在 中使用共用參數 Parameter Store

共用進階參數可簡化多帳戶環境中的組態資料管理。您可以集中存放和管理參數，並與需要參考它們 AWS 帳戶 的其他 共用。

Parameter Store 與 AWS Resource Access Manager （AWS RAM） 整合以啟用進階參數共用。 AWS RAM 是一項服務，可讓您與其他 AWS 帳戶 或透過 共用資源 AWS Organizations。

透過 AWS RAM，您可以透過建立資源共用來共用您擁有的資源。資源共用會指定要共用的資源、授予許可，以及要與其共用的取用者。消費者可以包括：

• 組織中的特定 AWS 帳戶 內部或外部 AWS Organizations

• 組織中的組織單位 AWS Organizations

• 其整個組織在 AWS Organizations

如需 的詳細資訊 AWS RAM，請參閱 AWS RAM 使用者指南 。

本主題說明如何共用您擁有的參數，以及如何使用與您共用的參數。

共用參數的先決條件

您必須先符合下列先決條件，才能從您的帳戶共用參數：

• 若要共用 參數，您必須在 中擁有該參數 AWS 帳戶。您無法共用已與您共用的參數。

• 若要共用參數，它必須位於進階參數層。如需參數層的相關資訊，請參閱 管理參數層。如需將現有標準參數變更為進階參數的相關資訊，請參閱 將標準參數變更為進階參數。

• 若要共用 SecureString 參數，必須使用客戶受管金鑰加密，而且必須透過 單獨共用金鑰 AWS Key Management Service。 AWS 受管金鑰 無法共用。使用預設加密的參數 AWS 受管金鑰 可以更新為改用客戶受管金鑰。如需 AWS KMS 金鑰定義，請參閱 AWS Key Management Service 開發人員指南 中的AWS KMS 概念。

• 若要與 中的組織或組織單位共用參數 AWS Organizations，您必須啟用與 共用 AWS Organizations。如需詳細資訊，請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用。

共用 參數

若要共用參數，您必須將其新增至資源共用。資源共用是可讓您跨 共用資源 AWS RAM 的資源 AWS 帳戶。資源共享指定要共用的資源，以及共用它們的消費者。

當您與其他 共用擁有的參數時 AWS 帳戶，您可以從兩個 AWS 受管許可中選擇授予取用者。如需詳細資訊，請參閱共用參數的許可集。

如果您是 中組織的一部分， AWS Organizations 並在組織中共用已啟用，您可以將組織中的取用者從 AWS RAM 主控台存取共用參數的權限授予 。否則，消費者會收到加入資源共用的邀請，並在接受邀請後授予共用參數的存取權。

您可以使用 AWS RAM 主控台或 共用您擁有的參數 AWS CLI。

注意

雖然您可以使用 Systems Manager PutResourcePolicyAPI操作共用參數，但我們建議您改用 AWS Resource Access Manager （AWS RAM）。這是因為使用 PutResourcePolicy需要使用 API操作將 參數提升為標準 Resource Share AWS RAM PromoteResourceShareCreatedFromPolicy的額外步驟。否則，Systems Manager DescribeParametersAPI操作不會使用 --shared選項傳回 參數。

使用 AWS RAM 主控台共用您擁有的參數

請參閱 AWS RAM 使用者指南 中的在 中建立資源共用 AWS RAM。

完成程序時，請進行下列選擇：

• 在步驟 1 頁面中，針對資源 ，選取 Parameter Store Advanced Parameter，然後選取您要共用的進階參數層中每個參數的方塊。

• 在步驟 2 頁面中，針對受管許可 ，選擇授予取用者的許可，如本主題共用參數的許可集稍後所述。

根據您的參數共用目標選擇 oher 選項。

使用 共享您擁有的參數 AWS CLI

使用 create-resource-share 命令將參數新增至新的資源共用。

使用 associate-resource-share 命令將參數新增至現有的資源共用。

下列範例會建立新的資源共用，以與組織中和個別帳戶中的取用者共用參數。

aws ram create-resource-share \
    --name "MyParameter" \
    --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
    --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

停止共用參數

當您停止共用共用參數時，取用者帳戶將無法再存取 參數。

若要停止共用您擁有的參數，您必須將其從資源共用中移除。您可以使用 Systems Manager 主控台、 AWS RAM 主控台或 AWS CLI。

停止使用 AWS RAM 主控台共用您擁有的參數

請參閱 AWS RAM 使用者指南 中的更新資源共用 AWS RAM。

使用 停止共用您擁有的參數 AWS CLI

使用 disassociate-resource-share命令。

識別共用參數

擁有者和取用者可以使用 識別共用參數 AWS CLI。

使用 識別共用參數 AWS CLI

若要使用 識別共用參數 AWS CLI，您可以從 Systems Manager describe-parameters命令和 list-resources AWS RAM 命令中進行選擇。

