AWS Systems Manager Parameter Store - AWS Systems Manager
Como o Parameter Store beneficia minha organização? Quem deve usar o Parameter Store? Quais são os recursos do Parameter Store? O que é um parâmetro?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Systems Manager Parameter Store

O AWS Systems Manager do Parameter Store oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados como senhas, strings de banco de dados, imagem de máquina da Amazon (AMI) e códigos IDsde licença como valores de parâmetro. Você pode armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro.

nota

Para implementar ciclos de vida de alternância de senha, use o AWS Secrets Manager. O Secrets Manager permite alternar, gerenciar e recuperar facilmente credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida. Para obter mais informações, consulte O que é o AWS Secrets Manager? no Guia do usuário do AWS Secrets Manager.

Como o Parameter Store beneficia minha organização?

Parameter StoreO oferece estes benefícios:

  • Você pode usar um serviço de gerenciamento seguro, escalável e hospedado de segredos sem servidores para gerenciar.

  • Melhora sua postura de segurança, separando dados e código.

  • Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.

  • Controla e audita o acesso em níveis específicos.

Quem deve usar o Parameter Store?

  • Qualquer cliente da AWS que deseja ter uma maneira centralizada de gerenciar os dados de configuração.

  • Desenvolvedores de software que desejam armazenar facilmente diferentes logins e fluxos de referência.

  • Administradores que desejam ser notificados quando as alterações foram ou não feitas em segredos e senhas.

Quais são os recursos do Parameter Store?

  • Notificação de alterações

    Você pode configurar notificações de alteração e acionar ações automatizadas para parâmetros e políticas de parâmetros. Para obter mais informações, consulte Configurar notificações ou acionar ações com base nos eventos do Parameter Store.

  • Organizar e controlar o acesso

    Você pode marcar seus parâmetros individualmente para ajudá-lo a identificar rapidamente um ou mais parâmetros com base nas tags que você atribuiu a eles. Por exemplo, é possível marcar parâmetros para ambientes, departamentos, usuários, grupos ou períodos específicos. Também é possível restringir o acesso aos documentos criando uma política do IAM que especifique as tags que um usuário ou grupo pode acessar. Para obter mais informações, consulte Marcar parâmetros do Systems Manager.

  • Versões de rótulo

    Você pode associar um alias para versões do seu parâmetro criando rótulos. Os rótulos podem ajudar você a lembrar a finalidade de uma versão de parâmetro quando há várias versões.

  • Validação de dados

    Você pode criar parâmetros que apontam para uma Amazon EC2 instância do e o Parameter Store validará esses parâmetros para garantir que eles façam referência ao tipo de recurso esperado, que o recurso exista e que o cliente tenha permissão para usar o recurso. Por exemplo, você pode criar um parâmetro com o ID da imagem de máquina da Amazon (AMI) como um valor com o tipo de dados ec2 e Parameter Store executar uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para um ID de AMI e que a AMI especificada esteja disponível em sua AWS conta.

  • Fazer referência a segredos do

    Parameter Store O é integrado ao AWS Secrets Manager para que você possa recuperar segredos do Secrets Manager ao usar outros AWS serviços da que já oferecem suporte a referências a Parameter Store parâmetros do .

  • Acessível de outros AWS serviços

    Você pode usar Parameter Store parâmetros com outros Systems Manager recursos e AWS serviços do para recuperar segredos e dados de configuração de um armazenamento central. Parâmetros funcionam com recursos do Systems Manager, como o Executar comando, o State Manager e a Automação. Você também pode fazer referência a parâmetros em vários outros serviços da AWS, incluindo os seguintes:

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon Elastic Container Service (Amazon ECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integrar o a outros AWS serviços da

    Configure a integração com os seguintes serviços da AWS para criptografia, notificação, monitoramento e auditoria:

O que é um parâmetro?

Um parâmetro do Parameter Store é qualquer parte de dados que é salva no Parameter Store, como um bloco de texto, uma lista de nomes, uma senha, um ID de imagem de máquina da Amazon (AMI), uma chave de licença e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.

Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.

