectionnez AWS-Parameters-and-Secrets-Lambda-Extension, choisissez une version puis cliquez sur Ajouter.
- AWS Management Console (Spécifiez l'option ARN)
-
Ouvrez la AWS Lambda console à l'adresse https://console.aws.amazon.com/lambda/
. -
Choisissez votre fonction. Dans la zone Layers (Couches), choisissez Add a layer (Ajouter une couche).
-
Dans la zone Choose a layer (Choisir une couche), sélectionnez l'option Specify an ARN (Spécifier un ARN).
-
Pour Spécifier un ARN, entrez l'ARN de l'extension pour votre architecture Région AWS et, puis choisissez Ajouter.
- AWS Command Line Interface
-
Exécutez la commande suivante dans l' AWS CLI : Remplacez chaque
example resource placeholder(espace réservé pour les ressources) avec vos propres informations.aws lambda update-function-configuration \ --function-namefunction-name\ --layerslayer-ARN
Informations connexes
Utilisation de couches avec votre fonction Lambda
Configuration des extensions (archive de fichiers .zip)
AWS Paramètres et secrets Variables d'environnement de l'extension Lambda
Vous pouvez configurer l'extension en modifiant les variables d'environnement suivantes. Pour voir les paramètres actuels, définissez PARAMETERS_SECRETS_EXTENSION_LOG_LEVEL sur DEBUG. Pour plus d'informations, consultez la section Utilisation de variables d' AWS Lambda environnement dans le Guide du AWS Lambda développeur.
Note
AWS Lambda enregistre les détails des opérations relatives à l'extension Lambda et à la fonction Lambda dans Amazon Logs. CloudWatch
| Variable d'environnement | Détails | Obligatoire | Valeurs valides | Valeur par défaut |
|---|---|---|---|---|
|
|
Délai d'expiration des requêtes adressées à Parameter Store, en millisecondes.
La valeur 0 (zéro) indique qu'il n'y a pas de délai d'expiration. |
Non | Tous les nombres entiers | 0 (zéro) |
|
|
Délai d'expiration des requêtes adressées à Secrets Manager, en millisecondes.
La valeur 0 (zéro) indique qu'il n'y a pas de délai d'expiration. |
Non | Tous les nombres entiers |
0 (zéro) |
|
|
Durée de vie maximale valide, en secondes, d'un paramètre dans le cache avant qu'il ne soit invalidé. La valeur 0 (zéro) indique que le cache doit être contourné. Cette variable est ignorée si la valeur de |
Non | 0 (zéro) à 300 s (cinq minutes) | 300 s (cinq minutes) |
|
|
Durée de vie maximale valide, en secondes, d'un secret dans le cache avant qu'il ne soit invalidé. La valeur 0 (zéro) indique que le cache est contourné. Cette variable est ignorée si la valeur de |
Non | 0 (zéro) à 300 s (cinq minutes) | 300 s (5 minutes) |
PARAMETERS_SECRETS_EXTENSION_CACHE_ENABLED |
Détermine si le cache est activé pour l'extension. Valeur valeurs : |
Non | TRUE | FALSE | TRUE |
PARAMETERS_SECRETS_EXTENSION_CACHE_SIZE |
Taille maximale du cache en termes de nombre d'éléments. La valeur 0 (zéro) indique que le cache est contourné. Cette variable est ignorée si les deux valeurs TTL du cache sont égales à 0 (zéro). |
Non | 0 (zéro) à 1 000 |
1 000 |
PARAMETERS_SECRETS_EXTENSION_HTTP_PORT |
Port du serveur HTTP local. | Non | 1 - 65535 |
2773 |
PARAMETERS_SECRETS_EXTENSION_MAX_CONNECTIONS |
Nombre maximal de connexions pour les clients HTTP que l'extension utilise pour adresser des requêtes au Parameter Store ou à Secrets Manager. Il s'agit d'une configuration par client indiquant le nombre de connexions que le client Secrets Manager et le client Parameter Store établissent aux services backend. |
Non | Minimum de 1 ; aucune limite maximale. |
3 |
PARAMETERS_SECRETS_EXTENSION_LOG_LEVEL |
Le niveau de détail indiqué dans les journaux pour l'extension. Nous vous recommandons d'utiliser Les journaux des opérations Lambda sont automatiquement transférés vers un groupe de journaux de CloudWatch journaux associé. |
Non |
|
INFO |
Exemples de commandes pour utiliser l' AWS Systems Manager Parameter Store et l'extension AWS Secrets Manager
Les exemples de cette section illustrent les actions d'API à utiliser avec l' AWS Secrets Manager extension AWS Systems Manager Parameter Store and.
Exemples de commandes pour Parameter Store
L'extension Lambda utilise un accès en lecture seule à l'action d'API. GetParameter
Pour appeler cette action, effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get?name=parameter-path&version=version&label=label&withDecryption={true|false}
Dans cet exemple, parameter-path représente le nom complet du paramètre. version et étiquette sont les sélecteurs disponibles pour une utilisation avec l'GetParameteraction. Ce format de commande permet d'accéder aux paramètres du niveau de paramètres standard.
