• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# Parameter Store での共有パラメータの使用
詳細パラメータを共有することで、マルチアカウント環境での設定データ管理が簡単になります。パラメータは、一元的に保存および管理し、これらのパラメータを参照する必要がある他の AWS アカウント と共有できます。
Parameter Store を AWS Resource Access Manager (AWS RAM) と統合することで、詳細パラメータの共有が可能になります。AWS RAM は、リソースを他の AWS アカウント と共有したり、AWS Organizations を介して共有したりできるようにするサービスです。
AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有では、共有するリソース、付与するアクセス許可、および共有先のコンシューマーを指定します。コンシューマーには以下が含まれます。
+ AWS Organizations の特定の AWS アカウント の組織の内部または外部
+ AWS Organizations の組織内の組織単位
+ AWS Organizations の組織全体
AWS RAM については *[AWS RAMユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)*を参照してください。
このトピックでは、所有しているパラメータの共有方法と、共有されているパラメータの使用方法を説明します。
**Topics**
+ [パラメータを共有するための前提条件](#prereqs)
+ [パラメータの共有](#share)
+ [共有パラメータの共有を停止する](#unshare)
+ [共有パラメータの特定](#identify)
+ [共有パラメータへのアクセス](#accessing)
+ [パラメータを共有するためのアクセス許可のセット](#sharing-permissions)
+ [共有パラメータの最大スループット](#throughput)
+ [共有パラメータの料金](#pricing)
+ [閉鎖された AWS アカウント に対するクロスアカウントアクセス](#closed-accounts)
## パラメータを共有するための前提条件
アカウントからパラメータを共有するには、次の前提条件が満たされている必要があります。
+ パラメータを共有するには、AWS アカウント でそのパラメータを所有している必要があります。共有を受けているパラメータを共有することはできません。
+ パラメータを共有するには、そのパラメータが詳細パラメータ階層に含まれている必要があります。パラメータ階層の詳細については、「[パラメータ層の管理](parameter-store-advanced-parameters.md)」を参照してください。既存の標準パラメータを詳細パラメータに変更する方法については、「[スタンダードパラメータをアドバンストパラメータに変更する](parameter-store-advanced-parameters.md#parameter-store-advanced-parameters-enabling)」を参照してください。
+ `SecureString` パラメータを共有するには、カスタマーマネージドキーで暗号化されている必要があります。また、キーは AWS Key Management Service を介して別途共有する必要があります。AWS マネージドキー を共有することはできません。ただし、デフォルトの AWS マネージドキー で暗号化されたパラメータを、カスタマーマネージドキーを使用するように更新することはできます。AWS KMS キー定義については、「AWS Key Management Service 開発者ガイド」の「[AWS KMS の概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」を参照してください。
+ 組織、または AWS Organizations 内の組織単位とパラメータを共有するには、AWS Organizations との共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「[Enable Sharing with AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」を参照してください。
## パラメータの共有
パラメータを共有するには、リソース共有に追加する必要があります。リソース共有とは、AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。
所有しているパラメータを他のAWS アカウントと共有する場合、2 つの AWS マネージドアクセス許可から選択してコンシューマーに付与できます。詳細については、「[パラメータを共有するためのアクセス許可のセット](#sharing-permissions)」を参照してください。
AWS Organizations の組織の一員であり、組織内での共有が有効になっている場合は、組織内のコンシューマーに AWS RAM コンソールから共有パラメータへのアクセス権を許可付与できます。これに該当しない場合、コンシューマーはリソース共有への参加の招待を受け取り、その招待を受け入れると、共有パラメータに対するアクセス権が付与されます。
AWS RAM コンソールまたは AWS CLI を使用して、所有しているパラメータを共有できます。
**注記**
Systems Manager の [PutResourcePolicy](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutResourcePolicy.html) API オペレーションを使用してパラメータを共有することもできますが、そうではなく AWS Resource Access Manager (AWS RAM) を使用することをお勧めします。これは、`PutResourcePolicy` を使用する場合、AWS RAM [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) API オペレーションを使用してパラメータを標準リソース共有にプロモートするという追加の手順が必要になるためです。そうしないと、`--shared` オプションを使用する Systems Manager の [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html) API オペレーションによってパラメータが返されません。
