AWS Systems Manager Parameter Store - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Parameter Store

Parameter Store, eine Funktion von AWS Systems Manager, stellt eine sichere, hierarchische Speicherung für Verwaltung von Konfigurationsdaten und Geheimnissen bereit. Sie können Daten wie Passwörter, Datenbankzeichenfolgen speichern, Amazon Machine Image (AMI) IDs und Lizenzcodes als Parameterwerte. Sie können Werte als Klartext oder als verschlüsselte Daten speichern. Sie können Systems Manager Manager-Parameter in Skripts, Befehle, SSM Dokumenten und Konfigurations- und Automatisierungsworkflows referenzieren, indem Sie den eindeutigen Namen verwenden, den Sie beim Erstellen des Parameters angegeben haben. Erste Schritte mit Parameter Store, öffnen Sie die Systems Manager Manager-Konsole. Wählen Sie im Navigationsbereich aus Parameter Store.

Parameter Store ist auch in Secrets Manager integriert. Sie können Secrets Manager Manager-Secrets abrufen, wenn Sie andere verwenden AWS-Services , die bereits Referenzen zu unterstützen. Parameter Store Parameter. Weitere Informationen finden Sie unter Verweise auf AWS Secrets Manager Geheimnisse von Parameter Store Parameter.

Anmerkung

Um Passwortrotations-Lebenszyklen zu implementieren, verwenden Sie. AWS Secrets Manager Mit Secrets Manager können Sie Datenbankanmeldeinformationen, API Schlüssel und andere geheime Informationen während ihres gesamten Lebenszyklus mühelos rotieren, verwalten und abfragen. Weitere Informationen finden Sie unter Was ist AWS Secrets Manager? im AWS Secrets Manager Benutzerhandbuch.

Wie kann Parameter Store meiner Organisation zugute kommen?

Parameter Store bietet die folgenden Vorteile:

  • Verwenden Sie einen sicheren, skalierbaren, gehosteten Verschlüsselungsmanagementservice ohne zu verwaltende Server.

  • Verbessern Sie Ihre Sicherheit, indem Sie Ihre Daten von Ihrem Code trennen.

  • Speichern Sie Konfigurationsdaten und verschlüsselte Zeichenfolgen in Hierarchien und verfolgen Sie Versionen nach.

  • Steuern und prüfen Sie Zugriff genau.

  • Speichern Sie Parameter zuverlässig, weil Parameter Store wird in mehreren Availability Zones in einer gehostet AWS-Region.

Wer sollte verwenden Parameter Store?

  • Alle AWS -Kunden, die eine zentrale Möglichkeit zum Verwalten von Konfigurationsdaten haben möchten.

  • Softwareentwickler, die verschiedene Logins und Referenzströme speichern möchten.

  • Administratoren, die Benachrichtigungen erhalten möchten, wenn ihre Secrets und Passwörter geändert werden oder nicht.

Über welche Features verfügt Parameter Store?

  • Änderungsbenachrichtigung

    Sie können Änderungsbenachrichtigungen konfigurieren und automatisierte Aktionen für beide Parameter und Parameterrichtlinien auslösen. Weitere Informationen finden Sie unter Benachrichtigungen einrichten oder Aktionen auslösen basierend auf Parameter Store Veranstaltungen.

  • Organisieren von Parametern

    Sie können Ihre Parameter individuell markieren, um anhand der Tags, die Sie ihnen zugewiesen haben, einen oder mehrere Parameter zu identifizieren. Sie können Parameter z. B. nach bestimmten Umgebungen oder Abteilungen taggen.

  • Beschriftungsversionen

    Sie können einen Alias für Versionen Ihres Parameters zuordnen, indem Sie Beschriftungen erstellen. Dank Beschriftungen können Sie sich den Zweck einer Parameterversion merken, wenn mehrere Versionen vorhanden sind.

