• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Systems Manager Parameter Store
<a name="systems-manager-parameter-store"></a>

Parameter Store 提供安全的階層式儲存空間，進行組態資料管理和秘密管理。您可以存放密碼、資料庫字串、Amazon Machine Image (AMI) ID 和授權碼之類的資料做為參數值。您存放的值可以是純文字或加密資料。您可以使用您在建立參數時指定的唯一名稱，在您的指令碼、命令、SSM 文件，以及組態和自動化工作流程中參考 Systems Manager 參數。若要開始使用 Parameter Store，請開啟 [Systems Manager 主控台](https://console.aws.amazon.com//systems-manager/parameters)。在導覽窗格中，選擇 **Parameter Store**。

Parameter Store 也與 Secrets Manager 整合。您可以在使用其他已支援參考 Parameter Store 參數的 AWS 服務 時，擷取 Secrets Manager 秘密。如需詳細資訊，請參閱[從Parameter Store參數參考 AWS Secrets Manager 秘密](integration-ps-secretsmanager.md)。

**注意**  
若要實作密碼輪換生命週期，請使用 AWS Secrets Manager。您可以使用 Secrets Manager 在資料庫登入資料、API 金鑰和其他機密的整個生命週期輕鬆進行輪換、管理和擷取。如需詳細資訊，請參閱[什麼是 AWS Secrets Manager？](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) *AWS Secrets Manager 《 使用者指南*》中的 。

## Parameter Store 如何為我的組織帶來益處？
<a name="parameter-store-benefits"></a>

Parameter Store 提供這些好處：
+ 使用安全、可擴展的託管秘密管理服務 (無伺服器需要管理)。
+ 隔離您的資料與程式碼以改善您的安全態勢。
+ 將組態資料和加密字串存放在階層和追蹤版本中。
+ 以精密分級控制及稽核存取。
+ 可靠地存放參數，因為 Parameter Store 託管在 AWS 區域的多個可用區域中。

## 誰應該使用Parameter Store？
<a name="parameter-store-who"></a>
+ 任何想要以集中方式管理組態資料 AWS 的客戶。
+ 想要存放不同登入資料和參考串流的軟體開發人員。
+ 想要在其秘密和密碼發生變更或未變更時接收通知的系統管理員。

## Parameter Store 有哪些功能？
<a name="parameter-store-features"></a>
+ **變更通知**

  您可以同時為參數和參數政策設定變更通知和呼叫自動化動作。如需詳細資訊，請參閱[根據 Parameter Store 事件設定通知或觸發動作](sysman-paramstore-cwe.md)。
+ **組織參數**

  您可以單獨標記參數，以根據指派給參數的標籤協助您找出一或多個文件。例如，您可以為特定的環境或部門標記參數。
+ **標籤版本**

  您可以透過建立標籤來關聯參數版本的別名。如果參數有多個版本，標籤可協助您記住參數版本的目的。
+ **資料驗證**

  您可以建立指向 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的參數，Parameter Store 會驗證這些參數，以確保它參考預期的資源類型，確保該資源存在並且客戶具有使用資源的許可。例如，您可以建立具有 Amazon Machine Image (AMI) ID 的參數作為具有 `aws:ec2:image` 資料類型的值，Parameter Store 會執行非同步驗證操作，以確保參數值符合 AMI ID 的格式要求，並且指定的 AMI 在您的 AWS 帳戶中可用。
+ **參考秘密**

  Parameter Store 已與 整合， AWS Secrets Manager 因此在使用已支援參考Parameter Store參數 AWS 服務 的其他 時，您可以擷取 Secrets Manager 秘密。
+ **與其他帳戶共用參數**

  您可以選擇將組態資料集中在單一 中， AWS 帳戶 並與需要存取它們的其他帳戶共用參數。
+ **可從其他 存取 AWS 服務**

  您可以使用Parameter Store參數搭配其他 Systems Manager 工具 AWS 服務 ，以及從中央存放區擷取秘密和組態資料。參數可與 Systems Manager 工具搭配使用Run Command，例如 、自動化和 State Manager中的工具 AWS Systems Manager。您也可以在許多其他 中參考參數 AWS 服務，包括下列項目：
  + Amazon Elastic Compute Cloud (Amazon EC2)
  + Amazon Elastic Container Service (Amazon ECS)
  + AWS Secrets Manager
  + AWS Lambda
  + AWS CloudFormation
  + AWS CodeBuild
  + AWS CodePipeline
  + AWS CodeDeploy
+ **與其他 整合 AWS 服務**

  設定與下列項目的整合， AWS 服務 以進行加密、通知、監控和稽核：
  + AWS Key Management Service (AWS KMS)
  + Amazon Simple Notification Service (Amazon SNS)
  + Amazon CloudWatch：如需詳細資訊，請參閱 [為參數及參數政策設定 EventBridge](sysman-paramstore-cwe.md#cwe-parameter-changes)。
  + Amazon EventBridge：如需詳細資訊，請參閱 [使用 Amazon SNS 通知監控 Systems Manager 狀態變更](monitoring-sns-notifications.md) 和 [參考：Systems Manager 的 Amazon EventBridge 事件模式和類型](reference-eventbridge-events.md)。
  + AWS CloudTrail︰如需詳細資訊，請參閱 [使用 記錄 AWS Systems Manager API 呼叫 AWS CloudTrail](monitoring-cloudtrail-logs.md)。

## 什麼是參數？
<a name="what-is-a-parameter"></a>

Parameter Store 參數是儲存在 Parameter Store 中的任何資料片段，例如文字區塊、名稱清單、密碼、AMI ID、授權金鑰等。您可以集中、安全地在您的指令碼、命令和 SSM 文件中參考這項資料。

當您參考參數時，使用以下慣例來指定參數名稱：

\$1\$1`ssm:parameter-name`\$1\$1

**注意**  
不能在其他參數的值中參考或巢套參數。參數值中不能包含 `{{}}` 或 `{{ssm:parameter-name}}`。

Parameter Store支援三種參數：`String`、`StringList` 和 `SecureString`。

除了一個例外狀況，當您建立或更新參數時，將參數值輸入為純文字，並且 Parameter Store 不對輸入的文字執行驗證。但是，對於 `String` 參數，您可以將資料類型指定為 `aws:ec2:image`，而 Parameter Store 便會驗證您輸入的數值是否為 Amazon EC2 AMI 的正確格式；例如：`ami-12345abcdeEXAMPLE`。

### 參數類型：String
<a name="parameter-type-string"></a>

依預設，`String` 參數的值由您輸入的任何文字區塊組成。例如：
+ `abc123`
+ `Example Corp`
+ `<img src="images/bannerImage1.png"/>`

### 參數類型：StringList
<a name="parameter-type-stringlist"></a>

`StringList` 參數的值包含以逗號分隔的值清單，如下列範例所示。

`Monday,Wednesday,Friday`

`CSV,TSV,CLF,ELF,JSON`

### 參數類型：SecureString
<a name="parameter-type-securestring"></a>

`SecureString` 參數的值是需要以安全方式存放和參考的任何敏感資料。如果您有資料不希望使用者更改或以純文字參考，例如密碼或授權金鑰，請使用 `SecureString` 資料類型建立這些參數。

**重要**  
請勿在 `String` 或 `StringList` 參數中存放敏感資料。對於所有必須保持加密的敏感資料，請僅使用 `SecureString` 參數類型。  
如需詳細資訊，請參閱[使用 建立 SecureString 參數 AWS CLI](param-create-cli.md#param-create-cli-securestring)。

在以下情況中，我們建議使用 `SecureString` 參數。
+ 您想要跨 使用資料/參數， AWS 服務 而不在命令、函數、代理程式日誌或 CloudTrail 日誌中將值公開為純文字。
+ 您希望控制哪些使用者可以存取敏感資料。
+ 您希望能夠在敏感資料被存取時進行稽核 (CloudTrail)。
+ 您希望將敏感資料加密，而且您希望使用自己的加密金鑰來管理存取。

**重要**  
僅加密 `SecureString` 參數的*值*。參數名稱、說明和其他屬性不會加密。

您可以針對想要加密的文字資料使用 `SecureString` 參數類型，例如密碼、應用程式秘密、機密組態資料，或您想要保護的任何其他資料類型。 `SecureString` 資料會使用 AWS KMS 金鑰加密和解密。您可以使用 提供的預設 KMS 金鑰， AWS 或建立和使用您自己的金鑰 AWS KMS key。(如果想限制使用者對 `SecureString` 參數的存取，請使用您自己的 AWS KMS key 。如需詳細資訊，請參閱 [使用 AWS 預設金鑰和客戶受管金鑰的 IAM 許可](sysman-paramstore-access.md#ps-kms-permissions)。)

您也可以將`SecureString`參數與其他 參數搭配使用 AWS 服務。在下列範例中，Lambda 函數使用 [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) API 擷取 `SecureString` 參數。

```
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
```

**AWS KMS 加密和定價**  
如果您在建立`SecureString`參數時選擇 參數類型，Systems Manager 會使用 AWS KMS 來加密參數值。

**重要**  
Parameter Store 只支援[對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)。您無法使用[非對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)來加密您的參數。如需判斷 KMS 金鑰為對稱或非對稱的說明，請參閱《*AWS Key Management Service 開發人員指南*》中的[識別對稱鍵和非對稱金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)。

Parameter Store 建立`SecureString`參數無需支付 的費用，但使用 AWS KMS 加密的費用確實適用。如需相關資訊，請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing)。

如需 AWS 受管金鑰 和客戶受管金鑰的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。如需 Parameter Store和 AWS KMS 加密的詳細資訊，請參閱 [AWS Systems Manager Parameter Store如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)。

**注意**  
若要檢視 AWS 受管金鑰，請使用 AWS KMS `DescribeKey`操作。此 AWS Command Line Interface (AWS CLI) 範例使用 `DescribeKey` 來檢視 AWS 受管金鑰。  

```
aws kms describe-key --key-id alias/aws/ssm
```

**詳細資訊**  
+ [在 Parameter Store 中建立 SecureString 參數並將節點加入網域 (PowerShell)](sysman-param-securestring-walkthrough.md)
+ [使用 Parameter Store 安全地存取 CodeDeploy 中的秘密與組態資料](https://aws.amazon.com/blogs/mt/use-parameter-store-to-securely-access-secrets-and-config-data-in-aws-codedeploy/)
+ [關於 Amazon EC2 Systems Manager Parameter Store 的有趣文章](https://aws.amazon.com/blogs/mt/interesting-articles-on-ec2-systems-manager-parameter-store/)

## 參數大小限制
<a name="parameter-size-limits"></a>

根據您使用的參數層，Parameter Store 對參數值有不同的大小限制：
+ **標準參數**：值大小上限為 4 KB
+ **進階參數**：值大小上限為 8 KB

如果您需要存放大於 4 KB 的參數值，則必須使用進階參數層。進階參數提供額外的功能，但 AWS 您的帳戶會產生費用。如需有關參數層及不同層的具體特點的詳細資訊，請參閱[管理參數層](parameter-store-advanced-parameters.md)。

有關 Parameter Store 配額和限制的完整清單，請參閱 *AWS General Reference* 中的 [AWS Systems Manager endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#parameter-store)。