Menetapkan kebijakan parameter di Parameter Store - AWS Systems Manager
Menambahkan tag ke parameter yang sudah ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menetapkan kebijakan parameter di Parameter Store

Kebijakan parameter membantu Anda mengelola serangkaian parameter yang berkembang dengan memungkinkan Anda menetapkan kriteria tertentu ke parameter seperti tanggal kedaluwarsa atau waktu untuk hidup. Kebijakan parameter sangat membantu dalam memaksa Anda memperbarui atau menghapus kata sandi dan data konfigurasi yang tersimpan Parameter Store, alat di AWS Systems Manager. Parameter Store menawarkan jenis kebijakan berikut:Expiration,ExpirationNotification, danNoChangeNotification.

catatan

Untuk menerapkan siklus hidup rotasi kata sandi, gunakan. AWS Secrets Manager Anda dapat memutar, mengelola, dan mengambil kredensial basis data, kunci API, dan rahasia lainnya sepanjang siklus hidupnya menggunakan Secrets Manager. Untuk informasi lebih lanjut, lihat Apa itu AWS Secrets Manager? dalam AWS Secrets Manager User Guide.

Parameter Store memberlakukan kebijakan parameter dengan menggunakan pemindaian periodik asinkron. Setelah membuat kebijakan, Anda tidak perlu melakukan tindakan tambahan untuk menerapkan kebijakan tersebut. Parameter Store secara independen melakukan tindakan yang ditentukan oleh kebijakan sesuai dengan kriteria yang Anda tentukan.

catatan

Kebijakan parameter tersedia untuk parameter yang menggunakan tingkat parameter lanjutan. Untuk informasi selengkapnya, lihat Mengelola tingkatan parameter.

Kebijakan parameter adalah suatu array JSON, seperti yang ditunjukkan dalam tabel berikut. Anda dapat menetapkan kebijakan saat membuat parameter lanjutan baru, atau Anda dapat menerapkan kebijakan dengan memperbarui parameter. Parameter Store mendukung jenis kebijakan parameter berikut.

Kebijakan Detail Contoh

Kedaluwarsa

Kebijakan ini menghapus parameter. Anda dapat menentukan tanggal dan waktu tertentu dengan menggunakan format ISO_INSTANT atau format ISO_OFFSET_DATE_TIME. Untuk mengubah kapan Anda ingin parameter dihapus, perbarui kebijakan. Memperbarui sebuah parameter tidak mempengaruhi waktu atau tanggal kedaluwarsa kebijakan yang dilampirkan padanya. Ketika tanggal dan waktu kedaluwarsa tercapai, Parameter Store menghapus parameter.

catatan

Contoh ini menggunakan format ISO_INSTANT. Anda juga dapat menentukan tanggal dan waktu dengan menggunakan format ISO_OFFSET_DATE_TIME. Ini contohnya: 2019-11-01T22:13:48.87+10:30:00 .

 
{
    "Type": "Expiration",
    "Version": "1.0",
    "Attributes": {
        "Timestamp": "2018-12-02T21:34:33.000Z"
    }
}

ExpirationNotification

Kebijakan ini memulai peristiwa di Amazon EventBridge (EventBridge) yang memberi tahu Anda tentang kedaluwarsa. Dengan menggunakan kebijakan ini, Anda dapat menerima notifikasi sebelum waktu kedaluwarsa tiba, dalam satuan hari atau jam.

 
{
    "Type": "ExpirationNotification",
    "Version": "1.0",
    "Attributes": {
        "Before": "15",
        "Unit": "Days"
    }
}

NoChangeNotification

Kebijakan ini memulai peristiwa EventBridge jika parameter belum dimodifikasi untuk jangka waktu tertentu. Jenis kebijakan ini berguna ketika, misalnya, kata sandi perlu diubah dalam jangka waktu tertentu.

Kebijakan ini menentukan kapan harus mengirim notifikasi dengan membaca atribut LastModifiedTime dari parameter. Jika Anda mengubah atau mengedit parameter, sistem akan mengatur ulang periode waktu notifikasi berdasarkan nilai baru LastModifiedTime.

 
{
    "Type": "NoChangeNotification",
    "Version": "1.0",
    "Attributes": {
        "After": "20",
        "Unit": "Days"
    }
}

Anda dapat menetapkan beberapa kebijakan ke sebuah parameter. Misalnya, Anda dapat menetapkan Expiration dan ExpirationNotification kebijakan sehingga sistem memulai EventBridge acara untuk memberi tahu Anda tentang penghapusan parameter yang akan datang. Anda dapat menetapkan maksimum sepuluh (10) kebijakan ke sebuah parameter.

