Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de paramètres partagés dans Parameter Store
Le partage de paramètres avancés simplifie la gestion des données de configuration dans un environnement multi-comptes. Vous pouvez stocker et gérer vos paramètres de manière centralisée et les partager avec d'autres personnes Comptes AWS qui ont besoin de les référencer.
Parameter Store s'intègre à AWS Resource Access Manager (AWS RAM) pour permettre un partage de paramètres avancé. AWS RAM est un service qui vous permet de partager des ressources avec d'autres personnes Comptes AWS ou par le biais de AWS Organizations.
Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources indique les ressources à partager, les autorisations à accorder et les consommateurs avec lesquels partager. Les consommateurs peuvent inclure :
-
Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations
-
Une unité organisationnelle au sein de son organisation dans AWS Organizations
-
Toute son organisation en AWS Organizations
Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.
Cette rubrique explique comment partager les paramètres que vous possédez et comment utiliser les paramètres partagés avec vous.
Table des matières
- Conditions préalables au partage des paramètres
- Partage d'un paramètre
- Arrêter de partager un paramètre partagé
- Identification des paramètres partagés
- Accès aux paramètres partagés
- Ensembles d'autorisations pour le partage de paramètres
- Débit maximal pour les paramètres partagés
- Tarification des paramètres partagés
- Accès entre comptes pour les comptes fermés Comptes AWS
Conditions préalables au partage des paramètres
Les conditions suivantes doivent être remplies avant de pouvoir partager des paramètres depuis votre compte :
-
Pour partager un paramètre, vous devez le posséder dans votre Compte AWS. Vous ne pouvez pas partager un paramètre qui a été partagé avec vous.
-
Pour partager un paramètre, il doit se trouver dans le niveau des paramètres avancés. Pour plus d'informations sur les niveaux de paramètres, consultezGestion des niveaux de paramètres. Pour plus d'informations sur la modification d'un paramètre standard existant en paramètre avancé, consultezRemplacement d'un paramètre standard par un paramètre avancé.
-
Pour partager un
SecureString
paramètre, il doit être chiffré à l'aide d'une clé gérée par le client, et vous devez partager la clé séparément AWS Key Management Service. Clés gérées par AWS ne peut pas être partagé. Les paramètres chiffrés par défaut Clé gérée par AWS peuvent être mis à jour pour utiliser à la place une clé gérée par le client. Pour les définitions AWS KMS clés, voir AWS KMS les concepts dans le guide du AWS Key Management Service développeur. -
Pour partager un paramètre avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .
Partage d'un paramètre
Pour partager un paramètre, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre elles Comptes AWS. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées.
Lorsque vous partagez un paramètre que vous possédez avec d'autres utilisateurs Comptes AWS, vous pouvez choisir entre deux autorisations AWS gérées à accorder aux consommateurs. Pour de plus amples informations, veuillez consulter Ensembles d'autorisations pour le partage de paramètres.
Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, vous pouvez autoriser les consommateurs de votre organisation à accéder au paramètre partagé depuis la AWS RAM console. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès au paramètre partagé après avoir accepté l'invitation.
Vous pouvez partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console ou du AWS CLI.
Note
Bien que vous puissiez partager un paramètre à l'aide de l'PutResourcePolicyAPIopération Systems Manager, nous vous recommandons d'utiliser AWS Resource Access Manager
(AWS RAM) à la place. En effet, l'utilisation PutResourcePolicy
nécessite l'étape supplémentaire consistant à promouvoir le paramètre au niveau d'un partage de ressources standard à l'aide de l' AWS RAM PromoteResourceShareCreatedFromPolicyAPIopération. Dans le cas contraire, le paramètre ne sera pas renvoyé par l'DescribeParametersAPIopération Systems Manager utilisant l'--shared
option.
Pour partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console
Voir Création d'un partage de ressources AWS RAM dans le guide de AWS RAM l'utilisateur.
Effectuez les sélections suivantes au fur et à mesure que vous terminez la procédure :
-
Sur la page Étape 1, pour Ressources, sélectionnez
Parameter Store Advanced Parameter
, puis cochez la case correspondant à chaque paramètre du niveau de paramètres avancés que vous souhaitez partager. -
Sur la page Étape 2, pour Autorisations gérées, choisissez l'autorisation à accorder aux consommateurs, comme décrit Ensembles d'autorisations pour le partage de paramètres plus loin dans cette rubrique.
Choisissez d'autres options en fonction de vos objectifs de partage de paramètres.
Pour partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI
Utilisation de la create-resource-sharecommande pour ajouter des paramètres à un nouveau partage de ressources.
Utilisation de la associate-resource-sharecommande pour ajouter des paramètres à un partage de ressources existant.
L'exemple suivant crée un nouveau partage de ressources pour partager des paramètres avec les consommateurs d'une organisation et d'un compte individuel.
aws ram create-resource-share \ --name "MyParameter" \ --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \ --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"
Arrêter de partager un paramètre partagé
Lorsque vous arrêtez de partager un paramètre partagé, le compte client ne peut plus accéder au paramètre.
Pour arrêter de partager un paramètre qui vous appartient, vous devez le supprimer du partage de ressources. Vous pouvez le faire à l'aide du Systems Manager console, AWS RAM console ou le AWS CLI.
Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console
Voir Mettre à jour un partage de ressources AWS RAM dans le guide de AWS RAM l'utilisateur.
Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI
Utilisez la disassociate-resource-sharecommande.
Identification des paramètres partagés
Les propriétaires et les consommateurs peuvent identifier les paramètres partagés à l'aide du AWS CLI.
