As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Systems Manager Parameter Store
O AWS Systems Manager do Parameter Store oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados como senhas, strings de banco de dados, imagem de máquina da Amazon (AMI) e códigos IDsde licença como valores de parâmetro. Você pode armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro.
Para implementar ciclos de vida de alternância de senha, use o AWS Secrets Manager. O Secrets Manager permite alternar, gerenciar e recuperar facilmente credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida. Para obter mais informações, consulte O que é o AWS Secrets Manager? no Guia do usuário do AWS Secrets Manager.
Como o Parameter Store beneficia minha organização?
Parameter StoreO oferece estes benefícios:
-
Você pode usar um serviço de gerenciamento seguro, escalável e hospedado de segredos sem servidores para gerenciar.
-
Melhora sua postura de segurança, separando dados e código.
-
Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.
-
Controla e audita o acesso em níveis específicos.
Quem deve usar o Parameter Store?
-
Qualquer cliente da AWS que deseja ter uma maneira centralizada de gerenciar os dados de configuração.
-
Desenvolvedores de software que desejam armazenar facilmente diferentes logins e fluxos de referência.
-
Administradores que desejam ser notificados quando as alterações foram ou não feitas em segredos e senhas.
Quais são os recursos do Parameter Store?
-
Notificação de alterações
Você pode configurar notificações de alteração e acionar ações automatizadas para parâmetros e políticas de parâmetros. Para obter mais informações, consulte Configurar notificações ou acionar ações com base nos eventos do Parameter Store.
-
Organizar e controlar o acesso
Você pode marcar seus parâmetros individualmente para ajudá-lo a identificar rapidamente um ou mais parâmetros com base nas tags que você atribuiu a eles. Por exemplo, é possível marcar parâmetros para ambientes, departamentos, usuários, grupos ou períodos específicos. Também é possível restringir o acesso aos documentos criando uma política do IAM que especifique as tags que um usuário ou grupo pode acessar. Para obter mais informações, consulte Marcar parâmetros do Systems Manager.
-
Versões de rótulo
Você pode associar um alias para versões do seu parâmetro criando rótulos. Os rótulos podem ajudar você a lembrar a finalidade de uma versão de parâmetro quando há várias versões.
-
Validação de dados
Você pode criar parâmetros que apontam para uma Amazon EC2 instância do e o Parameter Store validará esses parâmetros para garantir que eles façam referência ao tipo de recurso esperado, que o recurso exista e que o cliente tenha permissão para usar o recurso. Por exemplo, você pode criar um parâmetro com o ID da imagem de máquina da Amazon (AMI) como um valor com o tipo de dados ec2 e Parameter Store executar uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para um ID de AMI e que a AMI especificada esteja disponível em sua AWS conta.
-
Fazer referência a segredos do
Parameter Store O é integrado ao AWS Secrets Manager para que você possa recuperar segredos do Secrets Manager ao usar outros AWS serviços da que já oferecem suporte a referências a Parameter Store parâmetros do .
-
Acessível de outros AWS serviços
Você pode usar Parameter Store parâmetros com outros Systems Manager recursos e AWS serviços do para recuperar segredos e dados de configuração de um armazenamento central. Parâmetros funcionam com recursos do Systems Manager, como o Executar comando, o State Manager e a Automação. Você também pode fazer referência a parâmetros em vários outros serviços da AWS, incluindo os seguintes:
-
Amazon Elastic Compute Cloud (Amazon EC2)
-
Amazon Elastic Container Service (Amazon ECS)
-
AWS Secrets Manager
-
AWS Lambda
-
AWS CloudFormation
-
AWS CodeBuild
-
AWS CodePipeline
-
AWS CodeDeploy
-
-
Integrar o a outros AWS serviços da
Configure a integração com os seguintes serviços da AWS para criptografia, notificação, monitoramento e auditoria:
-
AWS Key Management Service (AWS KMS)
-
Amazon Simple Notification Service (Amazon SNS)
-
Amazon CloudWatch: para obter mais informações, consulte Configurar o EventBridge para parâmetros.
-
Amazon EventBridge: para obter mais informações, consulte Monitorar as alterações de status do Systems Manager usando notificações do Amazon SNS e Referência: padrões e tipos de Amazon EventBridge evento do para o Systems Manager.
-
AWS CloudTrail: para obter mais informações, consulte Registrar chamadas de AWS Systems Manager API do com o AWS CloudTrail.
-
O que é um parâmetro?
Um parâmetro do Parameter Store é qualquer parte de dados que é salva no Parameter Store, como um bloco de texto, uma lista de nomes, uma senha, um ID de imagem de máquina da Amazon (AMI), uma chave de licença e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.
Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.
{{ssm:
}}
parameter-name
Os parâmetros não podem ser referenciados nem aninhados nos valores de outros parâmetros.
Não é possível incluir {{}}
nem {{ssm:
em um valor de parâmetro.
parameter-name
}}
O Parameter Store fornece suporte a três tipos de parâmetros: String
, StringList
e SecureString
.
Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro
como texto simples e o não Parameter Store executa nenhuma validação no texto inserido.
No entanto, para parâmetros String
, você pode especificar o tipo de dados como aws:ec2:image
, e o Parameter Store valida se o valor inserido é o formato adequado para uma AMI
do Amazon EC2; por exemplo: ami-12345abcdeEXAMPLE
.
- String
-
Por padrão, os parâmetros
String
consistem em qualquer bloco de texto inserido. Por exemplo:-
abc123
-
Example Corp
-
<img src="images/bannerImage1.png"/>
-
- StringList
-
StringList
Os parâmetros contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.Monday,Wednesday,Friday
CSV,TSV,CLF,ELF,JSON
- SecureString
-
Um parâmetro
SecureString
representa quaisquer dados confidenciais que precisem ser armazenados e referenciados com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dadosSecureString
Importante Não armazene dados confidenciais em um parâmetro
String
ouStringList
. Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetroSecureString
.Para obter mais informações, consulte Criar um SecureString parâmetro (AWS CLI).
Recomendamos o uso de
SecureString
parâmetros para os seguintes cenários:-
Você deseja usar dados/parâmetros em todos os serviços da AWS sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do AWS CloudTrail
-
Você deseja controlar quem tem acesso a dados confidenciais.
-
Você deseja poder auditar quando dados confidenciais são acessados (AWS CloudTrail).
-
Você deseja criptografar seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.
Importante Somente o valor de um parâmetro
SecureString
é criptografado. Nomes de parâmetro, descrições e outras propriedades não são criptografados.O tipo de
SecureString
parâmetro pode ser usado para dados textuais que você deseja criptografar, como senhas, segredos de aplicativos, dados de configuração confidenciais ou outros tipos de dados que você precisa proteger.SecureString
Os dados do são criptografados e descriptografados usando uma chave do AWS Key Management Service (KMS). Você pode usar uma chave KMS padrão fornecida pelo AWS ou criar e usar sua própria chave mestra de cliente (CMK). (Use sua própria CMK se precisar restringir o acesso do usuário aosSecureString
parâmetros do . Para obter mais informações, consulte Permissões do IAM para usar chaves padrão da AWS e chaves gerenciadas pelo cliente.)Você também pode usar parâmetros de
SecureString
com outros serviços da AWS No exemplo a seguir, a AWS Lambda função recupera umSecureString
parâmetro usando a GetParameters API .from __future__ import print_function import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value
nota Parameter StoreO também está integrado ao AWS Secrets Manager. Você pode recuperar Secrets Manager segredos ao usar outros AWS serviços da que já oferecem suporte a referências a Parameter Store parâmetros do . Para obter mais informações, consulte Fazer referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store neste guia.
AWS KMSCriptografia de definição de preço do
Se você escolher o tipo de
SecureString
parâmetro ao criar seu parâmetro, o Systems Manager usará o AWS Key Management Service (KMS) para criptografar o valor do parâmetro.Não há cobrança do Parameter Store para criar um parâmetro
SecureString
, mas as cobranças pelo uso da criptografia do AWS Key Management Service são aplicáveis. Para obter mais informações, consulte Definição de preço do AWS Key Management Service. Para obter mais informações sobre AWS gerenciadas pela e gerenciadas pelo CMKscliente, consulte AWS Key Management Service Conceitos do no AWS Key Management Service Developer Guide. Para obter mais informações sobre a criptografia do Parameter Store e do KMS, consulte Como o AWS Systems Manager usa o Parameter StoreAWS KMS.
nota Para visualizar uma CMK AWS gerenciada pela , use a AWS KMS
DescribeKey
operação . Este AWS CLI exemplo usaDescribeKey
o para visualizar a CMK AWSgerenciada pela .aws kms describe-key --key-id alias/aws/ssm
Tópicos relacionados
Para obter um exemplo de como criar e usar um parâmetro
SecureString
, consulte Criar um SecureString parâmetro e ingressar uma instância em um domínio (PowerShell). Para obter mais informações sobre como usar Systems Manager parâmetros do com outros AWS serviços da , consulte as seguintes postagens de blog: -