Contoh berikut menunjukkan sintaks permintaan untuk permintaan PutParameterAPI yang menetapkan empat kebijakan ke SecureString parameter baru bernama. ProdDB3

{
    "Name": "ProdDB3",
    "Description": "Parameter with policies",
    "Value": "P@ssW*rd21",
    "Type": "SecureString",
    "Overwrite": "True",
    "Policies": [
        {
            "Type": "Expiration",
            "Version": "1.0",
            "Attributes": {
                "Timestamp": "2018-12-02T21:34:33.000Z"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "30",
                "Unit": "Days"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "15",
                "Unit": "Days"
            }
        },
        {
            "Type": "NoChangeNotification",
            "Version": "1.0",
            "Attributes": {
                "After": "20",
                "Unit": "Days"
            }
        }
    ]
}

Menambahkan tag ke parameter yang sudah ada

Bagian ini mencakup informasi tentang cara menambahkan kebijakan ke parameter yang ada dengan menggunakan AWS Systems Manager konsol, AWS Command Line Interface (AWS CLI), dan AWS Tools for Windows PowerShell . Untuk informasi tentang cara membuat parameter baru yang menyertakan kebijakan, lihat Membuat Parameter Store parameter di Systems Manager.

Menambahkan kebijakan ke parameter yang ada menggunakan konsol

Gunakan prosedur berikut untuk menambahkan kebijakan ke sebuah parameter yang ada dengan menggunakan konsol Systems Manager.

Untuk menambahkan kebijakan ke parameter yang sudah ada

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Parameter Store.

  3. Pilih opsi di sebelah parameter yang ingin Anda perbarui untuk menyertakan kebijakan, dan kemudian pilih Edit.

  4. Pilih Lanjutan.

  5. (Opsional) Dalam bagian Kebijakan parameter, pilih Diaktifkan. Anda dapat menentukan tanggal kedaluwarsa dan satu atau lebih kebijakan notifikasi untuk parameter ini.

  6. Pilih Simpan perubahan.

penting

  • Parameter Store mempertahankan kebijakan pada parameter hingga Anda menimpa kebijakan dengan kebijakan baru atau menghapus kebijakan tersebut.

  • Untuk menghapus semua kebijakan dari parameter yang ada, edit parameter dan terapkan kebijakan kosong dengan menggunakan kurung dan kurung kurawal, sebagai berikut: [{}]

  • Jika Anda menambahkan kebijakan baru ke parameter yang sudah memiliki kebijakan, maka Systems Manager akan menimpa kebijakan yang melekat pada parameter tersebut. Kebijakan yang ada dihapus. Jika Anda ingin menambahkan kebijakan baru untuk parameter yang sudah memiliki satu atau lebih kebijakan, salin dan tempel kebijakan asli, ketik kebijakan baru, dan kemudian simpan perubahan Anda.

Menambahkan kebijakan ke parameter yang ada menggunakan AWS CLI

Gunakan prosedur berikut untuk menambahkan kebijakan ke sebuah parameter yang ada dengan menggunakan AWS CLI.

Untuk menambahkan kebijakan ke parameter yang sudah ada

  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

    Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

  2. Jalankan perintah berikut untuk menambahkan kebijakan ke sebuah parameter yang ada. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

    Linux & macOS
    aws ssm put-parameter   
    --name "parameter name" \
    --value 'parameter value' \
    --type parameter type \
    --overwrite \
    --policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
    Windows
    aws ssm put-parameter   
    --name "parameter name" ^
    --value 'parameter value' ^
    --type parameter type ^
    --overwrite ^
    --policies "[{policies-enclosed-in-brackets-and-curly-braces}]"

    Berikut ini adalah contoh yang mencakup kebijakan kedaluwarsa yang menghapus parameter setelah 15 hari. Contoh ini juga mencakup kebijakan notifikasi yang menghasilkan EventBridge peristiwa lima (5) hari sebelum parameter dihapus. Terakhir, contoh ini menyertakan kebijakan NoChangeNotification jika tidak ada perubahan yang dibuat untuk parameter ini setelah 60 hari. Contoh menggunakan nama yang dikaburkan (3l3vat3131) untuk parameter kata sandi dan AWS Key Management Service AWS KMS key. Untuk informasi selengkapnya AWS KMS keys, lihat AWS Key Management Service Konsep di Panduan AWS Key Management Service Pengembang.

    Linux & macOS
    aws ssm put-parameter \
    --name "/Finance/Payroll/3l3vat3131" \
    --value "P@sSwW)rd" \
    --type "SecureString" \
    --overwrite \
    --policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
    Windows
    aws ssm put-parameter ^
    --name "/Finance/Payroll/3l3vat3131" ^
    --value "P@sSwW)rd" ^
    --type "SecureString" ^
    --overwrite ^
    --policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"

  3. Jalankan perintah berikut ini untuk memverifikasi detail parameter. Ganti parameter name dengan informasi Anda sendiri.