Note
Lorsque vous utilisez des appels GET, les valeurs des paramètres doivent être codées pour que HTTP conserve les caractères spéciaux. Par exemple, au lieu de formater un chemin hiérarchique comme /a/b/c, codez des caractères qui pourraient être interprétés comme faisant partie de l'URL, tels que %2Fa%2Fb%2Fc.
GET http://localhost:port/systemsmanager/parameters/get/?name=MyParameter&version=5
Pour appeler un paramètre dans une hiérarchie, effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get?name=%2Fa%2Fb%2F&label=release
Pour appeler un paramètre public (global), effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get/?name=%2Faws%2Fservice%20list%2F…
Pour effectuer un appel HTTP GET vers un secret Secrets Manager à l'aide de références Parameter Store, effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get?name=%2Faws%2Freference%2Fsecretsmanager%2F…
Pour effectuer un appel en utilisant l'Amazon Resource Name (ARN) pour un paramètre, effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get?name=arn:aws:ssm:us-east-1:123456789012:parameter/MyParameter
Pour effectuer un appel qui accède à un paramètre SecureString avec le déchiffrement, effectuez un appel HTTP GET similaire à ce qui suit.
GET http://localhost:port/systemsmanager/parameters/get?name=MyParameter&withDecryption=true
Vous pouvez spécifier que les paramètres ne sont pas déchiffrés en omettant withDecryption ou en le définissant explicitement sur false. Vous pouvez également spécifier une version ou une étiquette, mais pas les deux. Le cas échéant, seule la première d'entre elles placée après le point d'interrogation (?) dans l'URL est utilisée.
AWS Paramètres et secrets (ARN de l'extension Lambda)
Les tableaux suivants fournissent des ARN d'extension pour les architectures et les régions prises en charge.
Rubriques
ARN d'extension pour les architectures x86_64 et x86
| Région | ARN |
|---|---|
|
USA Est (Ohio) |
|
|
USA Est (Virginie du Nord) |
|
|
USA Ouest (Californie du Nord) |
|
|
USA Ouest (Oregon) |
|
|
Afrique (Le Cap) |
|
|
Asie-Pacifique (Hong Kong) |
|
| Région Asie-Pacifique (Hyderabad) |
|
|
Asie-Pacifique (Jakarta) |
|
|
Asie-Pacifique (Melbourne) |
|
|
Asie-Pacifique (Mumbai) |
|
| Asie-Pacifique (Osaka) |
|
|
Asia Pacific (Seoul) |
|
|
Asie-Pacifique (Singapour) |
|
|
Asie-Pacifique (Sydney) |
|
|
Asie-Pacifique (Tokyo) |
|
|
Canada (Centre) |
|
| Canada Ouest (Calgary) | arn:aws:lambda:ca-west-1:243964427225:layer:AWS-Parameters-and-Secrets-Lambda-Extension:1 |
| Chine (Beijing) |
|
| China (Ningxia) |
|
|
Europe (Francfort) |
|
|
Europe (Irlande) |
|
|
Europe (Londres) |
|
|
Europe (Milan) |
|
|
Europe (Paris) |
|
| Région Europe (Espagne) |
|
|
Europe (Stockholm) |
|
| Israël (Tel Aviv) |
|
| Région Europe (Zurich) |
|
|
Moyen-Orient (Bahreïn) |
|
| Moyen-Orient (EAU) | arn:aws:lambda:me-central-1:858974508948:layer:AWS-Parameters-and-Secrets-Lambda-Extension:11 |
|
Amérique du Sud (São Paulo) |
|
| AWS GovCloud (USA Est) |
|
| AWS GovCloud (US-Ouest) |
|
ARN d'extension pour les architectures ARM64 et les architectures Mac with Apple silicon
| Région | ARN |
|---|---|
|
USA Est (Ohio) |
|
|
USA Est (Virginie du Nord) |
|
|
Région US West (N. California) |
|
|
USA Ouest (Oregon) |
|
|
Région Afrique (Le Cap) |
|
|
Région Asie-Pacifique (Hong Kong) |
|
|
Région Asie-Pacifique (Jakarta) |
|
|
Asie-Pacifique (Mumbai) |
|
| Asie-Pacifique (Osaka) |
|
|
Région Asia Pacific (Seoul) |
|
|
Asie-Pacifique (Singapour) |
|
|
Asie-Pacifique (Sydney) |
|
|
Asia Pacific (Tokyo) |
|
|
Région Canada (Centre) |
|
|
Europe (Francfort) |
|
|
Europe (Irlande) |
|
|
Europe (Londres) |
|
|
Europe (Milan) Region |
|
|
Région Europe (Paris) |
|
|
Région Europe (Stockholm) |
|
|
Middle East (Bahrain) Region |
|
|
Région Amérique du Sud (São Paulo) |
|
