Parameter Store, une des fonctionnalités de AWS Systems Manager, inclut des paramètres standard et des paramètres avancés. Vous configurez individuellement les paramètres afin qu'ils utilisent le niveau paramètre standard (niveau par défaut) ou le niveau paramètre avancé.
Vous pouvez remplacer un paramètre standard par un paramètre avancé à tout moment, mais vous ne pouvez pas remplacer un paramètre avancé par un paramètre standard. En effet, le retour d'un paramètre avancé à un paramètre standard entraînerait une réduction de la taille du paramètre de 8 Ko à 4 Ko, ce qui provoquerait une perte de données. Cela entraînerait également la suppression de toutes les politiques associées au paramètre. Par ailleurs, les paramètres avancés utilisent une forme de chiffrement différente de celle des paramètres standard. Pour plus d’informations, consultez Comment AWS Systems Manager Parameter Store utilise AWS KMS dans le Guide du développeur AWS Key Management Service.
Si vous n'avez plus besoin d'un paramètre avancé ou si vous ne souhaitez plus payer de frais supplémentaires pour un paramètre avancé, vous devez le supprimer et le recréer en tant que nouveau paramètre standard.
Le tableau suivant décrit les différences entre les niveaux.
Standard | Avancé | |
---|---|---|
Nombre total de paramètres autorisés (par Compte AWS et par Région AWS) |
10 000 |
100 000 |
Taille maximale d'une valeur de paramètre. |
4 Ko |
8 Ko |
Politiques de paramètre disponibles |
Non |
Oui Pour en savoir plus, consultez Affectation de politiques de paramètres dans Parameter Store. |
Coût |
Pas de frais supplémentaires |
Des frais supplémentaires seront facturés Pour plus d’informations, consultez Tarification d’AWS Systems Manager pour Parameter Store |
Rubriques
Spécification d'un niveau de paramètre par défaut
Dans les demandes de création ou de mise à jour d'un paramètre (c'est-à-dire, l'opération PutParameter
), vous pouvez spécifier le niveau de paramètre à utiliser dans la demande. Voici un exemple avec utilisation de l'AWS Command Line Interface (AWS CLI).
aws ssm put-parameter \
--name "default-ami" \
--type "String" \
--value "t2.micro" \
--tier "Standard"
Chaque fois que vous spécifiez un niveau dans la demande, Parameter Store crée ou met à jour le paramètre en fonction de votre demande. Toutefois, si vous ne spécifiez pas explicitement un niveau dans une demande, c'est le paramètre de niveau par défaut de Parameter Store qui détermine dans quel niveau le paramètre est créé.
Le niveau par défaut lorsque vous commencez à utiliser Parameter Store est le niveau de paramètre standard. Si vous utilisez le niveau de paramètre avancé, vous pouvez spécifier l'une des valeurs suivantes par défaut :
-
Advanced (Avancé) : avec cette option, Parameter Store évalue toutes les demandes en tant que paramètres avancés.
-
Intelligent-Tiering (Hiérarchisation intelligente) : avec cette option, Parameter Store évalue chaque demande pour déterminer si le paramètre est standard ou avancé.
Si la demande n'inclut aucune option nécessitant un paramètre avancé, le paramètre est créé dans le niveau paramètre standard. Si une ou plusieurs options nécessitant un paramètre avancé sont incluses dans la demande, Parameter Store crée un paramètre dans le niveau paramètre avancé.
Avantages de la fonction Intelligent-Tiering (Hiérarchisation intelligente)
Voici les raisons pouvant justifier le choix de la fonction Intelligent-Tiering (Hiérarchisation intelligente) comme niveau par défaut.
Contrôle des coûts - La fonction Intelligent-Tiering permet de contrôler les coûts liés aux paramètres en créant toujours des paramètres standard, sauf si un paramètre avancé est absolument nécessaire.
Mise à niveau automatique vers le niveau paramètre avancé - Lorsque vous apportez à votre code une modification nécessitant la mise à niveau d'un paramètre standard vers un paramètre avancé, la fonction Intelligent-Tiering gère la conversion pour vous. Vous n'avez pas besoin de modifier votre code pour gérer la mise à niveau.
Voici quelques exemples de mise à niveau automatique :
-
Vos modèles AWS CloudFormation fournissent de nombreux paramètres lorsqu'ils sont exécutés. Lorsque ce processus vous conduit à atteindre le quota de 10 000 paramètres dans le niveau paramètre standard, la fonction Intelligent-Tiering vous met automatiquement à niveau vers le niveau de paramètre avancé et vos processus AWS CloudFormation ne sont pas interrompus.
-
Vous stockez une valeur de certificat dans un paramètre, effectuez une rotation régulière de la valeur de certificat et le contenu est inférieur au quota de 4 Ko du niveau paramètre standard. Si une valeur de certificat de remplacement dépasse 4 Ko, la fonction Intelligent-Tiering met automatiquement à niveau le paramètre vers le niveau paramètre avancé.
