AWS Systems Manager Parameter Store

Parameter Store, una funzionalità di AWS Systems Manager, fornisce uno storage sicuro e gerarchico per la gestione dei dati di configurazione e la gestione dei segreti. È possibile archiviare dati, ad esempio le password, le stringhe di database, ID Amazon Machine Image (AMI) e i codici di licenza, come valori dei parametri. Puoi memorizzare i valori in testo semplice o crittografati. È possibile fare riferimento ai parametri di Systems Manager negli script, nei comandi, nei documenti di SSM e nei flussi di lavoro di configurazione e automazione utilizzando il nome univoco specificato al momento della creazione del parametro. Per iniziare a utilizzare Parameter Store, apri la console di Systems Manager. Nel riquadro di navigazione, scegli Parameter Store.

Parameter Store viene integrato anche con Secrets Manager. Puoi recuperare i segreti di Secrets Manager durante l'utilizzo di altri Servizi AWS che già supportano i riferimenti ai parametri Parameter Store. Per ulteriori informazioni, consulta Riferimento ai segreti di AWS Secrets Manager mediante i parametri Parameter Store.

Nota

Per implementare i cicli di vita di rotazione delle password, utilizzare. AWS Secrets Manager Questo servizio permette di ruotare, gestire, e modificare facilmente credenziali di database, chiavi API e altri segreti in tutto il ciclo di vita tramite Secrets Manager. Per ulteriori informazioni, consulta Cos'è? AWS Secrets Manager nella Guida AWS Secrets Manager per l'utente.

Quali sono i vantaggi di Parameter Store per la mia organizzazione?

Parameter Store offre questi vantaggi:

• Uso di un servizio di gestione dei segreti in hosting, sicuro e scalabile senza server da gestire.

• Ottimizzazione dell'assetto di sicurezza grazie alla separazione dei dati dal codice.

• Archiviazione dei dati di configurazione e delle stringhe crittografate in gerarchie e monitoraggio delle versioni.

• Accesso a controllo e audit a livelli granulari.

• Memorizzazione affidabile dei parametri poiché Parameter Store è ospitato in più zone di disponibilità in un Regione AWS.

A chi è consigliato l'uso di Parameter Store?

• Qualsiasi AWS cliente che desideri disporre di un modo centralizzato per gestire i dati di configurazione.

• Sviluppatori di software che desiderano memorizzare diversi accessi e flussi di riferimento.

• Amministratori che desiderano ricevere notifiche quando i loro segreti e le password vengono modificati o meno.

Quali sono le funzionalità di Parameter Store?

• Notifica di modifica

  Puoi configurare le notifiche di modifica e richiamare operazioni automatizzate sia per i parametri che per le relative policy. Per ulteriori informazioni, consulta Impostazione di notifiche o attivazione di operazioni in base agli eventi di Parameter Store.

• Organizza i parametri

  È possibile applicare tag ai parametri singolarmente per aiutarti nell'identificazione di uno o più parametri in base ai tag che hai assegnato loro. Ad esempio, è possibile contrassegnare mediante tag i parametri per ambienti o reparti specifici. Per ulteriori informazioni, consulta Assegnazione di tag ai parametri di Systems Manager.

• Versioni etichetta

  È possibile associare un alias per le versioni del parametro creando etichette. Le etichette possono aiutarti a ricordare lo scopo di una versione del parametro in presenza di più versioni.

• Convalida dei dati

  Puoi creare parametri che puntano a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) e Parameter Store convalida questi parametri per assicurarsi che faccia riferimento al tipo di risorsa previsto, che la risorsa esista e che il cliente disponga dell'autorizzazione per utilizzare la risorsa. Ad esempio, puoi creare un parametro con ID Amazon Machine Image(AMI) come valore con tipo di dati aws:ec2:image e Parameter Store esegue un'operazione di convalida asincrona per assicurarsi che il valore del parametro soddisfi i requisiti di formattazione di un ID AMI e che il valore specificato AMI è disponibile nel tuo Account AWS.

• Segreti di riferimento

  Parameter Storeè integrato AWS Secrets Manager in modo da poter recuperare i segreti di Secrets Manager quando se ne utilizzano altri Servizi AWS che supportano già i riferimenti ai Parameter Store parametri.

• Condividi i parametri con altri account

  Facoltativamente, puoi centralizzare i dati di configurazione in un unico file Account AWS e condividere i parametri con altri account che devono accedervi.

• Accessibile da altri Servizi AWS

  Puoi utilizzare dei parametri Parameter Store con altre funzionalità di Systems Manager e Servizi AWS per il recupero di segreti e dati di configurazione da uno store centralizzato. I parametri funzionano con funzionalità di Systems Manager come Run Command Automation eState Manager, capabilities of AWS Systems Manager. È inoltre possibile fare riferimento ai parametri in molti altri Servizi AWS, tra cui:

  • Amazon Elastic Compute Cloud (Amazon EC2)

  • Amazon Elastic Container Service (Amazon ECS)

  • AWS Secrets Manager

  • AWS Lambda

  • AWS CloudFormation

  • AWS CodeBuild

  • AWS CodePipeline

  • AWS CodeDeploy

• Integrazione con altri Servizi AWS

  Configura l'integrazione con quanto segue Servizi AWS per la crittografia, la notifica, il monitoraggio e il controllo:

  • AWS Key Management Service (AWS KMS)

  • Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))

  • Amazon CloudWatch: per ulteriori informazioni, consultaConfigurazione delle EventBridge regole per i parametri e le politiche relative ai parametri.

  • Amazon EventBridge: per ulteriori informazioni, consulta Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS eRiferimento: modelli e tipi di eventi Amazon EventBridge per Systems Manager.

  • AWS CloudTrail: per ulteriori informazioni, consulta Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail.

Che cos'è un parametro?

Un parametro Parameter Store è qualsiasi elemento di dati salvato in Parameter Store, ad esempio un blocco di testo, un elenco di nomi, una password, un ID AMI, un codice di licenza e così via. È possibile fare riferimento a questi dati in modo centralizzato e sicuro negli script, nei comandi e nei documenti di SSM.

Quando fai riferimento a un parametro, devi specificarne il nome utilizzando la convenzione seguente.

{{ssm:parameter-name}}

Nota

I parametri non possono essere referenziati o nidificati nei valori di altri parametri. Non è possibile includere {{}} o {{ssm:parameter-name}} in un valore di parametro.

Parameter Store fornisce il supporto per tre tipi di parametri. String, StringList e SecureString.

Con un'eccezione, quando si crea o si aggiorna un parametro, si immette il valore del parametro come testo normale e Parameter Store non esegue alcuna convalida sul testo immesso. Per i parametri String, tuttavia, è possibile specificare il tipo di dati come aws:ec2:image e Parameter Store convalida che il valore immesso sia nel formato corretto per un'AMI Amazon EC2, ad esempio: ami-12345abcdeEXAMPLE.

Tipo di parametro: String

Per impostazione predefinita, i parametri String sono costituiti da qualsiasi blocco di testo immesso. Per esempio:

• abc123

• Example Corp

• <img src="images/bannerImage1.png"/>

Tipo di parametro: StringList

I parametri StringList contengono un elenco di valori separati da virgole, come illustrato nell'esempio seguente.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

Tipo di parametro: SecureString

Un parametro SecureString è costituito da dati sensibili che devono essere archiviati e a cui è necessario fare riferimento in modo sicuro. Se hai dati che non vuoi che altri utenti modifichino o utilizzino in testo non criptato, ad esempio password o chiavi di licenza, crea questi parametri utilizzando il tipo di dati SecureString.

Importante

Non memorizzare dati sensibili in un parametro String o StringList. Per tutti i dati sensibili che devono rimanere crittografati, utilizzare solo il tipo di parametro SecureString.

Per ulteriori informazioni, consulta Creazione di un parametro SecureString (AWS CLI).

Ti consigliamo di utilizzare i parametri SecureString per gli scenari seguenti:

• Desiderate utilizzare dati/parametri Servizi AWS senza esporre i valori come testo semplice in comandi, funzioni, registri degli agenti o registri. CloudTrail

• Vuoi controllare chi ha accesso ai dati sensibili.

• Vuoi avere il controllo degli accessi ai dati sensibili (CloudTrail).

• Vuoi criptare i dati sensibili e utilizzare le chiavi di crittografia personalizzate per gestire l'accesso.

Importante

Solo il valore di un parametro SecureString viene crittografato. I nomi dei parametri, le descrizioni e altre proprietà non sono crittografati.

È possibile utilizzare il tipo di SecureString parametro per i dati testuali che si desidera crittografare, come password, segreti delle applicazioni, dati di configurazione riservati o qualsiasi altro tipo di dati che si desidera proteggere. SecureStringi dati vengono crittografati e decrittografati utilizzando una chiave. AWS KMS È possibile utilizzare una chiave KMS predefinita fornita da AWS o crearne e utilizzarne una propria. AWS KMS key (Utilizza AWS KMS key se desideri limitare l'accesso degli utenti ai parametri SecureString. Per ulteriori informazioni, consulta Autorizzazioni IAM per l'utilizzo di chiavi predefinite AWS e chiavi gestite dal cliente.)

Puoi anche usare SecureString i parametri con altri Servizi AWS. Nell'esempio seguente, la funzione Lambda recupera un SecureString parametro utilizzando l'API. GetParameters

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value

AWS KMS crittografia e prezzi

Se si sceglie il tipo di SecureString parametro quando si crea il parametro, Systems Manager lo utilizza AWS KMS per crittografare il valore del parametro.

Importante

Parameter Store supporta solo Chiavi KMS simmetriche. Non puoi utilizzare una chiave KMS asimmetrica per crittografare i parametri. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta Identificazione di chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service

Non è previsto alcun addebito Parameter Store per la creazione di un SecureString parametro, ma si applicano i costi per l'uso della AWS KMS crittografia. Per informazioni, consulta Prezzi di AWS Key Management Service.

Per ulteriori informazioni sulle chiavi Chiavi gestite da AWS gestite dai clienti, consulta AWS Key Management Service Concepts nella AWS Key Management Service Developer Guide. Per ulteriori informazioni sulla Parameter Store AWS KMS crittografia, vedere Modalità di AWS Systems ManagerParameter Store utilizzo AWS KMS.

Nota

Per visualizzare un Chiave gestita da AWS, utilizzare l' AWS KMS DescribeKeyoperazione. Questo esempio AWS Command Line Interface (AWS CLI) utilizza DescribeKey per visualizzare e Chiave gestita da AWS.

aws kms describe-key --key-id alias/aws/ssm

Ulteriori informazioni

• Creare un parametro SecureString e aggiungere nodo a un dominio (PowerShell)

• Uso di Parameter Store per l'accesso sicuro a segreti e dati di configurazione in CodeDeploy

• Articoli interessanti su Amazon EC2 Systems Manager Parameter Store