AWS Systems Manager Parameter Store - AWS Systems Manager
Comment mon organisation peut-elle tirer parti de Parameter Store ? À qui est destiné Parameter Store? Quelles sont les fonctions d' Parameter Store? Qu'est-ce qu'un paramètre ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Parameter Store

AWS Systems Manager Parameter Store (Parameter Store) fournit un stockage sécurisé et hiérarchique pour la gestion des données de configuration et des codes secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données, IDs Amazon Machine Image (AMI) et des codes de licence en tant que valeurs de paramètre. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez référencer Systems Manager des paramètres dans vos scripts, commandes, SSM documents et flux de travail de configuration et d'automatisation en utilisant le nom unique que vous avez spécifié lorsque vous avez créé le paramètre.

Note

Pour implémenter des cycles de vie de renouvellement de mot de passe, utilisez AWS Secrets Manager. Secrets Manager vous permet de renouveler, gérer et récupérer facilement des informations d'identification de base de données, des clés d'API et d'autres secrets tout au long de leur cycle de vie. Pour plus d'informations, consulter Qu'est-ce que AWS Secrets Manager ? dans le manuel AWS Secrets Manager.

Comment mon organisation peut-elle tirer parti de Parameter Store ?

Parameter Store offre les avantages suivants :

  • Utilisation d'un service de gestion sécurisé, évolutif et hébergé des codes secrets, sans serveurs à gérer.

  • Amélioration de vos niveaux de sécurité en séparant les données du code.

  • Stockage des données de configuration et des chaînes chiffrées en hiérarchies et en versions de suivi.

  • Accès de contrôle et d'audit à niveaux granulaires.

À qui est destiné Parameter Store?

  • Tout AWS client qui souhaite disposer d'un moyen centralisé pour gérer les données de configuration.

  • Les développeurs de logiciels qui souhaitent stocker des connexions et des flux de référence différents.

  • Des administrateurs qui souhaitent recevoir des notifications lorsque leurs secrets et mots de passe sont modifiés ou ne le sont pas.

Quelles sont les fonctions d' Parameter Store?

  • Notification de modification

    Vous pouvez configurer des notifications de modification et appeler des actions automatiques pour les paramètres et les stratégies de paramètre. Pour plus d'informations, consultez Configuration de notifications ou d'actions de déclenchement basées sur des événements Parameter Store.

  • Organisation et contrôle de l'accès

    Vous pouvez baliser vos paramètres individuellement pour vous aider à identifier un ou plusieurs paramètres en fonction des balises que vous leur avez attribuées. Par exemple, vous pouvez baliser des paramètres pour des environnements, des services, des utilisateurs, des groupes ou des périodes spécifiques. Vous pouvez également restreindre l'accès aux paramètres en créant une stratégie AWS Identity and Access Management (IAM) qui spécifie les balises auxquelles un utilisateur ou un groupe peut accéder. Pour plus d'informations, consultez Balisage des paramètres Systems Manager.

  • Versions des étiquettes

    Vous pouvez associer un alias pour les versions de votre paramètre en créant des étiquettes. Les étiquettes peuvent vous aider à vous souvenir de l'objectif d'une version de paramètre lorsqu'il y a plusieurs versions.

  • Validation des données

    Vous pouvez créer des paramètres qui pointent vers une instance Amazon Elastic Compute Cloud (Amazon EC2) et Parameter Store valide ces paramètres pour vous assurer qu'ils font référence au type de ressource attendu, que la ressource existe et que le client est autorisé à utiliser la ressource. Par exemple, vous pouvez créer un paramètre avec un ID Amazon Machine Image (AMI) comme valeur avec le type de données ec2, et Parameter Store effectue une opération de validation asynchrone pour vous assurer que la valeur du paramètre répond aux exigences de mise en forme d'un AMI ID et que le paramètre spécifié AMI est disponible dans votre AWS compte.

  • Secrets de référence

    Parameter Store est intégré à AWS Secrets Manager afin que vous puissiez récupérer les secrets de Secrets Manager lorsque vous utilisez d'autres AWS services qui prennent déjà en charge les références aux Parameter Store paramètres .

  • Accessible à partir d'autres AWS services

    Vous pouvez utiliser Parameter Store des paramètres avec d'autres Systems Manager fonctionnalités et AWS services pour récupérer des secrets et des données de configuration à partir d'un magasin central. Les paramètres fonctionnent avec Systems Manager des fonctionnalités telles que AWS Systems Manager Fonctionnalité Exécuter la commande (Fonctionnalité Exécuter la commande), AWS Systems Manager State Manager (State Manager) et AWS Systems Manager Automation (Automation). Vous pouvez également référencer des paramètres dans un certain nombre d'autres services AWS, notamment les suivants :

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager (Secrets Manager)

    • AWS Lambda (Lambda)

    • AWS CloudFormation (CloudFormation)

    • AWS CodeBuild (CodeBuild)

    • AWS CodePipeline (CodePipeline)

    • AWS CodeDeploy (CodeDeploy)

  • Intégration à d'autres AWS services

    Configuration de l'intégration avec les services AWS suivants pour le chiffrement, la notification, la surveillance et l'audit :

Qu'est-ce qu'un paramètre ?

Un Parameter Store paramètre est tout élément de données enregistré dans Parameter Store, tel qu'un bloc de texte, une liste de noms, un mot de passe, un AMI ID, une clé de licence, etc. Vous pouvez référencer ces données de manière centralisée et sécurisée dans vos scripts, commandes et documents SSM.

Lorsque vous référencez un paramètre, vous spécifiez son nom à l'aide de la convention suivante.

{{ssm:parameter-name}}

Note

Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure {{}} ou {{ssm:parameter-name}} dans une valeur de paramètre.

Parameter Store prend en charge trois types de paramètres. String, StringList et SecureString.

À une exception près, lorsque vous créez ou mettez à jour un paramètre, vous entrez la valeur du paramètre en texte brut et Parameter Store n'effectue aucune validation sur le texte que vous saisissez. Pour String les paramètres , toutefois, vous pouvez spécifier le type de données comme aws:ec2:imageet Parameter Store vérifie que la valeur que vous entrez est au format approprié pour un Amazon EC2 AMI; par exemple : ami-12345abcdeEXAMPLE.

Chaîne

Par défaut, les paramètres String sont constitués d'un bloc de texte que vous saisissez. Exemples :

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

StringListLes paramètres contiennent une liste de valeurs séparées par des virgules, comme le montre les exemples suivants.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Un paramètre SecureString correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne voulez pas que les utilisateurs modifient ou référencent en texte brut certaines de vos données, telles que les mots de passe ou les clés de licence, créez ces paramètres à l'aide du type de données SecureString.

Important

Ne stockez pas de données sensibles dans un paramètre StringList ou String. Pour toutes les données sensibles qui doivent rester chiffrées, utilisez uniquement le type de paramètre SecureString.

Pour plus d'informations, consultez Créer un paramètre SecureString (AWS CLI).

Nous vous recommandons d'utiliser SecureString les paramètres pour les scénarios suivants :

  • Vous voulez utiliser les données/paramètres sur les services AWS sans exposer les valeurs en texte brut dans les commandes, les fonctions, les journaux de l'agent ou les journaux CloudTrail.

  • Vous voulez contrôler les personnes ayant accès aux données sensibles.

  • Vous souhaitez être en mesure de contrôler les accès aux données sensibles (CloudTrail).

  • Vous souhaitez chiffrer vos données sensibles et vous souhaitez apporter vos propres clés de chiffrement pour gérer l'accès.

Important

Seule la valeur d'un paramètre SecureString est chiffrée. Les noms de paramètre, les descriptions et les autres propriétés ne sont pas chiffrés.

Le type de SecureString paramètre peut être utilisé pour les données textuelles que vous souhaitez chiffrer, telles que les mots de passe, les secrets d'application, les données de configuration confidentielles ou tout autre type de données que vous devez protéger. SecureString Les données sont chiffrées et déchiffrées à l'aide d'une AWS KMS clé . Vous pouvez utiliser une clé KMS par défaut fournie par AWS ou créer et utiliser votre propre Clé KMS AWS. (Utilisez votre propre Clé KMS AWS si vous avez besoin de restreindre l'accès utilisateur aux SecureString paramètres . Pour plus d'informations, consultez Autorisations IAM pour l'utilisation de clés AWS par défaut et de clés gérées par le client.)

Vous pouvez également utiliser les paramètres SecureString avec d'autres services AWS. Dans l'exemple suivant, la fonction Lambda récupère un paramètre SecureString à l'aide de l'API GetParameters. 

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
 def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
Note

Parameter Store est également intégré à Secrets Manager. Vous pouvez récupérer Secrets Manager des secrets lorsque vous utilisez d'autres AWS services qui prennent déjà en charge les références aux Parameter Store paramètres . Pour plus d'informations, consultez Référencement des secrets AWS Secrets Manager à partir des paramètres Parameter Store dans ce manuel.

AWS KMSChiffrement et tarification

Si vous choisissez le type de SecureString paramètre lorsque vous créez votre paramètre, Systems Manager utilise AWS KMS pour chiffrer la valeur du paramètre.

Parameter Store n'applique aucun frais pour la création d'un paramètre SecureString, mais applique des frais pour l'utilisation du chiffrement AWS KMS. Pour obtenir des informations, veuillez consulter Tarification AWS Key Management Service.

Pour plus d'informations sur et AWS clés gérées par le clientgérés, consultez AWS Key Management Service Concepts dans le AWS Key Management Service Developer Guide. Pour de plus amples informations sur Parameter Store et sur le chiffrement AWS KMS, veuillez consulter Comment AWS Systems Manager Parameter Store utilise-t-il AWS KMS ?.

Note

Pour afficher un clé gérée par AWS, utilisez AWS KMS DescribeKey l'opération . Cet exemple AWS Command Line Interface (AWS CLI) utilise DescribeKey pour afficher et clé gérée par AWS. 

aws kms describe-key --key-id alias/aws/ssm

Voir aussi

Pour obtenir un exemple de création et d'utilisation d'un paramètre SecureString, veuillez consulter Créer un paramètre SecureString et joindre une instance à un domaine (PowerShell). Pour plus d'informations sur l'utilisation Systems Manager des paramètres avec d'autres AWS services , consultez les billets de blog suivants :