AWS Systems Manager Parameter Store - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Parameter Store

AWS Systems Manager Parameter Store offre un stockage sécurisé et hiérarchique des données pour la gestion des données de configuration et des codes secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données, des Amazon Machine Image (AMI) IDset des codes de licence en tant que valeurs de paramètre. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez référencer des paramètres Systems Manager dans vos scripts, commandes, documents SSM et flux de travail de configuration et d'automatisation à l'aide du nom unique que vous avez spécifié lors de la création du paramètre.

Note

Pour implémenter des cycles de vie de renouvellement de mot de passe, utilisez AWS Secrets Manager. Secrets Manager vous permet de renouveler, gérer et récupérer facilement des informations d'identification de base de données, des clés d'API et d'autres secrets tout au long de leur cycle de vie. Pour plus d'informations, consulter Qu'est-ce que AWS Secrets Manager ? dans le manuel AWS Secrets Manager.

Comment mon organisation peut-elle tirer parti de Parameter Store

Parameter Store offre les avantages suivants :

  • Vous pouvez utiliser un service de gestion sécurisé, évolutif et hébergé des secrets, sans serveurs à gérer.

  • Amélioration de vos niveaux de sécurité en séparant les données du code.

  • Stockage des données de configuration et des chaînes chiffrées en hiérarchies et en versions de suivi.

  • Accès de contrôle et d'audit à niveaux granulaires.

À qui est destiné Parameter Store?

  • Tout client AWS qui souhaite disposer d'un moyen centralisé pour gérer les données de configuration.

  • Les développeurs de logiciels qui souhaitent stocker facilement différents flux de connexion et de référence.

  • Des administrateurs qui souhaitent être avertis lorsque des modifications ont été apportées ou non à des secrets et des mots de passe.

Quelles sont les fonctions d'Parameter Store?

  • Notification de modification

    Vous pouvez configurer des notifications de modification et déclencher des actions automatiques pour les paramètres et les stratégies de paramètres. Pour plus d'informations, consultez Configuration de notifications ou d'actions de déclenchement basées sur des événements Parameter Store.

  • Organisation et contrôle de l'accès

    Vous pouvez baliser vos paramètres individuellement pour vous aider à identifier rapidement un ou plusieurs paramètres en fonction des balises que vous leur avez attribuées. Par exemple, vous pouvez baliser des paramètres pour des environnements, des services, des utilisateurs, des groupes ou des périodes spécifiques. Vous pouvez également restreindre l'accès aux paramètres en créant une stratégie IAM qui spécifie les balises auxquelles un utilisateur ou un groupe peut accéder. Pour plus d'informations, consultez Balisage des paramètres Systems Manager.

  • Versions d'étiquette

    Vous pouvez associer un alias pour les versions de votre paramètre en créant des étiquettes. Les étiquettes peuvent vous aider à vous souvenir de l'objectif d'une version de paramètre lorsqu'il y a plusieurs versions.

  • Validation des données

    Vous pouvez créer des paramètres qui pointent vers une Amazon EC2 instance et Parameter Store valident ces paramètres pour vous assurer qu'ils font référence au type de ressource attendu, que la ressource existe et que le client est autorisé à utiliser la ressource. Par exemple, vous pouvez créer un paramètre avec l'ID d'Amazon Machine Image (AMI) comme valeur avec le type de données ec2, et Parameter Store effectue une opération de validation asynchrone pour vous assurer que la valeur du paramètre répond aux exigences de formatage d'un ID d'AMI et que l'AMI spécifiée est disponible dans votre AWS compte.

  • Secrets de référence

    Parameter Store est intégré à AWS Secrets Manager afin que vous puissiez récupérer les secrets de Secrets Manager lorsque vous utilisez d'autres AWS services qui prennent déjà en charge les références aux Parameter Store paramètres .

  • Accessible à partir d'autres AWS services

    Vous pouvez utiliser Parameter Store des paramètres avec d'autres Systems Manager fonctionnalités et AWS services pour récupérer des secrets et des données de configuration à partir d'un magasin central. Ces paramètres sont compatibles avec des fonctionnalités Systems Manager telles que Fonctionnalité Exécuter la commande, State Manager et Automation. Vous pouvez également référencer des paramètres dans un certain nombre d'autres services AWS, notamment les suivants :

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Intégration à d'autres AWS services

    Configuration de l'intégration avec les services AWS suivants pour le chiffrement, la notification, la surveillance et l'audit :

Qu'est-ce qu'un paramètre ?

Un paramètre Parameter Store est tout élément de données enregistré dans Parameter Store, tel qu'un bloc de texte, une liste de noms, un mot de passe, un ID Amazon Machine Image (AMI), une clé de licence, etc. Vous pouvez référencer ces données de manière centralisée et sécurisée dans vos scripts, commandes et documents SSM.

Lorsque vous référencez un paramètre, vous spécifiez son nom à l'aide de la convention suivante.

{{ssm:parameter-name}}

Note

Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure {{}} ou {{ssm:parameter-name}} dans une valeur de paramètre.

Parameter Store prend en charge trois types de paramètres. String, StringList et SecureString.

À une exception près, lorsque vous créez ou mettez à jour un paramètre, vous entrez la valeur du paramètre en texte brut et Parameter Store n'effectue aucune validation sur le texte que vous saisissez. Pour les paramètres String, vous pouvez néanmoins spécifier le type de données comme aws:ec2:image. Alors, Parameter Store valide la valeur que vous saisissez comme étant au format approprié pour une AMI Amazon EC2 ; par exemple : ami-12345abcdeEXAMPLE.

Chaîne

Par défaut, les paramètres String sont constitués d'un bloc de texte que vous saisissez. Exemples :

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

StringListLes paramètres contiennent une liste de valeurs séparées par des virgules, comme le montre les exemples suivants.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Un paramètre SecureString correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne voulez pas que les utilisateurs modifient ou référencent en texte brut certaines de vos données, telles que les mots de passe ou les clés de licence, créez ces paramètres à l'aide du type de données SecureString

Important

Ne stockez pas de données sensibles dans un paramètre StringList ou String. Pour toutes les données sensibles qui doivent rester chiffrées, utilisez uniquement le type de paramètre SecureString.

Pour plus d'informations, consultez Créer un SecureString paramètre (AWS CLI).

Nous vous recommandons d'utiliser SecureString les paramètres pour les scénarios suivants :

  • Vous voulez utiliser les données/paramètres sur les services AWS sans exposer les valeurs en texte brut dans les commandes, les fonctions, les journaux de l'agent ou les journaux AWS CloudTrail

  • Vous voulez contrôler les personnes ayant accès aux données sensibles.

  • Vous souhaitez être en mesure de contrôler les accès aux données sensibles (AWS CloudTrail).

  • Vous souhaitez chiffrer vos données sensibles et vous souhaitez apporter vos propres clés de chiffrement pour gérer l'accès.

Important

Seule la valeur d'un paramètre SecureString est chiffrée. Les noms de paramètre, les descriptions et les autres propriétés ne sont pas chiffrés.

Le type de SecureString paramètre peut être utilisé pour les données textuelles que vous souhaitez chiffrer, telles que les mots de passe, les secrets d'application, les données de configuration confidentielles ou tout autre type de données que vous devez protéger. SecureString Les données sont chiffrées et déchiffrées à l'aide d'une clé AWS Key Management Service (KMS). Vous pouvez utiliser une clé KMS par défaut fournie par AWS ou créer et utiliser votre propre clé principale client (CMK). (Utilisez votre propre clé CMK si vous devez restreindre l'accès utilisateur aux SecureString paramètres . Pour plus d'informations, consultez Autorisations IAM pour l'utilisation des clés par défaut AWS et des clés gérées par le client.)

Vous pouvez également utiliser les paramètres SecureString avec d'autres services AWS Dans l'exemple suivant, la AWS Lambda fonction récupère un SecureString paramètre à l'aide de GetParameters l'API .

from __future__ import print_function import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value
Note

Parameter Store est également intégré à AWS Secrets Manager. Vous pouvez récupérer Secrets Manager des secrets lorsque vous utilisez d'autres AWS services qui prennent déjà en charge les références aux Parameter Store paramètres . Pour plus d'informations, consultez Référencement des secrets AWS Secrets Manager à partir des paramètres Parameter Store dans ce manuel.

AWS KMSChiffrement et tarification

Si vous choisissez le type de SecureString paramètre lorsque vous créez votre paramètre, Systems Manager utilise AWS Key Management Service (KMS) pour chiffrer la valeur du paramètre.

Parameter Store n'applique aucun frais pour la création d'un paramètre SecureString, mais applique des frais pour l'utilisation du chiffrement AWS Key Management Service Pour obtenir des informations, veuillez consulter Tarification AWS Key Management Service.

Pour plus d'informations sur les AWS gérés par et les gérés par le CMKsclient, consultez AWS Key Management Service Concepts dans le AWS Key Management Service Developer Guide. Pour de plus amples informations sur Parameter Store et sur le chiffrement KMS, veuillez consulter Comment AWS Systems Manager Parameter Store utilise-t-il AWS KMS.

Note

Pour afficher une clé CMK AWS gérée par , utilisez AWS KMS DescribeKey l'opération . Cet AWS CLI exemple utilise DescribeKey pour afficher et AWSla clé CMK gérée par .

aws kms describe-key --key-id alias/aws/ssm

Voir aussi

Pour obtenir un exemple de création et d'utilisation d'un paramètre SecureString, veuillez consulter Créer un SecureString paramètre et joindre une instance à un domaine (PowerShell). Pour plus d'informations sur l'utilisation Systems Manager des paramètres avec d'autres AWS services , consultez les billets de blog suivants :