-
Vous souhaitez associer de nombreux paramètres standard existants à une politique de paramètre, ce qui nécessite le niveau paramètre avancé. Au lieu d'inclure dans tous les appels l'option
--tier Advanced
de mise à jour les paramètres, la fonction Intelligent-Tiering met automatiquement à niveau les paramètres vers le niveau paramètre avancé. La fonction Intelligent-Tiering effectue une mise à niveau des paramètres du statut standard au statut avancé chaque fois que des critères pour le niveau paramètre avancé sont ajoutés.
Les options qui nécessitent un paramètre avancé sont les suivantes :
-
La taille du contenu du paramètre est supérieure à 4 Ko.
-
Le paramètre utilise une politique de paramètre.
-
Plus de 10 000 paramètres existent déjà dans votre Compte AWS dans la Région AWS actuelle.
Options de niveau par défaut
Les options de niveau que vous pouvez spécifier comme options par défaut sont les suivantes.
-
Standard – le niveau de paramètre standard est le niveau par défaut lorsque vous commencez à utiliser Parameter Store. En utilisant le niveau paramètre standard, vous pouvez créer 10 000 paramètres pour chaque Région AWS dans un Compte AWS. La taille du contenu de chaque paramètre peut être égale à un maximum de 4 Ko. Les paramètres standard ne prennent pas en charge les politiques de paramètre. L'utilisation du niveau paramètre standard n'entraîne pas de frais supplémentaires. Si vous sélectionnez Standard comme niveau par défaut, Parameter Store tente en permanence de créer un paramètre standard pour les demandes qui ne spécifient pas de niveau.
-
Avancé – utilisez le niveau de paramètres avancés pour créer un maximum de 100 000 paramètres pour chaque Région AWS dans un Compte AWS. La taille du contenu de chaque paramètre peut être égale à un maximum de 8 Ko. Les paramètres avancés prennent en charge les politiques de paramètre. Pour partager un paramètre, celui-ci doit se trouver dans le niveau de paramètre avancé. L'utilisation du niveau paramètre avancé est facturée. Pour plus d’informations, consultez Tarification d’AWS Systems Manager pour Parameter Store
. Si vous sélectionnez Avancé comme niveau par défaut, Parameter Store tente en permanence de créer un paramètre avancé pour les demandes qui ne spécifient pas de niveau. Note
Lorsque vous sélectionnez le niveau paramètre avancé, vous devez autoriser explicitement AWS à facturer à votre compte pour tous les paramètres avancés que vous créez.
-
Intelligent-Tiering (Hiérarchisation intelligente) – l'option Intelligent-Tiering permet à Parameter Store de déterminer s'il convient d'utiliser le niveau paramètre standard ou paramètre avancé en fonction du contenu de la demande. Par exemple, si vous exécutez une commande pour créer un paramètre avec un contenu inférieur à 4 Ko et qu'il y a moins de 10 000 paramètres dans la Région AWS actuelle de votre Compte AWS, si vous ne spécifiez pas de politique de paramètre, un paramètre standard est créé. Si vous exécutez une commande pour créer un paramètre avec plus de 4 Ko de contenu, que vous avez déjà plus de 10 000 paramètres dans la Région AWS actuelle de votre Compte AWS ou que vous spécifiez une politique de paramètre, un paramètre avancé est créé.
Note
Lorsque vous sélectionnez Intelligent-Tiering, vous devez autoriser explicitement AWS à facturer votre compte pour tous les paramètres avancés créés.
Vous pouvez modifier le paramètre de niveau Parameter Store par défaut à tout moment.
Configuration des autorisations de spécification d'un niveau Parameter Store par défaut
Vérifiez que vous avez l'autorisation, dans AWS Identity and Access Management (IAM), de modifier le niveau de paramètre par défaut dans Parameter Store en effectuant l'une des actions suivantes :
-
Veillez à bien attacher la politique
AdministratorAccess
à votre entité IAM (qui peut être un utilisateur, un groupe ou un rôle). -
Assurez-vous que vous avez l'autorisation de modifier le paramètre de niveau par défaut à l'aide des opérations d'API suivantes :
Accordez les autorisations suivantes à l'entité IAM pour permettre aux utilisateurs d'afficher et de modifier le paramètre de niveau par défaut pour la configuration d'une Région AWS spécifique dans un Compte AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:region
:account-id
:servicesetting/ssm/parameter-store/default-parameter-tier"
}
]
}
Les administrateurs peuvent spécifier une autorisation en lecture seule en affectant les autorisations suivantes.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "*"
}
]
}
Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center.
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-
Spécifier ou modifier le niveau par défaut Parameter Store à l’aide de la console
La procédure suivante montre comment utiliser la console Systems Manager pour spécifier ou modifier le niveau de paramètre par défaut pour les Compte AWS et Région AWS actuels.
Astuce
Si vous n'avez pas encore créé de paramètre, vous pouvez utiliser l'AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell pour modifier le niveau de paramètre par défaut. Pour plus d'informations, consultez Spécifier ou modifier le niveau par défaut Parameter Store à l’aide de l’AWS CLI et Spécification ou modification du niveau Parameter Store par défaut (PowerShell).
Pour spécifier ou modifier le niveau Parameter Store par défaut
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Parameter Store.
-
Sélectionnez l'onglet Settings.
-
Sélectionnez Change default tier (Modifier le niveau par défaut).
-
Sélectionnez l'une des options suivantes :
-
Standard
-
Advanced (Avancé)
-
Intelligent-Tiering (Hiérarchisation intelligente)
Pour de plus amples informations sur ces options, consultez Spécification d'un niveau de paramètre par défaut.
-
-
Examinez le message, puis sélectionnez Confirm (Confirmer).
Si vous souhaitez modifier le paramètre de niveau par défaut ultérieurement, répétez cette procédure et spécifiez une autre option de niveau par défaut.
Spécifier ou modifier le niveau par défaut Parameter Store à l’aide de l’AWS CLI
La procédure suivante montre comment utiliser la AWS CLI pour modifier le paramètre de niveau par défaut pour le Compte AWS et la Région AWS actuels.
Pour spécifier ou modifier le niveau Parameter Store par défaut à l'aide de l'AWS CLI
-
Ouvrez la AWS CLI et exécutez la commande suivante pour modifier le paramètre de niveau par défaut pour une Région AWS spécifique dans un Compte AWS.
aws ssm update-service-setting --setting-id arn:aws:ssm:
region
:account-id
:servicesetting/ssm/parameter-store/default-parameter-tier --setting-valuetier-option
region
représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle queus-east-2
pour la région USA Est (Ohio). Pour obtenir une liste des valeursregion
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.Les valeurs
tier-option
incluentStandard
,Advanced
etIntelligent-Tiering
. Pour de plus amples informations sur ces options, consultez Spécification d'un niveau de paramètre par défaut.Il n'y a pas de sortie si la commande réussit.
-
Exécutez la commande suivante pour afficher les paramètres actuels du service de niveau de paramètre par défaut pour Parameter Store dans le Compte AWS et la Région AWS actuels.
aws ssm get-service-setting --setting-id arn:aws:ssm:
region
:account-id
:servicesetting/ssm/parameter-store/default-parameter-tierLe système renvoie des informations similaires à ce qui suit :
{ "ServiceSetting": { "SettingId": "/ssm/parameter-store/default-parameter-tier", "SettingValue": "Advanced", "LastModifiedDate": 1556551683.923, "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper", "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier", "Status": "Customized" } }
Si vous souhaitez modifier à nouveau le paramètre de niveau par défaut, répétez cette procédure et spécifiez une autre option SettingValue
.
Spécification ou modification du niveau Parameter Store par défaut (PowerShell)
La procédure suivante montre comment utiliser les Tools for Windows PowerShell pour modifier le paramètre de niveau par défaut pour une Région AWS spécifique dans un compte Amazon Web Services.
Pour spécifier ou modifier le niveau Parameter Store par défaut à l'aide de PowerShell
-
Remplacez le niveau par défaut Parameter Store dans le Compte AWS et la Région AWS actuels en utilisant les AWS Tools for PowerShell (Tools for PowerShell).
Update-SSMServiceSetting -SettingId "arn:aws:ssm:
region
:account-id
:servicesetting/ssm/parameter-store/default-parameter-tier" -SettingValue "tier-option
" -Regionregion
region
représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle queus-east-2
pour la région USA Est (Ohio). Pour obtenir une liste des valeursregion
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.Les valeurs
tier-option
incluentStandard
,Advanced
etIntelligent-Tiering
. Pour de plus amples informations sur ces options, consultez Spécification d'un niveau de paramètre par défaut.Il n'y a pas de sortie si la commande réussit.
-
Exécutez la commande suivante pour afficher les paramètres actuels du service de niveau de paramètre par défaut pour Parameter Store dans le Compte AWS et la Région AWS actuels.
Get-SSMServiceSetting -SettingId "arn:aws:ssm:
region
:
:servicesetting/ssm/parameter-store/default-parameter-tier" -Regionaccount-id
region
region
représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle queus-east-2
pour la région USA Est (Ohio). Pour obtenir une liste des valeursregion
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.Le système renvoie des informations similaires à ce qui suit :
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier LastModifiedDate : 4/29/2019 3:35:44 PM LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper SettingId : /ssm/parameter-store/default-parameter-tier SettingValue : Advanced Status : Customized
Si vous souhaitez modifier à nouveau le paramètre de niveau par défaut, répétez cette procédure et spécifiez une autre option SettingValue
.
Remplacement d'un paramètre standard par un paramètre avancé
Utilisez la procédure suivante pour remplacer un paramètre standard existant par un paramètre avancé. Pour de plus amples informations sur la création d'un nouveau paramètre avancé, consultez Création de paramètres Parameter Store dans Systems Manager.
Pour remplacer un paramètre standard par un paramètre avancé
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Parameter Store.
-
Sélectionnez un paramètre, puis sélectionnez Edit (Modifier).
-
Pour Description, entrez les informations concernant ce paramètre.
-
Choisir Advanced (Avancé).
-
Pour Value (Valeur), saisissez la valeur de ce paramètre. La valeur maximale des paramètres avancés est de 8 Ko.
-
Sélectionnez Enregistrer les modifications.