Prasyarat untuk berbagi parameter Berbagi parameter Berhenti berbagi parameter bersama Mengidentifikasi parameter bersama Mengakses parameter bersama Set izin untuk berbagi parameter Throughput maksimum untuk parameter bersama Harga untuk parameter bersama Akses lintas akun untuk ditutup Akun AWS

Bekerja dengan parameter bersama

Berbagi parameter lanjutan menyederhanakan manajemen data konfigurasi dalam lingkungan multi-akun. Anda dapat menyimpan dan mengelola parameter Anda secara terpusat dan membagikannya dengan orang lain Akun AWS yang perlu mereferensikannya.

Parameter Storeterintegrasi dengan AWS Resource Access Manager (AWS RAM) untuk mengaktifkan berbagi parameter lanjutan. AWS RAM adalah layanan yang memungkinkan Anda untuk berbagi sumber daya dengan orang lain Akun AWS atau melalui AWS Organizations.

Dengan AWS RAM, Anda berbagi sumber daya yang Anda miliki dengan membuat pembagian sumber daya. Pembagian sumber daya menentukan sumber daya untuk dibagikan, izin untuk diberikan, dan konsumen yang akan dibagikan. Konsumen dapat mencakup:

Khusus Akun AWS di dalam atau di luar organisasinya di AWS Organizations
Unit organisasi di dalam organisasinya di AWS Organizations
Seluruh organisasinya di AWS Organizations

Untuk informasi selengkapnya AWS RAM, lihat Panduan AWS RAM Pengguna.

Topik ini menjelaskan cara berbagi parameter yang Anda miliki, dan cara menggunakan parameter yang dibagikan dengan Anda.

Daftar Isi

Prasyarat untuk berbagi parameter
Berbagi parameter
Berhenti berbagi parameter bersama
Mengidentifikasi parameter bersama
Mengakses parameter bersama
Set izin untuk berbagi parameter
Throughput maksimum untuk parameter bersama
Harga untuk parameter bersama
Akses lintas akun untuk ditutup Akun AWS

Prasyarat untuk berbagi parameter

Prasyarat berikut harus dipenuhi sebelum Anda dapat berbagi parameter dari akun Anda:

Untuk berbagi parameter, Anda harus memilikinya di Akun AWS. Anda tidak dapat membagikan parameter yang telah dibagikan dengan Anda.
Untuk berbagi parameter, itu harus dalam tingkat parameter lanjutan. Untuk informasi tentang tingkatan parameter, lihatMengelola tingkatan parameter. Untuk informasi tentang mengubah parameter standar yang ada ke parameter lanjutan, lihatMengubah parameter standar ke parameter lanjutan.
Untuk berbagi SecureString parameter, itu harus dienkripsi dengan kunci yang dikelola pelanggan, dan Anda harus membagikan kunci secara terpisah. AWS Key Management Service Kunci yang dikelola AWS tidak dapat dibagikan. Parameter yang dienkripsi dengan default Kunci yang dikelola AWS dapat diperbarui untuk menggunakan kunci yang dikelola pelanggan sebagai gantinya. Untuk definisi AWS KMS kunci, lihat AWS KMS konsep di Panduan AWS Key Management Service Pengembang.
Untuk berbagi parameter dengan organisasi Anda atau unit organisasi di AWS Organizations, Anda harus mengaktifkan berbagi dengan AWS Organizations. Untuk informasi selengkapnya, lihat Aktifkan Berbagi dengan AWS Organizations dalam Panduan Pengguna AWS RAM .

Untuk berbagi parameter, Anda harus menambahkannya ke berbagi sumber daya. Berbagi sumber daya adalah AWS RAM sumber daya yang memungkinkan Anda berbagi sumber daya Akun AWS. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan berbagi dengan mereka.

Ketika Anda berbagi parameter yang Anda miliki dengan yang lain Akun AWS, Anda dapat memilih dari dua izin AWS terkelola untuk diberikan kepada konsumen. Untuk informasi selengkapnya, lihat Set izin untuk berbagi parameter.

Jika Anda adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, Anda dapat memberikan konsumen di organisasi Anda akses dari AWS RAM konsol ke parameter bersama. Jika tidak, konsumen menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke parameter bersama setelah menerima undangan.

