Assegnazione delle politiche dei parametri in Parameter Store - AWS Systems Manager
Aggiunta di policy a un parametro esistente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegnazione delle politiche dei parametri in Parameter Store

Le policy dei parametri aiutano a gestire un set di parametri crescente, consentendo di assegnare criteri specifici a un parametro, ad esempio una data di scadenza o il time-to-live. Le politiche relative ai parametri sono particolarmente utili per costringere l'utente ad aggiornare o eliminare le password e i dati di configurazione memorizzati in Parameter Store, uno strumento in AWS Systems Manager. Parameter Store offre i seguenti tipi di politiche: ExpirationExpirationNotification, eNoChangeNotification.

Nota

Per implementare i cicli di vita di rotazione delle password, utilizzare. AWS Secrets Manager Questo servizio permette di ruotare, gestire, e modificare facilmente credenziali di database, chiavi API e altri segreti in tutto il ciclo di vita tramite Secrets Manager. Per ulteriori informazioni, consulta Cos'è? AWS Secrets Manager nella Guida AWS Secrets Manager per l'utente.

Parameter Store applica le politiche relative ai parametri utilizzando scansioni periodiche asincrone. Dopo aver creato una politica, non è necessario eseguire azioni aggiuntive per applicarla. Parameter Store esegue in modo indipendente l'azione definita dalla politica in base ai criteri specificati.

Nota

Le policy dei parametri sono disponibili per i parametri che utilizzano il livello di parametri avanzati. Per ulteriori informazioni, consulta Gestione dei livelli dei parametri.

Una policy dei parametri è un array JSON, come illustrato nella seguente tabella. È possibile assegnare una politica quando si crea un nuovo parametro avanzato oppure applicare una politica aggiornando un parametro. Parameter Store supporta i seguenti tipi di politiche parametriche.

Policy Informazioni Esempi

Scadenza

Questa policy elimina il parametro. È possibile specificare una determinata data e ora utilizzando il formato ISO_INSTANT o ISO_OFFSET_DATE_TIME. Per modificare l'ora in cui eliminare il parametro, devi aggiornare la policy. L'aggiornamento di un parametro non influisce sulla data o l'ora di scadenza della policy associata. Quando vengono raggiunte la data e l'ora di scadenza, Parameter Store elimina il parametro.

Nota

In questo esempio viene utilizzato il formato ISO_INSTANT. È possibile anche specificare una data e un'ora utilizzando il formato ISO_OFFSET_DATE_TIME. Ecco un esempio: 2019-11-01T22:13:48.87+10:30:00 .

 
{
    "Type": "Expiration",
    "Version": "1.0",
    "Attributes": {
        "Timestamp": "2018-12-02T21:34:33.000Z"
    }
}

ExpirationNotification

Questa politica avvia un evento in Amazon EventBridge (EventBridge) che ti avvisa della scadenza. Utilizzando questa policy, è possibile ricevere le notifiche ore o giorni prima della scadenza.

 
{
    "Type": "ExpirationNotification",
    "Version": "1.0",
    "Attributes": {
        "Before": "15",
        "Unit": "Days"
    }
}

NoChangeNotification

Questa politica avvia un evento EventBridge se un parametro non è stato modificato per un periodo di tempo specificato. Questo tipo di policy è utile, ad esempio, quando una password deve essere modificata entro un determinato un periodo di tempo.

La policy stabilisce quando inviare una notifica leggendo l'attributo LastModifiedTime del parametro. Se si modifica un parametro, il sistema reimposta il periodo di tempo per la notifica in base al nuovo valore di LastModifiedTime.

 
{
    "Type": "NoChangeNotification",
    "Version": "1.0",
    "Attributes": {
        "After": "20",
        "Unit": "Days"
    }
}

È possibile assegnare più regole a un parametro. Ad esempio, è possibile assegnare Expiration ExpirationNotification policy in modo che il sistema avvii un EventBridge evento per avvisare l'utente dell'imminente eliminazione di un parametro. È possibile assegnare un massimo di 10 (dieci) policy a un parametro.