Pour identifier les paramètres partagés à l'aide du AWS CLI
Pour identifier les paramètres partagés à l'aide de AWS CLI, vous pouvez choisir entre la describe-parameters
commande Systems Manager et la AWS RAM
list-resources
commande.
Lorsque vous utilisez l'--shared
option withdescribe-parameters
, la commande renvoie les paramètres partagés avec vous.
Voici un exemple :
aws ssm describe-parameters --shared
Accès aux paramètres partagés
Les consommateurs peuvent accéder aux paramètres partagés à l'aide des outils de ligne de AWS commande, et AWS SDKs. Pour les comptes clients, les paramètres partagés avec ce compte ne sont pas inclus dans la page Mes paramètres.
CLIExemple : accès aux détails des paramètres partagés à l'aide du AWS CLI
Pour accéder aux détails des paramètres partagés à l'aide du AWS CLI, vous pouvez utiliser le get-parameter ou get-parameterscommandes. Vous devez spécifier le paramètre complet ARN comme étant le --name
afin de le récupérer depuis un autre compte.
Voici un exemple.
aws ssm get-parameter \ --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
Intégrations prises en charge et non prises en charge pour les paramètres partagés
Actuellement, vous pouvez utiliser des paramètres partagés dans les scénarios d'intégration suivants :
-
AWS CloudFormation paramètres du modèle
-
L'extension Lambda AWS Parameters and Secrets
-
Valeurs pour
ImageID
avec la EC2 RunInstances commande permettant de créer des instances à partir d'un Amazon Machine Image (AMI) -
Récupération de valeurs de paramètres dans des runbooks
pour Automation, une fonctionnalité de Systems Manager
Les scénarios et services intégrés suivants ne prennent actuellement pas en charge l'utilisation de paramètres partagés :
-
Paramètres des commandes dans Run Command, une fonctionnalité de Systems Manager
-
AWS CloudFormation références dynamiques
-
Les valeurs des variables d'environnement dans AWS CodeBuild
-
Les valeurs des variables d'environnement dans AWS App Runner
-
La valeur d'un secret dans Amazon Elastic Container Service
Ensembles d'autorisations pour le partage de paramètres
Les comptes clients bénéficient d'un accès en lecture seule aux paramètres que vous partagez avec eux. Le consommateur ne peut ni mettre à jour ni supprimer le paramètre. Le consommateur ne peut pas partager le paramètre avec un troisième compte.
Lorsque vous créez un partage de ressources AWS Resource Access Manager pour partager vos paramètres, vous pouvez choisir parmi deux ensembles d'autorisations AWS gérées pour accorder cet accès en lecture seule :
- AWSRAMDefaultPermissionSSMParameterReadOnly
-
Actions autorisées :
DescribeParameters
,GetParameter
,GetParameters
- AWSRAMPermissionSSMParameterReadOnlyWithHistory
-
Actions autorisées :
DescribeParameters
,GetParameter
,GetParameters
,GetParameterHistory
Lorsque vous suivez les étapes décrites dans la section Création d'un partage de ressources AWS RAM dans le Guide de AWS RAM l'utilisateur, choisissez Parameter Store Advanced
Parameters
le type de ressource et l'une de ces autorisations gérées, selon que vous souhaitez que les utilisateurs consultent ou non l'historique des paramètres.
Débit maximal pour les paramètres partagés
Systems Manager limite le débit maximal (transactions par seconde) pour GetParameter et GetParameters. opérations. Le débit est appliqué au niveau du compte individuel. Par conséquent, chaque compte consommant un paramètre partagé peut utiliser son débit maximal autorisé sans être affecté par les autres comptes. Pour plus d'informations sur le débit maximal pour les paramètres, consultez les rubriques suivantes :
-
Quotas du service Systems Manager dans le Référence générale d'Amazon Web Services.
Tarification des paramètres partagés
Le partage entre comptes n'est disponible que dans le niveau de paramètres avancés. Pour les paramètres avancés, des frais sont facturés au prix actuel pour le stockage et APIl'utilisation de chaque paramètre avancé. Le compte propriétaire est débité pour le stockage du paramètre avancé. Tout compte consommateur qui API appelle un paramètre avancé partagé est facturé pour l'utilisation du paramètre.
Par exemple, si le compte A crée un paramètre avancéMyAdvancedParameter
, ce compte est débité de USD 0,05€ par mois pour stocker le paramètre.
Le compte A est ensuite partagé MyAdvancedParameter
avec le compte B et le compte C. Pendant un mois, les trois comptes passent des appels versMyAdvancedParameter
. Le tableau suivant indique les frais qu'ils encourraient pour le nombre d'appels que chacun effectue.
Note
Les frais indiqués dans le tableau suivant sont fournis à titre d'illustration uniquement. Pour vérifier les prix actuels, consultez la section AWS Systems Manager Tarification pour Parameter Store
Compte | Nombre d'appels | Frais |
---|---|---|
Compte A (compte propriétaire) | 10 000 appels |
|
Compte B (compte consommateur) | 20 000 appels |
|
Compte C (compte consommateur) | 30 000 appels |
|
Accès entre comptes pour les comptes fermés Comptes AWS
Si le Compte AWS compte propriétaire d'un paramètre partagé est fermé, tous les comptes consommateurs perdent l'accès au paramètre partagé. Si le compte propriétaire est rouvert dans les 90 jours suivant sa fermeture, les comptes consommateurs retrouvent l'accès aux paramètres précédemment partagés. Pour plus d'informations sur la réouverture d'un compte pendant la période postérieure à la fermeture, consultez la section Accès à votre compte Compte AWS après sa fermeture dans le Guide de AWS Account Management référence.