本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用參數階層
以一般清單來管理數十或數百個參數不僅耗時且容易出錯。同時也很難識別任務的正確參數。這表示您可能會不小心使用錯誤的參數,或者可能會建立多個使用相同組態資料的參數。
您可以使用參數階層結構,來協助您整理和管理 參數。階層結構是一種參數名稱,其中包含您使用正斜線 (/) 定義的路徑。
參數階層範例
以下範例在名稱中使用三個階層來識別下列各項:
/Environment/Type of computer/Application/Data
/Dev/DBServer/MySQL/db-string13
您可以建立最多 15 個層級的階層。建議您建立階層以反映環境中現有的階層架構,如下範例所示:
參數階層將您建立參數的方式標準化,並讓您更輕鬆地隨時管理參數。參數階層也可以協助您識別設定任務的正確參數。這可協助您建立多個使用相同組態資料的參數。
您可以建立階層,讓您在不同的環境中共用參數,如以下在開發和臨時環境中使用密碼的範例所示。
/DevTest/MyApp/database/
my-password
然後,您可以為生產環境建立唯一的密碼,如以下範例所示:
/prod/MyApp/database/
my-password
您無需指定參數階層。您可以在第一層建立參數。這些稱為根參數。有關回溯相容性,在發佈階層之前於 Parameter Store 建立的所有參數皆為根參數。系統會將以下兩個參數視為根參數。
/parameter-name
parameter-name
查詢階層中的參數
使用階層的另一個好處是能夠使用 GetParametersByPath API 操作來查詢階層內的所有參數。例如,若您從 AWS Command Line Interface (AWS CLI) 執行以下命令,系統會傳回 IIS 層級中的所有參數。
aws ssm get-parameters-by-path --path /Dev/Web/IIS
若要檢視階層中已解密的 SecureString
參數,請指定路徑和 --with-decryption
參數,如以下範例所示。
aws ssm get-parameters-by-path --path /Prod/ERP/SAP --with-decryption
限制對 Parameter Store API 操作的存取
您可以使用 AWS Identity and Access Management (IAM) 政策提供或限制使用者存取 Parameter Store API 操作和內容。
在下列範例政策中,使用者會先獲得存取權,以便在美國東部 (俄亥俄) 區域 (us-east-2) 中 AWS 帳戶 123456789012 內的所有參數上執行 PutParameter
API 操作。但是,使用者會受到限制,無法變更「現有」參數的數值,因為 Overwrite
選項已明確拒絕 PutParameter
操作。換句話說,獲派此政策的使用者可以建立參數,但無法變更現有參數。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:PutParameter" ], "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*" }, { "Effect": "Deny", "Action": [ "ssm:PutParameter" ], "Condition": { "StringEquals": { "ssm:Overwrite": [ "true" ] } }, "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*" } ] }
使用階層來管理參數 (AWS CLI)
此程序示範如何利用 AWS CLI,來使用參數和參數階層。
使用階層管理參數
如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請進行相應的操作。
如需相關資訊,請參閱安裝或更新最新版本的 AWS CLI。
-
執行以下命令,以建立使用
allowedPattern
參數和String
參數類型的參數。此範例中允許的模式表示參數值必須介於 1 位數到 4 位數。該命令會傳回參數的版本號碼。
-
執行以下命令,以 嘗試 以新的值覆寫您剛建立的參數。
系統返回以下錯誤,因為新的值不符合您在上個步驟指定的允許模式的要求。
An error occurred (ParameterPatternMismatchException) when calling the PutParameter operation: Parameter value, cannot be validated against allowedPattern: \d{1,4}
-
執行以下其中
SecureString
一個命令,以建立使用 AWS 受管金鑰 的 參數。此範例中允許的模式表示使用者可以指定任何字元,其值必須介於 8 到 20 個字元。 -
執行以下命令,以建立更多使用先前步驟的階層結構的參數。
-
執行以下命令,以取得兩個參數的值。
-
執行以下命令,以查詢單一層級中的所有參數。
-
執行下列命令,以刪除兩個參數