Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di parametri condivisi in Parameter Store
La condivisione di parametri avanzati semplifica la gestione dei dati di configurazione in un ambiente con più account. È possibile archiviare e gestire centralmente i parametri e condividerli con altre persone Account AWS che devono farvi riferimento.
Parameter Store si integra con AWS Resource Access Manager (AWS RAM) per abilitare la condivisione avanzata dei parametri. AWS RAM è un servizio che consente di condividere risorse con altri Account AWS o tramite AWS Organizations.
Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Una condivisione di risorse specifica le risorse da condividere, le autorizzazioni da concedere e i consumatori con cui condividerle. I consumatori possono includere:
-
Specifico Account AWS all'interno o all'esterno della sua organizzazione in AWS Organizations
-
Un'unità organizzativa all'interno della propria organizzazione in AWS Organizations
-
La sua intera organizzazione in AWS Organizations
Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.
Questo argomento spiega come condividere i parametri di tua proprietà e come utilizzare i parametri condivisi con te.
Indice
- Prerequisiti per la condivisione dei parametri
- Condivisione di un parametro
- Interrompi la condivisione di un parametro condiviso
- Identificazione dei parametri condivisi
- Accesso ai parametri condivisi
- Set di autorizzazioni per la condivisione dei parametri
- Velocità effettiva massima per i parametri condivisi
- Prezzi per parametri condivisi
- Accesso su più account per utenti chiusi Account AWS
Prerequisiti per la condivisione dei parametri
I seguenti prerequisiti devono essere soddisfatti prima di poter condividere i parametri dal tuo account:
-
Per condividere un parametro, devi possederlo nel tuo Account AWS. Non puoi condividere un parametro che è stato condiviso con te.
-
Per condividere un parametro, questo deve trovarsi nel livello dei parametri avanzati. Per informazioni sui livelli dei parametri, vedereGestione dei livelli dei parametri. Per informazioni sulla modifica di un parametro standard esistente in un parametro avanzato, vedereModifica di un parametro standard in un parametro avanzato.
-
Per condividere un
SecureString
parametro, è necessario crittografarlo con una chiave gestita dal cliente e condividere la chiave separatamente tramite AWS Key Management Service. Chiavi gestite da AWS non può essere condiviso. I parametri crittografati con l'impostazione predefinita Chiave gestita da AWS possono essere aggiornati per utilizzare invece una chiave gestita dal cliente. Per le definizioni AWS KMS chiave, consulta AWS KMS i concetti nella Guida per AWS Key Management Service gli sviluppatori. -
Per condividere un parametro con la propria organizzazione o un'unità organizzativa in AWS Organizations, è necessario abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta Abilita la condivisione con AWS Organizations nella Guida per l'utente AWS RAM .
Condivisione di un parametro
Per condividere un parametro, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una AWS RAM risorsa che consente di condividere le risorse tra di loro Account AWS. Un condivisione di risorse specifica le risorse da condividere e i consumatori con cui sono condivise.
Quando condividi un parametro di tua proprietà con altri Account AWS, puoi scegliere tra due autorizzazioni AWS gestite da concedere ai consumatori. Per ulteriori informazioni, consulta Set di autorizzazioni per la condivisione dei parametri.
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, puoi concedere ai consumatori dell'organizzazione l'accesso dalla AWS RAM console al parametro condiviso. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso al parametro condiviso dopo aver accettato l'invito.
Puoi condividere un parametro di tua proprietà utilizzando la AWS RAM console o il AWS CLI.
Nota
Sebbene sia possibile condividere un parametro utilizzando l'PutResourcePolicyAPIoperazione Systems Manager, consigliamo invece di utilizzare AWS Resource Access Manager
(AWS RAM). Questo perché l'utilizzo PutResourcePolicy
richiede il passaggio aggiuntivo di promozione del parametro a una condivisione di risorse standard utilizzando l' AWS RAM PromoteResourceShareCreatedFromPolicyAPIoperazione. In caso contrario, il parametro non verrà restituito dall'DescribeParametersAPIoperazione Systems Manager utilizzando l'--shared
opzione.