  • Datenvalidierung

    Sie können Parameter erstellen, die auf eine Amazon Elastic Compute Cloud (AmazonEC2) -Instance verweisen, und Parameter Store überprüft diese Parameter, um sicherzustellen, dass es auf den erwarteten Ressourcentyp verweist, dass die Ressource vorhanden ist und dass der Kunde die Berechtigung hat, die Ressource zu verwenden. Sie können beispielsweise einen Parameter erstellen mit Amazon Machine Image (AMI) ID als Wert mit aws:ec2:image Datentyp und Parameter Store führt eine asynchrone Validierungsoperation aus, um sicherzustellen, dass der Parameterwert die Formatierungsanforderungen für eine erfüllt. AMI ID, und dass der angegebene AMI ist in Ihrem verfügbar AWS-Konto.

  • Referenz-Secrets

    Parameter Store ist in integriert, AWS Secrets Manager sodass Sie Secrets-Manager-Geheimnisse abrufen können, wenn Sie andere verwenden AWS-Services , die bereits Referenzen zu unterstützen Parameter Store Parameter.

  • Parameter mit anderen Konten teilen

    Sie können die Konfigurationsdaten optional in einer einzigen Datei zentralisieren AWS-Konto und Parameter mit anderen Konten teilen, die darauf zugreifen müssen.

  • Zugänglich von anderen AWS-Services

    Sie können Folgendes verwenden … Parameter Store Parameter mit anderen System-Manager-Funktionen und AWS-Services zum Abrufen von Geheimnissen und Konfigurationsdaten aus einem zentralen Speicher. Parameter funktionieren mit Systems Manager Manager-Funktionen wie Run Command, Automatisierung und State Manager, Fähigkeiten von AWS Systems Manager. Sie können auch Parameter in einer Reihe anderer referenzieren AWS-Services, einschließlich der folgenden:

    • Amazon Elastic Compute Cloud (AmazonEC2)

    • Amazon Elastic Container Service (AmazonECS)

    • AWS Secrets Manager

    • AWS Lambda

    • AWS CloudFormation

    • AWS CodeBuild

    • AWS CodePipeline

    • AWS CodeDeploy

  • Integrieren Sie mit anderen AWS-Services

    Konfigurieren Sie die Integration in die folgenden AWS-Services für Verschlüsselung, Benachrichtigung, Überwachung und Prüfung:

Was ist ein Parameter?

A Parameter Store Ein Parameter ist ein beliebiges Datenelement, das in gespeichert ist Parameter Store, wie ein Textblock, eine Namensliste, ein Passwort, ein AMI ID, ein Lizenzschlüssel und so weiter. Sie können diese Daten in Ihren Skripten, Befehlen und SSM Dokumenten zentral und sicher referenzieren.

Wenn Sie auf einen Parameter verweisen, geben Sie den Parameternamen unter Verwendung der folgenden Konvention an:

{{ssm:parameter-name}}

Anmerkung

Parameter können nicht referenziert oder in den Werten anderer Parameter verschachtelt werden. Sie können {{}} oder {{ssm:parameter-name}} nicht in einen Parameterwert aufnehmen.

Parameter Store unterstützt drei Arten von Parametern: StringStringList, undSecureString.

Mit einer Ausnahme geben Sie beim Erstellen oder Aktualisieren eines Parameters den Parameterwert als Klartext ein, und Parameter Store führt keine Überprüfung des von Ihnen eingegebenen Textes durch. Für String Parameter können Sie den Datentyp jedoch alsaws:ec2:image, und angeben Parameter Store überprüft, ob der von Ihnen eingegebene Wert das richtige Format für einen Amazon hat EC2 AMI; zum Beispiel:ami-12345abcdeEXAMPLE.

Parametertyp: String

Standardmäßig bestehen String-Parameter aus einem beliebigen Textblock, den Sie eingeben. Beispielsweise:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

Typ des Parameters: StringList

StringList-Parameter enthalten eine durch Komma getrennte Liste von Werten wie in den folgenden Beispielen gezeigt.

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

Typ des Parameters: SecureString

Ein SecureString-Parameter kann aus beliebigen vertraulichen Daten bestehen, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder als Klartext referenzieren sollen (z. B. Passwörter oder Lizenzschlüssel), erstellen Sie diese Parameter mit dem SecureString-Datentyp.

Wichtig

Speichern Sie keine vertraulichen Daten in einem String- oder StringList-Parameter. Verwenden Sie für alle vertraulichen Daten, die verschlüsselt bleiben müssen, nur den SecureString-Parametertyp.