L'esempio seguente mostra la sintassi della richiesta per una richiesta PutParameterAPI che assegna quattro politiche a un nuovo parametro denominato. SecureString ProdDB3

{
    "Name": "ProdDB3",
    "Description": "Parameter with policies",
    "Value": "P@ssW*rd21",
    "Type": "SecureString",
    "Overwrite": "True",
    "Policies": [
        {
            "Type": "Expiration",
            "Version": "1.0",
            "Attributes": {
                "Timestamp": "2018-12-02T21:34:33.000Z"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "30",
                "Unit": "Days"
            }
        },
        {
            "Type": "ExpirationNotification",
            "Version": "1.0",
            "Attributes": {
                "Before": "15",
                "Unit": "Days"
            }
        },
        {
            "Type": "NoChangeNotification",
            "Version": "1.0",
            "Attributes": {
                "After": "20",
                "Unit": "Days"
            }
        }
    ]
}

Aggiunta di policy a un parametro esistente

Questa sezione include informazioni su come aggiungere politiche a un parametro esistente utilizzando la AWS Systems Manager console, il AWS Command Line Interface (AWS CLI) e. AWS Tools for Windows PowerShell Per informazioni su come creare un nuovo parametro che includa le policy, consulta Creazione Parameter Store parametri in Systems Manager.

Aggiungere policy a un parametro esistente utilizzando la console

Utilizza la procedura seguente per aggiungere policy a un parametro esistente utilizzando la console Systems Manager.

Per aggiungere policy a un parametro esistente

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Parameter Store.

  3. Scegliere l'opzione accanto al parametro da aggiornare per includere le policy, quindi selezionare Edit (Modifica).

  4. Scegli Advanced (Avanzato).

  5. (Facoltativo) Nella sezione Parameter policies (Policy dei parametri), scegliere Enabled (Abilitato). È possibile specificare una data di scadenza e una o più policy di notifica per il parametro.

  6. Scegli Save changes (Salva modifiche).

Importante

  • Parameter Store mantiene le politiche relative a un parametro finché non le sovrascrivi con nuove politiche o non le rimuovi.

  • Per rimuovere tutte le policy da un parametro esistente, modificare il parametro e applicare una policy vuota utilizzando parentesi quadre e parentesi graffe, come illustrato di seguito: [{}]

  • Se si aggiunge una nuova policy a un parametro che ha già delle policy, Systems Manager sovrascrive le policy associate al parametro. Le policy esistenti vengono eliminate. Per aggiungere una nuova policy a un parametro che già ne contiene alcune, copiare e incollare la policy originale, digitare quella nuova, quindi salvare le modifiche.

Aggiungere politiche a un parametro esistente utilizzando AWS CLI

Utilizza la procedura seguente per aggiungere policy a un parametro esistente utilizzando AWS CLI.

Per aggiungere policy a un parametro esistente

  1. Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.

    Per informazioni, consulta la pagina Installazione o aggiornamento della versione più recente di AWS CLI.

  2. Eseguire questo comando per aggiungere le policy a un parametro esistente. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm put-parameter   
    --name "parameter name" \
    --value 'parameter value' \
    --type parameter type \
    --overwrite \
    --policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
    Windows
    aws ssm put-parameter   
    --name "parameter name" ^
    --value 'parameter value' ^
    --type parameter type ^
    --overwrite ^
    --policies "[{policies-enclosed-in-brackets-and-curly-braces}]"

    Ecco un esempio che include una policy di scadenza che elimina il parametro dopo 15 giorni. L'esempio include anche una politica di notifica che genera un EventBridge evento cinque (5) giorni prima dell'eliminazione del parametro. Infine, include una policy NoChangeNotification se il parametro non viene modificato dopo 60 giorni. L'esempio usa un nome offuscato (3l3vat3131) per una password e una AWS KMS key AWS Key Management Service . Per ulteriori informazioni in merito AWS KMS keys, consulta AWS Key Management Service Concepts nella AWS Key Management Service Developer Guide.

    Linux & macOS
    aws ssm put-parameter \
    --name "/Finance/Payroll/3l3vat3131" \
    --value "P@sSwW)rd" \
    --type "SecureString" \
    --overwrite \
    --policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
    Windows
    aws ssm put-parameter ^
    --name "/Finance/Payroll/3l3vat3131" ^
    --value "P@sSwW)rd" ^
    --type "SecureString" ^
    --overwrite ^
    --policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"

  3. Utilizzare il comando seguente per verificare i dettagli del parametro. Sostituiscilo parameter name con le tue informazioni.

