AWS Systems Manager Parameter Store - AWS Systems Manager
Como o Parameter Store beneficia minha organização? Quem deve usar o Parameter Store? Quais são os recursos do Parameter Store? O que é um parâmetro?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Systems Manager Parameter Store

O Parameter Store do AWS Systems Manager oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. É possível armazenar dados como senhas, strings de banco de dados, imagem de máquina da Amazon (AMI) IDs e códigos de licença como valores de parâmetro. Você pode armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro.

nota

Para implementar ciclos de vida de alternância de senha, use o AWS Secrets Manager. O Secrets Manager permite alternar, gerenciar e recuperar facilmente credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida. Para obter mais informações, consulte O que é o AWS Secrets Manager? no Guia do usuário do AWS Secrets Manager.

Como o Parameter Store beneficia minha organização?

O Parameter Store oferece estes benefícios:

  • Você pode usar um serviço de gerenciamento de segredos hospedados seguro, escalável e sem servidores para gerenciar.

  • Melhora sua postura de segurança, separando dados e código.

  • Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.

  • Controla e audita o acesso em níveis específicos.

Quem deve usar o Parameter Store?

  • qualquer cliente da AWS que deseja ter uma maneira centralizada de gerenciar dados de configuração.

  • Desenvolvedores de software que desejam armazenar facilmente diferentes logins e fluxos de referência.

  • Administradores que desejam ser notificados quando as alterações foram ou não feitas em segredos e senhas.

Quais são os recursos do Parameter Store?

  • Notificação de alterações

    Você pode configurar notificações de alteração e acionar ações automatizadas para ambos os parâmetros e políticas de parâmetros. Para obter mais informações, consulte Configurar notificações ou acionar ações com base nos eventos do Parameter Store.

  • Organizar e controlar o acesso

    É possível marcar seus parâmetros individualmente para ajudá-lo a identificar rapidamente um ou mais parâmetros com base nas tags que você atribuiu a eles. Por exemplo, é possível marcar parâmetros para ambientes, departamentos, usuários, grupos ou períodos específicos. Também é possível restringir o acesso aos documentos criando uma política do IAM que especifique as tags que um usuário ou grupo pode acessar. Para obter mais informações, consulte Marcar parâmetros do Systems Manager.

  • Versões de rótulo

    Você pode associar um alias para versões do parâmetro criando rótulos. Os rótulos podem ajudá-lo a lembrar-se do objetivo de uma versão de parâmetro quando houver várias versões.

  • Validação de dados

    Você pode criar parâmetros que apontam para uma instância do Amazon EC2 e o Parameter Store validará esses parâmetros para garantir que eles façam referência ao tipo de recurso esperado, que o recurso existe e que o cliente tem permissão para usar o recurso. Por exemplo, você pode criar um parâmetro com o ID da imagem de máquina da Amazon (AMI) como um valor com o tipo de dados aws:ec2:image, e o Parameter Store executa uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para um ID de AMI e que a AMI especificada esteja disponível na sua conta da AWS.

  • Fazer referência a segredos

    O Parameter Store AWS Secrets Manager é integrado ao AWS para que você possa recuperar segredos do Secrets Manager ao usar outros serviços da Parameter Store que já oferecem suporte a referências a parâmetros do .

  • Acessível de outros serviços daAWS

    Você pode usar parâmetros do Parameter Store com outros recursos do Systems Manager e serviços da AWS para recuperar segredos e dados de configuração de um armazenamento central. Parâmetros funcionam com recursos do Systems Manager, como o Executar comando, o State Manager e a Automação. Você também pode fazer referência a parâmetros em vários outros serviços da AWS, incluindo os seguintes:

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integrar a outros serviços daAWS

    Configure a integração com os seguintes serviços da AWS para criptografia, notificação, monitoramento e auditoria:

O que é um parâmetro?

Um parâmetro do Parameter Store é qualquer parte de dados que é salva no Parameter Store, como um bloco de texto, uma lista de nomes, uma senha, um ID de imagem de máquina da Amazon (AMI), uma chave de licença e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.

Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.

{{ssm:parameter-name}}

nota

Os parâmetros não podem ser referenciados nem aninhados nos valores de outros parâmetros. Não é possível incluir {{}} nem {{ssm:parameter-name}} em um valor de parâmetro.

O Parameter Store oferece suporte a três tipos de parâmetros: String , StringList e SecureString.

Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro como texto simples, e o Parameter Store não executa nenhuma validação no texto inserido. Porém, para parâmetros do String, você pode especificar o tipo de dados como aws:ec2:image, e o Parameter Store valida se o valor inserido é o formato apropriado para uma AMI do Amazon EC2; por exemplo: ami-12345abcdeEXAMPLE:

String

Por padrão, os parâmetros String consistem em qualquer bloco de texto inserido. Por exemplo:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

Os parâmetros StringList contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Um parâmetro SecureString representa quaisquer dados confidenciais que precisem ser armazenados e referenciados com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados SecureString.

Importante

Não armazene dados confidenciais em um parâmetro String ou StringList. Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro SecureString.

Para obter mais informações, consulte Criar um parâmetro SecureString (AWS CLI).

É recomendável usar parâmetros SecureString nos seguintes cenários:

  • Você deseja usar dados/parâmetros em todos os serviços da AWS sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do AWS CloudTrail.

  • Você deseja controlar quem tem acesso a dados confidenciais.

  • Você deseja poder auditar quando dados confidenciais são acessados (AWS CloudTrail).

  • Você deseja criptografar seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.

Importante

Somente o valor de um parâmetro SecureString é criptografado. Nomes de parâmetro, descrições e outras propriedades não são criptografados.

O tipo de parâmetro SecureString pode ser usado para dados textuais que você deseja criptografar, como senhas, segredos de aplicativos, dados de configuração confidenciais ou qualquer outro tipo de dado que você precisa proteger. Os dados do SecureString são criptografados e descriptografados usando uma chave do AWS Key Management Service (KMS). Você pode usar uma chave KMS padrão fornecida pelo AWS ou criar e usar sua própria chave mestra de cliente (CMK). (Use sua própria CMK se precisar restringir o acesso do usuário aos parâmetros SecureString. Para obter mais informações, consulte Permissões do IAM para usar chaves padrão da AWS e chaves gerenciadas pelo cliente.)

Você também pode usar parâmetros de SecureString com outros serviços da AWS. No exemplo a seguir, a função AWS Lambda recupera um parâmetro SecureString usando a API GetParameters. 

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
 def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
nota

O Parameter Store também está integrado ao AWS Secrets Manager. É possível recuperar segredos do Secrets Manager ao usar outros serviços da AWS que já oferecem suporte a referências a parâmetros do Parameter Store. Para obter mais informações, consulte Fazer referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store neste guia.

Criptografia de definição de preço do AWS KMS

Se você escolher o tipo de parâmetro SecureString ao criar o parâmetro, o Systems Manager usará o AWS Key Management Service (KMS) para criptografar o valor desse parâmetro.

Não há cobrança do Parameter Store para criar um parâmetro SecureString, mas as cobranças pelo uso da criptografia do AWS Key Management Service são aplicáveis. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

Para obter mais informações sobre o AWS gerenciado pelo CMKs e o gerenciado pelo cliente, consulte AWS Key Management ServiceConceitos do no AWS Key Management Service Developer Guide. Para obter mais informações sobre a criptografia do Parameter Store e do KMS, consulte Como o AWS Systems Manager usa o Parameter StoreAWS KMS.

nota

Para visualizar uma CMK gerenciada pela AWS, use a operação AWS KMS DescribeKey. Este exemplo do AWS CLI usa o DescribeKey para visualizar a CMK gerenciada pela AWS. 

aws kms describe-key --key-id alias/aws/ssm

Tópicos relacionados

Para obter um exemplo de como criar e usar um parâmetro SecureString, consulte Criar um parâmetro SecureString e ingressar uma instância em um domínio (PowerShell). Para obter mais informações sobre como usar parâmetros do Systems Manager com outros serviços da AWS, consulte as seguintes postagens de blog: