AWS Systems Manager Parameter Store - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Parameter Store

Parameter Store, une capacité deAWS Systems Manager, offre un stockage sécurisé et hiérarchique des données de configuration et de gestion des codes secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données,Amazon Machine Image(AMI) et les codes de licence en tant que valeurs de paramètres. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez référencer les paramètres de Systems Manager dans vos scripts, commandes, documents SSM et flux de travail de configuration et d'automatisation à l'aide du nom unique que vous avez spécifié lors de la création du paramètre.

Parameter Store est également intégré à Secrets Manager. Vous pouvez récupérer les secrets Secrets Manager lorsque vous utilisez d'autresAWSqui prennent déjà en charge les références aux paramètres du magasin de paramètres. Pour de plus amples informations, veuillez consulter RéférencementAWS Secrets Managersecrets des paramètres du magasin de paramètres .

Note

Pour implémenter des cycles de vie de rotation des mots de passe, utilisezAWS Secrets Manager. Vous pouvez renouveler, gérer et récupérer des informations d'identification de base de données, des clés d'API et d'autres secrets tout au long de leur cycle de vie à l'aide de Secrets Manager. Pour plus d’informations, consultez Présentation d'AWS Secrets Manager dans le Guide de l'utilisateur AWS Secrets Manager.

Comment le magasin de paramètres peut-il tirer parti de mon organisation ?

Parameter Store offre les avantages suivants :

  • Utilisation d'un service de gestion sécurisé, évolutif et hébergé des codes secrets, sans serveurs à gérer.

  • Amélioration de vos niveaux de sécurité en séparant les données du code.

  • Stockage des données de configuration et des chaînes chiffrées en hiérarchies et en versions de suivi.

  • Accès de contrôle et d'audit à niveaux granulaires.

À qui est destiné ?

  • AnyAWSqui souhaite disposer d'un moyen centralisé de gérer les données de configuration.

  • Les développeurs de logiciels qui souhaitent stocker des connexions et des flux de référence différents.

  • Administrateurs qui souhaitent recevoir des notifications lorsque leurs secrets et mots de passe sont ou ne sont pas modifiés.

Quelles sont les fonctions de Parameter Store ?

  • Notification de modification

    Vous pouvez configurer les notifications de modifications et appeler des actions automatiques à la fois pour les paramètres et les stratégies de paramètres. Pour de plus amples informations, veuillez consulter Configuration de notifications ou d'actions de déclenchement basées sur des événements de Parameter Store .

  • Organiser et contrôler l'accès

    Vous pouvez baliser vos paramètres individuellement pour vous aider à identifier un ou plusieurs paramètres en fonction des balises que vous leur avez affectées. Par exemple, vous pouvez baliser des paramètres pour des environnements, des services, des utilisateurs, des groupes ou des périodes spécifiques. Vous pouvez également restreindre l'accès aux paramètres en créant uneAWS Identity and Access Management(IAM) qui spécifie les balises auxquelles un utilisateur ou un groupe peuvent accéder. Pour de plus amples informations, veuillez consulter Balisage des paramètres Systems Manager .

  • Versions d'étiquettes

    Vous pouvez associer un alias aux versions de votre paramètre en créant des étiquettes. Les étiquettes peuvent vous aider à vous souvenir de l'objectif d'une version de paramètre lorsqu'il existe plusieurs versions.

  • Validation des données

    Vous pouvez créer des paramètres pointant vers une instance Amazon Elastic Compute Cloud (Amazon EC2) et le magasin de paramètres valide ces paramètres pour s'assurer qu'il fait référence au type de ressource attendu, que la ressource existe et que le client a l'autorisation d'utiliser la ressource. Par exemple, vous pouvez créer un paramètre avecAmazon Machine Image(AMI) en tant que valeur avec le type de données aws:ec2:image, et le magasin de paramètres effectue une opération de validation asynchrone pour s'assurer que la valeur du paramètre répond aux exigences de mise en forme d'unAMIID, et que leAMIest disponible dans votre Compte AWS .

  • Secrets de référence

    Le magasin de paramètres est intégré àAWS Secrets Managerafin que vous puissiez récupérer les secrets Secrets Manager lors de l'utilisation d'autresAWSqui prennent déjà en charge les références aux paramètres du magasin de paramètres.

  • Accessible à partir d'autresAWSservices

    Vous pouvez utiliser les paramètres du magasin de paramètres avec d'autres fonctionnalités du Systems Manager etAWSPour récupérer les secrets et les données de configuration à partir d'un magasin central. Les paramètres fonctionnent avec les fonctionnalités de Systems Manager telles que Exécuter la commande, Automation et State Manager, les fonctionnalités deAWS Systems Manager. Vous pouvez également référencer des paramètres dans un certain nombre d'autres services AWS, notamment les suivants :

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Intégration à d'autresAWSservices

    Configuration de l'intégration avec les services AWS suivants pour le chiffrement, la notification, la surveillance et l'audit :

Qu'est-ce qu'un paramètre ?

Un paramètre Parameter Store est tout élément de données enregistré dans Parameter Store, tel qu'un bloc de texte, une liste de noms, un mot de passe, uneAMIID, clé de licence, et ainsi de suite. Vous pouvez référencer ces données de manière centralisée et sécurisée dans vos scripts, commandes et documents SSM.

Lorsque vous référencez un paramètre, vous spécifiez son nom à l'aide de la convention suivante.

{{ssm:parameter-name}}

Note

Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure{{}}ou{{ssm:parameter-name}}dans une valeur de paramètre.

Le magasin de paramètres prend en charge trois types de paramètres.String,StringList, etSecureString.

À une exception près, lorsque vous créez ou mettez à jour un paramètre, vous saisissez sa valeur sous forme de texte brut, et le magasin de paramètres n'effectue aucune validation sur le texte que vous saisissez. PourStringToutefois, vous pouvez spécifier le type de données commeaws:ec2:image, et Parameter Store valide que la valeur que vous saisissez est au format approprié pour un Amazon EC2AMI ; par exemple :ami-12345abcdeEXAMPLE.

String

Par défaut, les paramètres String sont constitués d'un bloc de texte que vous saisissez. Exemples :

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

Les paramètres StringList contiennent une liste de valeurs séparées par des virgules, comme le montre les exemples suivants.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Un paramètre SecureString correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne voulez pas que les utilisateurs modifient ou référencent en texte brut certaines de vos données, telles que les mots de passe ou les clés de licence, créez ces paramètres à l'aide de l'outilSecureStringType de donnée.

Important

Ne stockez pas de données sensibles dans uneStringouStringList  Paramètre . Pour toutes les données sensibles qui doivent rester chiffrées, utilisez uniquement le type de paramètre SecureString.

Pour de plus amples informations, veuillez consulter Créer un paramètre SecureString (AWS CLI) .

Nous vous recommandons d'utiliserSecureStringpour les scénarios suivants :

  • Vous souhaitez utiliser des données/paramètres surAWSsans exposer les valeurs en texte brut dans les commandes, les fonctions, les journaux de l'agent ou les journaux CloudTrail.

  • Vous voulez contrôler les personnes ayant accès aux données sensibles.

  • Vous souhaitez être en mesure de contrôler les accès aux données sensibles (CloudTrail).

  • Vous voulez chiffrer vos données sensibles et vous voulez utiliser vos propres clés de chiffrement pour gérer l'accès.

Important

Seule la valeur d'un paramètre SecureString est chiffrée. Les noms de paramètres, les descriptions et les autres propriétés ne sont pas chiffrés.

Vous pouvez utiliser la stratégieSecureStringPour les données textuelles que vous souhaitez chiffrer, notamment les mots de passe, les secrets d'application, les données de configuration confidentielles ou d'autres types de données que vous souhaitez protéger.SecureStringLes données sont chiffrées et déchiffrées à l'aide d'uneAWS KMSClé. Vous pouvez utiliser une clé KMS par défaut fournie parAWSOu créez et utilisez votre propreAWS KMS key. (Utilisez votre propreAWS KMS keysi vous souhaitez restreindre l'accès des utilisateurs àSecureStringParamètres. Pour de plus amples informations, veuillez consulterAutorisations IAM pour utiliserAWSClés par défaut et clés gérées par le client.)

Vous pouvez également utiliser les paramètres SecureString avec d'autres services AWS. Dans l'exemple suivant, la fonction Lambda récupère uneSecureStringà l'aide du paramètreGetParametersAPI.

from __future__ import print_function import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value

Chiffrement et tarification AWS KMS

Si vous choisissez laSecureStringlorsque vous créez votre paramètre, Systems Manager utiliseAWS KMSPour chiffrer la valeur de paramètre.

Important

Parameter StoreClés KMS symétriques. Vous ne pouvez pas utiliser deClé KMS asymétriquePour chiffrer vos paramètres. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter.Identification des clés KMS symétriques et asymétriquesdans leAWS Key Management ServiceManuel du développeur

Il n'y a pas de frais à partir du magasin de paramètres pour créer unSecureString, mais les frais pour l'utilisation deAWS KMSle chiffrement s'applique. Pour obtenir des informations, veuillez consulter Tarification AWS Key Management Service.

Pour plus d'informations surAWSclés gérées et gérées par le client, voirAWS Key Management ServiceConceptsdans leAWS Key Management ServiceManuel du développeur. Pour de plus amples informations sur le magasin de paramètres etAWS KMSchiffrement, voirProcéduresAWS Systems ManagerUtilisation du Parameter StoreAWS KMS.

Note

Pour afficher unAWS, utilisez la clé managéeAWS KMS DescribeKey. CetteAWS Command Line Interface(AWS CLI) utiliseDescribeKeypour afficher etAWSgestion de la clé.

aws kms describe-key --key-id alias/aws/ssm

Voir aussi

Pour obtenir un exemple de création et d'utilisation d'un paramètre SecureString, veuillez consulter Créer un paramètre SecureString et joindre une instance à un domaine (PowerShell). Pour plus d'informations sur l'utilisation des paramètres Systems Manager avec d'autresAWS, consultez les billets de blog suivants :