AWS Systems Manager Parameter Store - AWS Systems Manager
Como o Parameter Store beneficia minha organização? Quem deve usar o Parameter Store? Quais são os recursos do Parameter Store?O que é um parâmetro?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Systems Manager Parameter Store

Parameter Store, uma capacidade deAWS Systems ManagerO do oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados, como senhas, strings de banco de dados,Amazon Machine Image(AMI) IDs e códigos de licença como valores de parâmetro. Você pode armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro.

Parameter Store também está integrado ao Secrets Manager. Você pode recuperar Secrets Manager Segredos ao usar outrosAWSServiços que já oferecem suporte a referências a parâmetros do repositório de parâmetros. Para obter mais informações, consulte Referenciar oAWS Secrets Managersegredos dos parâmetros do Armazenamento de Parâmetros.

nota

Para implementar ciclos de vida de rotação de senha, useAWS Secrets Manager. É possível alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida usando o Secrets Manager. Para obter mais informações, consulte O que é o AWS Secrets Manager? no Guia do usuário do AWS Secrets Manager.

Como o Parameter Store beneficia minha organização?

O Parameter Store oferece estes benefícios:

  • Use um serviço de gerenciamento escalável de segredos hospedados sem servidores para gerenciar.

  • Melhora sua postura de segurança, separando dados e código.

  • Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.

  • Controla e audita o acesso em níveis específicos.

Quem deve usar o Parameter Store?

  • QuaisquerAWSque deseja ter uma maneira centralizada de gerenciar dados de configuração.

  • Desenvolvedores de software que desejam armazenar logins diferentes e fluxos de referência.

  • Administradores que desejam receber notificações quando seus segredos e senhas são ou não alterados.

Quais são os recursos do Parameter Store?

  • Notificação de alterações

    É possível configurar notificações de alteração e invocar ações automatizadas para ambos os parâmetros e políticas de parâmetro. Para obter mais informações, consulte Configurar notificações ou acionar ações com base nos eventos do repositório de parâmetros.

  • Organizar e controlar o acesso

    É possível atribuir uma tag aos parâmetros individualmente para ajudar você a identificar um ou mais parâmetros de acordo com as tags que tiver atribuído a eles. Por exemplo, é possível marcar parâmetros para ambientes, departamentos, usuários, grupos ou períodos específicos. Você também pode restringir o acesso aos parâmetros criando umaAWS Identity and Access Management(IAM) que especifica as tags que um usuário ou grupo pode acessar. Para obter mais informações, consulte Marcando parâmetros do Systems Manager.

  • Versões do rótulo

    Você pode associar um alias para versões do seu parâmetro criando rótulos. Os rótulos podem ajudar você a lembrar-se do objetivo de uma versão de parâmetro quando houver várias versões.

  • Validação de dados

    Você pode criar parâmetros que apontam para uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e o Parameter Store valida esses parâmetros para garantir que ele faça referência ao tipo de recurso esperado, que o recurso existe e que o cliente tenha permissão para usar o recurso. Por exemplo, você pode criar um parâmetro comAmazon Machine Image(AMI) como um valor com o tipo de dados aws:ec2:image, e o repositório de parâmetros executa uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para umAMIID, e que o especificadoAMIestá disponível no seu Conta da AWS .

  • Secretos de referência

    O Parameter Store é integrado aoAWS Secrets Managerpara que você possa recuperar Secrets Manager de Segredos ao usar outrosAWSServiços que já oferecem suporte a referências a parâmetros do repositório de parâmetros.

  • Acessível a partir doAWSServiços do

    Você pode usar parâmetros do Parameter Store com outros recursos do Systems Manager eAWSPara recuperar segredos e dados de configuração a partir de um armazenamento central. Parâmetros funcionam com recursos do Systems Manager, como o Run Command, a Automação e o State Manager, recursos doAWS Systems Manager. Você também pode fazer referência a parâmetros em vários outros serviços da AWS, incluindo os seguintes:

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integrar o com outrosAWSServiços do

    Configure a integração com os seguintes serviços da AWS para criptografia, notificação, monitoramento e auditoria:

O que é um parâmetro?

Um parâmetro do repositório de parâmetros do é qualquer parte de dados que é salva no repositório de parâmetros, como um bloco de texto, uma lista de nomes, uma senha, umAMIID, uma chave de licença, e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.

Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.

{{ssm:parameter-name}}

nota

Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir{{}}ou{{ssm:parameter-name}}em um valor de parâmetro.

Parameter Store fornece suporte a três tipos de parâmetros:String,StringList, eSecureString.

Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro como texto sem formatação, e o repositório de parâmetros não executa nenhuma validação no texto inserido. para oStringOs parâmetros do, no entanto, você pode especificar o tipo de dados comoaws:ec2:imageO Parameter Store valida se o valor inserido é o formato adequado para um Amazon EC2AMI; por exemplo:ami-12345abcdeEXAMPLE.

String

Por padrão, os parâmetros String consistem em qualquer bloco de texto inserido. Por exemplo:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

Os parâmetros StringList contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Um parâmetro SecureString representa quaisquer dados confidenciais que precisem ser armazenados e referenciados com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando aSecureStringTipo de dados.

Importante

Não armazene dados confidenciais em umStringouStringListparâmetro . Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro SecureString.

Para obter mais informações, consulte Criar um parâmetro SecureString (AWS CLI).

Recomendamos usarSecureStringParâmetros para os seguintes cenários:

  • Você deseja usar dados/parâmetros emAWSServiços do sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do CloudTrail.

  • Você deseja controlar quem tem acesso a dados confidenciais.

  • Você deseja poder auditar quando dados confidenciais são acessados (CloudTrail).

  • Você deseja criptografia seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.

Importante

Somente o valor de um parâmetro SecureString é criptografado. Nomes de parâmetros, descrições e outras propriedades não são criptografados.

Você pode usar o comandoSecureStringPara dados textuais que você deseja criptografar, como senhas, segredos de aplicativos, dados de configuração confidenciais ou outros tipos de dados que você deseja proteger.SecureStringOs dados são criptografados e descriptografados usando umAWS KMSchave. Você pode usar uma chave KMS padrão fornecida peloAWSOu crie e use seu próprioAWS KMS key. (Use seu próprioAWS KMS keyse você quiser restringir o acesso do usuário aoSecureStringParâmetros. Para obter mais informações, consultePermissões do IAM para usarAWSChaves padrão e chaves gerenciadas pelo cliente.)

Você também pode usar parâmetros de SecureString com outros serviços da AWS. No exemplo a seguir, a função do Lambda recupera umSecureStringUsar aGetParametersAPI DO. 

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
 def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value

Criptografia de definição de preço do AWS KMS

Se escolher oSecureStringquando você cria seu parâmetro, o Systems Manager usaAWS KMSPara criptografar o valor do parâmetro.

Importante

O repositório de parâmetros doChaves simétricas do KMS. Não é possível usar umKMS assimétricaPara criptografar os parâmetros. Para obter ajuda para determinar se uma chave KMS é simétrica ou assimétrica, consulteIdentificar chaves KMS simétricas e assimétricasnoAWS Key Management ServiceGuia do desenvolvedor

Não há cobrança do Parameter Store para criar umSecureStringparâmetro, mas encargos para o uso deAWS KMSa criptografia se aplica. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

Para obter mais informações sobreAWSchaves gerenciadas e gerenciadas pelo cliente, consulteAWS Key Management ServiceConceitosnoAWS Key Management ServiceGuia do desenvolvedor. Para obter mais informações sobre o Parameter Store eAWS KMScriptografia, consulteComoAWS Systems ManagerUsos do repositório doAWS KMS.

nota

Como visualizar umAWS, use a chave gerenciadaAWS KMS DescribeKeyoperação. EsseAWS Command Line Interface(AWS CLI) usaDescribeKeyPara visualizar eAWSChave gerenciada da 

aws kms describe-key --key-id alias/aws/ssm

Tópicos relacionados

Para obter um exemplo de como criar e usar um parâmetro SecureString, consulte Criar um parâmetro SecureString e ingressar uma instância em um domínio (PowerShell). Para obter mais informações sobre como usar parâmetros do Systems Manager com outrasAWSConsulte as seguintes postagens no blog: