Conditions préalables au partage des paramètres Partage d'un paramètre Arrêter de partager un paramètre partagé Identification des paramètres partagés Accès aux paramètres partagés Ensembles d'autorisations pour le partage de paramètres Débit maximal pour les paramètres partagés Tarification des paramètres partagés Accès entre comptes pour les comptes fermés Comptes AWS

Utilisation de paramètres partagés

Le partage de paramètres avancés simplifie la gestion des données de configuration dans un environnement multi-comptes. Vous pouvez stocker et gérer vos paramètres de manière centralisée et les partager avec d'autres personnes Comptes AWS qui ont besoin de les référencer.

Parameter Stores'intègre à AWS Resource Access Manager (AWS RAM) pour permettre un partage de paramètres avancé. AWS RAM est un service qui vous permet de partager des ressources avec d'autres personnes Comptes AWS ou par le biais de AWS Organizations.

Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources indique les ressources à partager, les autorisations à accorder et les consommateurs avec lesquels partager. Les consommateurs peuvent inclure :

Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations
Une unité organisationnelle au sein de son organisation dans AWS Organizations
Toute son organisation en AWS Organizations

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Cette rubrique explique comment partager les paramètres que vous possédez et comment utiliser les paramètres partagés avec vous.

Table des matières

Conditions préalables au partage des paramètres
Partage d'un paramètre
Arrêter de partager un paramètre partagé
Identification des paramètres partagés
Accès aux paramètres partagés
Ensembles d'autorisations pour le partage de paramètres
Débit maximal pour les paramètres partagés
Tarification des paramètres partagés
Accès entre comptes pour les comptes fermés Comptes AWS

Conditions préalables au partage des paramètres

Les conditions suivantes doivent être remplies avant de pouvoir partager des paramètres depuis votre compte :

Pour partager un paramètre, vous devez le posséder dans votre Compte AWS. Vous ne pouvez pas partager un paramètre qui a été partagé avec vous.
Pour partager un paramètre, il doit se trouver dans le niveau des paramètres avancés. Pour plus d'informations sur les niveaux de paramètres, consultezGestion des niveaux de paramètres. Pour plus d'informations sur la modification d'un paramètre standard existant en paramètre avancé, consultezRemplacement d'un paramètre standard par un paramètre avancé.
Pour partager un SecureString paramètre, il doit être chiffré à l'aide d'une clé gérée par le client, et vous devez partager la clé séparément AWS Key Management Service. Clés gérées par AWS ne peut pas être partagé. Les paramètres chiffrés par défaut Clé gérée par AWS peuvent être mis à jour pour utiliser à la place une clé gérée par le client. Pour les définitions AWS KMS clés, voir AWS KMS les concepts dans le guide du AWS Key Management Service développeur.
Pour partager un paramètre avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Pour partager un paramètre, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre elles Comptes AWS. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées.

Lorsque vous partagez un paramètre que vous possédez avec d'autres utilisateurs Comptes AWS, vous pouvez choisir entre deux autorisations AWS gérées à accorder aux consommateurs. Pour plus d’informations, consultez Ensembles d'autorisations pour le partage de paramètres.

Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, vous pouvez autoriser les consommateurs de votre organisation à accéder au paramètre partagé depuis la AWS RAM console. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès au paramètre partagé après avoir accepté l'invitation.

Vous pouvez partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console ou du AWS CLI.

Note

Bien que vous puissiez partager un paramètre à l'aide de l'opération de l'API Systems Manager PutResourcePolicy, nous vous recommandons d'utiliser AWS Resource Access Manager (AWS RAM) à la place. En effet, l'utilisation PutResourcePolicy nécessite l'étape supplémentaire consistant à promouvoir le paramètre au niveau d'un partage de ressources standard à l'aide de l'opération AWS RAM PromoteResourceShareCreatedFromPolicyAPI. Dans le cas contraire, le paramètre ne sera pas renvoyé par l'opération d'DescribeParametersAPI Systems Manager à l'aide de l'--sharedoption.

Pour partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console

Voir Création d'un partage de ressources AWS RAM dans le guide de AWS RAM l'utilisateur.

Effectuez les sélections suivantes au fur et à mesure que vous terminez la procédure :

Sur la page Étape 1, pour Ressources, sélectionnezParameter Store Advanced Parameter, puis cochez la case correspondant à chaque paramètre du niveau de paramètres avancés que vous souhaitez partager.
Sur la page Étape 2, pour Autorisations gérées, choisissez l'autorisation à accorder aux consommateurs, comme décrit Ensembles d'autorisations pour le partage de paramètres plus loin dans cette rubrique.

Choisissez d'autres options en fonction de vos objectifs de partage de paramètres.

Pour partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la create-resource-sharecommande pour ajouter des paramètres à un nouveau partage de ressources.

Utilisez la associate-resource-sharecommande pour ajouter des paramètres à un partage de ressources existant.

L'exemple suivant crée un nouveau partage de ressources pour partager des paramètres avec les consommateurs d'une organisation et d'un compte individuel.


aws ram create-resource-share \
    --name "MyParameter" \
    --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
    --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

Arrêter de partager un paramètre partagé

Lorsque vous arrêtez de partager un paramètre partagé, le compte client ne peut plus accéder au paramètre.

Pour arrêter de partager un paramètre qui vous appartient, vous devez le supprimer du partage de ressources. Pour ce faire, vous pouvez utiliser la console Systems Manager, la console AWS RAM ou l’ AWS CLI.

Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console

Voir Mettre à jour un partage de ressources AWS RAM dans le guide de AWS RAM l'utilisateur.

Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la commande disassociate-resource-share.

Identification des paramètres partagés

Les propriétaires et les consommateurs peuvent identifier les paramètres partagés à l'aide du AWS CLI.

Pour identifier les paramètres partagés à l'aide du AWS CLI

Pour identifier les paramètres partagés à l'aide de AWS CLI, vous pouvez choisir entre la describe-parameters commande Systems Manager et la AWS RAM list-resources commande.

Lorsque vous utilisez l'--sharedoption withdescribe-parameters, la commande renvoie les paramètres partagés avec vous.

Voici un exemple :


aws ssm describe-parameters --shared

Accès aux paramètres partagés

Les consommateurs peuvent accéder aux paramètres partagés à l'aide des outils de ligne de AWS commande et AWS des SDK. Pour les comptes clients, les paramètres partagés avec ce compte ne sont pas inclus dans la page Mes paramètres.

Exemple de CLI : accès aux détails des paramètres partagés à l'aide du AWS CLI

Pour accéder aux détails des paramètres partagés à l'aide de AWS CLI, vous pouvez utiliser les get-parameterscommandes get-parameterou. Vous devez spécifier le paramètre ARN complet --name afin de récupérer le paramètre depuis un autre compte.

Voici un exemple.


aws ssm get-parameter \
    --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter

Intégrations prises en charge et non prises en charge pour les paramètres partagés

Actuellement, vous pouvez utiliser des paramètres partagés dans les scénarios d'intégration suivants :

AWS CloudFormation paramètres du modèle
L'extension Lambda AWS Parameters and Secrets
Modèles de lancement d'Amazon Elastic Compute Cloud (EC2)
Valeurs à utiliser ImageID avec la RunInstances commande EC2 pour créer des instances à partir d'un Amazon Machine Image () AMI
Récupération de valeurs de paramètres dans des runbooks pour Automation, une fonctionnalité de Systems Manager

Les scénarios et services intégrés suivants ne prennent actuellement pas en charge l'utilisation de paramètres partagés :

Paramètres dans les commandesRun Command, une fonctionnalité de Systems Manager
AWS CloudFormation références dynamiques
Les valeurs des variables d'environnement dans AWS CodeBuild
Les valeurs des variables d'environnement dans AWS App Runner
La valeur d'un secret dans Amazon Elastic Container Service

Les comptes clients bénéficient d'un accès en lecture seule aux paramètres que vous partagez avec eux. Le consommateur ne peut ni mettre à jour ni supprimer le paramètre. Le consommateur ne peut pas partager le paramètre avec un troisième compte.

Lorsque vous créez un partage de ressources AWS Resource Access Manager pour partager vos paramètres, vous pouvez choisir parmi deux ensembles d'autorisations AWS gérées pour accorder cet accès en lecture seule :

AWSRAMDefaultPermissionSSMParameterReadOnly: Actions autorisées :DescribeParameters,GetParameter, GetParameters
AWSRAMPermissionSSMParameterReadOnlyWithHistory: Actions autorisées :DescribeParameters,GetParameter,GetParameters, GetParameterHistory

Lorsque vous suivez les étapes décrites dans la section Création d'un partage de ressources AWS RAM dans le Guide de AWS RAM l'utilisateur, choisissez Parameter Store Advanced Parameters le type de ressource et l'une de ces autorisations gérées, selon que vous souhaitez que les utilisateurs consultent ou non l'historique des paramètres.

Débit maximal pour les paramètres partagés

Systems Manager limite le débit maximal (transactions par seconde) pour les opérations GetParameteret GetParameters. Le débit est appliqué au niveau du compte individuel. Par conséquent, chaque compte consommant un paramètre partagé peut utiliser son débit maximal autorisé sans être affecté par les autres comptes. Pour plus d'informations sur le débit maximal pour les paramètres, consultez les rubriques suivantes :

Augmenter Parameter Store le débit
Quotas du service Systems Manager dans le Référence générale d'Amazon Web Services.

Tarification des paramètres partagés

Le partage entre comptes n'est disponible que dans le niveau de paramètres avancés. Pour les paramètres avancés, des frais sont facturés au prix actuel pour le stockage et l'utilisation de l'API pour chaque paramètre avancé. Le compte propriétaire est débité pour le stockage du paramètre avancé. Tout compte consommateur qui effectue un appel d'API vers un paramètre avancé partagé est facturé pour l'utilisation du paramètre.

Par exemple, si le compte A crée un paramètre avancéMyAdvancedParameter, ce compte est débité de 0,05 USD par mois pour stocker le paramètre.

Le compte A est ensuite partagé MyAdvancedParameter avec le compte B et le compte C. Pendant un mois, les trois comptes passent des appels versMyAdvancedParameter. Le tableau suivant indique les frais qu'ils encourraient pour le nombre d'appels que chacun effectue.

Note

Les frais indiqués dans le tableau suivant sont fournis à titre d'illustration uniquement. Pour vérifier les prix actuels, consultez la section AWS Systems Manager Tarification pour Parameter Store.

Compte	Nombre d'appels	Frais
Compte A (compte propriétaire)	10 000 appels	Stockage avancé des paramètres pendant un mois : 0,05 USD 10 000 appels vers `MyAdvancedParameter` : 0,05 USD Total : 0,10 USD
Compte B (compte consommateur)	20 000 appels	20 000 appels vers `MyAdvancedParameter` : 0,10 USD Total : 0,10 USD
Compte C (compte consommateur)	30 000 appels	30 000 appels vers `MyAdvancedParameter` : 0,15 USD Total : 0,15 USD

Accès entre comptes pour les comptes fermés Comptes AWS

Si le Compte AWS compte propriétaire d'un paramètre partagé est fermé, tous les comptes consommateurs perdent l'accès au paramètre partagé. Si le compte propriétaire est rouvert dans les 90 jours suivant sa fermeture, les comptes consommateurs retrouvent l'accès aux paramètres précédemment partagés. Pour plus d'informations sur la réouverture d'un compte après sa fermeture, consultez la section Accès à votre compte Compte AWS après sa fermeture dans le Guide de AWS Account Management référence.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation des versions de paramètre

Utiliser des paramètres avec des commandes Run Command