    Linux & macOS
    aws ssm describe-parameters  \
    --parameter-filters "Key=Name,Values=parameter name"
    Windows
    aws ssm describe-parameters  ^
    --parameter-filters "Key=Name,Values=parameter name"
penting

  • Parameter Store mempertahankan kebijakan untuk parameter hingga Anda menimpa kebijakan dengan kebijakan baru atau menghapus kebijakan.

  • Untuk menghapus semua kebijakan dari parameter yang ada, edit parameter dan terapkan kebijakan kosong dengan menggunakan kurung dan kurung kurawal. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri. Sebagai contoh:

    Linux & macOS
    aws ssm put-parameter \
    --name parameter name \
    --type parameter type  \
    --value 'parameter value' \
    --policies "[{}]"
    Windows
    aws ssm put-parameter ^
    --name parameter name ^
    --type parameter type  ^
    --value 'parameter value' ^
    --policies "[{}]"

  • Jika Anda menambahkan kebijakan baru ke parameter yang sudah memiliki kebijakan, maka Systems Manager akan menimpa kebijakan yang melekat pada parameter tersebut. Kebijakan yang ada dihapus. Jika Anda ingin menambahkan kebijakan baru untuk parameter yang sudah memiliki satu atau lebih kebijakan, salin dan tempel kebijakan asli, ketik kebijakan baru, dan kemudian simpan perubahan Anda.

Menambahkan kebijakan ke parameter yang ada (Alat untuk Windows PowerShell)

Gunakan prosedur berikut untuk menambahkan kebijakan ke parameter yang ada dengan menggunakan Alat untuk Windows PowerShell. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

Untuk menambahkan kebijakan ke parameter yang sudah ada

  1. Buka Tools untuk Windows PowerShell dan jalankan perintah berikut untuk menentukan kredensi Anda. Anda harus memiliki izin administrator di Amazon Elastic Compute Cloud EC2 (Amazon), atau Anda harus telah diberikan izin yang sesuai di AWS Identity and Access Management (IAM). 

    Set-AWSCredentials `
    –AccessKey access-key-name `
    –SecretKey secret-key-name

  2. Jalankan perintah berikut untuk mengatur Area untuk PowerShell yang tepat. Contoh ini menggunakan Region US East (Ohio) (us-east-2).

    Set-DefaultAWSRegion `
    -Region us-east-2

  3. Jalankan perintah berikut untuk menambahkan kebijakan ke sebuah parameter yang ada. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

    Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{policies-enclosed-in-brackets-and-curly-braces}]" `
    -Overwrite

    Berikut ini adalah contoh yang mencakup kebijakan kedaluwarsa yang menghapus parameter pada tengah malam (GMT) tanggal 13 Mei 2020. Contoh ini juga mencakup kebijakan notifikasi yang menghasilkan EventBridge peristiwa lima (5) hari sebelum parameter dihapus. Terakhir, contoh ini menyertakan kebijakan NoChangeNotification jika tidak ada perubahan yang dibuat untuk parameter ini setelah 60 hari. Contoh menggunakan nama yang dikaburkan (3l3vat3131) untuk kata sandi dan kata sandi. Kunci yang dikelola AWS

    Write-SSMParameter `
    -Name "/Finance/Payroll/3l3vat3131" `
    -Value "P@sSwW)rd" `
    -Type "SecureString" `
    -Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" `
    -Overwrite

  4. Jalankan perintah berikut ini untuk memverifikasi detail parameter. Ganti parameter name dengan informasi Anda sendiri.

    (Get-SSMParameterValue -Name "parameter name").Parameters
penting

  • Parameter Store mempertahankan kebijakan pada parameter hingga Anda menimpa kebijakan dengan kebijakan baru atau menghapus kebijakan tersebut.

  • Untuk menghapus semua kebijakan dari parameter yang ada, edit parameter dan terapkan kebijakan kosong dengan menggunakan kurung dan kurung kurawal. Sebagai contoh:

    Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{}]"

  • Jika Anda menambahkan kebijakan baru ke parameter yang sudah memiliki kebijakan, maka Systems Manager akan menimpa kebijakan yang melekat pada parameter tersebut. Kebijakan yang ada dihapus. Jika Anda ingin menambahkan kebijakan baru untuk parameter yang sudah memiliki satu atau lebih kebijakan, salin dan tempel kebijakan asli, ketik kebijakan baru, dan kemudian simpan perubahan Anda.