• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Intégration avec Services AWS
Grâce aux documents de commande de Systems Manager (documents SSM) et aux runbooks d'automatisation, vous pouvez les utiliser AWS Systems Manager pour les intégrer à. Services AWS Pour plus d’information sur ces ressources, consultez [AWS Systems Manager Documents](documents.md).
Systems Manager est intégré aux éléments suivants Services AWS.
## Calcul
| | |
| --- |--- |
| Amazon Elastic Compute Cloud (Amazon EC2) | [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/) offre une capacité de calcul évolutive dans le AWS Cloud. L'utilisation d'Amazon EC2 vous dispense d'investir à l'avance dans du matériel et, par conséquent, vous pouvez développer et déployer les applications plus rapidement. Vous pouvez utiliser Amazon EC2 pour lancer autant de serveurs virtuels que nécessaire, configurer la sécurité et les réseaux, et gérer le stockage. Systems Manager vous permet d'effectuer plusieurs tâches sur des instances EC2. Par exemple, vous pouvez lancer, configurer, gérer, maintenir et dépanner vos instances EC2, et vous y connecter en toute sécurité. Vous pouvez également utiliser Systems Manager pour déployer des logiciels, déterminer le statut de conformité et collecter l'inventaire de vos instances EC2. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| Amazon EC2 Auto Scaling | [Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/) vous permet de vous assurer que vous disposez du bon nombre d'instances EC2 disponibles pour gérer votre charge applicative. Vous créez des ensembles d'instances EC2, appelés groupes Auto Scaling. Systems Manager vous permet d'automatiser les procédures courantes, telles que l'application de correctifs Amazon Machine Image (AMI) utilisée dans votre modèle Auto Scaling pour votre groupe Auto Scaling. En savoir plus [Mise à jour d'AMIs pour des groupes Auto Scaling](automation-tutorial-update-patch-windows-ami-autoscaling.md) |
| Amazon Elastic Container Service (Amazon ECS) | [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/) est un service de gestion de conteneurs hautement évolutif et rapide, qui permet d'exécuter, d'arrêter et de gérer facilement des conteneurs Docker sur un cluster. Systems Manager vous permet de gérer des instances de conteneur à distance et d’injecter des données sensibles dans vos conteneurs, en stockant vos données sensibles dans des paramètres de Parameter Store, un outil de Systems Manager, puis en les référençant dans votre définition de conteneur. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS Lambda | [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/) est un service de calcul qui vous permet d'exécuter du code sans devoir approvisionner ou gérer des serveurs. Lambda exécute le code uniquement lorsque cela est nécessaire et se met à l'échelle automatiquement, qu'il s'agisse de quelques requêtes par jour ou de milliers de requêtes par seconde. Systems Manager vous permet d'utiliser des fonctions Lambda dans le contenu du runbook Automation grâce à l'action `aws:invokeLambdaFunction`. Pour utiliser les paramètres des AWS Lambda fonctions Parameter Store in, vous pouvez utiliser l'extension Lambda AWS Parameters and Secrets pour récupérer les valeurs des paramètres et les mettre en cache pour une utilisation future. En savoir plus [Mettez à jour un golden AMI à l'aide de l'automatisation AWS Lambda, et Parameter Store](automation-tutorial-update-patch-golden-ami.md) [Utilisation de Parameter Store paramètres dans les AWS Lambda fonctions](ps-integration-lambda-extensions.md) |
## Internet des objets (IoT)
| | |
| --- |--- |
| AWS IoT Greengrass appareils principaux | [AWS IoT Greengrass](https://docs.aws.amazon.com/greengrass/v2/developerguide/) est un environnement d'exécution IoT Edge open source ainsi qu'un service cloud qui vous permet de créer, déployer et gérer des applications IoT sur vos appareils. Systems Manager offre un support natif pour les AWS IoT Greengrass principaux appareils. En savoir plus [Gestion des appareils de périphérie avec Systems Manager](systems-manager-setting-up-edge-devices.md) |
| AWS IoT appareils principaux | [AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/)fournit les services cloud qui connectent vos appareils IoT à d'autres appareils et services AWS cloud. AWS IoT fournit un logiciel qui peut vous aider à intégrer vos appareils IoT dans des solutions AWS IoT basées sur ces appareils. Si vos appareils peuvent se connecter à AWS IoT, AWS IoT vous pouvez les connecter aux services cloud qui les AWS fournissent. Systems Manager prend en charge les appareils AWS IoT principaux tant que ces appareils sont configurés en tant que *nœuds gérés* dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). En savoir plus [Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager](systems-manager-hybrid-multicloud.md) |
## Stockage
| | |
| --- |--- |
| Amazon Simple Storage Service (Amazon S3) | [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/) est un service de stockage pour Internet. Il est conçu pour faciliter l'informatique à l'échelle d'Internet pour les développeurs. Amazon S3 offre une interface simple de services web qui vous permet de stocker et de récupérer n'importe quelle quantité de données, à tout moment, de n'importe où sur Internet. Systems Manager vous permet d'exécuter des scripts distants et des documents SSM stockés dans Amazon S3. Distributor, un outil dans AWS Systems Manager, utilise Amazon S3 pour stocker des packages. Vous pouvez également envoyer une sortie vers Amazon S3 pour Run Command et Session Manager, des outils d’ AWS Systems Manager. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## Outils pour développeurs
| | |
| --- |--- |
| AWS CodeBuild | [CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/)est un service de création entièrement géré dans le cloud. CodeBuild compile votre code source, exécute des tests unitaires et produit des artefacts prêts à être déployés. CodeBuild élimine le besoin de provisionner, de gérer et de dimensionner vos propres serveurs de construction. Parameter Store vous permet de stocker des informations sensibles pour vos spécifications et vos projets de création. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS CDK | AWS Cloud Development Kit (AWS CDK) Il s'agit d'un framework permettant de définir l'infrastructure cloud sous forme de code, avec des langages de programmation, et de la déployer via AWS CloudFormation. Application Manager vous permet de visualiser vos constructions CDK regroupées en applications, de visualiser la structure de l'application, y compris les ressources sous-jacentes, de consulter les alertes, d'étudier et de résoudre les problèmes opérationnels, et de suivre les coûts dans la console Application Manager. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## Sécurité, identité et conformité
| | |
| --- |--- |
| Gestion des identités et des accès AWS (JE SUIS) | [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Vous pouvez utiliser IAM pour contrôler les personnes qui s’authentifient (sont connectées) et sont autorisées (disposent d’autorisations) à utiliser des ressources. Systems Manager vous permet de contrôler l'accès aux services en utilisant IAM. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS Secrets Manager | [Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/) facilite la gestion des secrets. Les secrets peuvent être des informations d'identification de base de données, des mots de passe, des clés d'API tierces et même un texte arbitraire. Parameter Store vous permet de récupérer les secrets de Secrets Manager lors de l'utilisation d'autres Services AWS qui prennent déjà en charge les références aux paramètres Parameter Store. En savoir plus [Référencement de AWS Secrets Manager secrets à partir de paramètres Parameter Store](integration-ps-secretsmanager.md) |
| AWS Security Hub CSPM | [Security Hub CSPM](https://docs.aws.amazon.com//securityhub/latest/userguide/what-is-securityhub.html) vous donne une vue complète de vos alertes de sécurité prioritaires et de l'état de conformité de l'ensemble. Comptes AWS Security Hub CSPM regroupe, organise et hiérarchise vos alertes de sécurité, ou résultats, parmi plusieurs. Services AWS Lorsque vous activez l'intégration entre Security Hub CSPM et un outil intégré Patch Manager AWS Systems Manager, Security Hub CSPM surveille l'état des correctifs de vos flottes du point de vue de la sécurité. Les détails de conformité des correctifs sont automatiquement exportés vers Security Hub CSPM. Cela vous permet d'utiliser une vue unique pour surveiller de manière centralisée le statut de conformité de vos correctifs et suivre d'autres résultats liés à la sécurité. Vous pouvez recevoir des alertes lorsque les nœuds de votre parc ne sont plus conformes aux correctifs et consulter les résultats de conformité des correctifs dans la console Security Hub CSPM. Vous pouvez également intégrer Security Hub CSPM à Explorer et OpsCenter des outils dans. AWS Systems Manager L'intégration à Security Hub CSPM vous permet de recevoir les résultats de Security Hub CSPM dans et. Explorer OpsCenter Les résultats du Security Hub CSPM fournissent des informations de sécurité que vous pouvez utiliser OpsCenter pour agréger et prendre des mesures concernant vos problèmes de sécurité, de performance et opérationnels. Explorer AWS Systems Manager L'utilisation de Security Hub CSPM est payante. Pour plus d'informations, consultez la section [Tarification de Security Hub CSPM.](https://aws.amazon.com/security-hub/pricing/) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## Chiffrement et ICP
| | |
| --- |--- |
| AWS Key Management Service (AWS KMS) | [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/) est un service géré qui vous permet de créer de contrôler les clés de chiffrement utilisées pour chiffrer vos données. Systems Manager vous permet de AWS KMS créer des `SecureString` paramètres et de chiffrer les données de Session Manager session. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## Gestion et gouvernance
| | |
| --- |--- |
| AWS CloudFormation | [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) est un service qui vous permet de modéliser et de configurer vos ressources Amazon Web Services de sorte que vous puissiez passer moins de temps à gérer ces ressources et consacrer plus de temps à vos applications exécutées dans AWS. Parameter Store est une source de références dynamiques. Les références dynamiques constituent un moyen compact et puissant de spécifier des valeurs externes qui sont stockées et gérées dans d'autres services dans vos modèles de CloudFormation pile. En savoir plus [Utilisation de références dynamiques pour spécifier les valeurs de modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html) |
| AWS CloudTrail | [CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)est un outil Service AWS qui vous aide à autoriser la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre entreprise Compte AWS. Les actions entreprises par un utilisateur, un rôle ou un Service AWS sont enregistrées sous forme d'événements dans CloudTrail. Les événements incluent les mesures prises dans les AWS Management Console, AWS Command Line Interface (AWS CLI) AWS SDKs et APIs. Systems Manager s'intègre CloudTrail et capture la plupart des appels d'API Systems Manager sous forme d'événements. Il s'agit notamment des appels d'API initiés depuis la console Systems Manager et des appels adressés au Systems Manager APIs. En savoir plus [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md) |
| Amazon CloudWatch Logs | [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/) vous permet de centraliser les journaux de tous vos systèmes, applications et applications Services AWS que vous utilisez. Vous pouvez ensuite les afficher, effectuer des recherches sur des codes d'erreur ou des motifs spécifiques, les filtrer en fonction de champs particuliers ou les archiver en toute sécurité pour une analyse ultérieure. Systems Manager prend en charge l'envoi de journaux pour SSM AgentRun Command, et Session Manager vers CloudWatch Logs. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| Amazon EventBridge | [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/)fournit un flux d'événements système en temps quasi réel qui décrit les modifications apportées aux ressources Amazon Web Services. À l'aide de règles simples que vous pouvez configurer rapidement, vous pouvez associer des événements et les acheminer vers une ou plusieurs fonctions ou flux cibles. EventBridge prend connaissance des changements opérationnels au fur et à mesure qu'ils se produisent. EventBridge répond à ces changements opérationnels et prend les mesures correctives nécessaires. Ces actions comprennent l'envoi de messages en réponse à l'environnement, l'activation de fonctions et la capture d'informations d'état. Systems Manager propose plusieurs événements pris en charge en vous EventBridge permettant de prendre des mesures en fonction du contenu de ces événements. En savoir plus [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md) Amazon EventBridge est le moyen préféré pour gérer vos événements. CloudWatch Les événements et la même API EventBridge constituent le même service sous-jacent et la même API, mais EventBridge offrent davantage de fonctionnalités. Les modifications que vous apportez dans l'une CloudWatch ou l'autre console ou EventBridge sont répercutées dans chaque console. Pour plus d'informations, consultez le [https://docs.aws.amazon.com/eventbridge/](https://docs.aws.amazon.com/eventbridge/). |
| AWS Config | [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/)fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Cela comprend la façon dont les ressources sont interreliées et leur configuration. Vous pouvez ainsi suivre l'évolution des configurations et des relations dans le temps. Systems Manager est intégré et fournit plusieurs règles qui vous aident à gagner en visibilité sur vos instances EC2. AWS Config Ces règles vous permettent d'identifier les instances EC2 gérées par Systems Manager, les configurations du système d'exploitation, les mises à jour au niveau système, les applications installées, les configurations réseau, etc. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS Trusted Advisor | [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) est un outil en ligne qui vous fournit des conseils en temps réel sur l'approvisionnement de vos ressources selon les bonnes pratiques AWS . Systems Manager héberge Trusted Advisor et vous pouvez y consulter Trusted Advisor les donnéesExplorer. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS Organizations | [Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) est un service de gestion de comptes qui vous permet de consolider plusieurs comptes au Comptes AWS sein d'une organisation que vous créez et gérez de manière centralisée. Organizations inclut des capacités de facturation consolidée et de gestion de compte vous aidant à satisfaire les besoins budgétaires, de sécurité et de conformité de votre entreprise. L’intégration à Organizations de [Change Manager](change-manager.md), un outil d’ AWS Systems Manager permet d’utiliser un compte administrateur délégué pour gérer les demandes de modifications, les modèles de modifications et les approbations à l’échelle de votre organisation via ce compte unique. Organisations : intégration à [Inventory](systems-manager-inventory.md), un outil intégré AWS Systems Manager, [Explorer](Explorer.md)qui vous permet d'agréger les données d'inventaire et d'opérations (OpsData) à partir de plusieurs Régions AWS et Comptes AWS. L'intégration entreQuick Setup, un outil dans AWS Systems Manager et Organizations automatise les tâches courantes de configuration des services et déploie des configurations de service basées sur les meilleures pratiques au sein de vos unités organisationnelles ()OUs. |
## Réseau et diffusion de contenu
| | |
| --- |--- |
| AWS PrivateLink | [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)vous permet de connecter en privé votre cloud privé virtuel (VPC) aux services de point de terminaison VPC pris en charge et aux services de point de terminaison Services AWS VPC sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. Direct Connect Systems Manager prend en charge les nœuds gérés qui se connectent à Systems Manager à APIs l'aide de AWS PrivateLink. Cela améliore le niveau de sécurité de vos nœuds gérés, AWS PrivateLink car tout le trafic réseau entre vos nœuds gérés, Systems Manager et Amazon EC2 est limité au réseau Amazon. Autrement dit, les nœuds gérés n'ont pas besoin d'avoir accès à Internet. En savoir plus [Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager](setup-create-vpc.md) |
## Analyse
| | |
| --- |--- |
| Amazon Athena | [Athena](https://docs.aws.amazon.com/athena/latest/ug/) est un service de requêtes interactif qui vous permet d'analyser des données directe dans Amazon Simple Storage Service (Amazon S3) via la syntaxe SQL standard. En effectuant quelques actions AWS Management Console, vous pouvez pointer Athena vers vos données stockées dans Amazon S3 et commencer à utiliser le SQL standard pour exécuter des requêtes ponctuelles et obtenir des résultats en quelques secondes. Systems Manager Inventory s'intègre à Athena pour vous aider à interroger les données d'inventaire provenant de plusieurs Régions AWS et. Comptes AWS Grâce à l'utilisation de la synchronisation des données de ressources, l'intégration Athena vous permet de consulter les données d'inventaire de tous les nœuds gérés sur la page **Detailed View (Vue détaillée)** de la console Systems Manager Inventory. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
| AWS Glue | [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/) est un service d'extraction, de transformation et de chargement (ETL) entièrement géré qui facilite et rend abordable le classement par catégorie, le nettoyage, l'enrichissement et le déplacement des données de manière fiable entre différents flux de données et banques de données. Systems Manager analyse AWS Glue les données d'inventaire de votre compartiment S3. En savoir plus [Interrogation des données d'inventaire à partir de plusieurs régions et comptes](systems-manager-inventory-query.md) |
| Amazon Quick | [Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html) est un service d'analyse commerciale que vous pouvez utiliser pour créer des visualisations, effectuer des analyses ponctuelles et obtenir des informations commerciales à partir de vos données. Il peut identifier des sources de données AWS automatiquement et fonctionne également avec les vôtres. La synchronisation des données de ressources Systems Manager envoie les données d'inventaire collectées à partir de tous vos nœuds gérés vers un seul compartiment S3. Vous pouvez utiliser Quick pour interroger et analyser les données agrégées. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## Intégration des applications
| | |
| --- |--- |
| Amazon Simple Notification Service (Amazon SNS) | [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) est un service web qui coordonne et gère la mise à disposition ou l'envoi de messages à des clients ou à des points de terminaison abonnés. Systems Manager génère des statuts pour plusieurs services qui peuvent être capturés par les notifications Amazon SNS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/integrations-aws.html) |
## AWS Management Console
| | |
| --- |--- |
| Groupes de ressources AWS | [Les Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/) organisent vos AWS ressources. Les groupes de ressources facilitent la gestion, le contrôle et l'automatisation des tâches simultanément sur un grand nombre de ressources. Des ressources Systems Manager telles que des nœuds gérés, des documents SSM, des fenêtres de maintenance, des paramètres Parameter Store et des référentiels de correctifs, peuvent être ajoutées à des groupes de ressources. En savoir plus [Présentation de Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html) |
**Topics**
+ [Calcul](#integrations-aws-compute)
+ [Internet des objets (IoT)](#integrations-aws-IoT)
+ [Stockage](#integrations-aws-productgroup)
+ [Outils pour développeurs](#integrations-aws-developer-tools)
+ [Sécurité, identité et conformité](#integrations-aws-security-identify-compliance)
+ [Chiffrement et ICP](#integrations-aws-cryptography-pki)
+ [Gestion et gouvernance](#integrations-aws-management-governance)
+ [Réseau et diffusion de contenu](#integrations-aws-networking-content-delivery)
+ [Analyse](#integrations-aws-analytics)
+ [Intégration des applications](#integrations-aws-application-integration)
+ [AWS Management Console](#integrations-aws-management-console)
+ [Exécution de scripts à partir d'Amazon S3](integration-s3.md)
+ [Référencement de AWS Secrets Manager secrets à partir de paramètres Parameter Store](integration-ps-secretsmanager.md)
+ [AWS KMS chiffrement des Parameter Store SecureString paramètres](secure-string-parameter-kms-encryption.md)
+ [Utiliser des secrets AWS Secrets Manager dans Amazon Elastic Kubernetes Service](integrate_eks.md)
+ [Utilisation de Parameter Store paramètres dans les AWS Lambda fonctions](ps-integration-lambda-extensions.md)
# Exécution de scripts à partir d'Amazon S3
Cette section décrit le téléchargement et l'exécution de scripts à partir d'Amazon Simple Storage Service (Amazon S3). La rubrique suivante comprend des informations et une terminologie relatives à Amazon S3. Pour en savoir plus sur Amazon S3, consultez [Qu’est-ce qu’Amazon S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) Vous pouvez exécuter différents types de scripts, notamment Ansible Playbooks, Python, Ruby, Shell et. PowerShell
Vous pouvez également télécharger un répertoire contenant plusieurs scripts. Lorsque vous exécutez le script principal dans le répertoire, tous les scripts référencés inclus dans le répertoire sont AWS Systems Manager également exécutés.
Notez les informations importantes suivantes relatives à l'exécution de scripts à partir d'Amazon S3 :
+ Systems Manager ne vérifie pas que le script est à même de s'exécuter sur un nœud. Avant de télécharger et d'exécuter le script, vérifiez que le logiciel requis est installé sur le nœud. Vous pouvez également créer un document composite qui installe le logiciel à l'aide de l'un Run Command ou l'autre des outils State Manager AWS Systems Manager, puis télécharge et exécute le script.
+ Vérifiez que votre utilisateur, rôle ou groupe dispose des autorisations Gestion des identités et des accès AWS (IAM) nécessaires pour la lecture sur le compartiment S3.
+ Vérifiez que le profil d'instance de vos instances Amazon Elastic Compute Cloud (Amazon EC2) dispose bien des autorisations `s3:ListBucket` et `s3:GetObject`. Si le profil d'instance ne dispose pas de ces autorisations, le système ne parvient pas à télécharger votre script à partir du compartiment S3. Pour de plus amples informations, consultez [Utilisation de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) dans le *Guide de l'utilisateur IAM*.
## Exécuter des scripts Shell à partir d'Amazon S3
Les informations suivantes incluent des procédures pour vous aider à exécuter des scripts depuis Amazon Simple Storage Service (Amazon S3) à l'aide de AWS Systems Manager la console ou AWS Command Line Interface du AWS CLI(). Bien que les scripts shell soient utilisés dans les exemples, d'autres types de scripts peuvent être remplacés.
### Exécuter un script Shell depuis Amazon S3 (console)
**Exécuter un script Shell à partir d'Amazon S3**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Run Command**.
1. Sélectionnez **Run Command (Exécuter la commande)**.
1. In the **Command document (Document de commande)**, sélectionnez **`AWS-RunRemoteScript`**.
1. Dans **Paramètres de la commande**, procédez comme suit :
+ Dans **Type de source**, sélectionnez **S3**.
+ Dans la zone de texte **Source Info (Infos sur la source)**, saisissez les informations requises pour accéder à la source en respectant le format suivant. Remplacez chaque *example resource placeholder* par vos propres informations.
**Note**
Remplacez https://s3. *aws-api-domain*avec l'URL de votre compartiment. Vous pouvez copier l'URL de votre compartiment dans Amazon S3 sous l'onglet **Objects** (Objets).
```
{"path":"https://s3.aws-api-domain/path to script"}
```
Voici un exemple.
```
{"path":"https://amzn-s3-demo-bucket.s3.us-east-2.amazonaws.com/scripts/shell/helloWorld.sh"}
```
+ Dans le champ **Command Line (Ligne de commande)**, saisissez les paramètres d'exécution du script. Voici un exemple.
```
helloWorld.sh argument-1 argument-2
```
+ (Facultatif) Dans le champ **Working Directory (Répertoire de travail)**, saisissez le nom d'un répertoire du nœud où vous souhaitez télécharger et exécuter le script.
+ (Facultatif) Dans **Execution Timeout (Délai d'exécution)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande de script.
1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
1. Pour **Autres paramètres** :
+ Pour **Comment (Commentaire)**, saisissez des informations à propos de cette commande.
+ Pour **Délai (secondes)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande globale.
1. Pour **Rate control (Contrôle de débit)** :
+ Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
+ Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.
Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
1. Cliquez sur **Exécuter**.
### Exécuter un script Shell depuis Amazon S3 (ligne de commande)
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante. Remplacez chaque *example resource placeholder* par vos propres informations.
**Note**
Remplacez https://s3. *aws-api-domain*/*script path*avec l'URL de votre compartiment. Vous pouvez copier l'URL de votre compartiment dans Amazon S3 sous l'onglet **Objects** (Objets).
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--document-name "AWS-RunRemoteScript" \
--output-s3-bucket-name "amzn-s3-demo-bucket" \
--output-s3-key-prefix "key-prefix" \
--targets "Key=InstanceIds,Values=instance-id" \
--parameters '{"sourceType":["S3"],"sourceInfo":["{\"path\":\"https://s3.aws-api-domain/script path\"}"],"commandLine":["script name and arguments"]}'
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunRemoteScript" ^
--output-s3-bucket-name "amzn-s3-demo-bucket" ^
--output-s3-key-prefix "key-prefix" ^
--targets "Key=InstanceIds,Values=instance-id" ^
--parameters "sourceType"="S3",sourceInfo='{\"path\":\"https://s3.aws-api-domain/script path\"}',"commandLine"="script name and arguments"
```
------
#### [ PowerShell ]
```
Send-SSMCommand `
-DocumentName "AWS-RunRemoteScript" `
-OutputS3BucketName "amzn-s3-demo-bucket" `
-OutputS3KeyPrefix "key-prefix" `
-Target @{Key="InstanceIds";Values=@("instance-id")} `
-Parameter @{
sourceType = "S3";
sourceInfo = '{"path": "s3://bucket-name/path/to/script"}';
commandLine = "script name and arguments"
}
```
------
# Référencement de AWS Secrets Manager secrets à partir de paramètres Parameter Store
AWS Secrets Manager vous aide à organiser et à gérer les données de configuration importantes telles que les informations d'identification, les mots de passe et les clés de licence. Parameter Store, un outil de AWS Systems Manager, est intégré à Secrets Manager afin que vous puissiez récupérer les secrets de Secrets Manager lorsque vous en utilisez un autre Services AWS qui prend déjà en charge les références aux Parameter Store paramètres. Ces services incluent Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Container Service (Amazon ECS AWS Lambda) CloudFormation,,, AWS CodeBuild AWS CodeDeploy, et d'autres outils de Systems Manager. Si vous utilisez Parameter Store pour référencer les secrets Secrets Manager, vous créez un processus cohérent et sécurisé permettant d'appeler et d'utiliser les secrets, ainsi que de référencer les données dans votre code et vos scripts de configuration.
Pour plus d'informations sur Secrets Manager, consultez [Qu'est-ce que c'est AWS Secrets Manager ?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/) dans le *guide de AWS Secrets Manager l'utilisateur*.
## Restrictions
Notez les restrictions suivantes lorsque vous utilisez Parameter Store pour référencer des secrets Secrets Manager :
+ Vous ne pouvez récupérer les secrets de Secrets Manager qu'à l'aide des opérations [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)et de [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)l'API. Les opérations de modification et les opérations d'API de requêtes avancées, telles que [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)et [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html), ne sont pas prises en charge par Secrets Manager.
+ Vous pouvez utiliser le AWS Command Line Interface (AWS CLI) AWS Tools for Windows PowerShell, et le SDKs pour récupérer un secret en utilisantParameter Store.
+ Les secrets Secrets Manager dans Parameter Store doivent avoir un préfixe de `/aws/reference/secretsmanager`. Voici quelques exemples :
`/aws/reference/secretsmanager/CFCreds1`
`/aws/reference/secretsmanager/myapp/db/password`
+ Parameter Storerespecte les politiques Gestion des identités et des accès AWS (IAM) associées aux secrets de Secrets Manager. Par exemple, si l'utilisateur 1 n'a pas accès à Secret A, l'utilisateur 1 ne peut pas récupérer Secret A à l'aide de Parameter Store.
+ Les paramètres qui référencent des secrets Secrets Manager ne peuvent pas utiliser les fonctions d'historique ou de gestion des versions Parameter Store.
+ Parameter Store honore les étapes de version de Secrets Manager. Si vous référencez une étape de version, celle-ci utilise uniquement des lettres, des chiffres, un point (.), un tiret (-) ou un trait de soulignement (\$1). Tous les autres symboles spécifiés dans l'étape de version entraînent l'échec de la référence.
## Procédure de référencement d'un secret Secrets Manager en utilisant Parameter Store
La procédure suivante décrit comment référencer un secret du Gestionnaire de Secrets à l'aide de Parameter Store APIs. La procédure fait référence à d'autres procédures dans le *Guide de l'utilisateur AWS Secrets Manager *.
**Note**
Avant de commencer, vérifiez que vous êtes autorisé à référencer des secrets Secrets Manager dans des paramètres Parameter Store. Si vous disposez d'autorisations d'administrateur dans Secrets Manager et Systems Manager, vous pouvez référencer ou récupérer des secrets en utilisant Parameter Store APIs. Si vous référencez un secret Secrets Manager dans un paramètre Parameter Store et que vous n'avez pas l'autorisation d'accéder à ce secret, la référence échoue. Pour plus d'informations, consultez [Authentification et contrôle d'accès pour AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) dans le *Guide de l'utilisateur AWS Secrets Manager *.
**Important**
Parameter Store fonctionne comme un service de passerelle pour les références aux secrets Secrets Manager. Parameter Store ne conserve pas les données ni les métadonnées relatives aux secrets. La référence est sans état.
**Pour référencer un secret Secrets Manager en utilisant Parameter Store**
1. Créez un secret dans Secrets Manager. Pour plus d'informations, voir [Créer et gérer des secrets avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html).
1. Référencez un secret à l'aide du AWS CLI AWS Tools for Windows PowerShell, ou du SDK. Lorsque vous référencez un secret Secrets Manager, le nom doit commencer par le chemin d'accès réservé suivant : `/aws/reference/secretsmanager/`. En spécifiant ce chemin, Secrets Manager sait comment récupérer le secret à partir de Secrets Manager au lieu de Parameter Store. Voici quelques exemples de noms qui référencent correctement les secrets Secrets Manager, `CFCreds1` et `DBPass`, en utilisant Parameter Store.
+ `/aws/reference/secretsmanager/CFCreds1`
+ `/aws/reference/secretsmanager/DBPass`
Voici un exemple de code Java qui référence une clé d'accès et une clé secrète stockées dans Secrets Manager. Cet exemple de code configure un client Amazon DynamoDB. Le code récupère les informations d'identification et les données de configuration à partir de Parameter Store. Les données de configuration sont stockées en tant que paramètre de chaîne dans Parameter Store et les informations d'identification sont stockées dans Secrets Manager. Bien que les données de configuration et les informations d'identification soient stockées dans des services distincts, les deux ensembles de données sont accessibles à partir de Parameter Store à l'aide de l'API `GetParameter`.
```
/**
* Initialize Systems Manager client with default credentials
*/
AWSSimpleSystemsManagement ssm = AWSSimpleSystemsManagementClientBuilder.defaultClient();
...
/**
* Example method to launch DynamoDB client with credentials different from default
* @return DynamoDB client
*/
AmazonDynamoDB getDynamoDbClient() {
//Getting AWS credentials from Secrets Manager using GetParameter
BasicAWSCredentials differentAWSCreds = new BasicAWSCredentials(
getParameter("/aws/reference/secretsmanager/access-key"),
getParameter("/aws/reference/secretsmanager/secret-key"));
//Initialize the DynamoDB client with different credentials
final AmazonDynamoDB client = AmazonDynamoDBClient.builder()
.withCredentials(new AWSStaticCredentialsProvider(differentAWSCreds))
.withRegion(getParameter("region")) //Getting configuration from Parameter Store
.build();
return client;
}
/**
* Helper method to retrieve parameter value
* @param parameterName identifier of the parameter
* @return decrypted parameter value
*/
public GetParameterResult getParameter(String parameterName) {
GetParameterRequest request = new GetParameterRequest();
request.setName(parameterName);
request.setWithDecryption(true);
return ssm.newGetParameterCall().call(request).getParameter().getValue();
}
```
Voici quelques AWS CLI exemples. Utilisez la commande `aws secretsmanager list-secrets` pour trouver les noms de vos secrets.
**AWS CLI Exemple 1 : référence en utilisant le nom du secret**
------
#### [ Linux & macOS ]
```
aws ssm get-parameter \
--name /aws/reference/secretsmanager/s1-secret \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameter ^
--name /aws/reference/secretsmanager/s1-secret ^
--with-decryption
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Parameter": {
"Name": "/aws/reference/secretsmanager/s1-secret",
"Type": "SecureString",
"Value": "Fl*MEishm!al875",
"Version": 0,
"SourceResult":
"{
\"CreatedDate\": 1526334434.743,
\"Name\": \"s1-secret\",
\"VersionId\": \"aaabbbccc-1111-222-333-123456789\",
\"SecretString\": \"Fl*MEishm!al875\",
\"VersionStages\": [\"AWSCURRENT\"],
\"ARN\": \"arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-E18LRP\"
}"
"LastModifiedDate": 2018-05-14T21:47:14.743Z,
"ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-
E18LRP",
}
}
```
**AWS CLI Exemple 2 : référence incluant l'ID de version**
------
#### [ Linux & macOS ]
```
aws ssm get-parameter \
--name /aws/reference/secretsmanager/s1-secret:11111-aaa-bbb-ccc-123456789 \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameter ^
--name /aws/reference/secretsmanager/s1-secret:11111-aaa-bbb-ccc-123456789 ^
--with-decryption
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Parameter": {
"Name": "/aws/reference/secretsmanager/s1-secret",
"Type": "SecureString",
"Value": "Fl*MEishm!al875",
"Version": 0,
"SourceResult":
"{
\"CreatedDate\": 1526334434.743,
\"Name\": \"s1-secret\",
\"VersionId\": \"11111-aaa-bbb-ccc-123456789\",
\"SecretString\": \"Fl*MEishm!al875\",
\"VersionStages\": [\"AWSCURRENT\"],
\"ARN\": \"arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-E18LRP\"
}"
"Selector": ":11111-aaa-bbb-ccc-123456789"
}
"LastModifiedDate": 2018-05-14T21:47:14.743Z,
"ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-
E18LRP",
}
```
**AWS CLI Exemple 3 : Référence incluant le stade de version**
------
#### [ Linux & macOS ]
```
aws ssm get-parameter \
--name /aws/reference/secretsmanager/s1-secret:AWSCURRENT \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameter ^
--name /aws/reference/secretsmanager/s1-secret:AWSCURRENT ^
--with-decryption
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Parameter": {
"Name": "/aws/reference/secretsmanager/s1-secret",
"Type": "SecureString",
"Value": "Fl*MEishm!al875",
"Version": 0,
"SourceResult":
"{
\"CreatedDate\": 1526334434.743,
\"Name\": \"s1-secret\",
\"VersionId\": \"11111-aaa-bbb-ccc-123456789\",
\"SecretString\": \"Fl*MEishm!al875\",
\"VersionStages\": [\"AWSCURRENT\"],
\"ARN\": \"arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-E18LRP\"
}"
"Selector": ":AWSCURRENT"
}
"LastModifiedDate": 2018-05-14T21:47:14.743Z,
"ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:s1-secret-
E18LRP",
}
```
# AWS KMS chiffrement des AWS Systems ManagerParameter Store SecureString paramètres
Avec AWS Systems Manager Parameter Store, vous pouvez créer des [SecureString paramètres](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-parameter-store.html#what-is-a-parameter), qui sont des paramètres dotés d'un nom de paramètre en texte clair et d'une valeur de paramètre cryptée. Parameter Storeutilise AWS KMS pour chiffrer et déchiffrer les valeurs des `SecureString` paramètres.
Avec Parameter Store, vous pouvez créer, stocker et gérer des données sous forme de paramètres assortis de valeurs. Vous pouvez créer un paramètre dans Parameter Store et l'utiliser dans plusieurs applications et services soumis aux stratégies et aux autorisations que vous concevez. Lorsque vous avez besoin de modifier une valeur de paramètre, au lieu de gérer une modification sujette à erreurs dans diverses sources, vous modifiez une seule instance. Sachant que Parameter Store peut prendre en charge une structure hiérarchique de noms de paramètres, vous pouvez limiter un paramètre à des utilisations spécifiques.
Pour gérer les données sensibles, vous pouvez créer des `SecureString` paramètres. Parameter Storeutilise AWS KMS keys pour chiffrer les valeurs des `SecureString` paramètres lorsque vous les créez ou que vous les modifiez. Il utilise également des clés KMS pour déchiffrer les valeurs de paramètres au moment où vous y accédez. Vous pouvez utiliser la [Clé gérée par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) créée par Parameter Store pour votre compte ou spécifier votre propre [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Important**
Parameter Store ne prend en charge que les [clés KMS symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé KMS asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) pour chiffrer vos paramètres. Pour savoir si une clé KMS est asymétrique, consultez [Identifier differents types de clés](https://docs.aws.amazon.com/kms/latest/developerguide/identify-key-types.html) dans le *Guide du développeur AWS Key Management Service *.
Parameter Store prend en charge deux niveaux de paramètres `SecureString` : *standard* et *avancés*. Les paramètres standard, qui ne peuvent pas dépasser 4 096 octets, sont chiffrés et déchiffrés directement sous la clé KMS que vous spécifiez. Pour chiffrer et déchiffrer les paramètres avancés `SecureString`, Parameter Store utilise le chiffrement d'enveloppe avec le kit [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Vous pouvez convertir un paramètre `SecureString` standard en un paramètre avancé, mais vous ne pouvez pas convertir un paramètre avancé en paramètre standard. Pour plus d’informations sur la différence entre le mode standard et les paramètres avancés `SecureString`, consultez [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
**Topics**
+ [Protection des SecureString paramètres standard](#kms-encryption-securestring-standard)
+ [Protection des SecureString paramètres avancés](#kms-encryption-securestring-advanced)
+ [Définition d'autorisations de chiffrement et de déchiffrement des valeurs de paramètres](#parameter-policy-kms-encryption)
+ [Contexte de chiffrement Parameter Store](#parameter-store-kms-encryption-context)
+ [Résolution des problèmes dans Parameter Store](#parameter-store-kms-cmk-troubleshooting)
## Protection des SecureString paramètres standard
Parameter Store n'assure aucune opération de chiffrement. Au lieu de cela, il s'appuie sur AWS KMS pour chiffrer et déchiffrer les valeurs des paramètres `SecureString`. Lorsque vous créez ou modifiez une valeur de `SecureString` paramètre standard, Parameter Store appelle l'opération AWS KMS [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html). Cette opération utilise directement une clé KMS de chiffrement symétrique pour chiffrer la valeur de paramètre au lieu d'utiliser la clé KMS pour générer une [clé de données](https://docs.aws.amazon.com/kms/latest/developerguide/data-keys.html).
Vous pouvez sélectionner la clé CMK utilisée par Parameter Store pour chiffrer la valeur de paramètre. Si vous ne spécifiez pas de clé KMS, Parameter Store utilise la Clé gérée par AWS que Systems Manager a créée automatiquement dans votre compte. Cette clé KMS possède l'alias `aws/ssm`.
Pour afficher la clé `aws/ssm` KMS par défaut de votre compte, utilisez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération dans l' AWS KMS API. L'exemple suivant utilise la `describe-key` commande contenue dans le AWS Command Line Interface (AWS CLI) avec le nom d'`aws/ssm`alias.
```
aws kms describe-key \
--key-id alias/aws/ssm
```
Pour créer un `SecureString` paramètre standard, utilisez l'[PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)opération de l'API Systems Manager. Omettez le paramètre `Tier` ou spécifiez une valeur `Standard`, qui est la valeur par défaut. Incluez un paramètre `Type` avec la valeur `SecureString`. Pour spécifier une clé KMS, utilisez le paramètre `KeyId`. La valeur par défaut est Clé gérée par AWS celle de votre compte,`aws/ssm`.
Parameter Storeappelle ensuite l' AWS KMS `Encrypt`opération avec la clé KMS et la valeur du paramètre en texte brut. AWS KMS renvoie la valeur du paramètre chiffré, qui est Parameter Store stockée avec le nom du paramètre.
L'exemple suivant utilise la commande [put-parameter](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-parameter.html) de Systems Manager et son `--type` paramètre dans le AWS CLI pour créer un `SecureString` paramètre. Comme la commande omet les paramètres facultatifs `--tier` et `--key-id`, Parameter Store crée un paramètre standard `SecureString` et le chiffre conformément à Clé gérée par AWS.
```
aws ssm put-parameter \
--name MyParameter \
--value "secret_value" \
--type SecureString
```
Dans l'exemple similaire suivant, le paramètre `--key-id` est utilisé pour spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk). Cet exemple utilise un ID de clé KMS pour identifier la clé KMS, mais vous pouvez utiliser n'importe quel identifiant de clé KMS valide. Comme la commande omet le paramètre `Tier` (`--tier`), Parameter Store crée un paramètre standard `SecureString`, et non un paramètre avancé.
```
aws ssm put-parameter \
--name param1 \
--value "secret" \
--type SecureString \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```
Lorsque vous obtenez un paramètre `SecureString` à partir de Parameter Store, sa valeur est chiffrée. Pour obtenir un paramètre, utilisez l'[GetParameter ](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)opération dans l'API Systems Manager.
L'exemple suivant utilise la commande [get-parameter](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html) de Systems Manager dans le AWS CLI pour obtenir le `MyParameter` paramètre Parameter Store sans déchiffrer sa valeur.
```
aws ssm get-parameter --name MyParameter
```
```
{
"Parameter": {
"Type": "SecureString",
"Name": "MyParameter",
"Value": "AQECAHgnOkMROh5LaLXkA4j0+vYi6tmM17Lg"
}
}
```
Pour déchiffrer la valeur du paramètre avant de la renvoyer, définissez le paramètre `WithDecryption` de `GetParameter` sur `true`. Lorsque vous utilisez`WithDecryption`, Parameter Store appelle l'opération AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) en votre nom pour déchiffrer la valeur du paramètre. En conséquence, la demande `GetParameter` renvoie le paramètre avec une valeur de paramètre en texte brut, comme le montre l'exemple suivant.
```
aws ssm get-parameter \
--name MyParameter \
--with-decryption
```
```
{
"Parameter": {
"Type": "SecureString",
"Name": "MyParameter",
"Value": "secret_value"
}
}
```
La procédure suivante montre comment Parameter Store utilise une clé CMK pour chiffrer et déchiffrer un paramètre `SecureString` standard.
### Chiffrer un paramètre standard
1. Lorsque vous utilisez `PutParameter` pour créer un paramètre `SecureString`, Parameter Store envoie une demande `Encrypt` à AWS KMS. Cette demande inclut la valeur du paramètre en texte brut, la clé KMS que vous avez choisie, et le [contexte de chiffrement Parameter Store](#parameter-store-kms-encryption-context). Lors de la transmission vers AWS KMS, la valeur en texte brut du `SecureString` paramètre est protégée par le protocole TLS (Transport Layer Security).
1. AWS KMS chiffre la valeur du paramètre avec la clé KMS et le contexte de chiffrement spécifiés. Elle renvoie le texte chiffré à Parameter Store, qui stocke le nom du paramètre et sa valeur chiffrée.
![\[Chiffrement d'une valeur de SecureString paramètre standard\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/service-pstore-standard.png)
### Déchiffrer un paramètre standard
1. Lorsque vous incluez le `WithDecryption` paramètre dans une `GetParameter` demande, Parameter Store envoie une `Decrypt` demande à AWS KMS avec la valeur du `SecureString` paramètre chiffré et le [contexte de Parameter Store chiffrement](#parameter-store-kms-encryption-context).
1. AWS KMS utilise la même clé KMS et le contexte de chiffrement fourni pour déchiffrer la valeur chiffrée. Il renvoie la valeur du paramètre (déchiffrée) en texte brut à Parameter Store. Pendant la transmission, les données en texte brut sont protégées par TLS.
1. Parameter Store vous renvoie la valeur du paramètre en texte brut dans la réponse `GetParameter`.
## Protection des SecureString paramètres avancés
Lorsque vous créez un `SecureString` paramètre avancé, il Parameter Store utilise le [chiffrement d'enveloppe](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) avec le chiffrement symétrique AWS Encryption SDK et AWS KMS key pour protéger la valeur du paramètre. `PutParameter` Chaque valeur de paramètre avancé est chiffrée sous une clé de données unique, et la clé de données est chiffrée sous une clé KMS. Vous pouvez utiliser la [Clé gérée par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) pour le compte (`aws/ssm`) ou n'importe quelle clé gérée par le client.
La bibliothèque [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/) est une bibliothèque côté client et open source qui vous permet de chiffrer et de déchiffrer les données à l'aide des normes et des bonnes pratiques. Elle est prise en charge sur plusieurs plateformes et dans plusieurs langages de programmation, y compris une interface de ligne de commande. Vous pouvez consulter le code source et contribuer à son développement dans GitHub.
Pour chaque valeur de `SecureString` paramètre, Parameter Store appelle le AWS Encryption SDK pour chiffrer la valeur du paramètre à l'aide d'une clé de données unique qui AWS KMS génère ([GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)). Il AWS Encryption SDK renvoie à Parameter Store un [message chiffré](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#message) qui inclut la valeur du paramètre chiffré et une copie cryptée de la clé de données unique. Parameter Storestocke l'intégralité du message crypté dans la valeur du `SecureString` paramètre. Ensuite, lorsque vous obtenez une valeur de `SecureString` paramètre avancée, Parameter Store utilise le AWS Encryption SDK pour déchiffrer la valeur du paramètre. Cela nécessite un appel AWS KMS pour déchiffrer la clé de données cryptée.
Pour créer un `SecureString` paramètre avancé, utilisez l'[PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)opération de l'API Systems Manager. Définissez la valeur du paramètre `Tier` sur `Advanced`. Incluez un paramètre `Type` avec la valeur `SecureString`. Pour spécifier une clé KMS, utilisez le paramètre `KeyId`. La valeur par défaut est Clé gérée par AWS celle de votre compte,`aws/ssm`.
```
aws ssm put-parameter \
--name MyParameter \
--value "secret_value" \
--type SecureString \
--tier Advanced
```
Dans l'exemple similaire suivant, le paramètre `--key-id` est utilisé pour spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk). Cet exemple utilise l'Amazon Resource Name (ARN) de la clé KMS, mais vous pouvez utiliser tout identifiant de clé KMS valide.
```
aws ssm put-parameter \
--name MyParameter \
--value "secret_value" \
--type SecureString \
--tier Advanced \
--key-id arn:aws:kms:us-east-2:987654321098:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
Lorsque vous obtenez un `SecureString` paramètreParameter Store, sa valeur est le message crypté AWS Encryption SDK renvoyé. Pour obtenir un paramètre, utilisez l'[GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)opération dans l'API Systems Manager.
L’exemple suivant utilise l’opération `GetParameter` de Systems Manager pour obtenir le paramètre `MyParameter` à partir de Parameter Store sans déchiffrer de sa valeur.
```
aws ssm get-parameter --name MyParameter
```
```
{
"Parameter": {
"Type": "SecureString",
"Name": "MyParameter",
"Value": "AQECAHgnOkMROh5LaLXkA4j0+vYi6tmM17Lg"
}
}
```
Pour déchiffrer la valeur du paramètre avant de la renvoyer, définissez le paramètre `WithDecryption` de `GetParameter` sur `true`. Lorsque vous utilisez`WithDecryption`, Parameter Store appelle l'opération AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) en votre nom pour déchiffrer la valeur du paramètre. En conséquence, la demande `GetParameter` renvoie le paramètre avec une valeur de paramètre en texte brut, comme le montre l'exemple suivant.
```
aws ssm get-parameter \
--name MyParameter \
--with-decryption
```
```
{
"Parameter": {
"Type": "SecureString",
"Name": "MyParameter",
"Value": "secret_value"
}
}
```
Vous ne pouvez pas convertir un paramètre `SecureString` en un paramètre standard, mais vous pouvez convertir uun paramètre standard `SecureString` en un paramètre avancé. Pour convertir un paramètre `SecureString` standard en un paramètre `SecureString` avancé, utilisez l'opération `PutParameter` avec le paramètre `Overwrite`. Le `Type` doit être `SecureString` et la valeur `Tier` doit être `Advanced`. Le paramètre `KeyId`, qui identifie une clé gérée par le client, est facultatif. Si vous l'omettez, Parameter Store utilise le Clé gérée par AWS pour le compte. Vous pouvez spécifier n'importe quelle clé KMS que le principal est autorisé à utiliser, même si vous avez utilisé une autre clé KMS pour chiffrer le paramètre standard.
Lorsque vous utilisez le paramètre `Overwrite`, Parameter Store utilise le kit AWS Encryption SDK pour chiffrer la valeur du paramètre. Ensuite, il stocke le nouveau message chiffré dans Parameter Store.
```
aws ssm put-parameter \
--name myStdParameter \
--value "secret_value" \
--type SecureString \
--tier Advanced \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--overwrite
```
La procédure suivante montre comment Parameter Store utilise une clé KMS pour chiffrer et déchiffrer un paramètre `SecureString`.
### Chiffrer un paramètre avancé
1. Lorsque vous créez un `SecureString` paramètre avancé, Parameter Store utilise le AWS Encryption SDK et AWS KMS pour chiffrer la valeur du paramètre. `PutParameter` Parameter Storeappelle le AWS Encryption SDK avec la valeur du paramètre, la clé KMS que vous avez spécifiée et le [contexte de Parameter Store chiffrement](#parameter-store-kms-encryption-context).
1. AWS Encryption SDK Envoie une [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)demande AWS KMS avec l'identifiant de la clé KMS que vous avez spécifiée et le contexte de Parameter Store chiffrement. AWS KMS renvoie deux copies de la clé de données unique : une en texte clair et une cryptée sous la clé KMS. (Le contexte de chiffrement est utilisé lors du chiffrement de la clé de données.)
1. AWS Encryption SDK Utilise la clé de données en texte brut pour chiffrer la valeur du paramètre. Elle renvoie un [message chiffré](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#message) qui inclut la valeur du paramètre chiffré, la clé de données chiffrée, et d'autres données, y compris le contexte de chiffrement Parameter Store.
1. Parameter Store stocke le message chiffré en tant que valeur de paramètre.
![\[Chiffrement d'une SecureString valeur de paramètre avancée\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/service-pstore-advanced.png)
### Déchiffrer un paramètre avancé
1. Vous pouvez inclure le paramètre `WithDecryption` dans une demande `GetParameter` pour obtenir un paramètre `SecureString` avancé. Lorsque vous le faites, Parameter Store transmet le [message chiffré](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#message) de la valeur de paramètre à une méthode de déchiffrement du kit AWS Encryption SDK.
1. Il AWS Encryption SDK appelle l'opération de AWS KMS [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Il transmet la clé de données chiffrée et le contexte de chiffrement Parameter Store au message chiffré.
1. AWS KMS utilise la clé KMS et le contexte de Parameter Store chiffrement pour déchiffrer la clé de données chiffrée. Ensuite, il renvoie la clé de données en texte brut (déchiffrée) au kit AWS Encryption SDK.
1. AWS Encryption SDK Utilise la clé de données en texte brut pour déchiffrer la valeur du paramètre. Il renvoie la valeur du paramètre en texte brut à Parameter Store.
1. Parameter Store vérifie le contexte de chiffrement et renvoie la valeur du paramètre en texte brut dans la réponse `GetParameter`.
## Définition d'autorisations de chiffrement et de déchiffrement des valeurs de paramètres
Pour chiffrer une valeur de paramètre standard `SecureString`, l'utilisateur a besoin `kms:Encrypt` d'une autorisation. Pour chiffrer une valeur de paramètre avancé `SecureString`, l'utilisateur a besoin d’une autorisation `kms:GenerateDataKey`. Pour déchiffrer un type de valeur de paramètre `SecureString`, l'utilisateur a besoin d’une autorisation `kms:Decrypt`.
Vous pouvez utiliser des politiques Gestion des identités et des accès AWS (IAM) pour autoriser ou refuser à un utilisateur l'autorisation d'appeler le Systems Manager `PutParameter` et les `GetParameter` opérations.
De plus, si vous utilisez les clés gérées par le client pour chiffrer les valeurs de vos paramètres `SecureString`, vous pouvez utiliser des politiques IAM et des politiques de clé pour gérer les autorisations de chiffrement et de déchiffrement. Cependant, vous ne pouvez pas établir de stratégies de contrôle d'accès pour la clé KMS `aws/ssm` par défaut. Pour obtenir des informations détaillées sur le contrôle d’accès aux clés gérées par le client, consultez [Accès aux clés et autorisations](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Guide du développeur AWS Key Management Service *.
L’exemple suivant montre une politique IAM conçue pour des paramètres `SecureString` standard. Elle permet à l'utilisateur d'appeler l'opération `PutParameter` Systems Manager sur tous les paramètres du chemin `FinancialParameters`. La politique permet également à l'utilisateur d'appeler l' AWS KMS `Encrypt`opération sur un exemple de clé gérée par le client.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/FinancialParameters/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
L’exemple suivant montre une politique IAM qui est conçue pour des paramètres `SecureString` avancés . Elle permet à l'utilisateur d'appeler l'opération `PutParameter` Systems Manager sur tous les paramètres du chemin `ReservedParameters`. La politique permet également à l'utilisateur d'appeler l' AWS KMS `GenerateDataKey`opération sur un exemple de clé gérée par le client.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/ReservedParameters/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
Le dernier exemple montre également une stratégie IAM qui peut être utilisée pour les paramètres `SecureString` avancés ou standard. Elle permet à l'utilisateur d'appeler les opérations `GetParameter` Systems Manager (et les opérations associées) sur tous les paramètres du chemin `ITParameters`. La politique permet également à l'utilisateur d'appeler l' AWS KMS `Decrypt`opération sur un exemple de clé gérée par le client.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/ITParameters/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
## Contexte de chiffrement Parameter Store
Un *contexte de chiffrement* est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Vous pouvez également utiliser le contexte de chiffrement pour identifier une opération de chiffrement dans des enregistrements d'audit et des journaux. Le contexte de chiffrement s'affiche en texte brut dans les journaux, tels que les journaux [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
AWS Encryption SDK Il prend également un contexte de chiffrement, bien qu'il le gère différemment. Parameter Storefournit le contexte de chiffrement à la méthode de chiffrement. Le AWS Encryption SDK chiffrement lie le contexte de chiffrement aux données chiffrées. Il inclut aussi le contexte de chiffrement en texte brut dans l'en-tête du message chiffré qu'il renvoie. Cependant AWS KMS, contrairement aux méthodes de AWS Encryption SDK déchiffrement, elles ne prennent pas de contexte de chiffrement en entrée. Au lieu de cela, lorsqu'il déchiffre des données, il AWS Encryption SDK obtient le contexte de chiffrement à partir du message crypté. Parameter Storevérifie que le contexte de chiffrement inclut la valeur attendue avant de vous renvoyer la valeur du paramètre en texte brut.
Parameter Store utilise le contexte de chiffrement suivant dans ses opérations de chiffrement :
+ Clé : `PARAMETER_ARN`
+ Valeur : Amazon Resource Name (ARN) du paramètre chiffré.
Le format du contexte de chiffrement est le suivant :
```
"PARAMETER_ARN":"arn:aws:ssm:region-id:account-id:parameter/parameter-name"
```
Par exemple, Parameter Store inclut ce contexte de chiffrement dans les appels pour chiffrer et déchiffrer le `MyParameter` paramètre dans un exemple Compte AWS et une région.
```
"PARAMETER_ARN":"arn:aws:ssm:us-east-2:111122223333:parameter/MyParameter"
```
Si le paramètre se trouve dans le chemin hiérarchique de Parameter Store, le chemin et le nom sont inclus dans le contexte de chiffrement. Par exemple, ce contexte de chiffrement est utilisé lors du chiffrement et du déchiffrement du `MyParameter` paramètre dans le `/ReadableParameters` chemin d'un exemple et d'une région. Compte AWS
```
"PARAMETER_ARN":"arn:aws:ssm:us-east-2:111122223333:parameter/ReadableParameters/MyParameter"
```
Vous pouvez déchiffrer une valeur de `SecureString` paramètre chiffrée en appelant l' AWS KMS `Decrypt`opération avec le contexte de chiffrement correct et la valeur de paramètre chiffrée renvoyée par l'`GetParameter`opération Systems Manager. Cependant, nous vous encourageons à déchiffrer les valeurs de paramètre Parameter Store à l’aide de l’opération `GetParameter` avec le paramètre `WithDecryption`.
Vous pouvez également inclure le contexte de chiffrement dans une stratégie IAM. Par exemple, vous pouvez autoriser un utilisateur à déchiffrer la valeur d'un seul et même paramètre ou les valeurs d'un ensemble de paramètres.
L'exemple suivant d'instruction de stratégie IAM permet à l'utilisateur d'obtenir la valeur du paramètre `MyParameter` et de déchiffrer sa valeur à l'aide de la clé KMS spécifiée. Toutefois, les autorisations s'appliquent uniquement lorsque le contexte de chiffrement correspond à la chaîne spécifiée. Ces autorisations ne s'appliquent à aucun autre paramètre ou à aucune autre clé KMS, et l'appel de `GetParameter` échoue si le contexte de chiffrement ne correspond pas à la chaîne.
Avant d'utiliser une déclaration de politique comme celle-ci, remplacez-la par *example ARNs* des valeurs valides.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/MyParameter"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:PARAMETER_ARN":"arn:aws:ssm:us-east-1:111122223333:parameter/MyParameter"
}
}
}
]
}
```
------
## Résolution des problèmes dans Parameter Store
Pour effectuer une opération sur un `SecureString` paramètre, vous Parameter Store devez être en mesure d'utiliser la clé AWS KMS KMS que vous spécifiez pour l'opération prévue. La plupart des échecs Parameter Store liés aux clés KMS sont imputables aux problèmes suivants :
+ Les informations d'identification utilisées par une application ne disposent pas des autorisations nécessaires pour effectuer l'action spécifiée sur la clé KMS.
Pour corriger cette erreur, exécutez l'application avec d'autres informations d'identification ou corrigez la politique IAM ou la politique de clé qui empêche l'opération. Pour obtenir de l'aide AWS KMS concernant l'IAM et les politiques clés, consultez la section [Accès aux clés et autorisations KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Guide du AWS Key Management Service développeur*.
+ La clé KMS est introuvable.
Cela se produit généralement lorsque vous utilisez un identificateur incorrect pour la clé KMS. [Procurez-vous les identificateurs corrects](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) pour la clé KMS et tentez à nouveau la commande.
+ La clé KMS n'est pas activée. Lorsque cela se produit, Parameter Store renvoie une InvalidKeyIdexception avec un message d'erreur détaillé de AWS KMS. Si la clé KMS est à l'état `Disabled`, [activez-la](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html). Si l'état est `Pending Import`, suivez la [procédure d'importation](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html). Si la clé est à l'état `Pending Deletion`, [annulez la suppression de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html) ou utilisez une autre clé KMS.
Pour trouver l'[état](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) d'une clé KMS, utilisez l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération.
# Utiliser des paramètres Parameter Store dans Amazon Elastic Kubernetes Service
Pour afficher des paramètres à partir de l’outil Parameter Store d’AWS Systems Manager sous la forme de fichiers montés dans des pods Amazon EKS, vous pouvez utiliser le fournisseur de secrets et de configuration AWS pour le pilote CSI Kubernetes Secrets Store. L’ASCP fonctionne avec Amazon Elastic Kubernetes Service 1.17\$1 exécutant un groupe de nœuds Amazon EC2. Les groupes de nœuds AWS Fargate ne sont pas pris en charge.
Avec l’ASCP, vous pouvez stocker et gérer votre paramètre dans Parameter Store, puis les récupérer via vos charges de travail exécutées sur Amazon EKS. Si votre paramètre contient plusieurs paires de clé-valeur au format JSON, vous pouvez choisir celles à monter dans Amazon EKS. L’ASCP utilise la syntaxe JMESPath pour interroger les paires clé-valeur dans votre secret. L’ASCP fonctionne également avec les secrets AWS Secrets Manager.
L’ASCP propose deux méthodes d’authentification avec Amazon EKS. La première approche utilise les rôles IAM pour les comptes de service (IRSA). La deuxième approche utilise les identités du pod. Chaque approche a ses avantages et cas d’utilisation.
## ASCP avec rôles IAM pour les comptes de service (IRSA)
L’ASCP avec les rôles IAM pour les comptes de service (IRSA) vous permet de monter des paramètres de Parameter Store sous forme de fichiers dans vos pods Amazon EKS. Cette approche convient lorsque :
+ Vous devez monter les paramètres sous forme de fichiers dans vos pods.
+ Vous utilisez Amazon EKS version 1.17 ou ultérieure avec des groupes de nœuds Amazon EC2.
+ Vous souhaitez récupérer des paires clé-valeur spécifiques à partir de paramètres au format JSON.
Pour de plus amples informations, consultez [Utiliser AWS les secrets et le fournisseur de configuration CSI avec des rôles IAM pour les comptes de service (IRSA)](integrating_ascp_irsa.md).
## ASCP avec l’identité du pod
La méthode ASCP avec l’identité du pod améliore la sécurité et simplifie la configuration pour accéder aux paramètres dans Parameter Store. Cette approche est bénéfique lorsque :
+ Vous avez besoin d’une gestion des autorisations plus précise au niveau du pod.
+ Vous utilisez Amazon EKS version 1.24 ou ultérieure.
+ Vous souhaitez améliorer les performances et la capacité de mise à l’échelle.
Pour de plus amples informations, consultez [Utiliser AWS les secrets et le fournisseur de configuration CSI avec Pod Identity pour Amazon EKS](ascp-pod-identity-integration.md).
## Choix de la bonne approche
Tenez compte des facteurs suivants lorsque vous choisissez entre ASCP avec IRSA et ASCP avec l’identité du pod :
+ Version d’Amazon EKS : l’identité du pod nécessite Amazon EKS 1.24\$1, tandis que le pilote CSI fonctionne avec Amazon EKS 1.17\$1.
+ Exigences de sécurité : l’identité du pod offre un contrôle plus granulaire au niveau du pod.
+ Performances : l’identité du pod fonctionne généralement mieux dans les environnements à grande échelle.
+ Complexité : l’identité du pod simplifie la configuration en éliminant le besoin de comptes de service distincts.
Choisissez la méthode qui correspond le mieux à vos exigences spécifiques et à l’environnement Amazon EKS.
# Installer l’ASCP pour Amazon EKS
Cette section explique comment installer le fournisseur de AWS secrets et de configuration pour Amazon EKS. Avec ASCP, vous pouvez monter des paramètres Parameter Store et des secrets à partir de AWS Secrets Manager fichiers dans Amazon EKS Pods.
## Conditions préalables
+ Un cluster Amazon EKS
+ Version 1.24 ou ultérieure pour l’identité du pod
+ Version 1.17 ou ultérieure pour IRSA
+ Le AWS CLI installé et configuré
+ kubectl installé et configuré pour votre cluster Amazon EKS
+ Helm (version 3.0 ou ultérieure)
## Installation et configuration de l’ASCP
L'ASCP est disponible GitHub dans le référentiel [secrets-store-csi-provider-aws](https://github.com/aws/secrets-store-csi-driver-provider-aws). Le référentiel contient également des exemples de fichiers YAML pour créer et monter un secret en modifiant la valeur `objectType` de `secretsmanager` à `ssmparameter`.
Pendant l’installation, vous pouvez configurer l’ASCP pour utiliser un point de terminaison FIPS. Pour obtenir la liste des points de terminaison Systems Manager, reportez-vous à la section [Points de terminaison de service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
**Installer l’ASCP à l’aide de Helm**
1. Pour vous assurer que le référentiel pointe vers les derniers graphiques, utilisez `helm repo update.`.
1. Ajoutez le graphique du pilote Secrets Store CSI.
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
```
1. Installez le chart. Pour configurer la limitation, ajoutez l’indicateur suivant : `--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'`
```
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
```
1. Ajoutez le graphique ASCP.
```
helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws
```
1. Installez le chart. Pour utiliser un point de terminaison FIPS, ajoutez l’indicateur suivant : `--set useFipsEndpoint=true`
```
helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
```
**Installer en utilisant le code YAML dans le référentiel**
+ Utilisez les commandes suivantes.
```
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
```
## Vérifier les installations
Pour vérifier les installations de votre cluster EKS, du pilote Secrets Store CSI et du plug-in ASCP, procédez comme suit :
1. Vérifiez le cluster EKS :
```
eksctl get cluster --name clusterName
```
Cette commande doit renvoyer des informations sur votre cluster.
1. Vérifiez l’installation du pilote Secrets Store CSI :
```
kubectl get pods -n kube-system -l app=secrets-store-csi-driver
```
Vous devriez voir des pods s’exécuter avec des noms comme `csi-secrets-store-secrets-store-csi-driver-xxx`.
1. Vérifier l’installation du plug-in ASCP :
------
#### [ YAML installation ]
```
$ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws
```
Exemple de sortie :
```
NAME READY STATUS RESTARTS AGE
csi-secrets-store-provider-aws-12345 1/1 Running 0 2m
```
------
#### [ Helm installation ]
```
$ kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws
```
Exemple de sortie :
```
NAME READY STATUS RESTARTS AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890 1/1 Running 0 2m
```
------
Vous devriez voir des pods dans l’état `Running`.
Après exécution de ces commandes, si tout est correctement configuré, vous devriez voir tous les composants fonctionner sans aucune erreur. Si vous rencontrez des problèmes, vous devrez peut-être les résoudre en vérifiant les journaux des pods spécifiques qui rencontrent des problèmes.
## Résolution des problèmes
1. Pour vérifier les journaux du fournisseur ASCP, exécutez :
```
kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws
```
1. Vérifiez le statut de tous les pods de l’espace de noms `kube-system`.
Remplacez-le *default placeholder text* par votre propre identifiant de pod :
```
kubectl -n kube-system get pods
```
```
kubectl -n kube-system logs pod/pod-id
```
Tous les pods liés au pilote CSI et à l’ASCP doivent être dans l’état « En cours d’exécution ».
1. Vérifiez la version du pilote CSI :
```
kubectl get csidriver secrets-store.csi.k8s.io -o yaml
```
Cette commande doit renvoyer des informations sur le pilote CSI installé.
## Ressources supplémentaires
Pour plus d’informations sur l’utilisation d’ASCP avec Amazon EKS, consultez les ressources suivantes :
+ [Utilisation de l’identité du pod avec Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [AWS Pilote CSI Secrets Store activé GitHub](https://github.com/aws/secrets-store-csi-driver-provider-aws)
# Utiliser AWS les secrets et le fournisseur de configuration CSI avec Pod Identity pour Amazon EKS
L'intégration du fournisseur de AWS secrets et de configuration à l'agent Pod Identity pour Amazon Elastic Kubernetes Service améliore la sécurité, simplifie la configuration et améliore les performances des applications exécutées sur Amazon EKS. Pod Identity simplifie l'authentification Gestion des identités et des accès AWS (IAM) pour Amazon EKS lors de la récupération de paramètres AWS Systems Manager Parameter Store ou de secrets depuis Secrets Manager.
L’identité du pod Amazon EKS rationalise le processus de configuration des autorisations IAM pour les applications Kubernetes en permettant de configurer les autorisations directement via les interfaces Amazon EKS, en réduisant le nombre d’étapes et en éliminant le besoin de basculer entre les services Amazon EKS et IAM. L’identité du pod permet d’utiliser un seul rôle IAM sur plusieurs clusters sans mettre à jour les politiques de confiance et prend en charge les [balises de session de rôle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html#pod-id-abac-tags) pour un contrôle d’accès plus granulaire. Cette approche simplifie non seulement la gestion des politiques en permettant la réutilisation des politiques d'autorisation entre les rôles, mais elle améliore également la sécurité en autorisant l'accès aux AWS ressources en fonction des balises correspondantes.
## Comment ça marche
1. L’identité du pod attribue un rôle IAM au pod.
1. ASCP utilise ce rôle pour s'authentifier auprès de. Services AWS
1. Si l’autorisation est obtenue, l’ASCP récupère les paramètres demandés et les met à la disposition du pod.
Pour plus d’informations, consultez [Comprendre le l’identité du pod Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-how-it-works.html) dans le *Guide de l’utilisateur Amazon EKS*.
## Conditions préalables
**Important**
L’identité du pod n’est prise en charge que pour Amazon EKS dans le cloud. Elle n’est pas prise en charge pour [Amazon EKS Anywhere](https://aws.amazon.com/eks/eks-anywhere/), [Red Hat OpenShift Service on AWS](https://aws.amazon.com/rosa/) ni pour les clusters Kubernetes autogérés sur les instances Amazon EC2.
+ Cluster Amazon EKS (version 1.24 ou ultérieure).
+ Accès à un AWS CLI cluster Amazon EKS via `kubectl`
+ (Facultatif) Accès à deux Comptes AWS pour un accès entre comptes
## Installer l’agent d’identité du pod Amazon EKS
Pour utiliser l’identité du pod avec votre cluster, vous devez installer le module complémentaire Agent d’identité du pod Amazon EKS.
**Installer l’agent d’identité du pod**
+ Installez le module complémentaire Agent d’identité du pod sur votre cluster.
Remplacez le *default placeholder text * par vos propres valeurs :
```
eksctl create addon \
--name eks-pod-identity-agent \
--cluster clusterName \
--region region
```
## Configurer l’ASCP avec l’identité du pod
1. Créez une politique d’autorisation qui accorde les autorisations `ssm:GetParameters` et `ssm:DescribeParameters` aux paramètres auxquels le pod a besoin pour accéder.
1. Créez un rôle IAM qui peut être assumé par le principal de service Amazon EKS pour l’identité du pod :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
Attachez la politique gérée IAM au rôle.
Remplacez le *default placeholder text * par vos propres valeurs :
```
aws iam attach-role-policy \
--role-name MY_ROLE \
--policy-arn POLICY_ARN
```
1. Créez une association d’identité du pod. Par exemple, consultez [Créer une association d’identité du pod](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-association.html#pod-id-association-create) dans le *Guide de l’utilisateur Amazon EKS*.
1. Créez la `SecretProviderClass` qui spécifie les paramètres ou les secrets à monter dans le pod :
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleSecretProviderClass-PodIdentity.yaml
```
La principale différence dans `SecretProviderClass` entre IRSA et l’identité du pod réside dans le paramètre facultatif `usePodIdentity`. Il s’agit d’un champ facultatif qui détermine l’approche d’authentification. Lorsqu’il n’est pas spécifié, les rôles IAM pour les comptes de service (IRSA) sont utilisés par défaut.
+ Pour utiliser l’identité du pod EKS, utilisez l’une des valeurs suivantes : `"true", "True", "TRUE", "t", "T"`.
+ Pour utiliser IRSA de manière explicite, définissez l’une des valeurs suivantes : `"false", "False", "FALSE", "f", or "F"`.
1. Déployez le pod qui monte les paramètres ou les secrets sous `/mnt/secrets-store` :
```
kubectl apply -f kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/examples/ExampleDeployment-PodIdentity.yaml
```
1. Si vous utilisez un cluster Amazon EKS privé, assurez-vous que le VPC dans lequel se trouve le cluster possède un AWS STS point de terminaison. Pour en savoir plus sur la création d’un point de terminaison, consultez [Points de terminaison de VPC d’interface](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
### Vérifier le montage du secret
Pour vérifier que le paramètre ou secret est correctement monté, exécutez la commande suivante.
Remplacez le *default placeholder text * par vos propres valeurs :
```
kubectl exec -it $(kubectl get pods | awk '/pod-identity-deployment/{print $1}' | head -1) -- cat /mnt/secrets-store/MyParameter
```
**Pour configurer l’identité du pod Amazon EKS afin d’accéder aux paramètres dans Parameter Store**
1. Créez une politique d’autorisation qui accorde les autorisations `ssm:GetParameters` et `ssm:DescribeParameters` aux paramètres auxquels le pod a besoin pour accéder.
1. Créez un paramètre dans Parameter Store, si vous n’en avez pas déjà un. Pour plus d'informations, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).
## Dépannage
Vous pouvez afficher la plupart des erreurs en décrivant le déploiement du pod.
**Pour afficher les messages d'erreur pour votre conteneur**
1. Obtenez une liste de noms de pod à l’aide de la commande suivante. Si vous n'utilisez pas l'espace de noms par défaut, utilisez `-n namespace`.
```
kubectl get pods
```
1. Pour décrire le Pod, dans la commande suivante, *pod-id* utilisez l'ID du Pod indiqué dans les Pods que vous avez trouvés à l'étape précédente. Si vous n'utilisez pas l'espace de noms par défaut, utilisez `-n NAMESPACE`.
```
kubectl describe pod/pod-id
```
**Pour voir les erreurs pour l'ASCP**
+ Pour obtenir plus d'informations dans les journaux du fournisseur, utilisez la commande suivante pour *PODID* utiliser l'ID du module *csi-secrets-store-provider-aws*.
```
kubectl -n kube-system get pods
kubectl -n kube-system logs pod/pod-id
```
# Utiliser AWS les secrets et le fournisseur de configuration CSI avec des rôles IAM pour les comptes de service (IRSA)
**Topics**
+ [Conditions préalables](#prerequisites)
+ [Configurer le contrôle d'accès](#integrating_ascp_irsa_access)
+ [Identifier les paramètres à monter](#integrating_ascp_irsa_mount)
+ [Dépannage](#integrating_ascp_irsa_trouble)
## Conditions préalables
+ Cluster Amazon EKS (version 1.17 ou ultérieure).
+ Accès à un AWS CLI cluster Amazon EKS via `kubectl`
## Configurer le contrôle d'accès
L’ASCP récupère l’identité du pod Amazon EKS et l’échange pour un rôle IAM. Vous définissez des autorisations dans une politique IAM pour ce rôle IAM. Lorsque l’ASCP assume le rôle IAM, il a accès aux paramètres que vous avez autorisés. Les autres conteneurs ne peuvent pas accéder aux paramètres sauf si vous les associez également au rôle IAM.
**Autoriser votre pod Amazon EKS à accéder aux paramètres de Parameter Store**
1. Créez une politique d’autorisation qui accorde les autorisations `ssm:GetParameters` et `ssm:DescribeParameters` aux paramètres auxquels le pod a besoin pour accéder.
1. Créez un fournisseur OpenID Connect (OIDC) IAM pour le cluster si vous n'en avez pas déjà un. Pour plus d’informations, consultez [Créer un fournisseur IAM OIDC pour votre cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html) dans le *Guide de l’utilisateur Amazon EKS*.
1. Créez un [Rôle IAM pour le compte de service](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) et attachez la politique. Pour plus d’informations, veuillez consulter [Créer un rôle IAM pour un compte de service](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) dans le *Guide de l’utilisateur Amazon EKS*.
1. Si vous utilisez un cluster Amazon EKS privé, assurez-vous que le VPC dans lequel se trouve le cluster possède un AWS STS point de terminaison. Pour en savoir plus sur la création d’un point de terminaison, consultez [Points de terminaison de VPC d’interface](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
## Identifier les paramètres à monter
Pour déterminer quels paramètres l’ASCP monte dans Amazon EKS en tant que fichiers du système de fichiers, vous devez créer un fichier YAML [SecretProviderClass](ascp-examples.md#ascp-examples-secretproviderclass). `SecretProviderClass` répertorie les paramètres à monter et le nom de fichier sous lequel les monter. La `SecretProviderClass` doit se trouver dans le même espace de noms que le pod Amazon EKS auquel il fait référence.
### Monter les paramètres sous forme de fichiers
[Les instructions suivantes montrent comment monter des paramètres sous forme de fichiers à l'aide d'exemples de fichiers YAML .yaml et [ExampleSecretProviderClass.yaml](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleSecretProviderClass-IRSA.yaml). ExampleDeployment](https://github.com/aws/secrets-store-csi-driver-provider-aws/blob/main/examples/ExampleDeployment-IRSA.yaml)
**Monter les paramètres dans Amazon EKS**
1. Appliquez la `SecretProviderClass` au pod :
```
kubectl apply -f ExampleSecretProviderClass.yaml
```
1. Déployez votre pod :
```
kubectl apply -f ExampleDeployment.yaml
```
1. L’ASCP monte les fichiers.
## Dépannage
Vous pouvez afficher la plupart des erreurs en décrivant le déploiement du pod.
**Pour afficher les messages d'erreur pour votre conteneur**
1. Obtenez une liste de noms de pod à l’aide de la commande suivante. Si vous n'utilisez pas l'espace de noms par défaut, utilisez `-n name-space`.
```
kubectl get pods
```
1. Pour décrire le Pod, dans la commande suivante, *pod-id* utilisez l'ID du Pod indiqué dans les Pods que vous avez trouvés à l'étape précédente. Si vous n'utilisez pas l'espace de noms par défaut, utilisez `-n nameSpace`.
```
kubectl describe pod/pod-id
```
**Pour voir les erreurs pour l'ASCP**
+ Pour obtenir plus d'informations dans les journaux du fournisseur, utilisez la commande suivante pour *pod-id* utiliser l'ID du module *csi-secrets-store-provider-aws*.
```
kubectl -n kube-system get pods
kubectl -n kube-system logs Pod/pod-id
```
+
**Vérifiez que le CRD `SecretProviderClass` est installé :**
```
kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io
```
Cette commande doit renvoyer des informations sur la définition de ressource personnalisée `SecretProviderClass`.
+
**Vérifiez que l' SecretProviderClass objet a été créé.**
```
kubectl get secretproviderclass SecretProviderClassName -o yaml
```
# AWS Exemples de code de secret et de fournisseur de configuration
## Exemples d’authentification et de contrôle d’accès pour l’ASCP
### Exemple : politique IAM autorisant le service d’identité du pod Amazon EKS (pods.eks.amazonaws.com) à assumer le rôle et à baliser la session :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
## SecretProviderClass
Vous utilisez YAML pour décrire les paramètres à monter dans Amazon EKS à l’aide de l’ASCP. Pour obtenir des exemples, consultez [SecretProviderClass utilisation](#ascp-scenarios-secretproviderclass).
### SecretProviderClass Structure YAML
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: name
spec:
provider: aws
parameters:
region:
failoverRegion:
pathTranslation:
usePodIdentity:
preferredAddressType:
objects:
```
Le champ Paramètres contient les détails de la demande de montage :
**region**
(Facultatif) Le Région AWS du paramètre. Si vous n'utilisez pas ce champ, ASCP va rechercher la région à partir de l'annotation sur le nœud. Comme cette recherche ajoute une surcharge aux demandes de montage, nous vous recommandons de fournir la région pour les clusters qui utilisent un grand nombre de pods.
Si vous spécifiez également `failoverRegion`, l’ASCP essaie de récupérer le paramètre des deux régions. Si l’une des régions renvoie une erreur `4xx`, notamment en raison d’un problème d’authentification, l’ASCP ne monte aucun paramètre. Si le paramètre est récupéré avec succès à partir du `region```, l’ASCP monte cette valeur de paramètre. Si le paramètre n’est pas récupéré correctement de `region`, mais qu’il l’est avec succès de `failoverRegion`, l’ASCP monte cette valeur de paramètre.
**`failoverRegion`**
(Facultatif) Si vous incluez ce champ, l’ASCP va essayer de récupérer le paramètre à partir des régions définies dans `region` et dans ce champ. Si l’une des régions renvoie une erreur `4xx`, notamment en raison d’un problème d’authentification, l’ASCP ne monte aucun paramètre. Si le paramètre est récupéré avec succès à partir du `region`, l’ASCP monte cette valeur de paramètre. Si le paramètre n’est pas récupéré correctement de `region`, mais qu’il l’est avec succès de `failoverRegion`, l’ASCP monte cette valeur de paramètre. Pour accéder à un exemple sur la façon de procéder, consultez [Basculement de paramètres multi-régions](#multi-region-failover).
**pathTranslation**
(Facultatif) Un caractère de substitution unique à utiliser si le nom de fichier dans Amazon EKS contient un caractère séparateur de chemin, tel que la barre oblique (/) sur Linux. L'ASCP ne peut pas créer un fichier monté possédant un caractère de séparation de chemin. Par contre, l'ASCP va remplacer le caractère séparateur de chemin par un autre caractère. Si vous n'utilisez pas ce champ, la valeur par défaut est le trait de soulignement (\$1). Par exemple, `My/Path/Parameter` se monte en tant que `My_Path_Parameter`.
Pour empêcher la substitution de caractères, entrez la chaîne `False`.
***usePodIdentity***
(Facultatif) Détermine l’approche d’authentification. Lorsqu’il n’est pas spécifié, sa valeur par défaut est Rôles IAM pour les comptes de service (IRSA) (IRSA).
+ Pour utiliser l’identité du pod EKS, utilisez l’une des valeurs suivantes : `"true"`", `"True"`, `"TRUE"`, `"t"` ou `"T"`.
+ Pour utiliser IRSA de manière explicite, définissez l’une des valeurs suivantes : `"false"`, `"False"`, `"FALSE"`, `"f"` ou `"F"`"=.
***preferredAddressType***
(Facultatif) Spécifie le type d’adresse IP préféré pour les communications entre les points de terminaison de l’agent d’identité du pod. Le champ n’est applicable que lors de l’utilisation de la fonctionnalité d’identité du pod EKS et sera ignoré lors de l’utilisation des rôles IAM pour les comptes de service. Les valeurs ne sont pas sensibles à la casse. Les valeurs valides sont :
+ `"ipv4"`, `"IPv4"` «, ou `"IPV4"` — Forcer l'utilisation du point de IPv4 terminaison Pod Identity Agent
+ `"ipv6"``"IPv6"`, ou `"IPV6"` — Forcer l'utilisation du point de IPv6 terminaison Pod Identity Agent
+ non spécifié — Utilisez la sélection automatique du point de terminaison, en essayant d'abord le point de IPv4 terminaison et en revenant au IPv6 point de terminaison en cas d' IPv4 échec
**objects**
Chaîne contenant une déclaration YAML des secrets à monter. Nous vous recommandons d'utiliser une chaîne YAML multi-ligne ou un caractère pipe (\$1).
**objectName**
Obligatoire. Spécifie le nom du paramètre ou secret à récupérer. Pour Parameter Store, il s’agit [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_RequestParameters) du paramètre et il peut s’agir du nom ou de l’ARN complet du paramètre. Pour Secrets Manager, il s’agit du paramètre [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html#API_GetSecretValue_RequestParameters), et il peut s’agir du nom convivial ou de l’ARN complet du secret.
**objectType**
Obligatoire si vous n'utilisez pas d'ARN Secrets Manager pour `objectName`. Pour Parameter Store, utilisez `ssmparameter`. Pour Secrets Manager, utilisez `secretsmanager`.
**objectAlias**
(Facultatif) Nom de fichier du secret dans le pod Amazon EKS. Si vous ne spécifiez pas ce champ,`objectName` apparaît en tant que nom de fichier.
**objectVersion**
(Facultatif) ID de version du paramètre. Déconseillé, car vous devez mettre à jour l’identifiant de la version à chaque fois que vous mettez le paramètre à jour. La version la plus récente est utilisée par défaut. Si vous incluez un `failoverRegion`, ce champ représente le champ principal `objectVersion`.
**objectVersionLabel**
(Facultatif) Alias de la version. La version par défaut est la plus récente `AWSCURRENT`. Si vous incluez un `failoverRegion`, ce champ représente le champ principal `objectVersionLabel`.
**jmesPath**
(Facultatif) Une carte des clés du paramètre avec les fichiers à monter dans Amazon EKS. Pour utiliser ce champ, votre valeur de paramètre doit être au format JSON.
L'exemple suivant montre comment se présente un paramètre codé JSON.
```
{
"username" : "myusername",
"password" : "mypassword"
}
```
Les clés sont `username` et `password`. La valeur associée à `username` est `myusername` et la valeur associée à `password` est `mypassword`.
Si vous utilisez ce champ, vous devez inclure les sous-champs `path` et `objectAlias`.
**path**
Une clé d’une paire clé-valeur dans le JSON de la valeur de paramètre. Si le champ contient un trait d'union, utilisez des guillemets simples pour l'ignorer, par exemple : `path: '"hyphenated-path"'`
**objectAlias**
Le nom du fichier à monter dans le pod Amazon EKS. Si le champ contient un trait d'union, utilisez des guillemets simples pour l'ignorer, par exemple : `objectAlias: '"hyphenated-alias"'`
**`failoverObject`**
(Facultatif) Si vous spécifiez ce champ, l’ASCP essaie de récupérer à la fois le paramètre spécifié dans le champ principal `objectName` et le paramètre spécifié dans le sous-champ `failoverObject` `objectName`. Si l’une renvoie une erreur `4xx`, notamment en raison d’un problème d’authentification, l’ASCP ne monte aucun paramètre. Si le paramètre est récupéré avec succès à partir du `objectName` principal, l’ASCP monte cette valeur de paramètre. Si le paramètre n’est pas récupéré correctement du `objectName` principal, mais qu’il l’est avec succès du `objectName` de basculement, l’ASCP monte cette valeur de paramètre. Si vous incluez ce champ, vous devez inclure le champ `objectAlias`. Pour accéder à un exemple sur la façon de procéder, consultez [Basculement vers un paramètre différent](#failover-parameter).
Vous allez généralement utiliser ce champ lorsque le paramètre de basculement n’est pas une réplique. Pour obtenir un exemple de spécification des capacités, consultez [Basculement de paramètres multi-régions](#multi-region-failover).
**objectName**
Nom ou ARN complet du paramètre de basculement. Si vous utilisez un ARN, la région de l'ARN doit correspondre au champ `failoverRegion`.
**objectVersion**
(Facultatif) ID de version du paramètre. Doit correspondre au principal `objectVersion`. Déconseillé, car vous devez mettre à jour l’identifiant de la version à chaque fois que vous mettez le paramètre à jour. La version la plus récente est utilisée par défaut.
**objectVersionLabel**
(Facultatif) Alias de la version. La version par défaut est la plus récente `AWSCURRENT`.
### Créez une SecretProviderClass configuration de base pour monter les paramètres dans vos Amazon EKS Pods.
------
#### [ Pod Identity ]
SecretProviderClass pour utiliser un paramètre dans le même cluster Amazon EKS :
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameter-store
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
usePodIdentity: "true"
```
------
#### [ IRSA ]
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: deployment-aws-parameter
spec:
provider: aws
parameters:
objects: |
- objectName: "MyParameter"
objectType: "ssmparameter"
```
------
### SecretProviderClass utilisation
Utilisez ces exemples pour créer des configurations `SecretProviderClass` pour différents scénarios.
#### Exemple : monter les paramètres par nom ou ARN
Cet exemple montre comment monter trois types de paramètres différents :
+ Un paramètre spécifié par ARN complet
+ Un paramètre spécifié par nom
+ Une version paramétrée d’un secret
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter2-d4e5f6"
- objectName: "MyParameter3"
objectType: "ssmparameter"
- objectName: "MyParameter4"
objectType: "ssmparameter"
objectVersionLabel: "AWSCURRENT"
```
#### Exemple : monter des paires clé-valeur à partir d’un paramètre
Cet exemple montre comment monter des paires clé-valeur spécifiques à partir d’un paramètre au format JSON :
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
objects: |
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyParameter-a1b2c3"
jmesPath:
- path: username
objectAlias: dbusername
- path: password
objectAlias: dbpassword
```
#### Exemple : exemples de configuration de basculement
Ces exemples montrent comment configurer le basculement pour les paramètres.
##### Basculement de paramètres multi-régions
Cet exemple montre comment configurer le basculement automatique pour un paramètre répliqué à travers plusieurs régions :
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "MyParameter"
```
##### Basculement vers un paramètre différent
Cet exemple montre comment configurer le basculement vers un autre paramètre (pas un réplica) :
```
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-parameters
spec:
provider: aws
parameters:
region: us-east-1
failoverRegion: us-east-2
objects: |
- objectName: "arn:aws:ssm:us-east-1:777788889999:parameter:MyParameter-a1b2c3"
objectAlias: "MyMountedParameter"
failoverObject:
- objectName: "arn:aws:ssm:us-east-2:777788889999:parameter:MyFailoverParameter-d4e5f6"
```
## Ressources supplémentaires
Pour plus d’informations sur l’utilisation d’ASCP avec Amazon EKS, consultez les ressources suivantes :
+ [Utilisation de l’identité du pod avec Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)
+ [AWS Pilote CSI Secrets Store activé GitHub](https://github.com/aws/secrets-store-csi-driver-provider-aws)
# Utilisation de Parameter Store paramètres dans les AWS Lambda fonctions
Parameter Store, un outil de AWS Systems Manager, fournit un stockage hiérarchique sécurisé pour la gestion des données de configuration et la gestion des secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données Amazon Machine Image (AMI) IDs et des codes de licence sous forme de valeurs de paramètres.
Pour utiliser les paramètres Parameter Store des AWS Lambda fonctions sans utiliser de SDK, vous pouvez utiliser l'extension Lambda AWS Parameters and Secrets. Cette extension récupère les valeurs de paramètre et les met en cache pour une utilisation future. L'utilisation de l'extension Lambda peut réduire vos coûts en diminuant le nombre d'appels d'API vers Parameter Store. L'utilisation de l'extension peut également améliorer la latence, car la récupération d'un paramètre mis en cache est plus rapide que sa récupération depuis Parameter Store.
Une extension Lambda est un processus complémentaire qui améliore les capacités d'une fonction Lambda. Une extension est comme un client qui s'exécute en parallèle d'une invocation Lambda. Ce client parallèle peut s'interfacer avec votre fonction à tout moment au cours de son cycle de vie. Pour plus d'informations sur les extensions Lambda, veuillez consulter [API Extensions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-extensions-api.html) dans le *Guide du développeur AWS Lambda *.
L'extension Lambda AWS Parameters and Secrets fonctionne à la fois pour etParameter Store. AWS Secrets Manager Pour savoir comment utiliser l'extension Lambda avec des secrets depuis Secrets Manager, consultez la section [Utiliser des AWS Secrets Manager secrets dans les AWS Lambda fonctions](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) du Guide de l'*AWS Secrets Manager utilisateur*.
**Informations connexes**
[Utilisation de l'extension Lambda AWS Parameter and Secrets pour mettre en cache des paramètres et des secrets](https://aws.amazon.com/blogs/compute/using-the-aws-parameter-and-secrets-lambda-extension-to-cache-parameters-and-secrets/) (AWS Compute Blog)
## Fonctionnement de l'extension
Pour utiliser des paramètres dans une fonction Lambda *sans* extension Lambda, vous devez configurer votre fonction Lambda pour qu'elle reçoive des mises à jour de configuration en l'intégrant à l'action d'API `GetParameter` pour Parameter Store.
Lorsque vous utilisez l'extension Lambda AWS Parameters and Secrets, l'extension extrait la valeur du paramètre Parameter Store et la stocke dans le cache local. Ensuite, la valeur mise en cache est utilisée pour d'autres invocations jusqu'à son expiration. Les valeurs mises en cache expirent une fois leur valeur time-to-live (TTL) transmise. Vous pouvez configurer la valeur TTL à l'aide de la [variable d'environnement](#ps-integration-lambda-extensions-config) `SSM_PARAMETER_STORE_TTL`, comme expliqué plus loin dans cette rubrique.
Si la TTL du cache configurée n'a pas expiré, la valeur du paramètre mise en cache est utilisée. Si le délai est expiré, la valeur mise en cache est invalidée et la valeur du paramètre est récupérée depuis Parameter Store.
En outre, le système détecte les valeurs de paramètres fréquemment utilisées et les conserve dans le cache tout en effaçant celles qui sont expirées ou inutilisées.
**Important**
L’extension ne peut être invoquée que dans la phase `INVOKE` de l’opération Lambda et pas pendant la phase `INIT`.
### Détails de l'implémentation
Utilisez les informations suivantes pour vous aider à configurer l'extension Lambda AWS Parameters and Secrets.
Authentification
Pour autoriser et authentifier les requêtes de Parameter Store, l'extension utilise les mêmes informations d'identification que celles utilisées pour exécuter la fonction Lambda elle-même. Par conséquent, le rôle Gestion des identités et des accès AWS (IAM) utilisé pour exécuter la fonction doit disposer des autorisations suivantes pour interagir avec Parameter Store :
+ `ssm:GetParameter` : obligatoire pour récupérer les paramètres depuis Parameter Store
+ `kms:Decrypt` : obligatoire si vous récupérez des paramètres `SecureString` depuis Parameter Store
Pour plus d'informations, veuillez consulter [Rôle d'exécution AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) dans le *Guide du développeur AWS Lambda *.
Instanciation
Lambda instancie des instances distinctes correspondant au niveau de simultanéité requis par votre fonction. Chaque instance est isolée et conserve son propre cache local de vos données de configuration. Pour plus d'informations sur les instances Lambda et la simultanéité, veuillez consulter [Configuration de la simultanéité réservée Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html) dans le *Guide du développeur AWS Lambda *.
Aucune dépendance au kit SDK
L'extension Lambda AWS Parameters and Secrets fonctionne indépendamment de toute bibliothèque de langage du AWS SDK. Il n'est pas nécessaire de disposer d'un AWS SDK pour envoyer des requêtes GET àParameter Store.
Port du Localhost
Utilisez `localhost` dans vos requêtes GET. L'extension envoie des requêtes au port localhost 2773. Vous n'avez pas besoin de spécifier un point de terminaison externe ou interne pour utiliser l'extension. Vous pouvez configurer le port en définissant la `PARAMETERS_SECRETS_EXTENSION_HTTP_PORT`[variable d'environnement](#ps-integration-lambda-extensions-config).
Par exemple, dans Python, votre URL GET peut ressembler à l'exemple suivant.
```
parameter_url = ('http://localhost:' + port + '/systemsmanager/parameters/get/?name=' + ssm_parameter_path)
```
Modifications apportées à la valeur d'un paramètre avant l'expiration de la TTL
L'extension ne détecte pas les modifications apportées à la valeur du paramètre et n'effectue pas d'actualisation automatique avant l'expiration de la TTL. Si vous modifiez la valeur d'un paramètre, les opérations utilisant la valeur de paramètre mise en cache peuvent échouer jusqu'à la prochaine actualisation du cache. Si vous prévoyez de modifier fréquemment la valeur d'un paramètre, nous vous recommandons de définir une valeur TTL plus courte.
Exigence d'en-tête
Pour récupérer des paramètres depuis le cache de l'extension, l'en-tête de votre requête GET doit inclure une référence `X-Aws-Parameters-Secrets-Token`. Définissez le jeton sur `AWS_SESSION_TOKEN`, qui est fourni par Lambda pour toutes les fonctions en cours d'exécution. L'utilisation de cet en-tête indique que l'appelant se trouve dans l'environnement Lambda.
Exemple
L'exemple suivant dans Python illustre une requête de base permettant de récupérer la valeur d'un paramètre mis en cache.
```
import urllib.request
import os
import json
aws_session_token = os.environ.get('AWS_SESSION_TOKEN')
def lambda_handler(event, context):
# Retrieve /my/parameter from Parameter Store using extension cache
req = urllib.request.Request('http://localhost:2773/systemsmanager/parameters/get?name=%2Fmy%2Fparameter')
req.add_header('X-Aws-Parameters-Secrets-Token', aws_session_token)
config = urllib.request.urlopen(req).read()
return json.loads(config)
```
Prise en charge par ARM
L’extension prend en charge l’architecture ARM dans la plupart des Régions AWS où les architectures x86\$164 et x86 sont prises en charge. Si vous utilisez l’architecture ARM, nous vous suggérons de vérifier que votre architecture est prise en charge. Pour obtenir la liste complète des extensions ARNs, voir[AWS Paramètres et secrets de l'extension Lambda ARNs](#ps-integration-lambda-extensions-add).
Logging
Lambda enregistre les informations d'exécution relatives à l'extension ainsi qu'à la fonction à l'aide d'Amazon CloudWatch Logs. Par défaut, l'extension enregistre une quantité minimale d'informations dans CloudWatch. Pour journaliser plus d'informations, définissez la [variable d'environnement](#ps-integration-lambda-extensions-config) `PARAMETERS_SECRETS_EXTENSION_LOG_LEVEL` sur `DEBUG`.
### Ajout de l'extension à une fonction Lambda
Pour utiliser l'extension Lambda AWS Parameters and Secrets, vous devez l'ajouter à votre fonction Lambda sous forme de couche.
Utilisez l'une des méthodes suivantes pour ajouter l'extension à votre fonction.
AWS Management Console (Option d'ajout d'une couche)
1. Ouvrez la AWS Lambda console à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Choisissez votre fonction. Dans la zone **Layers** (Couches), choisissez **Add a layer** (Ajouter une couche).
1. Dans la zone **Choisir une couche**, sélectionnez l'option **Couches AWS **.
1. Pour **Couches AWS **, sélectionnez **AWS-Parameters-and-Secrets-Lambda-Extension**, choisissez une version puis cliquez sur **Ajouter**.
AWS Management Console (Spécifiez l'option ARN)
1. Ouvrez la AWS Lambda console à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Choisissez votre fonction. Dans la zone **Layers** (Couches), choisissez **Add a layer** (Ajouter une couche).
1. Dans la zone **Choose a layer** (Choisir une couche), sélectionnez l'option **Specify an ARN** (Spécifier un ARN).
1. Pour **Spécifier un ARN**, entrez l'[ARN de l'extension pour votre architecture Région AWS et](#ps-integration-lambda-extensions-add), puis choisissez **Ajouter**.
AWS Command Line Interface
Exécutez la commande suivante dans l' AWS CLI : Remplacez chaque *example resource placeholder* par vos propres informations.
```
aws lambda update-function-configuration \
--function-name function-name \
--layers layer-ARN
```
**Informations connexes**
[Utilisation de couches avec votre fonction Lambda](https://docs.aws.amazon.com/lambda/latest/dg/invocation-layers.html)
[Configuration des extensions (archive de fichiers .zip)](https://docs.aws.amazon.com/lambda/latest/dg/using-extensions.html#using-extensions-config)
## AWS Paramètres et secrets Variables d'environnement de l'extension Lambda
Vous pouvez configurer l'extension en modifiant les variables d'environnement suivantes. Pour voir les paramètres actuels, définissez `PARAMETERS_SECRETS_EXTENSION_LOG_LEVEL` sur `DEBUG`. Pour plus d'informations, consultez la section [Utilisation de variables d' AWS Lambda environnement](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html) dans le *Guide du AWS Lambda développeur*.
**Note**
AWS Lambda enregistre les détails des opérations relatives à l'extension Lambda et à la fonction Lambda dans Amazon Logs. CloudWatch
****
| Variable d'environnement | Détails | Obligatoire | Valeurs valides | Valeur par défaut |
| --- | --- | --- | --- | --- |
| `SSM_PARAMETER_STORE_TIMEOUT_MILLIS` | Délai d'expiration des requêtes adressées à Parameter Store, en millisecondes. La valeur 0 (zéro) indique qu'il n'y a pas de délai d'expiration. | Non | Tous les nombres entiers | 0 (zéro) |
| `SECRETS_MANAGER_TIMEOUT_MILLIS` | Délai d'expiration des requêtes adressées à Secrets Manager, en millisecondes. La valeur 0 (zéro) indique qu'il n'y a pas de délai d'expiration. | Non | Tous les nombres entiers | 0 (zéro) |
| `SSM_PARAMETER_STORE_TTL` | Durée de vie maximale valide, en secondes, d'un paramètre dans le cache avant qu'il ne soit invalidé. La valeur 0 (zéro) indique que le cache doit être contourné. Cette variable est ignorée si la valeur de `PARAMETERS_SECRETS_EXTENSION_CACHE_SIZE` est 0 (zéro). | Non | 0 (zéro) à 300 s (cinq minutes) | 300 s (cinq minutes) |
| `SECRETS_MANAGER_TTL` | Durée de vie maximale valide, en secondes, d'un secret dans le cache avant qu'il ne soit invalidé. La valeur 0 (zéro) indique que le cache est contourné. Cette variable est ignorée si la valeur de `PARAMETERS_SECRETS_EXTENSION_CACHE_SIZE` est 0 (zéro). | Non | 0 (zéro) à 300 s (cinq minutes) | 300 s (5 minutes) |
| `PARAMETERS_SECRETS_EXTENSION_CACHE_ENABLED` | Détermine si le cache est activé pour l'extension. Valeur valeurs : `TRUE \| FALSE` | Non | TRUE \$1 FALSE | TRUE |
| `PARAMETERS_SECRETS_EXTENSION_CACHE_SIZE` | Taille maximale du cache en termes de nombre d'éléments. La valeur 0 (zéro) indique que le cache est contourné. Cette variable est ignorée si les deux valeurs TTL du cache sont égales à 0 (zéro). | Non | 0 (zéro) à 1 000 | 1 000 |
| `PARAMETERS_SECRETS_EXTENSION_HTTP_PORT` | Port du serveur HTTP local. | Non | 1 – 65535 | 2773 |
| `PARAMETERS_SECRETS_EXTENSION_MAX_CONNECTIONS` | Nombre maximal de connexions pour les clients HTTP que l'extension utilise pour adresser des requêtes au Parameter Store ou à Secrets Manager. Il s'agit d'une configuration par client indiquant le nombre de connexions que le client Secrets Manager et le client Parameter Store établissent aux services backend. | Non | Minimum de 1 ; aucune limite maximale. | 3 |
| `PARAMETERS_SECRETS_EXTENSION_LOG_LEVEL` | Le niveau de détail indiqué dans les journaux pour l'extension. Nous vous recommandons d'utiliser `DEBUG` pour obtenir le plus de détails sur la configuration de votre cache lorsque vous configurez et testez l'extension. Les journaux des opérations Lambda sont automatiquement transférés vers un groupe de journaux de CloudWatch journaux associé. | Non | `DEBUG \| WARN \| ERROR \| NONE \| INFO` | `INFO` |
## Exemples de commandes pour utiliser l' AWS Secrets Manager extension AWS Systems ManagerParameter Store and
Les exemples de cette section illustrent les actions d'API à utiliser avec l' AWS Secrets Manager extension AWS Systems Manager Parameter Store and.
### Exemples de commandes pour Parameter Store
L'extension Lambda utilise un accès en lecture seule à l'action d'API. **GetParameter**
Pour appeler cette action, effectuez un appel HTTP GET similaire à ce qui suit. Ce format de commande permet d'accéder aux paramètres du niveau de paramètres standard.
```
GET http://localhost:port/systemsmanager/parameters/get?name=parameter-name&version=version&label=label&withDecryption={true|false}
```
Dans cet exemple, *parameter-name* représente le nom complet du paramètre, par exemple pour un paramètre ne figurant pas dans une hiérarchie ou `%2FDev%2FProduction%2FEast%2FProject-ABC%2FMyParameter` pour un paramètre nommé `/Dev/Production/East/Project-ABC/MyParameter` qui fait partie d'une hiérarchie. `MyParameter`
**Note**
Lorsque vous utilisez des appels GET, les valeurs des paramètres doivent être codées pour que HTTP conserve les caractères spéciaux. Par exemple, au lieu de formater un chemin hiérarchique comme `/a/b/c`, codez des caractères qui pourraient être interprétés comme faisant partie de l'URL, tels que `%2Fa%2Fb%2Fc`.
*version*et *label* les sélecteurs sont-ils disponibles pour être utilisés avec l'`GetParameter`action ?
```
GET http://localhost:port/systemsmanager/parameters/get/?name=MyParameter&version=5
```
Pour appeler un paramètre dans une hiérarchie, effectuez un appel HTTP GET similaire à ce qui suit.
```
GET http://localhost:port/systemsmanager/parameters/get?name=%2Fa%2Fb%2F&label=release
```
Pour appeler un paramètre public (global), effectuez un appel HTTP GET similaire à ce qui suit.
```
GET http://localhost:port/systemsmanager/parameters/get/?name=%2Faws%2Fservice%20list%2F…
```
Pour effectuer un appel HTTP GET vers un secret Secrets Manager à l'aide de références Parameter Store, effectuez un appel HTTP GET similaire à ce qui suit.
```
GET http://localhost:port/systemsmanager/parameters/get?name=%2Faws%2Freference%2Fsecretsmanager%2F…
```
Pour effectuer un appel en utilisant l'Amazon Resource Name (ARN) pour un paramètre, effectuez un appel HTTP GET similaire à ce qui suit.
```
GET http://localhost:port/systemsmanager/parameters/get?name=arn:aws:ssm:us-east-1:123456789012:parameter/MyParameter
```
Pour effectuer un appel qui accède à un paramètre `SecureString` avec le déchiffrement, effectuez un appel HTTP GET similaire à ce qui suit.
```
GET http://localhost:port/systemsmanager/parameters/get?name=MyParameter&withDecryption=true
```
Vous pouvez spécifier que les paramètres ne sont pas déchiffrés en omettant `withDecryption` ou en le définissant explicitement sur `false`. Vous pouvez également spécifier une version ou une étiquette, mais pas les deux. Le cas échéant, seule la première d'entre elles placée après le point d'interrogation (`?`) dans l'URL est utilisée.
## AWS Paramètres et secrets de l'extension Lambda ARNs
Le dernier Amazon Resource Name (ARN) pour l'extension Lambda est publié en tant que paramètre public dans le magasin de paramètres Systems Manager pour chaque architecture prise en charge. Vous pouvez récupérer le dernier ARN par programmation à l'aide du AWS CLI ou CloudFormation pour vous assurer que votre application fait toujours référence à la version d'extension la plus récente sans mise à jour manuelle. Cette section explique comment récupérer l'ARN par programmation et fournit des tableaux répertoriant les valeurs d'ARN actuelles pour chaque architecture à des fins de référence manuelle.
### Récupération de la dernière version de l'ARN de l'extension Lambda
Les dernières versions de l'ARN de l'extension Lambda sont stockées en tant que paramètres publics aux emplacements suivants. Vous pouvez référencer ces paramètres publics dans votre code pour les récupérer :
+ **x86\$164** :/aws/service/aws-parameters-and-secrets-lambda-extension/x86/latest
+ **bras 64** :/aws/service/aws-parameters-and-secrets-lambda-extension/arm64/latest
**AWS CLI**
Pour récupérer les dernières versions de l'ARN à l'aide de AWS CLI, exécutez les commandes suivantes.
**x86\$164**
```
aws ssm get-parameter --name "/aws/service/aws-parameters-and-secrets-lambda-extension/x86/latest" --query "Parameter.Value" --output text
```
**arm64**
```
aws ssm get-parameter --name "/aws/service/aws-parameters-and-secrets-lambda-extension/arm64/latest" --query "Parameter.Value" --output text
```
**AWS CloudFormation**
Lorsque vous déployez des fonctions Lambda à l'aide de CloudFormation, vous pouvez résoudre les paramètres directement lors de la création et des mises à jour de la pile, comme indiqué dans les exemples de modèles YAML suivants. Cette méthode garantit que votre fonction utilise toujours la dernière version de l'extension sans nécessiter de mises à jour manuelles.
**x86\$164**
```
Resources:
MyFunction:
Type: AWS::Lambda::Function
Properties:
FunctionName: my-function
Runtime: python3.11
Handler: index.handler
Code:
ZipFile: |
def handler(event, context):
return {'statusCode': 200}
Layers:
- !Sub '{{resolve:ssm:/aws/service/aws-parameters-and-secrets-lambda-extension/x86/latest}}'
Role: !GetAtt MyFunctionRole.Arn
```
**arm64**
```
Layers:
- !Sub '{{resolve:ssm:/aws/service/aws-parameters-and-secrets-lambda-extension/arm64/latest}}'
```
**Note**
La `{{resolve:ssm:parameter-name}}` syntaxe récupère automatiquement la valeur du paramètre lors des opérations de pile. Cela garantit que vous déployez toujours avec l'ARN actuel.
### Dernière extension ARNs
Les tableaux suivants fournissent des extensions ARNs pour les architectures et les régions prises en charge.
**Topics**
+ [Extension ARNs pour les x86 architectures x86\$164 et](#intel)
+ [Extensions ARNs ARM64 et Mac with Apple silicon architectures](#arm64)
#### Extension ARNs pour les x86 architectures x86\$164 et
Dernière mise à jour : 17 février 2026
****
| Région | ARN |
| --- | --- |
| USA Est (Ohio) | `arn:aws:lambda:us-east-2:590474943231:layer:AWS-Parameters-and-Secrets-Lambda-Extension:67` |
| USA Est (Virginie du Nord) | `arn:aws:lambda:us-east-1:177933569100:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| USA Ouest (Californie du Nord) | `arn:aws:lambda:us-west-1:997803712105:layer:AWS-Parameters-and-Secrets-Lambda-Extension:59` |
| USA Ouest (Oregon) | `arn:aws:lambda:us-west-2:345057560386:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| Afrique (Le Cap) | `arn:aws:lambda:af-south-1:317013901791:layer:AWS-Parameters-and-Secrets-Lambda-Extension:60` |
| Asie-Pacifique (Hong Kong) | `arn:aws:lambda:ap-east-1:768336418462:layer:AWS-Parameters-and-Secrets-Lambda-Extension:60` |
| Asie-Pacifique (Taipei) | `arn:aws:lambda:ap-east-2:890742577149:layer:AWS-Parameters-and-Secrets-Lambda-Extension:33` |
| Région Asie-Pacifique (Hyderabad) | `arn:aws:lambda:ap-south-2:070087711984:layer:AWS-Parameters-and-Secrets-Lambda-Extension:55` |
| Asie-Pacifique (Jakarta) | `arn:aws:lambda:ap-southeast-3:490737872127:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Asie-Pacifique (Melbourne) | `arn:aws:lambda:ap-southeast-4:090732460067:layer:AWS-Parameters-and-Secrets-Lambda-Extension:48` |
| Asie-Pacifique (Malaisie) | `arn:aws:lambda:ap-southeast-5:381492012281:layer:AWS-Parameters-and-Secrets-Lambda-Extension:47` |
| Asie-Pacifique (Nouvelle-Zélande) | `arn:aws:lambda:ap-southeast-6:995508174458:layer:AWS-Parameters-and-Secrets-Lambda-Extension:42` |
| Asie-Pacifique (Mumbai) | `arn:aws:lambda:ap-south-1:176022468876:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Asie-Pacifique (Osaka) | `arn:aws:lambda:ap-northeast-3:576959938190:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Asia Pacific (Seoul) | `arn:aws:lambda:ap-northeast-2:738900069198:layer:AWS-Parameters-and-Secrets-Lambda-Extension:59` |
| Asie-Pacifique (Singapour) | `arn:aws:lambda:ap-southeast-1:044395824272:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| Asie-Pacifique (Sydney) | `arn:aws:lambda:ap-southeast-2:665172237481:layer:AWS-Parameters-and-Secrets-Lambda-Extension:63` |
| Asie-Pacifique (Thaïlande) | `arn:aws:lambda:ap-southeast-7:941377119484:layer:AWS-Parameters-and-Secrets-Lambda-Extension:48` |
| Asie-Pacifique (Tokyo) | `arn:aws:lambda:ap-northeast-1:133490724326:layer:AWS-Parameters-and-Secrets-Lambda-Extension:60` |
| Canada (Centre) | `arn:aws:lambda:ca-central-1:200266452380:layer:AWS-Parameters-and-Secrets-Lambda-Extension:65` |
| Canada Ouest (Calgary) | `arn:aws:lambda:ca-west-1:243964427225:layer:AWS-Parameters-and-Secrets-Lambda-Extension:35` |
| Chine (Pékin) | `arn:aws-cn:lambda:cn-north-1:287114880934:layer:AWS-Parameters-and-Secrets-Lambda-Extension:64` |
| China (Ningxia) | `arn:aws-cn:lambda:cn-northwest-1:287310001119:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| Europe (Francfort) | `arn:aws:lambda:eu-central-1:187925254637:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| Europe (Irlande) | `arn:aws:lambda:eu-west-1:015030872274:layer:AWS-Parameters-and-Secrets-Lambda-Extension:63` |
| Europe (Londres) | `arn:aws:lambda:eu-west-2:133256977650:layer:AWS-Parameters-and-Secrets-Lambda-Extension:59` |
| Europe (Milan) | `arn:aws:lambda:eu-south-1:325218067255:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Europe (Paris) | `arn:aws:lambda:eu-west-3:780235371811:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Région Europe (Espagne) | `arn:aws:lambda:eu-south-2:524103009944:layer:AWS-Parameters-and-Secrets-Lambda-Extension:54` |
| AWS European Sovereign Cloud (Allemagne) | `arn:aws-eusc:lambda:eusc-de-east-1:041683371183:layer:AWS-Parameters-and-Secrets-Lambda-Extension:5` |
| Europe (Stockholm) | `arn:aws:lambda:eu-north-1:427196147048:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Israël (Tel Aviv) | `arn:aws:lambda:il-central-1:148806536434:layer:AWS-Parameters-and-Secrets-Lambda-Extension:35` |
| Région Europe (Zurich) | `arn:aws:lambda:eu-central-2:772501565639:layer:AWS-Parameters-and-Secrets-Lambda-Extension:42` |
| Région Mexique (Centre) | `arn:aws:lambda:mx-central-1:241533131596:layer:AWS-Parameters-and-Secrets-Lambda-Extension:32` |
| Middle East (Bahrain) | `arn:aws:lambda:me-south-1:832021897121:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Moyen-Orient (EAU) | `arn:aws:lambda:me-central-1:858974508948:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| Amérique du Sud (São Paulo) | `arn:aws:lambda:sa-east-1:933737806257:layer:AWS-Parameters-and-Secrets-Lambda-Extension:61` |
| AWS GovCloud (USA Est) | `arn:aws-us-gov:lambda:us-gov-east-1:129776340158:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
| AWS GovCloud (US-Ouest) | `arn:aws-us-gov:lambda:us-gov-west-1:127562683043:layer:AWS-Parameters-and-Secrets-Lambda-Extension:58` |
#### Extensions ARNs ARM64 et Mac with Apple silicon architectures
Dernière mise à jour : 17 février 2026
****
| Région | ARN |
| --- | --- |
| USA Est (Ohio) | `arn:aws:lambda:us-east-2:590474943231:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:67` |
| USA Est (Virginie du Nord) | `arn:aws:lambda:us-east-1:177933569100:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:61` |
| Région US West (N. California) | `arn:aws:lambda:us-west-1:997803712105:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:56` |
| USA Ouest (Oregon) | `arn:aws:lambda:us-west-2:345057560386:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:61` |
| Région Afrique (Le Cap) | `arn:aws:lambda:af-south-1:317013901791:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:57` |
| Région Asie-Pacifique (Hong Kong) | `arn:aws:lambda:ap-east-1:768336418462:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:57` |
| Asie-Pacifique (Taipei) | `arn:aws:lambda:ap-east-2:890742577149:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:29` |
| Région Asie-Pacifique (Hyderabad) | `arn:aws:lambda:ap-south-2:070087711984:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| Région Asie-Pacifique (Jakarta) | `arn:aws:lambda:ap-southeast-3:490737872127:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Asie-Pacifique (Melbourne) | `arn:aws:lambda:ap-southeast-4:090732460067:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| Asie-Pacifique (Malaisie) | `arn:aws:lambda:ap-southeast-5:381492012281:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| Asie-Pacifique (Nouvelle-Zélande) | `arn:aws:lambda:ap-southeast-6:995508174458:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:40` |
| Asie-Pacifique (Mumbai) | `arn:aws:lambda:ap-south-1:176022468876:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:58` |
| Asie-Pacifique (Osaka) | `arn:aws:lambda:ap-northeast-3:576959938190:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Région Asie-Pacifique (Séoul) | `arn:aws:lambda:ap-northeast-2:738900069198:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:56` |
| Asie-Pacifique (Singapour) | `arn:aws:lambda:ap-southeast-1:044395824272:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:61` |
| Asie-Pacifique (Sydney) | `arn:aws:lambda:ap-southeast-2:665172237481:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:63` |
| Asie-Pacifique (Thaïlande) | `arn:aws:lambda:ap-southeast-7:941377119484:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| Asie-Pacifique (Tokyo) | `arn:aws:lambda:ap-northeast-1:133490724326:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:60` |
| Région Canada (Centre) | `arn:aws:lambda:ca-central-1:200266452380:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:62` |
| Canada-Ouest (Calgary) | `arn:aws:lambda:ca-west-1:243964427225:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:34` |
| Chine (Pékin) | `arn:aws-cn:lambda:cn-north-1:287114880934:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:53` |
| China (Ningxia) | `arn:aws-cn:lambda:cn-northwest-1:287310001119:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:50` |
| Europe (Francfort) | `arn:aws:lambda:eu-central-1:187925254637:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:61` |
| Europe (Irlande) | `arn:aws:lambda:eu-west-1:015030872274:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:63` |
| Europe (Londres) | `arn:aws:lambda:eu-west-2:133256977650:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:59` |
| Europe (Milan) Region | `arn:aws:lambda:eu-south-1:325218067255:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Région Europe (Paris) | `arn:aws:lambda:eu-west-3:780235371811:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Région Europe (Espagne) | `arn:aws:lambda:eu-south-2:524103009944:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:46` |
| Région Europe (Stockholm) | `arn:aws:lambda:eu-north-1:427196147048:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Israël (Tel Aviv) | `arn:aws:lambda:il-central-1:148806536434:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:34` |
| Région Europe (Zurich) | `arn:aws:lambda:eu-central-2:772501565639:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:34` |
| Région Mexique (Centre) | `arn:aws:lambda:mx-central-1:241533131596:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:31` |
| Middle East (Bahrain) Region | `arn:aws:lambda:me-south-1:832021897121:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:55` |
| Moyen-Orient (EAU) | `arn:aws:lambda:me-central-1:858974508948:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| Région Amérique du Sud (São Paulo) | `arn:aws:lambda:sa-east-1:933737806257:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:58` |
| AWS GovCloud (USA Est) | `arn:aws-us-gov:lambda:us-gov-east-1:129776340158:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |
| AWS GovCloud (US-Ouest) | `arn:aws-us-gov:lambda:us-gov-west-1:127562683043:layer:AWS-Parameters-and-Secrets-Lambda-Extension-Arm64:47` |