Anda dapat membagikan parameter yang Anda miliki menggunakan AWS RAM konsol, atau AWS CLI.

catatan

Meskipun Anda dapat membagikan parameter menggunakan operasi Systems Manager PutResourcePolicy API, sebaiknya gunakan AWS Resource Access Manager (AWS RAM) sebagai gantinya. Ini karena penggunaan PutResourcePolicy memerlukan langkah ekstra untuk mempromosikan parameter ke Resource Share standar menggunakan operasi AWS RAM PromoteResourceShareCreatedFromPolicyAPI. Jika tidak, parameter tidak akan dikembalikan oleh operasi Systems Manager DescribeParametersAPI menggunakan --shared opsi.

Untuk berbagi parameter yang Anda miliki menggunakan AWS RAM konsol

Lihat Membuat berbagi sumber daya AWS RAM di Panduan AWS RAM Pengguna.

Buat pilihan berikut saat Anda menyelesaikan prosedur:

Di halaman Langkah 1, untuk Sumber DayaParameter Store Advanced Parameter, pilih, lalu pilih kotak setiap parameter di tingkat parameter lanjutan yang ingin Anda bagikan.
Di halaman Langkah 2, untuk izin Terkelola, pilih izin untuk memberikan konsumen, seperti yang dijelaskan Set izin untuk berbagi parameter nanti dalam topik ini.

Pilih opsi lain berdasarkan tujuan berbagi parameter Anda.

Untuk berbagi parameter yang Anda miliki menggunakan AWS CLI

Gunakan create-resource-shareperintah untuk menambahkan parameter ke berbagi sumber daya baru.

Gunakan associate-resource-shareperintah untuk menambahkan parameter ke pembagian sumber daya yang ada.

Contoh berikut membuat pembagian sumber daya baru untuk berbagi parameter dengan konsumen dalam suatu organisasi dan dalam akun individu.


aws ram create-resource-share \
    --name "MyParameter" \
    --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
    --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

Berhenti berbagi parameter bersama

Ketika Anda berhenti berbagi parameter bersama, akun konsumen tidak dapat lagi mengakses parameter.

Untuk berhenti berbagi parameter yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan Systems Manager konsol, AWS RAM konsol, atau AWS CLI.

Untuk berhenti berbagi parameter yang Anda miliki menggunakan AWS RAM konsol

Lihat Memperbarui bagian sumber daya AWS RAM di Panduan AWS RAM Pengguna.

Untuk berhenti berbagi parameter yang Anda miliki menggunakan AWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi parameter bersama

Pemilik dan konsumen dapat mengidentifikasi parameter bersama menggunakan AWS CLI.

Untuk mengidentifikasi parameter bersama menggunakan AWS CLI

Untuk mengidentifikasi parameter bersama menggunakan AWS CLI, Anda dapat memilih dari describe-parameters perintah Systems Manager dan AWS RAM list-resources perintah.

Saat Anda menggunakan --shared opsi dengandescribe-parameters, perintah mengembalikan parameter yang dibagikan dengan Anda.

Berikut adalah contohnya:


aws ssm describe-parameters --shared

Mengakses parameter bersama

Konsumen dapat mengakses parameter bersama menggunakan alat baris AWS perintah, dan AWS SDK. Untuk akun konsumen, parameter yang dibagikan dengan akun tersebut tidak disertakan dalam halaman Parameter saya.

Contoh CLI: Mengakses detail parameter bersama menggunakan AWS CLI

Untuk mengakses detail parameter bersama menggunakan AWS CLI, Anda dapat menggunakan get-parametersperintah get-parameteratau. Anda harus menentukan parameter penuh ARN sebagai untuk mengambil parameter dari akun lain. --name

Berikut adalah contohnya.


aws ssm get-parameter \
    --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter

Integrasi yang didukung dan tidak didukung untuk parameter bersama

Saat ini, Anda dapat menggunakan parameter bersama dalam skenario integrasi berikut:

AWS CloudFormation parameter template
AWS Parameter dan Rahasia ekstensi Lambda
Templat peluncuran Amazon Elastic Compute Cloud (EC2)
Nilai untuk ImageID dengan RunInstances perintah EC2 untuk membuat instance Amazon Machine Image dari () AMI
Mengambil nilai parameter dalam runbook untuk Otomasi, kemampuan Systems Manager

Skenario berikut dan layanan terintegrasi saat ini tidak mendukung penggunaan parameter bersama:

Parameter dalam perintah diRun Command, kemampuan Systems Manager
AWS CloudFormation referensi dinamis
Nilai-nilai variabel lingkungan di AWS CodeBuild
Nilai-nilai variabel lingkungan di AWS App Runner
Nilai rahasia di Amazon Elastic Container Service

Akun konsumen menerima akses hanya-baca ke parameter yang Anda bagikan dengan mereka. Konsumen tidak dapat memperbarui atau menghapus parameter. Konsumen tidak dapat berbagi parameter dengan akun ketiga.

Saat membuat pembagian sumber daya AWS Resource Access Manager untuk berbagi parameter, Anda dapat memilih dari dua set izin AWS terkelola untuk memberikan akses hanya-baca ini:

AWSRAMDefaultPermissionSSMParameterReadOnly: Tindakan yang diizinkan:DescribeParameters,GetParameter, GetParameters
AWSRAMPermissionSSMParameterReadOnlyWithHistory: Tindakan yang diizinkan:DescribeParameters,GetParameter,GetParameters, GetParameterHistory

Saat Anda mengikuti langkah-langkah dalam Membuat bagian sumber daya di AWS RAM Panduan AWS RAM Pengguna, pilih Parameter Store Advanced Parameters sebagai jenis sumber daya dan salah satu dari izin terkelola ini, tergantung pada apakah Anda ingin pengguna melihat riwayat parameter atau tidak.

Throughput maksimum untuk parameter bersama

Systems Manager membatasi throughput maksimum (transaksi per detik) untuk GetParameterdan GetParameters. operasi. Throughput diberlakukan pada tingkat akun individu. Oleh karena itu, setiap akun yang menggunakan parameter bersama dapat menggunakan throughput maksimum yang diizinkan tanpa terpengaruh oleh akun lain. Untuk informasi selengkapnya tentang throughput maksimum untuk parameter, lihat topik berikut:

Meningkatkan Parameter Store throughput
Kuota Layanan Systems Manager di. Referensi Umum Amazon Web

Harga untuk parameter bersama

Berbagi lintas akun hanya tersedia di tingkat parameter lanjutan. Untuk parameter lanjutan, biaya dikenakan pada harga saat ini untuk penyimpanan dan penggunaan API untuk setiap parameter lanjutan. Akun pemilik dibebankan untuk penyimpanan parameter lanjutan. Akun konsumsi apa pun yang melakukan panggilan API ke parameter lanjutan bersama dikenakan biaya untuk penggunaan parameter.

Misalnya, jika Akun A membuat parameter lanjutanMyAdvancedParameter, akun tersebut dikenakan biaya USD 0,05 per bulan untuk menyimpan parameter tersebut.

Akun A kemudian berbagi MyAdvancedParameter dengan Akun B dan Akun C. Selama sebulan, ketiga akun melakukan panggilan keMyAdvancedParameter. Tabel berikut menggambarkan biaya yang akan dikenakan untuk jumlah panggilan yang dilakukan masing-masing.

catatan

Biaya dalam tabel berikut hanya untuk ilustrasi. Untuk memverifikasi harga saat ini, lihat AWS Systems Manager Harga untuk Parameter Store.

Akun	Jumlah panggilan	Biaya
Akun A (memiliki akun)	10.000 panggilan	Penyimpanan parameter lanjutan satu bulan: USD 0,05 10.000 panggilan ke`MyAdvancedParameter`: USD 0,05 Total: USD 0,10
Akun B (akun konsumsi)	20.000 panggilan	20.000 panggilan ke`MyAdvancedParameter`: USD 0,10 Total: USD 0,10
Akun C (akun konsumsi)	30.000 panggilan	30.000 panggilan ke`MyAdvancedParameter`: USD 0,15 Total: USD 0,15

Akses lintas akun untuk ditutup Akun AWS

Jika Akun AWS yang memiliki parameter bersama ditutup, semua akun yang mengkonsumsi kehilangan akses ke parameter bersama. Jika akun pemilik dibuka kembali dalam waktu 90 hari setelah akun ditutup, akun yang dikonsumsi mendapatkan kembali akses ke parameter yang dibagikan sebelumnya. Untuk informasi selengkapnya tentang membuka kembali akun selama Periode Pasca Penutupan, lihat Mengakses akun Anda Akun AWS setelah Anda menutupnya di Panduan Referensi.AWS Account Management

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bekerja dengan versi parameter

Bekerja dengan parameter menggunakan Run Command perintah