Weitere Informationen finden Sie unter Erstellen eines SecureString Parameters mit dem AWS CLI.

Wir empfehlen die Verwendung von SecureString-Parametern in den folgenden Szenarien:

  • Sie möchten bestimmte Daten/Parameter in mehreren verwenden, AWS-Services ohne die jeweiligen Werte in Befehlen, Funktionen, Agent-Protokollen oder Protokollen als Klartext bereitzustellen. CloudTrail

  • Sie möchten steuern, welche Personen auf vertrauliche Daten zugreifen können.

  • Sie möchten in der Lage sein, zu überprüfen, wann auf vertrauliche Daten zugegriffen wird (CloudTrail).

  • Sie möchten Ihre sensiblen Daten verschlüsseln und Sie möchten Ihre eigenen Verschlüsselungsschlüssel für die Zugriffsverwaltung verwenden.

Wichtig

Nur der Wert eines SecureString-Parameters wird verschlüsselt. Der Name des Parameters, die Beschreibung und andere Eigenschaften sind nicht verschlüsselt.

Sie können den SecureString Parametertyp für Textdaten verwenden, die Sie verschlüsseln möchten, z. B. Passwörter, Anwendungsgeheimnisse, vertrauliche Konfigurationsdaten oder andere Datentypen, die Sie schützen müssen. SecureStringDaten werden mit einem Schlüssel ver- und entschlüsselt. AWS KMS Sie können entweder einen KMS Standardschlüssel verwenden, der von bereitgestellt wird, AWS oder einen eigenen erstellen und verwenden AWS KMS key. (Verwenden Sie Ihre eigenen AWS KMS key , wenn Sie den Benutzerzugriff auf SecureString-Parameter einschränken möchten. Weitere Informationen finden Sie unter IAMBerechtigungen für die Verwendung von AWS -Standardschlüsseln und kundenverwalteten Schlüsseln.)

Sie können SecureString Parameter auch zusammen mit anderen verwenden AWS-Services. Im folgenden Beispiel ruft die Lambda-Funktion einen SecureString Parameter mithilfe von ab. GetParametersAPI

import json import boto3 ssm = boto3.client('ssm', 'us-east-2') def get_parameters(): response = ssm.get_parameters( Names=['LambdaSecureString'],WithDecryption=True ) for parameter in response['Parameters']: return parameter['Value'] def lambda_handler(event, context): value = get_parameters() print("value1 = " + value) return value # Echo back the first key value
AWS KMS Verschlüsselung und Preisgestaltung

Wenn Sie den SecureString Parametertyp beim Erstellen eines Parameters auswählen, verwendet Systems Manager AWS KMS zum Verschlüsseln des Parameterwerts.

Wichtig

Parameter Store unterstützt nur symmetrische KMS Verschlüsselungsschlüssel. Sie können keinen asymmetrischen KMS Verschlüsselungsschlüssel verwenden, um Ihre Parameter zu verschlüsseln. Wie Sie feststellen, ob ein KMS Schlüssel symmetrisch oder asymmetrisch ist, erfahren Sie unter Erkennen symmetrischer und asymmetrischer KMS Schlüssel im -Entwicklerhandbuch.AWS Key Management Service

Es fallen keine Gebühren an von Parameter Store um einen SecureString Parameter zu erstellen, aber für die Verwendung der AWS KMS Verschlüsselung fallen Gebühren an. Weitere Informationen finden Sie unter AWS Key Management Service -Preise.

Weitere Informationen zu Von AWS verwaltete Schlüssel und vom Kunden verwalteten Schlüsseln finden Sie unter AWS Key Management Service Konzepte im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zur Parameter Store und AWS KMS Verschlüsselung finden Sie unter So AWS Systems Manager Parameter Store Nutzungen AWS KMS.

Anmerkung

Verwenden Sie die AWS KMS DescribeKey Operation Von AWS verwalteter Schlüssel, um eine anzuzeigen. Dieses AWS Command Line Interface (AWS CLI) Beispiel dient DescribeKey zum Anzeigen eines Von AWS verwalteter Schlüssel.

aws kms describe-key --key-id alias/aws/ssm