Per condividere un parametro di tua proprietà utilizzando la AWS RAM console
Vedi Creazione di una condivisione di risorse AWS RAM nella Guida AWS RAM per l'utente.
Effettuate le seguenti selezioni man mano che completate la procedura:
-
Nella pagina Passo 1, per Risorse, selezionate
Parameter Store Advanced Parameter
, quindi selezionate la casella di ogni parametro nel livello dei parametri avanzati che desiderate condividere. -
Nella pagina Passaggio 2, per Autorizzazioni gestite, scegliete l'autorizzazione da concedere ai consumatori, come descritto Set di autorizzazioni per la condivisione dei parametri più avanti in questo argomento.
Scegliete altre opzioni in base ai vostri obiettivi di condivisione dei parametri.
Per condividere un parametro di tua proprietà, utilizza il AWS CLI
Utilizzo dell'create-resource-sharecomando per aggiungere parametri a una nuova condivisione di risorse.
Utilizzo dell'associate-resource-sharecomando per aggiungere parametri a una condivisione di risorse esistente.
L'esempio seguente crea una nuova condivisione di risorse per condividere i parametri con i consumatori di un'organizzazione e di un singolo account.
aws ram create-resource-share \ --name "MyParameter" \ --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \ --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"
Interrompi la condivisione di un parametro condiviso
Quando interrompi la condivisione di un parametro condiviso, l'account consumatore non può più accedere al parametro.
Per interrompere la condivisione di un parametro di tua proprietà, devi rimuoverlo dalla condivisione delle risorse. È possibile eseguire questa operazione utilizzando il Systems Manager console, AWS RAM console o AWS CLI.
Per interrompere la condivisione di un parametro di tua proprietà utilizzando la AWS RAM console
Vedi Aggiornare una condivisione di risorse AWS RAM nella Guida AWS RAM per l'utente.
Per interrompere la condivisione di un parametro di tua proprietà, utilizza il AWS CLI
Usa il disassociate-resource-sharecomando.
Identificazione dei parametri condivisi
I proprietari e i consumatori possono identificare i parametri condivisi utilizzando AWS CLI.
Per identificare i parametri condivisi utilizzando il AWS CLI
Per identificare i parametri condivisi utilizzando AWS CLI, è possibile scegliere tra il describe-parameters
comando Systems Manager e il AWS RAM
list-resources
comando.
Quando si utilizza l'--shared
opzione condescribe-parameters
, il comando restituisce i parametri condivisi con l'utente.
Di seguito è riportato un esempio:
aws ssm describe-parameters --shared
Accesso ai parametri condivisi
I consumatori possono accedere ai parametri condivisi utilizzando gli strumenti della riga di AWS comando e AWS SDKs. Per gli account consumer, i parametri condivisi con quell'account non sono inclusi nella pagina I miei parametri.
CLIEsempio: accesso ai dettagli dei parametri condivisi utilizzando il AWS CLI
Per accedere ai dettagli dei parametri condivisi utilizzando AWS CLI, è possibile utilizzare il get-parameter o get-parameterscomandi. È necessario specificare il parametro completo ARN come il --name
per recuperare il parametro da un altro account.
Di seguito è riportato un esempio.
aws ssm get-parameter \ --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
Integrazioni supportate e non supportate per parametri condivisi
Attualmente, puoi utilizzare i parametri condivisi nei seguenti scenari di integrazione:
-
AWS CloudFormation parametri del modello
-
L'estensione Lambda AWS Parameters and Secrets
-
Valori per
ImageID
con il EC2 RunInstances comando per creare istanze da un Amazon Machine Image (AMI) -
Recupero dei valori dei parametri nei runbook
for Automation, una funzionalità di Systems Manager
Gli scenari e i servizi integrati seguenti attualmente non supportano l'uso di parametri condivisi:
-
Parametri nei comandi in Run Command, una funzionalità di Systems Manager
-
AWS CloudFormation riferimenti dinamici
-
I valori delle variabili di ambiente in AWS CodeBuild
-
I valori delle variabili di ambiente in AWS App Runner
-
Il valore di un segreto in Amazon Elastic Container Service
Set di autorizzazioni per la condivisione dei parametri
Gli account consumer ricevono l'accesso in sola lettura ai parametri che condividi con loro. Il consumatore non può aggiornare o eliminare il parametro. Il consumatore non può condividere il parametro con un terzo account.
Quando crei una condivisione di risorse AWS Resource Access Manager per condividere i tuoi parametri, puoi scegliere tra due set di autorizzazioni AWS gestite per concedere questo accesso in sola lettura:
- AWSRAMDefaultPermissionSSMParameterReadOnly
-
Azioni consentite:
DescribeParameters
,,GetParameter
GetParameters
- AWSRAMPermissionSSMParameterReadOnlyWithHistory
-
Azioni consentite:
DescribeParameters
,GetParameter
,GetParameters
,GetParameterHistory
Quando segui i passaggi descritti in Creazione di una condivisione di risorse AWS RAM nella Guida per l'AWS RAM utente, scegli Parameter Store Advanced
Parameters
come tipo di risorsa e una di queste autorizzazioni gestite, a seconda che desideri che gli utenti visualizzino o meno la cronologia dei parametri.
Velocità effettiva massima per i parametri condivisi
Systems Manager limita il throughput massimo (transazioni al secondo) per GetParameter e GetParameters. operazioni. La velocità effettiva viene applicata a livello di account individuale. Pertanto, ogni account che utilizza un parametro condiviso può utilizzare il throughput massimo consentito senza essere influenzato da altri account. Per ulteriori informazioni sulla velocità effettiva massima per i parametri, consulta i seguenti argomenti:
-
Quote del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Prezzi per parametri condivisi
La condivisione tra account è disponibile solo nel livello dei parametri avanzati. Per i parametri avanzati, vengono addebitati i costi al prezzo corrente per l'archiviazione e l'APIutilizzo di ciascun parametro avanzato. L'account proprietario viene addebitato per la memorizzazione del parametro avanzato. A qualsiasi account utente che effettua una API chiamata a un parametro avanzato condiviso viene addebitato l'utilizzo del parametro.
Ad esempio, se l'Account A crea un parametro avanzatoMyAdvancedParameter
, a tale account vengono addebitati USD 0,05€ al mese per la memorizzazione del parametro.
L'account A viene quindi condiviso MyAdvancedParameter
con l'account B e l'account C. Durante un mese, i tre account effettuano chiamate versoMyAdvancedParameter
. La tabella seguente illustra i costi a cui sarebbero soggetti in base al numero di chiamate effettuate da ciascuno di essi.
Nota
Le tariffe riportate nella tabella seguente sono solo a scopo illustrativo. Per verificare i prezzi correnti, consulta la sezione AWS Systems Manager Prezzi per Parameter Store
Account | Numero di chiamate | Costi |
---|---|---|
Account A (conto proprietario) | 10.000 chiamate |
|
Conto B (conto di consumo) | 20.000 chiamate |
|
Conto C (conto di consumo) | 30.000 chiamate |
|
Accesso su più account per utenti chiusi Account AWS
Se il proprietario Account AWS di un parametro condiviso viene chiuso, tutti gli account di consumo perdono l'accesso al parametro condiviso. Se l'account proprietario viene riaperto entro 90 giorni dalla chiusura dell'account, gli account di consumo riacquistano l'accesso ai parametri precedentemente condivisi. Per ulteriori informazioni sulla riapertura di un conto durante il periodo successivo alla chiusura, consulta Accedere al conto Account AWS dopo averlo chiuso nella Guida di riferimento.AWS Account Management