**AWS RAM コンソールを使用して、自身が所有するパラメータを共有するには**
「AWS RAM ユーザーガイド」の「[Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)」を参照してください。
以下の項目を選択し、手順を完了させてください。
+ ステップ 1 ページの **[リソース]** で `Parameter Store Advanced Parameter` を選択し、共有する詳細パラメータ階層の各パラメータのボックスを選択します。
+ ステップ 2 ページの **[マネージドアクセス許可]** で、このトピック後半の [パラメータを共有するためのアクセス許可のセット](#sharing-permissions) で説明されているように、コンシューマーに付与するアクセス許可を選択します。
パラメータ共有の目的に基づいてその他のオプションを選択します。
**AWS CLI を使用して、自身が所有するパラメータを共有するには**
[https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用して、新しいリソース共有にパラメータを追加します。
[https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html) コマンドを使用して、既存のリソース共有にパラメータを追加します。
次の例では、新しいリソース共有を作成して、組織内および個人アカウントのコンシューマーとパラメータを共有します。
```
aws ram create-resource-share \
--name "MyParameter" \
--resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
--principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"
```
## 共有パラメータの共有を停止する
共有パラメータの共有を停止すると、コンシューマーアカウントはそのパラメータにアクセスできなくなります。
所有しているパラメータの共有を停止するには、リソース共有から削除する必要があります。この操作は、Systems Manager コンソール、AWS RAM コンソール、または AWS CLI を使用して行うことができます。
**AWS RAM コンソールを使用して、所有しているパラメータの共有を停止するには**
「AWS RAM ユーザーガイド」の「[AWS RAM 内のリソース共有を更新する](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)」を参照してください。
**AWS CLI を使用して、所有しているパラメータの共有を停止するには**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) コマンドを使用します。
## 共有パラメータの特定
所有者とコンシューマーは、AWS CLI を使用して共有パラメータを特定できます。
**AWS CLI を使用して共有パラメータを特定するには**
AWS CLI を使用して共有パラメータを特定するには、Systems Manager `[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html)` コマンドと AWS RAM `[list-resources](https://docs.aws.amazon.com/cli/latest/reference/ram/list-resources.html)` コマンドから選択できます。
`--shared` オプションを `describe-parameters` とともに使用すると、コマンドは共有されているパラメータを返します。
以下に例を示します。
```
aws ssm describe-parameters --shared
```
## 共有パラメータへのアクセス
コンシューマーは、AWS コマンドラインツールと AWS SDK を使用して共有パラメータにアクセスできます。コンシューマーアカウントの場合、そのアカウントと共有されているパラメータは **[マイパラメータ]** ページには含まれません。
**CLI の例: AWS CLI を使用して共有パラメータの詳細にアクセスする**
AWS CLI を使用して共有パラメータの詳細にアクセスするには、[https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html) または [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html) コマンドを使用できます。別のアカウントからパラメータを取得するには、`--name` として完全なパラメータ ARN を指定する必要があります。
以下に例を示します。
```
aws ssm get-parameter \
--name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
```
**共有パラメータがサポートされている統合とサポートされていない統合**
現在、共有パラメータは次の統合シナリオで使用できます。
+ AWS CloudFormation [テンプレートパラメータ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html#aws-ssm-parameter-types)
+ [AWS パラメータとシークレットの Lambda 拡張機能](ps-integration-lambda-extensions.md)
+ [Amazon Elastic Compute Cloud (EC2) 起動テンプレート](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
+ Amazon Machine Image (AMI) からインスタンスを作成するための [EC2 RunInstances コマンド](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html)の `ImageID` の値
+ Systems Manager のツールである Automation 用の[ランブックのパラメータ値の取得](https://repost.aws/knowledge-center/systems-manager-parameter-store)
次のシナリオと統合サービスは、現在、共有パラメータの使用をサポートしていません。
+ Systems Manager のツールである Run Command の[コマンド内のパラメータ](sysman-param-runcommand.md)
+ AWS CloudFormation [動的参照](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)
+ AWS CodeBuild の[環境変数の値](https://docs.aws.amazon.com/codebuild/latest/userguide/build-spec-ref.html#build-spec.env.parameter-store)
+ AWS App Runner の[環境変数の値](https://docs.aws.amazon.com/apprunner/latest/dg/env-variable.html)
+ Amazon Elastic Container Service の[シークレットの値](https://docs.aws.amazon.com/AmazonECS/latest/userguide/secrets-envvar-ssm-paramstore.html)
## パラメータを共有するためのアクセス許可のセット
コンシューマーアカウントには、共有するパラメータへの読み取り専用アクセス権が付与されます。コンシューマーはパラメータの更新や削除ができません。コンシューマーはパラメータを第 3 のアカウントと共有できません。
AWS Resource Access Manager でリソース共有を作成してパラメータを共有する場合、2 つの AWS マネージドアクセス許可セットから選択して、この読み取り専用アクセスを許可できます。
**AWSRAMDefaultPermissionSSMParameterReadOnly**
実行可能なアクション: `DescribeParameters`、`GetParameter`、`GetParameters`
**AWSRAMPermissionSSMParameterReadOnlyWithHistory**
実行可能なアクション: `DescribeParameters`、`GetParameter`、`GetParameters`、`GetParameterHistory`
「AWS RAM ユーザーガイド」の「[Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)」のステップに従う場合は、リソースタイプとして `Parameter Store Advanced Parameters` を選択し、ユーザーがパラメータ履歴を表示するかどうかに応じて、これらのマネージドアクセス許可のいずれかを選択します。
**注記**
共有パラメータをプログラムで取得する場合 (例えば AWS Lambda を使用する)、AWS Resource Access Manager API アクションを呼び出す IAM ロールに `ssm:GetResourcePolicies` と `ssm:PutResourcePolicy` のアクセス許可を追加する必要がある場合があります。
## 共有パラメータの最大スループット
Systems Manager は、[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) オペレーションおよび [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) オペレーションの最大スループット (1 秒あたりのトランザクション数) を制限します。スループットは個々のアカウントレベルで適用されます。そのため、共有パラメータを使用する各アカウントは、他のアカウントの影響を受けずに、許容される最大スループットを使用できます。パラメータの最大スループットの詳細については、次のトピックを参照してください。
+ [Parameter Store スループットの向上](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-throughput.html)
+ Amazon Web Services 全般のリファレンス の [Systems Manager Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm)
## 共有パラメータの料金
アカウント間の共有は詳細パラメータ階層でのみ利用可能です。詳細パラメータについては、各詳細パラメータのストレージと API の使用量について、現在の価格で料金が発生します。所有しているアカウントには、詳細パラメータのストレージに対して課金されます。共有の詳細パラメータに API コールを行うコンシューマーアカウントには、そのパラメータの使用料が課金されます。
例えば、アカウント A が詳細パラメータ `MyAdvancedParameter` を作成した場合、そのアカウントにはパラメータの保管料として 1 か月あたり 0.05 USD が課金されます。
その後、アカウント A はアカウント B およびアカウント C と `MyAdvancedParameter` を共有します。1 か月の間に、3 つのアカウントが `MyAdvancedParameter` を呼び出すとします。次の表は、それぞれの呼び出し回数に対して発生する料金を示しています。
**注記**
次の表の料金は説明のみを目的としています。現在の料金を確認するには、「[Parameter Store に対する AWS Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store)」を参照してください。
| アカウント | 呼び出し回数 | 料金 |
| --- | --- | --- |
| アカウント A (所有アカウント) | 10,000 回の呼び出し | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| アカウント B (コンシューマーアカウント) | 20,000 回の呼び出し | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| アカウント C (コンシューマーアカウント) | 30,000 回の呼び出し | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
## 閉鎖された AWS アカウント に対するクロスアカウントアクセス
共有パラメータを所有する AWS アカウント が閉鎖されると、すべてのコンシューマーアカウントは共有パラメータにアクセスできなくなります。所有アカウントが閉鎖されてから 90 日以内にアカウントが再開されると、コンシューマーアカウントは以前に共有されていたパラメータに再びアクセスできるようになります。閉鎖後の期間中にアカウントを再開する方法の詳細については、「AWS アカウント管理 リファレンスガイド」の「[閉鎖後の AWS アカウント へのアクセス](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#accessing-after-closure)」を参照してください。