    Linux & macOS
    aws ssm describe-parameters  \
    --parameter-filters "Key=Name,Values=parameter name"
    Windows
    aws ssm describe-parameters  ^
    --parameter-filters "Key=Name,Values=parameter name"
Importante

  • Parameter Store mantiene le politiche relative a un parametro fino a quando non le sovrascrivi con nuove politiche o non le rimuovi.

  • Per rimuovere tutte le policy da un parametro esistente, modificare il parametro e applicare una policy vuota utilizzando parentesi quadre e parentesi graffe. Sostituisci ogni example resource placeholder con le tue informazioni. Per esempio:

    Linux & macOS
    aws ssm put-parameter \
    --name parameter name \
    --type parameter type  \
    --value 'parameter value' \
    --policies "[{}]"
    Windows
    aws ssm put-parameter ^
    --name parameter name ^
    --type parameter type  ^
    --value 'parameter value' ^
    --policies "[{}]"

  • Se si aggiunge una nuova policy a un parametro che ha già delle policy, Systems Manager sovrascrive le policy associate al parametro. Le policy esistenti vengono eliminate. Per aggiungere una nuova policy a un parametro che già ne contiene alcune, copiare e incollare la policy originale, digitare quella nuova, quindi salvare le modifiche.

Aggiungere criteri a un parametro esistente (Strumenti per Windows) PowerShell

Utilizzare la procedura seguente per aggiungere criteri a un parametro esistente utilizzando Tools for Windows PowerShell. Sostituisci ogni example resource placeholder con le tue informazioni.

Per aggiungere policy a un parametro esistente

  1. Apri Tools for Windows PowerShell ed esegui il comando seguente per specificare le tue credenziali. Devi disporre delle autorizzazioni di amministratore in Amazon Elastic Compute Cloud EC2 (Amazon) o devi aver ottenuto l'autorizzazione appropriata in AWS Identity and Access Management (IAM). 

    Set-AWSCredentials `
    –AccessKey access-key-name `
    –SecretKey secret-key-name

  2. Esegui il comando seguente per impostare la regione per la tua PowerShell sessione. L'esempio utilizza la regione Stati Uniti orientali (Ohio) (us-east-2).

    Set-DefaultAWSRegion `
    -Region us-east-2

  3. Eseguire questo comando per aggiungere le policy a un parametro esistente. Sostituisci ogni example resource placeholder con le tue informazioni.

    Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{policies-enclosed-in-brackets-and-curly-braces}]" `
    -Overwrite

    Ecco un esempio che include una policy di scadenza che elimina il parametro a mezzanotte (GMT) il 13 maggio 2020. L'esempio include anche una politica di notifica che genera un EventBridge evento cinque (5) giorni prima dell'eliminazione del parametro. Infine, include una policy NoChangeNotification se il parametro non viene modificato dopo 60 giorni. L'esempio usa un nome offuscato (3l3vat3131) per un parametro password e una Chiave gestita da AWS.

    Write-SSMParameter `
    -Name "/Finance/Payroll/3l3vat3131" `
    -Value "P@sSwW)rd" `
    -Type "SecureString" `
    -Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" `
    -Overwrite

  4. Utilizzare il comando seguente per verificare i dettagli del parametro. Sostituiscilo parameter name con le tue informazioni.

    (Get-SSMParameterValue -Name "parameter name").Parameters
Importante

  • Parameter Store mantiene le politiche relative a un parametro finché non le sovrascrivi con nuove politiche o non le rimuovi.

  • Per rimuovere tutte le policy da un parametro esistente, modificare il parametro e applicare una policy vuota utilizzando parentesi quadre e parentesi graffe. Ad esempio:

    Write-SSMParameter `
    -Name "parameter name" `
    -Value "parameter value" `
    -Type "parameter type" `
    -Policies "[{}]"

  • Se si aggiunge una nuova policy a un parametro che ha già delle policy, Systems Manager sovrascrive le policy associate al parametro. Le policy esistenti vengono eliminate. Per aggiungere una nuova policy a un parametro che già ne contiene alcune, copiare e incollare la policy originale, digitare quella nuova, quindi salvare le modifiche.