Utilizzo di parametri condivisi in Parameter Store - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di parametri condivisi in Parameter Store

La condivisione di parametri avanzati semplifica la gestione dei dati di configurazione in un ambiente con più account. È possibile archiviare e gestire centralmente i parametri e condividerli con altre persone Account AWS che devono farvi riferimento.

Parameter Store si integra con AWS Resource Access Manager (AWS RAM) per abilitare la condivisione avanzata dei parametri. AWS RAM è un servizio che consente di condividere risorse con altri Account AWS o tramite AWS Organizations.

Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Una condivisione di risorse specifica le risorse da condividere, le autorizzazioni da concedere e i consumatori con cui condividerle. I consumatori possono includere:

  • Specifico Account AWS all'interno o all'esterno della sua organizzazione in AWS Organizations

  • Un'unità organizzativa all'interno della propria organizzazione in AWS Organizations

  • La sua intera organizzazione in AWS Organizations

Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.

Questo argomento spiega come condividere i parametri di tua proprietà e come utilizzare i parametri condivisi con te.

Prerequisiti per la condivisione dei parametri

I seguenti prerequisiti devono essere soddisfatti prima di poter condividere i parametri dal tuo account:

  • Per condividere un parametro, devi possederlo nel tuo Account AWS. Non puoi condividere un parametro che è stato condiviso con te.

  • Per condividere un parametro, questo deve trovarsi nel livello dei parametri avanzati. Per informazioni sui livelli dei parametri, vedereGestione dei livelli dei parametri. Per informazioni sulla modifica di un parametro standard esistente in un parametro avanzato, vedereModifica di un parametro standard in un parametro avanzato.

  • Per condividere un SecureString parametro, è necessario crittografarlo con una chiave gestita dal cliente e condividere la chiave separatamente tramite AWS Key Management Service. Chiavi gestite da AWS non può essere condiviso. I parametri crittografati con l'impostazione predefinita Chiave gestita da AWS possono essere aggiornati per utilizzare invece una chiave gestita dal cliente. Per le definizioni AWS KMS chiave, consulta AWS KMS i concetti nella Guida per AWS Key Management Service gli sviluppatori.

  • Per condividere un parametro con la propria organizzazione o un'unità organizzativa in AWS Organizations, è necessario abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta Abilita la condivisione con AWS Organizations nella Guida per l'utente AWS RAM .

Condivisione di un parametro

Per condividere un parametro, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una AWS RAM risorsa che consente di condividere le risorse tra di loro Account AWS. Un condivisione di risorse specifica le risorse da condividere e i consumatori con cui sono condivise.

Quando condividi un parametro di tua proprietà con altri Account AWS, puoi scegliere tra due autorizzazioni AWS gestite da concedere ai consumatori. Per ulteriori informazioni, consulta Set di autorizzazioni per la condivisione dei parametri.

Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, puoi concedere ai consumatori dell'organizzazione l'accesso dalla AWS RAM console al parametro condiviso. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso al parametro condiviso dopo aver accettato l'invito.

Puoi condividere un parametro di tua proprietà utilizzando la AWS RAM console o il AWS CLI.

Nota

Sebbene sia possibile condividere un parametro utilizzando l'PutResourcePolicyAPIoperazione Systems Manager, consigliamo invece di utilizzare AWS Resource Access Manager (AWS RAM). Questo perché l'utilizzo PutResourcePolicy richiede il passaggio aggiuntivo di promozione del parametro a una condivisione di risorse standard utilizzando l' AWS RAM PromoteResourceShareCreatedFromPolicyAPIoperazione. In caso contrario, il parametro non verrà restituito dall'DescribeParametersAPIoperazione Systems Manager utilizzando l'--sharedopzione.

Per condividere un parametro di tua proprietà utilizzando la AWS RAM console

Vedi Creazione di una condivisione di risorse AWS RAM nella Guida AWS RAM per l'utente.

Effettuate le seguenti selezioni man mano che completate la procedura:

  • Nella pagina Passo 1, per Risorse, selezionateParameter Store Advanced Parameter, quindi selezionate la casella di ogni parametro nel livello dei parametri avanzati che desiderate condividere.

  • Nella pagina Passaggio 2, per Autorizzazioni gestite, scegliete l'autorizzazione da concedere ai consumatori, come descritto Set di autorizzazioni per la condivisione dei parametri più avanti in questo argomento.

Scegliete altre opzioni in base ai vostri obiettivi di condivisione dei parametri.

Per condividere un parametro di tua proprietà, utilizza il AWS CLI

Utilizzo dell'create-resource-sharecomando per aggiungere parametri a una nuova condivisione di risorse.

Utilizzo dell'associate-resource-sharecomando per aggiungere parametri a una condivisione di risorse esistente.

L'esempio seguente crea una nuova condivisione di risorse per condividere i parametri con i consumatori di un'organizzazione e di un singolo account.

aws ram create-resource-share \ --name "MyParameter" \ --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \ --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

Interrompi la condivisione di un parametro condiviso

Quando interrompi la condivisione di un parametro condiviso, l'account consumatore non può più accedere al parametro.

Per interrompere la condivisione di un parametro di tua proprietà, devi rimuoverlo dalla condivisione delle risorse. È possibile eseguire questa operazione utilizzando il Systems Manager console, AWS RAM console o AWS CLI.

Per interrompere la condivisione di un parametro di tua proprietà utilizzando la AWS RAM console

Vedi Aggiornare una condivisione di risorse AWS RAM nella Guida AWS RAM per l'utente.

Per interrompere la condivisione di un parametro di tua proprietà, utilizza il AWS CLI

Usa il disassociate-resource-sharecomando.

Identificazione dei parametri condivisi

I proprietari e i consumatori possono identificare i parametri condivisi utilizzando AWS CLI.

Per identificare i parametri condivisi utilizzando il AWS CLI

Per identificare i parametri condivisi utilizzando AWS CLI, è possibile scegliere tra il describe-parameters comando Systems Manager e il AWS RAM list-resources comando.

Quando si utilizza l'--sharedopzione condescribe-parameters, il comando restituisce i parametri condivisi con l'utente.

Di seguito è riportato un esempio:

aws ssm describe-parameters --shared

Accesso ai parametri condivisi

I consumatori possono accedere ai parametri condivisi utilizzando gli strumenti della riga di AWS comando e AWS SDKs. Per gli account consumer, i parametri condivisi con quell'account non sono inclusi nella pagina I miei parametri.

CLIEsempio: accesso ai dettagli dei parametri condivisi utilizzando il AWS CLI

Per accedere ai dettagli dei parametri condivisi utilizzando AWS CLI, è possibile utilizzare il get-parameter o get-parameterscomandi. È necessario specificare il parametro completo ARN come il --name per recuperare il parametro da un altro account.

Di seguito è riportato un esempio.

aws ssm get-parameter \ --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
Integrazioni supportate e non supportate per parametri condivisi

Attualmente, puoi utilizzare i parametri condivisi nei seguenti scenari di integrazione:

Gli scenari e i servizi integrati seguenti attualmente non supportano l'uso di parametri condivisi:

Set di autorizzazioni per la condivisione dei parametri

Gli account consumer ricevono l'accesso in sola lettura ai parametri che condividi con loro. Il consumatore non può aggiornare o eliminare il parametro. Il consumatore non può condividere il parametro con un terzo account.

Quando crei una condivisione di risorse AWS Resource Access Manager per condividere i tuoi parametri, puoi scegliere tra due set di autorizzazioni AWS gestite per concedere questo accesso in sola lettura:

AWSRAMDefaultPermissionSSMParameterReadOnly

Azioni consentite:DescribeParameters,, GetParameter GetParameters

AWSRAMPermissionSSMParameterReadOnlyWithHistory

Azioni consentite:DescribeParameters,GetParameter,GetParameters, GetParameterHistory

Quando segui i passaggi descritti in Creazione di una condivisione di risorse AWS RAM nella Guida per l'AWS RAM utente, scegli Parameter Store Advanced Parameters come tipo di risorsa e una di queste autorizzazioni gestite, a seconda che desideri che gli utenti visualizzino o meno la cronologia dei parametri.

Velocità effettiva massima per i parametri condivisi

Systems Manager limita il throughput massimo (transazioni al secondo) per GetParameter e GetParameters. operazioni. La velocità effettiva viene applicata a livello di account individuale. Pertanto, ogni account che utilizza un parametro condiviso può utilizzare il throughput massimo consentito senza essere influenzato da altri account. Per ulteriori informazioni sulla velocità effettiva massima per i parametri, consulta i seguenti argomenti:

Prezzi per parametri condivisi

La condivisione tra account è disponibile solo nel livello dei parametri avanzati. Per i parametri avanzati, vengono addebitati i costi al prezzo corrente per l'archiviazione e l'APIutilizzo di ciascun parametro avanzato. L'account proprietario viene addebitato per la memorizzazione del parametro avanzato. A qualsiasi account utente che effettua una API chiamata a un parametro avanzato condiviso viene addebitato l'utilizzo del parametro.

Ad esempio, se l'Account A crea un parametro avanzatoMyAdvancedParameter, a tale account vengono addebitati USD 0,05€ al mese per la memorizzazione del parametro.

L'account A viene quindi condiviso MyAdvancedParameter con l'account B e l'account C. Durante un mese, i tre account effettuano chiamate versoMyAdvancedParameter. La tabella seguente illustra i costi a cui sarebbero soggetti in base al numero di chiamate effettuate da ciascuno di essi.

Nota

Le tariffe riportate nella tabella seguente sono solo a scopo illustrativo. Per verificare i prezzi correnti, consulta la sezione AWS Systems Manager Prezzi per Parameter Store.

Account Numero di chiamate Costi
Account A (conto proprietario) 10.000 chiamate
  • Memorizzazione avanzata dei parametri per un mese: USD 0,05

  • 10.000 chiamate aMyAdvancedParameter: 0,05 USD

  • Totale: 0,10 USD

Conto B (conto di consumo) 20.000 chiamate
  • 20.000 chiamate aMyAdvancedParameter: 0.10 USD

  • Totale: 0,10 USD

Conto C (conto di consumo) 30.000 chiamate
  • 30.000 chiamate aMyAdvancedParameter: 0.15 USD

  • Totale: 0,15 USD

Accesso su più account per utenti chiusi Account AWS

Se il proprietario Account AWS di un parametro condiviso viene chiuso, tutti gli account di consumo perdono l'accesso al parametro condiviso. Se l'account proprietario viene riaperto entro 90 giorni dalla chiusura dell'account, gli account di consumo riacquistano l'accesso ai parametri precedentemente condivisi. Per ulteriori informazioni sulla riapertura di un conto durante il periodo successivo alla chiusura, consulta Accedere al conto Account AWS dopo averlo chiuso nella Guida di riferimento.AWS Account Management