當您搭配 使用 --shared選項時describe-parameters， 命令會傳回與您共用的參數。

以下是範例：

aws ssm describe-parameters --shared

存取共用參數

取用者可以使用 AWS 命令列工具和 存取共用參數 AWS SDKs。對於取用者帳戶，與該帳戶共用的參數不會包含在我的參數頁面中。

CLI 範例：使用 存取共用參數詳細資訊 AWS CLI

若要使用 存取共用參數詳細資訊 AWS CLI，您可以使用 get-parameter 或 get-parameters 命令。您必須將完整參數指定ARN為 --name ，才能從另一個帳戶擷取參數。

以下是範例。

aws ssm get-parameter \
    --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter

共用參數的支援和不支援整合

目前，您可以在下列整合案例中使用共用參數：

• AWS CloudFormation 範本參數

• AWS 參數和秘密 Lambda 延伸模組

• Amazon Elastic Compute Cloud （EC2） 啟動範本

• ImageID 使用 EC2 RunInstances 命令從 建立執行個體的值 Amazon Machine Image (AMI)

• 擷取 Runbooks for Automation 中的參數值，這是 Systems Manager 的功能

下列案例和整合服務目前不支援使用共用參數：

• 中的命令參數 Run Command，Systems Manager 的功能

• AWS CloudFormation 動態參考

• 中的環境變數值 AWS CodeBuild

• 中的環境變數值 AWS App Runner

• Amazon Elastic Container Service 中機密的值

共用參數的許可集

消費者帳戶會取得您與他們共用參數的唯讀存取權。取用者無法更新或刪除 參數。取用者無法與第三個帳戶共用 參數。

當您在 中建立資源共用 AWS Resource Access Manager 以共用參數時，您可以從兩個 AWS 受管許可集中選擇，以授予此唯讀存取權：

AWSRAMDefaultPermissionSSMParameterReadOnly

允許的動作：DescribeParameters、GetParameter、 GetParameters

AWSRAMPermissionSSMParameterReadOnlyWithHistory

允許的動作：DescribeParameters、GetParameter、GetParameters、 GetParameterHistory

當您在 AWS RAM 使用者指南 中探討在 中建立資源共用 AWS RAM的步驟時，請根據您是否希望使用者檢視參數歷史記錄，選擇 Parameter Store Advanced Parameters作為資源類型和其中一個受管許可。

共用參數的最大輸送量

Systems Manager 限制 的最大輸送量 （每秒交易數） GetParameter 和 GetParameters. 操作。輸送量會在個別帳戶層級強制執行。因此，每個使用共用參數的帳戶都可以使用其允許的輸送量上限，而不會受到其他帳戶的影響。如需參數最大輸送量的詳細資訊，請參閱下列主題：

• 增加中 Parameter Store 輸送量

• 中的 Systems Manager 服務配額Amazon Web Services 一般參考。

共用參數的定價

跨帳戶共用僅適用於進階參數層。對於進階參數，費用會依每個進階參數的儲存和API用量的目前價格產生。擁有帳戶會針對進階參數的儲存收取費用。對共用進階參數進行API呼叫的任何耗用帳戶都會收取參數用量的費用。

例如，如果帳戶 A 建立進階參數 MyAdvancedParameter，該帳戶每月需支付 USD 0.05 來存放參數。

然後，帳戶 A MyAdvancedParameter會與帳戶 B 和帳戶 C 共用。在一個月內，三個帳戶會呼叫 MyAdvancedParameter。下表說明他們對於每個 進行的呼叫次數所產生的費用。

注意

下表中的費用僅供說明之用。若要驗證目前的定價，請參閱 的AWS Systems Manager 定價 Parameter Store.

帳戶	呼叫數量	費用
帳戶 A （擁有帳戶）	10，000 個呼叫	一個月進階參數儲存：USD0.05 10，000 個呼叫 MyAdvancedParameter：USD0.05 總計：USD0.10
帳戶 B （耗用帳戶）	20，000 個通話	20，000 個呼叫 MyAdvancedParameter：USD0.10 總計：USD0.10
帳戶 C （耗用帳戶）	30，000 個通話	30，000 個呼叫 MyAdvancedParameter：USD0.15 總計：USD0.15

已關閉的跨帳戶存取 AWS 帳戶

如果關閉 AWS 帳戶 擁有共用參數的 ，則所有取用帳戶都會失去共用參數的存取權。如果擁有的帳戶在帳戶關閉後 90 天內重新開啟，則耗用帳戶重新取得先前共用參數的存取權。如需在關閉後期間重新開啟帳戶的詳細資訊，請參閱 參考指南 中的在關閉帳戶 AWS 帳戶 後存取您的 。 AWS Account Management