{{ssm:parameter-name}}

nota

Os parâmetros não podem ser referenciados nem aninhados nos valores de outros parâmetros. Não é possível incluir {{}} nem {{ssm:parameter-name}} em um valor de parâmetro.

O Parameter Store fornece suporte a três tipos de parâmetros: String, StringList e SecureString.

Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro como texto simples e o não Parameter Store executa nenhuma validação no texto inserido. No entanto, para parâmetros String, você pode especificar o tipo de dados como aws:ec2:image, e o Parameter Store valida se o valor inserido é o formato adequado para uma AMI do Amazon EC2; por exemplo: ami-12345abcdeEXAMPLE.

String

Por padrão, os parâmetros String consistem em qualquer bloco de texto inserido. Por exemplo:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

StringList

StringListOs parâmetros contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

SecureString

Um parâmetro SecureString representa quaisquer dados confidenciais que precisem ser armazenados e referenciados com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados SecureString

Importante

Não armazene dados confidenciais em um parâmetro String ou StringList. Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro SecureString.

Para obter mais informações, consulte Criar um SecureString parâmetro (AWS CLI).

Recomendamos o uso de SecureString parâmetros para os seguintes cenários:

  • Você deseja usar dados/parâmetros em todos os serviços da AWS sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do AWS CloudTrail

  • Você deseja controlar quem tem acesso a dados confidenciais.

  • Você deseja poder auditar quando dados confidenciais são acessados (AWS CloudTrail).

  • Você deseja criptografar seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.

Importante

Somente o valor de um parâmetro SecureString é criptografado. Nomes de parâmetro, descrições e outras propriedades não são criptografados.

O tipo de SecureString parâmetro pode ser usado para dados textuais que você deseja criptografar, como senhas, segredos de aplicativos, dados de configuração confidenciais ou outros tipos de dados que você precisa proteger. SecureString Os dados do são criptografados e descriptografados usando uma chave do AWS Key Management Service (KMS). Você pode usar uma chave KMS padrão fornecida pelo AWS ou criar e usar sua própria chave mestra de cliente (CMK). (Use sua própria CMK se precisar restringir o acesso do usuário aos SecureString parâmetros do . Para obter mais informações, consulte Permissões do IAM para usar chaves padrão da AWS e chaves gerenciadas pelo cliente.)

Você também pode usar parâmetros de SecureString com outros serviços da AWS No exemplo a seguir, a AWS Lambda função recupera um SecureString parâmetro usando a GetParameters API . 

from __future__ import print_function
 
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
 def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
nota

Parameter StoreO também está integrado ao AWS Secrets Manager. Você pode recuperar Secrets Manager segredos ao usar outros AWS serviços da que já oferecem suporte a referências a Parameter Store parâmetros do . Para obter mais informações, consulte Fazer referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store neste guia.

AWS KMSCriptografia de definição de preço do

Se você escolher o tipo de SecureString parâmetro ao criar seu parâmetro, o Systems Manager usará o AWS Key Management Service (KMS) para criptografar o valor do parâmetro.

Não há cobrança do Parameter Store para criar um parâmetro SecureString, mas as cobranças pelo uso da criptografia do AWS Key Management Service são aplicáveis. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

Para obter mais informações sobre AWS gerenciadas pela e gerenciadas pelo CMKscliente, consulte AWS Key Management Service Conceitos do no AWS Key Management Service Developer Guide. Para obter mais informações sobre a criptografia do Parameter Store e do KMS, consulte Como o AWS Systems Manager usa o Parameter StoreAWS KMS.

nota

Para visualizar uma CMK AWS gerenciada pela , use a AWS KMS DescribeKey operação . Este AWS CLI exemplo usa DescribeKey o para visualizar a CMK AWSgerenciada pela . 

aws kms describe-key --key-id alias/aws/ssm

Tópicos relacionados

Para obter um exemplo de como criar e usar um parâmetro SecureString, consulte Criar um SecureString parâmetro e ingressar uma instância em um domínio (PowerShell). Para obter mais informações sobre como usar Systems Manager parâmetros do com outros AWS serviços da , consulte as seguintes postagens de blog: