AWS Systems Manager Parameter Store - AWS Systems Manager
Como o Parameter Store beneficia minha organização? Quem deve usar o Parameter Store? Quais são os recursos do Parameter Store?O que é um parâmetro?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Systems Manager Parameter Store

Parameter Store, um recurso doAWS Systems ManagerO da oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados, como senhas, strings de banco de dados,Amazon Machine Image(AMI) IDs e códigos de licença como valores de parâmetro. Você pode armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro.

Parameter StoreO também está integrado com o Secrets Manager. Você pode recuperar Secrets Manager Segredos ao usar outrosAWSserviços que já suportam referências aParameter Storeparâmetros. Para obter mais informações, consulte Fazer referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store.

nota

Para implementar ciclos de vida de rotação de senha, useAWS Secrets Manager. É possível alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida usando o Secrets Manager. Para obter mais informações, consulte O que é o AWS Secrets Manager? no Manual do usuário do AWS Secrets Manager.

Como o Parameter Store beneficia minha organização?

O Parameter Store oferece estes benefícios:

  • Use um serviço de gerenciamento escalável de segredos hospedados sem servidores para gerenciar.

  • Melhora sua postura de segurança, separando dados e código.

  • Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.

  • Controla e audita o acesso em níveis específicos.

  • Armazenar parâmetros de forma confiável porqueParameter StoreO é hospedado em várias zonas de disponibilidade em um Região da AWS .

Quem deve usar o Parameter Store?

  • QuaisquerAWSque deseja ter uma maneira centralizada de gerenciar dados de configuração.

  • Desenvolvedores de software que desejam armazenar logins diferentes e fluxos de referência.

  • Administradores que desejam receber notificações quando seus segredos e senhas são ou não alterados.

Quais são os recursos do Parameter Store?

  • Notificação de alterações

    É possível configurar notificações de alteração e invocar ações automatizadas para ambos os parâmetros e políticas de parâmetro. Para obter mais informações, consulte Configurar notificações ou acionar ações com base nos eventos do Parameter Store.

  • Organizar e controlar o acesso

    É possível atribuir uma tag aos parâmetros individualmente para ajudá-lo a identificar um ou mais parâmetros de acordo com as tags que tiver atribuído a eles. Por exemplo, é possível marcar parâmetros para ambientes, departamentos, usuários, grupos ou períodos específicos. Também é possível restringir o acesso aos parâmetros criando umAWS Identity and Access Management(IAM) que especifica as tags que um usuário ou grupo pode acessar. Para obter mais informações, consulte Marcar parâmetros do Systems Manager.

  • Versões do rótulo

    Você pode associar um alias para versões do seu parâmetro criando rótulos. Os rótulos podem ajudar você a lembrar-se do objetivo de uma versão de parâmetro quando houver várias versões.

  • Validação de dados

    Você pode criar parâmetros que apontam para uma instância do Amazon Elastic Compute Cloud (Amazon EC2) eParameter Storevalida esses parâmetros para certificar-se de que ele faz referência ao tipo de recurso esperado, que o recurso existe e que o cliente tem permissão para usar o recurso. Por exemplo, você pode criar um parâmetro com oAmazon Machine Image(AMI) ID como um valor comaws:ec2:imageTipo de dados, eParameter StoreExecute uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para umAMIID, e que oAMIestá disponível em seu Conta da AWS .

  • Secretos de referência

    Parameter StoreO é integrado aoAWS Secrets Managerpara que você possa recuperar Secrets Manager de Segredos ao usar outrosAWSserviços que já suportam referências aParameter Storeparâmetros.

  • Acessível a partir doAWSServiços da

    Você pode usar oParameter Storecom outros recursos do Systems Manager eAWSPara recuperar segredos e dados de configuração de um armazenamento central. Os parâmetros funcionam com recursos do Systems Manager, comoRun Command, Automação eState Manager, recursos doAWS Systems Manager. Você também pode fazer referência a parâmetros em vários outros serviços da AWS, incluindo os seguintes:

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integre com outrosAWSServiços da

    Configure a integração com os seguintes serviços da AWS para criptografia, notificação, monitoramento e auditoria:

O que é um parâmetro?

AParameter Storeé qualquer pedaço de dados que é salvo noParameter Store, como um bloco de texto, uma lista de nomes, uma senha, umAMIID, uma chave de licença, e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.

Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.

{{ssm:parameter-name}}

nota

Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir{{}}ou{{ssm:parameter-name}}Em um valor de parâmetro.

O Parameter Store fornece suporte a três tipos de parâmetros: String, StringList e SecureString.

Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro como texto sem formatação e oParameter Storenão executa nenhuma validação no texto inserido. para oStringNo entanto, é possível especificar o tipo de dados comoaws:ec2:image, eParameter Storevalida que o valor inserido é o formato adequado para um Amazon EC2AMI; por exemplo:ami-12345abcdeEXAMPLE.

String

Por padrão, os parâmetros String consistem em qualquer bloco de texto inserido. Por exemplo:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

Os parâmetros StringList contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Um parâmetro SecureString representa quaisquer dados confidenciais que precisem ser armazenados e referenciados com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando oSecureStringTipo de dados.

Importante

Não armazene dados confidenciais em umStringouStringListparâmetro . Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro SecureString.

Para obter mais informações, consulte Criar um parâmetro SecureString (AWS CLI).

Recomendamos usarSecureStringParâmetros para os seguintes cenários:

  • Você deseja usar dados/parâmetros emAWSServiços sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do CloudTrail.

  • Você deseja controlar quem tem acesso a dados confidenciais.

  • Você deseja auditar quando dados confidenciais são acessados (CloudTrail).

  • Você deseja criptografia seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.

Importante

Somente o valor de um parâmetro SecureString é criptografado. Nomes de parâmetros, descrições e outras propriedades não são criptografados.

Você pode usar oSecureStringPara dados textuais que você deseja criptografar, como senhas, segredos de aplicativos, dados de configuração confidenciais ou outros tipos de dados que você deseja proteger.SecureStringOs dados são criptografados e descriptografados usando umaAWS KMSchave. Você pode usar uma chave KMS padrão fornecida peloAWSOu crie e use o seu próprioAWS KMS key. (Use o seu próprioAWS KMS keyse você quiser restringir o acesso do usuário aoSecureStringparâmetros. Para obter mais informações, consultePermissões do IAM para usarAWSChaves padrão e chaves gerenciadas pelo cliente.)

Você também pode usar parâmetros de SecureString com outros serviços da AWS. No exemplo a seguir, a função do Lambda recupera umSecureStringParâmetro usando aGetParametersAPI. 

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value

Criptografia de definição de preço do AWS KMS

Se escolher aSecureStringquando você cria seu parâmetro, o Systems Manager usaAWS KMSPara criptografar o valor do parâmetro.

Importante

Parameter Storeoferece suporte somente aChaves simétricas do KMS. Não é possível usar umChave KMS assimétricaPara criptografar os parâmetros. Para obter ajuda para determinar se uma chave KMS é simétrica ou assimétrica, consulteIdentificar chaves simétricas e assimétricasnoAWS Key Management ServiceGuia do desenvolvedor

Não há cobrança do Parameter Store para criar um parâmetro SecureString, mas as cobranças pelo uso da criptografia do AWS KMS são aplicáveis. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

Para obter mais informações sobreAWSchaves gerenciadas e gerenciadas pelo cliente, consulteAWS Key Management ServiceConceitosnoAWS Key Management ServiceGuia do desenvolvedor. Para obter mais informações sobre a criptografia do Parameter Store e do AWS KMS, consulte Como o AWS Systems Manager usa o Parameter StoreAWS KMS.

nota

Para visualizar um Chave gerenciada pela AWS , use oAWS KMS DescribeKeyoperação. EsseAWS Command Line Interface(AWS CLI) o exemplo usaDescribeKeyComo visualizar e Chave gerenciada pela AWS . 

aws kms describe-key --key-id alias/aws/ssm

Tópicos relacionados

Para obter um exemplo de como criar e usar um parâmetro SecureString, consulte Criar um parâmetro SecureString e ingressar uma instância em um domínio (PowerShell). Para obter mais informações sobre como usar parâmetros do Systems Manager com outrosAWSConsulte as seguintes postagens no blog: