• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Systems Manager outils d'application
Les outils d’application sont une suite de fonctionnalités qui vous aident à gérer vos applications exécutées dans AWS.
**Topics**
+ [AWS AppConfig](appconfig.md)
+ [AWS Systems Manager Application Manager](application-manager.md)
+ [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md)
# AWS AppConfig
Les informations sur AWS AppConfig ont été transférées dans des guides de l’utilisateur distincts. Pour plus d’informations, consultez les ressources suivantes :
+ [Guide de l’utilisateur AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html)
+ [Référence d’API AWS AppConfig](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/Welcome.html)
# AWS Systems Manager Application Manager
Application Manager, un outil de AWS Systems Manager, aide les DevOps ingénieurs à étudier et à résoudre les problèmes liés à leurs AWS ressources dans le contexte de leurs applications et de leurs clusters. Application Managerregroupe les informations relatives aux opérations provenant de plusieurs outils Services AWS et de Systems Manager en un seul AWS Management Console outil.
DansApplication Manager, une *application* est un groupe logique de AWS ressources que vous souhaitez exploiter en tant qu'unité. Par exemple, ce groupe logique peut représenter différentes versions d'une application, ou les limites de propriété d'opérateurs ou d'environnements de développement. La prise en charge de clusters de conteneurs par Application Manager comprend à la fois les clusters Amazon Elastic Kubernetes Service (Amazon EKS) et Amazon Elastic Container Service (Amazon ECS).
La première fois que vous ouvrez Application Manager, la page **Ce que Application Manager peut faire pour vous** s’affiche. Lorsque vous choisissez **Get started**, les métadonnées relatives à vos ressources créées dans d'autres outils Services AWS ou dans des outils de Systems Manager sont Application Manager automatiquement importées. Application Manageraffiche ensuite ces ressources dans une liste groupée par catégories prédéfinies.
La liste des **Applications** inclut les éléments suivants :
+ AWS CloudFormation piles
+ Applications personnalisées
+ AWS Launch Wizard applications
+ AppRegistry applications
+ AWS Applications SAP Enterprise Workload
+ Clusters Amazon ECS
+ Clusters Amazon EKS
Une fois que vous avez [configuré](https://docs.aws.amazon.com/systems-manager/latest/userguide/application-manager-getting-started-related-services.html) Services AWS et configuré les outils Systems Manager, il Application Manager affiche les types d'informations suivants concernant vos ressources :
+ Informations sur l'état, le statut et l'intégrité d'Amazon EC2 Auto Scaling actuels des instances Amazon Elastic Compute Cloud (Amazon EC2) dans votre application
+ Alarmes fournies par Amazon CloudWatch
+ Informations de conformité fournies par AWS Config et State Manager (un composant de Systems Manager)
+ Informations sur le cluster Kubernetes fournies par Amazon EKS
+ Données de journal fournies par AWS CloudTrail et Amazon CloudWatch Logs
+ OpsItems fournis par Systems Manager OpsCenter
+ Détails des ressources fournis par Services AWS les hébergeurs.
+ Informations sur le cluster de conteneurs fournies par Amazon ECS.
Pour vous aider à résoudre les problèmes liés à des composants ou ressources, Application Manager fournit également des runbooks que vous pouvez associer à vos applications. Pour vos premiers pas dans Application Manager, ouvrez [Systems Manager console](https://console.aws.amazon.com//systems-manager/appmanager). Dans le panneau de navigation, sélectionnez **Application Manager**.
## Quels sont les avantages liés à l'utilisation d'Application Manager ?
Application Managerréduit le temps nécessaire aux DevOps ingénieurs pour détecter et étudier les problèmes liés aux AWS ressources. Pour ce faire, Application Manager affiche de nombreux types d'informations sur les opérations dans le contexte d'une application dans une console unique. Application Managerréduit également le temps nécessaire à la résolution des problèmes en fournissant des runbooks qui exécutent les tâches de correction courantes sur les ressources. AWS
## Quelles sont les fonctions d'Application Manager ?
Application Manager inclut les fonctionnalités suivantes :
+ **Importez vos AWS ressources automatiquement**
Lors de la configuration initiale, vous pouvez choisir d'importer et d'afficher Application Manager automatiquement les ressources de votre Compte AWS ordinateur en fonction des CloudFormation piles, Groupes de ressources AWS des déploiements de Launch Wizard, des AppRegistry applications et des clusters Amazon ECS et Amazon EKS. Le système affiche ces ressources dans des catégories prédéfinies d'applications ou de clusters. Par la suite, chaque fois que de nouvelles ressources de ce type sont ajoutées à votre Compte AWS compte, les nouvelles ressources s'affichent Application Manager automatiquement dans les catégories d'applications et de clusters prédéfinies.
+ **Création ou modification de CloudFormation piles et de modèles**
Application Managervous aide à provisionner et à gérer les ressources de vos applications en les intégrant à [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html). Vous pouvez créer, modifier et supprimer des CloudFormation modèles et des piles dansApplication Manager. Application Managerinclut également une bibliothèque de modèles dans laquelle vous pouvez cloner, créer et stocker des modèles. Application Manageret CloudFormation affichent les mêmes informations sur l'état actuel d'une pile. Les modèles et les mises à jour des modèles sont stockés dans Systems Manager jusqu'à ce que vous approvisionniez la pile, date à laquelle les modifications sont également affichées CloudFormation.
+ **Afficher des informations sur vos instances dans le contexte d'une application**
Application Manager s'intègre à Amazon Elastic Compute Cloud (Amazon EC2) pour afficher des informations sur vos instances dans le contexte d'une application. Application Manager affiche l'état et le statut de l'instance et l'intégrité d'Amazon EC2 Auto Scaling pour une application sélectionnée dans un format graphique. L'onglet **Instances** inclut également un tableau contenant les informations suivantes pour chaque instance de votre application.
+ État de l'instance (Pending, Stopping, Running, Stopped [En attente, Arrêt, En cours d'exécution, Arrêtée])
+ Statut du ping de SSM Agent
+ Statut et nom du dernier runbook Systems Manager Automation traité sur l'instance
+ Nombre d'alarmes Amazon CloudWatch Logs par État.
+ `ALARM` – La métrique ou l'expression se trouve à l'extérieur du seuil défini.
+ `OK` – La métrique ou l'expression se trouve dans le seuil défini.
+ `INSUFFICIENT_DATA` – L'alerte vient de commencer, la métrique n'est pas disponible, ou la quantité de données n'est pas suffisante pour permettre à la métrique de déterminer le statut de l'alerte.
+ Intégrité du groupe Auto Scaling pour les groupes de scalabilité automatique parent et individuel
+ **Afficher les métriques opérationnelles et les alarmes pour une application ou un cluster**
Application Managers'intègre CloudWatch à [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) pour fournir des mesures opérationnelles et des alarmes en temps réel pour une application ou un cluster. Vous pouvez explorer votre arborescence d'applications pour afficher les alarmes au niveau de chaque composant ou d'un cluster individuel.
+ **Afficher les données de journalisation d'une application**
Application Managers'intègre à [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour fournir des données de journal dans le contexte de votre application sans avoir à quitter Systems Manager.
+ **Afficher et gérer des OpsItems pour une application ou un cluster**
Application Manager s'intègre avec [AWS Systems Manager OpsCenter](OpsCenter.md) pour fournir une liste d'éléments opérationnels (OpsItems) pour vos applications et clusters. La liste reflète les OpsItems générés automatiquement et ceux créés manuellement. Vous pouvez afficher des détails sur la ressource qui a créé un OpsItem, ainsi que le statut, la source et la sévérité de l'OpsItem.
+ **Afficher les données de conformité des ressources pour une application ou un cluster**
Application Manager s'intègre avec [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) pour fournir des détails sur la conformité et l'historique de vos ressources AWS selon les règles que vous spécifiez. Application Manager s'intègre également avec [AWS Systems Manager State Manager](systems-manager-state.md) pour fournir des informations de conformité relatives au statut que vous voulez maintenir pour vos instances Amazon Elastic Compute Cloud (Amazon EC2).
+ **Afficher les informations sur l'infrastructure de clusters Amazon ECS et Amazon EKS**
Application Manager s'intègre avec [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/) et [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) pour fournir des informations sur l'état de vos infrastructures de clusters, ainsi qu'une vue de l'environnement d'exécution des ressources de calcul, de mise en réseau et de stockage dans un cluster.
Il ne vous est toutefois pas possible de gérer ou d'afficher les informations opérationnelles relatives à vos pods ou conteneurs Amazon EKS dans Application Manager. Vous ne pouvez gérer et afficher que les informations opérationnelles relatives à l'infrastructure qui héberge vos ressources Amazon EKS.
+ **Afficher les détails liés au coût des ressources d'une application**
Application Managerest intégré à AWS Cost Explorer, une fonctionnalité de AWS Billing and Cost Management, via le widget **Cost**. Une fois que vous avez activé l'explorateur de coûts dans la console de facturation et gestion des coûts, le widget **Cost** (Coût) dans Application Manager affiche les données de coût pour une application ou un composant d'application non-conteneurisés spécifiques. Vous pouvez appliquer des filtres dans le widget pour afficher les données de coût selon différentes périodes, différentes granularités et différents types sous forme de graphique à barres ou linéaire.
+ **Afficher des informations détaillées sur les ressources dans une console unique**
Sélectionnez un nom de ressource répertorié dans Application Manager, et affichez des informations contextuelles et des informations opérationnelles sur cette ressource sans quitter Systems Manager.
+ **Recevoir des mises à jour automatiques sur les ressources pour des applications**
Si vous apportez des modifications à une ressource dans une console de service et que cette ressource fait partie d'une application dans Application Manager, Systems Manager affiche automatiquement ces modifications. Par exemple, si vous mettez à jour une pile dans la CloudFormation console, et si cette pile fait partie d'une Application Manager application, les mises à jour de la pile sont automatiquement reflétées dansApplication Manager.
+ **Découvrir automatiquement des applications de Launch Wizard**
Application Manager est intégré à [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/?id=docs_gateway). Si vous avez utilisé Launch Wizard pour déployer des ressources pour une application, Application Manager peut les importer et les afficher automatiquement dans une section de Launch Wizard.
+ **Surveillez les ressources des applications à Application Manager l'aide d' CloudWatchApplication Insights**
Application Managers'intègre à Amazon CloudWatch Application Insights. Application Insights identifie et paramètre des métriques, des journaux et des alarmes clés dans vos ressources d'application et votre pile technologique. Application Insights surveille en permanence les métriques et les journaux afin de détecter et de corréler les anomalies et les erreurs. Lorsque le système détecte des erreurs ou des anomalies, Application Insights génère CloudWatch des événements que vous pouvez utiliser pour configurer des notifications ou prendre des mesures. Vous pouvez activer et afficher Application Insights sous les onglets **Overview (Présentation)** et **Monitoring (Surveillance)** dans Application Manager. Pour plus d'informations sur Application Insights, consultez la section [Qu'est-ce qu'Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ **Résoudre des problèmes liés aux runbooks**
Application Managerinclut des runbooks prédéfinis de Systems Manager pour résoudre les problèmes courants liés aux AWS ressources. Vous pouvez exécuter un runbook sur toutes les ressources applicables d'une application sans avoir à quitter Application Manager.
## L'utilisation d'Application Manager entraîne-t-elle des frais ?
Application Manager est disponible sans frais supplémentaires.
## Quels sont les quotas de ressources pour Application Manager ?
Vous pouvez afficher des quotas pour tous les outils de Systems Manager dans la rubrique [Quotas de service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) dans la *Référence générale d'Amazon Web Services*. Sauf indication contraire, chaque quota est spécifique à la région.
**Topics**
+ [Quels sont les avantages liés à l'utilisation d'Application Manager ?](#application-manager-learn-more-benefits)
+ [Quelles sont les fonctions d'Application Manager ?](#application-manager-learn-more-features)
+ [L'utilisation d'Application Manager entraîne-t-elle des frais ?](#application-manager-learn-more-cost)
+ [Quels sont les quotas de ressources pour Application Manager ?](#application-manager-learn-more-quotas)
+ [Configuration des services connexes](application-manager-getting-started-related-services.md)
+ [Configuration des autorisations pour Systems Manager Application Manager](application-manager-getting-started-permissions.md)
+ [Ajout d’applications et de clusters de conteneurs à Application Manager](application-manager-getting-started-adding-applications.md)
+ [Utilisation d'applications](application-manager-working-applications.md)
# Configuration des services connexes
Application Manager, un outil dans AWS Systems Manager, affiche des ressources et des informations provenant d'autres outils Services AWS et de Systems Manager. Pour maximiser la quantité d’informations opérationnelles affichées dans Application Manager, nous vous recommandons de paramétrer et de configurer ces autres services ou outils *avant* d’utiliser Application Manager.
**Topics**
+ [Paramétrer des tâches pour l'importation de ressources](#application-manager-getting-started-related-services-resources)
+ [Paramétrer des tâches pour afficher des informations opérationnelles relatives aux ressources](#application-manager-getting-started-related-services-information)
## Paramétrer des tâches pour l'importation de ressources
Les tâches de configuration suivantes vous aident à visualiser AWS les ressources dansApplication Manager. Lorsque toutes ces tâches sont terminées, Systems Manager peut importer automatiquement des ressources dans Application Manager. Une fois vos ressources importées, vous pouvez créer des applications dans Application Manager et y transférer vos ressources importées. Cela vous aide à afficher les informations opérationnelles dans le contexte d'une application.
**(Facultatif) Organisez vos AWS ressources à l'aide de balises**
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque balise est une étiquette composée d’une clé définie par l’utilisateur et d’une valeur. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer des ressources. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères.
**(Facultatif) Organise vos AWS ressources en utilisant [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html)**
Vous pouvez utiliser des groupes de ressources pour organiser vos AWS ressources. Les groupes de ressources facilitent la gestion, le contrôle et l'automatisation des tâches simultanément sur un grand nombre de ressources.
Application Manager importe automatiquement tous vos groupes de ressources et les répertorie dans la catégorie **Applications personnalisées**.
**(Facultatif) Configurez et déployez vos AWS ressources en utilisant [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)**
CloudFormation vous permet de créer et de provisionner des déploiements AWS d'infrastructure de manière prévisible et répétée. Ce service vous aide à utiliser des Services AWS comme Amazon EC2, Amazon Elastic Block Store (Amazon EBS), Amazon Simple Notification Service (Amazon SNS), Elastic Load Balancing et AWS Auto Scaling. Vous pouvez ainsi créer des applications fiables, évolutives et économiques dans le cloud sans vous soucier de créer et de configurer l' AWS infrastructure sous-jacente. CloudFormation
Application Managerimporte automatiquement toutes vos CloudFormation ressources et les répertorie dans la catégorie des **CloudFormation piles**. Vous pouvez créer des CloudFormation piles et des modèles dans. Application Manager Les modifications de pile et de modèle sont automatiquement synchronisées entre Application Manager et CloudFormation. Vous pouvez également créer des applications dans Application Manager et y transférer des piles. Cela vous aide à afficher les informations opérationnelles de ressources dans vos piles, dans le contexte d'une application. Pour de plus amples informations sur la tarification, veuillez consulter [CloudFormation Pricing](https://aws.amazon.com/cloudformation/pricing/) (français non garanti).
**(Facultatif) Configurez et déployez vos applications en utilisant AWS Launch Wizard**
Launch Wizard vous guide tout au long du processus de dimensionnement, de configuration et de déploiement AWS des ressources pour les applications tierces sans qu'il soit nécessaire d'identifier et de provisionner manuellement AWS des ressources individuelles.
Application Manager importe automatiquement toutes vos ressources Launch Wizard et les répertorie dans la catégorie **Launch Wizard**. Pour plus d'informations AWS Launch Wizard, consultez [Getting Started with AWS Launch Wizard pour SQL Server](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-getting-started.html). Launch Wizard est disponible sans frais supplémentaires. Vous ne payez que pour les AWS ressources que vous fournissez pour exécuter votre solution.
**(Facultatif) Paramétrer et déployer vos applications conteneurisées en utilisant [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/) et [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)**
Amazon Elastic Container Service (Amazon ECS) est un service de gestion de conteneurs hautement évolutif et rapide, qui facilite l'exécution, l'arrêt et la gestion de conteneurs Docker sur un cluster. Vos conteneurs sont définis dans une définition de tâche qui vous sert à exécuter des tâches individuelles ou des tâches dans un service.
Amazon EKS est un service géré que vous pouvez utiliser pour exécuter Kubernetes sur AWS sans avoir à installer, à utiliser et à entretenir votre propre plan de contrôle Kubernetes ou nœuds. Kubernetes est un système open source destiné à l'automatisation du déploiement, la mise à l'échelle et la gestion d'applications conteneurisées.
Application Manager importe automatiquement toutes vos ressources d'infrastructure Amazon ECS et Amazon EKS, et les répertorie sous l'onglet **Clusters de conteneurs**. Il ne vous est toutefois pas possible de gérer ou d'afficher les informations opérationnelles relatives à vos pods ou conteneurs Amazon EKS dans Application Manager. Vous ne pouvez gérer et afficher que les informations opérationnelles relatives à l'infrastructure qui héberge vos ressources Amazon EKS. Pour plus d'informations, consultez [Tarification Amazon ECS](https://aws.amazon.com/ecs/pricing/) et [Tarification Amazon EKS](https://aws.amazon.com/eks/pricing/).
## Paramétrer des tâches pour afficher des informations opérationnelles relatives aux ressources
Les tâches de paramétrage suivantes vous aident à afficher les informations opérationnelles relatives à vos ressources AWS dans Application Manager.
**(Recommandé) Vérifier les [autorisations de runbook](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html)**
Vous pouvez résoudre les problèmes liés aux AWS ressources à l'aide Application Manager des runbooks Systems Manager Automation. Pour utiliser cet outil de résolution, vous devez configurer ou vérifier les autorisations. Pour de plus amples informations sur la tarification, veuillez consulter [AWS Systems Manager Pricing](https://aws.amazon.com/systems-manager/pricing/) (français non garanti).
**(Facultatif) Activer [Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-enable.html)**
AWS Cost Explorer est une fonctionnalité AWS Cost Management que vous pouvez utiliser pour visualiser vos données de coûts en vue d'une analyse plus approfondie. Lorsque vous activez Cost Explorer, vous pouvez afficher les informations sur les coûts, l'historique des coûts et l'optimisation des coûts pour les ressources de votre application dans la console Application Manager.
**(Facultatif) Configurer et configurer les CloudWatch [journaux et les](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/GettingStarted.html) Amazon**
CloudWatch est un service de surveillance et de gestion qui fournit des données et des informations exploitables pour AWS les applications hybrides et multicloud et les ressources d'infrastructure. Vous pouvez ainsi collecter et accéder à toutes vos données de performance et opérationnelles sous forme de journaux et de métriques à partir d'une plate-forme unique. CloudWatch Pour afficher CloudWatch les journaux et les alarmes relatifs à vos ressources dansApplication Manager, vous devez configurer et configurer CloudWatch. Pour de plus amples informations sur la tarification, veuillez consulter [CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/) (français non garanti).
CloudWatch La prise en charge des journaux s'applique uniquement aux applications, et non aux clusters.
**(Facultatif) Paramétrer et configurer [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)**
AWS Config fournit une vue détaillée des ressources qui vous sont associées Compte AWS, notamment de la façon dont elles sont configurées, de la manière dont elles sont liées les unes aux autres et de l'évolution des configurations et de leurs relations au fil du temps. Vous pouvez l'utiliser AWS Config pour évaluer les paramètres de configuration de vos AWS ressources. Pour ce faire, vous devez créer AWS Config des règles qui représentent vos paramètres de configuration idéaux. Tout en suivant en AWS Config permanence les modifications de configuration qui se produisent dans vos ressources, il vérifie si ces modifications enfreignent l'une des conditions de vos règles. Si une ressource enfreint une règle, AWS Config marque la ressource et la règle comme *non conformes*. Application Manageraffiche les informations de conformité relatives AWS Config aux règles. Pour afficher ces donnéesApplication Manager, vous devez les configurer et les configurer AWS Config. Pour de plus amples informations sur la tarification, veuillez consulter [AWS Config Pricing](https://aws.amazon.com/config/pricing/) (français non garanti).
**(Facultatif) Créer des [associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html) State Manager**
Vous pouvez utiliser Systems Manager State Manager pour créer la configuration à affecter à vos nœuds gérés. Cette configuration, appelée *association*, définit l'état que vous souhaitez maintenir sur vos nœuds. Pour afficher les données de conformité des associations dans Application Manager, vous devez configurer une ou plusieurs associations State Manager. State Manager est offert gratuitement.
**(Facultatif) Paramétrer et configurer [https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html)**
Vous pouvez afficher les éléments opérationnels (OpsItems) relatifs à vos ressources dans Application Manager en utilisant OpsCenter. Vous pouvez configurer Amazon CloudWatch et Amazon EventBridge pour qu'ils envoient automatiquement OpsItems vers en OpsCenter fonction des alarmes et des événements. Vous pouvez également saisir OpsItems manuellement. Pour de plus amples informations sur la tarification, veuillez consulter [AWS Systems Manager Pricing](https://aws.amazon.com/systems-manager/pricing/) (français non garanti).
# Configuration des autorisations pour Systems Manager Application Manager
Vous pouvez utiliser toutes les fonctionnalités d'Application Managerun outil si votre entité Gestion des identités et des accès AWS (IAM) (telle qu'un utilisateur, un groupe ou un rôle) a accès aux opérations d'API répertoriées dans cette rubrique. AWS Systems Manager Les opérations d'API sont divisées en deux tableaux pour vous aider à comprendre les différentes fonctions qu'elles exécutent.
Le tableau suivant répertorie les opérations d'API que Systems Manager appelle si vous sélectionnez une ressource dans Application Manager pour en afficher les détails. Par exemple, si Application Manager répertorie un groupe Amazon EC2 Auto Scaling et que vous sélectionnez ce groupe pour en afficher les détails, Systems Manager appelle les opérations d'API `autoscaling:DescribeAutoScalingGroups`. Si votre compte ne contient pas de groupes Auto Scaling, Application Manager n'appelle pas cette opération d'API.
****
| Détails de ressource uniquement |
| --- |
| acm:DescribeCertificate
acm:ListTagsForCertificate
autoscaling:DescribeAutoScalingGroups
cloudfront:GetDistribution
cloudfront:ListTagsForResource
cloudtrail:DescribeTrails
cloudtrail:ListTags
cloudtrail:LookupEvents
codebuild:BatchGetProjects
codepipeline:GetPipeline
codepipeline:ListTagsForResource
dynamodb:DescribeTable
dynamodb:ListTagsOfResource
ec2:DescribeAddresses
ec2:DescribeCustomerGateways
ec2:DescribeHosts
ec2:DescribeInternetGateways
ec2:DescribeNetworkAcls
ec2:DescribeNetworkInterfaces
ec2:DescribeRouteTables
ec2:DescribeSecurityGroups
ec2:DescribeSubnets
ec2:DescribeVolumes
ec2:DescribeVpcs
ec2:DescribeVpnConnections
ec2:DescribeVpnGateways
elasticbeanstalk:DescribeApplications
elasticbeanstalk:ListTagsForResource
elasticloadbalancing:DescribeInstanceHealth
elasticloadbalancing:DescribeListeners
elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTags
iam:GetGroup
iam:GetPolicy
iam:GetRole
iam:GetUser
lambda:GetFunction
rds:DescribeDBClusters
rds:DescribeDBInstances
rds:DescribeDBSecurityGroups
rds:DescribeDBSnapshots
rds:DescribeDBSubnetGroups
rds:DescribeEventSubscriptions
rds:ListTagsForResource
redshift:DescribeClusterParameters
redshift:DescribeClusterSecurityGroups
redshift:DescribeClusterSnapshots
redshift:DescribeClusterSubnetGroups
redshift:DescribeClusters
s3:GetBucketTagging
|
Le tableau suivant répertorie les opérations d'API utilisées par Systems Manager pour modifier les applications et les ressources répertoriées dans Application Manager ou pour afficher les informations opérationnelles d'une application ou d'une ressource sélectionnée.
****
| Actions et détails d'une application |
| --- |
|
applicationinsights:CreateApplication
applicationinsights:DescribeApplication
applicationinsights:ListProblems
ce:GetCostAndUsage
ce:GetTags
ce:ListCostAllocationTags
ce:UpdateCostAllocationTagsStatus
cloudformation:CreateStack
cloudformation:DeleteStack
cloudformation:DescribeStackDriftDetectionStatus
cloudformation:DescribeStackEvents
cloudformation:DescribeStacks
cloudformation:DetectStackDrift
cloudformation:GetTemplate
cloudformation:GetTemplateSummary
cloudformation:ListStacks
cloudformation:UpdateStack
cloudwatch:DescribeAlarms
cloudwatch:DescribeInsightRules
cloudwatch:DisableAlarmActions
cloudwatch:EnableAlarmActions
cloudwatch:GetMetricData
cloudwatch:ListTagsForResource
cloudwatch:PutMetricAlarm
config:DescribeComplianceByConfigRule
config:DescribeComplianceByResource
config:DescribeConfigRules
config:DescribeRemediationConfigurations
config:GetComplianceDetailsByConfigRule
config:GetComplianceDetailsByResource
config:GetResourceConfigHistory
config:ListDiscoveredResources
config:PutRemediationConfigurations
config:SelectResourceConfig
config:StartConfigRulesEvaluation
config:StartRemediationExecution
ec2:DescribeInstances
ecs:DescribeCapacityProviders
ecs:DescribeClusters
ecs:DescribeContainerInstances
ecs:ListClusters
ecs:ListContainerInstances
ecs:TagResource
eks:DescribeCluster
eks:DescribeFargateProfile
eks:DescribeNodegroup
eks:ListClusters
eks:ListFargateProfiles
eks:ListNodegroups
eks:TagResource
iam:CreateServiceLinkedRole
iam:ListRoles
logs:DescribeLogGroups
resource-groups:CreateGroup
resource-groups:DeleteGroup
resource-groups:GetGroup
resource-groups:GetGroupQuery
resource-groups:GetTags
resource-groups:ListGroupResources
resource-groups:ListGroups
resource-groups:Tag
resource-groups:Untag
resource-groups:UpdateGroup
s3:ListAllMyBuckets
s3:ListBucket
s3:ListBucketVersions
servicecatalog:GetApplication
servicecatalog:ListApplications
sns:CreateTopic
sns:ListSubscriptionsByTopic
sns:ListTopics
sns:Subscribe
ssm:AddTagsToResource
ssm:CreateDocument
ssm:CreateOpsMetadata
ssm:DeleteDocument
ssm:DeleteOpsMetadata
ssm:DescribeAssociation
ssm:DescribeAutomationExecutions
ssm:DescribeDocument
ssm:DescribeDocumentPermission
ssm:GetDocument
ssm:GetInventory
ssm:GetOpsMetadata
ssm:GetOpsSummary
ssm:GetServiceSetting
ssm:ListAssociations
ssm:ListComplianceItems
ssm:ListDocuments
ssm:ListDocumentVersions
ssm:ListOpsMetadata
ssm:ListResourceComplianceSummaries
ssm:ListTagsForResource
ssm:ModifyDocumentPermission
ssm:RemoveTagsFromResource
ssm:StartAssociationsOnce
ssm:StartAutomationExecution
ssm:UpdateDocument
ssm:UpdateDocumentDefaultVersion
ssm:UpdateOpsItem
ssm:UpdateOpsMetadata
ssm:UpdateServiceSetting
tag:GetTagKeys
tag:GetTagValues
tag:TagResources
tag:UntagResources
|
## Exemple de politique pour toutes les autorisations Application Manager
Pour configurer les autorisations d'Application Manager pour une entité IAM (qui peut être un utilisateur, un groupe ou un rôle), créez une politique IAM à l'aide de l'exemple suivant. Cet exemple de politique inclut toutes les opérations d'API utilisées par Application Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:ListTagsForCertificate",
"applicationinsights:CreateApplication",
"applicationinsights:DescribeApplication",
"applicationinsights:ListProblems",
"autoscaling:DescribeAutoScalingGroups",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:ListCostAllocationTags",
"ce:UpdateCostAllocationTagsStatus",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackDrift",
"cloudformation:GetTemplate",
"cloudformation:GetTemplateSummary",
"cloudformation:ListStacks",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack",
"cloudfront:GetDistribution",
"cloudfront:ListTagsForResource",
"cloudtrail:DescribeTrails",
"cloudtrail:ListTags",
"cloudtrail:LookupEvents",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeInsightRules",
"cloudwatch:DisableAlarmActions",
"cloudwatch:EnableAlarmActions",
"cloudwatch:GetMetricData",
"cloudwatch:ListTagsForResource",
"cloudwatch:PutMetricAlarm",
"codebuild:BatchGetProjects",
"codepipeline:GetPipeline",
"codepipeline:ListTagsForResource",
"config:DescribeComplianceByConfigRule",
"config:DescribeComplianceByResource",
"config:DescribeConfigRules",
"config:DescribeRemediationConfigurations",
"config:GetComplianceDetailsByConfigRule",
"config:GetComplianceDetailsByResource",
"config:GetResourceConfigHistory",
"config:ListDiscoveredResources",
"config:PutRemediationConfigurations",
"config:SelectResourceConfig",
"config:StartConfigRulesEvaluation",
"config:StartRemediationExecution",
"dynamodb:DescribeTable",
"dynamodb:ListTagsOfResource",
"ec2:DescribeAddresses",
"ec2:DescribeCustomerGateways",
"ec2:DescribeHosts",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ecs:DescribeCapacityProviders",
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:TagResource",
"eks:DescribeCluster",
"eks:DescribeFargateProfile",
"eks:DescribeNodegroup",
"eks:ListClusters",
"eks:ListFargateProfiles",
"eks:ListNodegroups",
"eks:TagResource",
"elasticbeanstalk:DescribeApplications",
"elasticbeanstalk:ListTagsForResource",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"iam:CreateServiceLinkedRole",
"iam:GetGroup",
"iam:GetPolicy",
"iam:GetRole",
"iam:GetUser",
"iam:ListRoles",
"lambda:GetFunction",
"logs:DescribeLogGroups",
"rds:DescribeDBClusters",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventSubscriptions",
"rds:ListTagsForResource",
"redshift:DescribeClusterParameters",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"redshift:DescribeClusterSnapshots",
"redshift:DescribeClusterSubnetGroups",
"resource-groups:CreateGroup",
"resource-groups:DeleteGroup",
"resource-groups:GetGroup",
"resource-groups:GetGroupQuery",
"resource-groups:GetTags",
"resource-groups:ListGroupResources",
"resource-groups:ListGroups",
"resource-groups:Tag",
"resource-groups:Untag",
"resource-groups:UpdateGroup",
"s3:GetBucketTagging",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions",
"servicecatalog:GetApplication",
"servicecatalog:ListApplications",
"sns:CreateTopic",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"sns:Subscribe",
"ssm:AddTagsToResource",
"ssm:CreateDocument",
"ssm:CreateOpsMetadata",
"ssm:DeleteDocument",
"ssm:DeleteOpsMetadata",
"ssm:DescribeAssociation",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeDocument",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:GetInventory",
"ssm:GetOpsMetadata",
"ssm:GetOpsSummary",
"ssm:GetServiceSetting",
"ssm:ListAssociations",
"ssm:ListComplianceItems",
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:ListOpsMetadata",
"ssm:ListResourceComplianceSummaries",
"ssm:ListTagsForResource",
"ssm:ModifyDocumentPermission",
"ssm:RemoveTagsFromResource",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:UpdateOpsMetadata",
"ssm:UpdateOpsItem",
"ssm:UpdateServiceSetting",
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*"
}
]
}
```
------
**Note**
Vous pouvez restreindre la capacité d'un utilisateur à modifier des applications et des ressources dans Application Manager en supprimant les opérations d'API suivantes de la politique d'autorisations IAM attachée à leur utilisateur, groupe ou rôle. La suppression de ces actions crée une expérience en lecture seule dans Application Manager. Les éléments suivants permettent aux utilisateurs d'apporter des modifications à l'application ou à toute autre ressource associée. APIs
```
applicationinsights:CreateApplication
ce:UpdateCostAllocationTagsStatus
cloudformation:CreateStack
cloudformation:DeleteStack
cloudformation:UpdateStack
cloudwatch:DisableAlarmActions
cloudwatch:EnableAlarmActions
cloudwatch:PutMetricAlarm
config:PutRemediationConfigurations
config:StartConfigRulesEvaluation
config:StartRemediationExecution
ecs:TagResource
eks:TagResource
iam:CreateServiceLinkedRole
resource-groups:CreateGroup
resource-groups:DeleteGroup
resource-groups:Tag
resource-groups:Untag
resource-groups:UpdateGroup
sns:CreateTopic
sns:Subscribe
ssm:AddTagsToResource
ssm:CreateDocument
ssm:CreateOpsMetadata
ssm:DeleteDocument
ssm:DeleteOpsMetadata
ssm:ModifyDocumentPermission
ssm:RemoveTagsFromResource
ssm:StartAssociationsOnce
ssm:StartAutomationExecution
ssm:UpdateDocument
ssm:UpdateDocumentDefaultVersion
ssm:UpdateOpsMetadata
ssm:UpdateOpsItem
ssm:UpdateServiceSetting
tag:TagResources
tag:UntagResources
```
Pour de plus amples informations sur la création de politiques IAM, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *guide de l'utilisateur IAM*. Pour de plus amples informations sur l'affectation de cette politique à une entité IAM (qui peut être un utilisateur, un groupe ou un rôle), consultez la section [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
# Ajout d’applications et de clusters de conteneurs à Application Manager
Application Managerest un composant de AWS Systems Manager. DansApplication Manager, une *application* est un groupe logique de AWS ressources que vous souhaitez exploiter en tant qu'unité. Par exemple, ce groupe logique peut représenter différentes versions d'une application, ou les limites de propriété d'opérateurs ou d'environnements de développement.
La première fois que vous ouvrez Application Manager, la page **Ce que Application Manager peut faire pour vous** s’affiche. Lorsque vous sélectionnez **Démarrer**, Application Manager importe automatiquement les métadonnées de vos ressources qui ont été créées dans d’autres Services AWS ou outils Systems Manager. Application Manager affiche ensuite ces ressources dans une liste groupée par catégories prédéfinies.
La liste des **Applications** inclut les éléments suivants :
+ AWS CloudFormation piles
+ Applications personnalisées
+ AWS Launch Wizard applications
+ AppRegistry applications
+ AWS Applications SAP Enterprise Workload
+ Clusters Amazon ECS
+ Clusters Amazon EKS
Une fois l'importation terminée, vous pouvez afficher les informations opérationnelles d'une application ou d'une ressource spécifique dans ces catégories prédéfinies. Autrement, si vous voulez ajouter un contexte à propos d'un ensemble de ressources, vous pouvez créer manuellement une application dans Application Manager. Vous pouvez ensuite ajouter des ressources ou des groupes de ressources à cette application. Après avoir créé une application dans Application Manager, vous pouvez afficher les informations opérationnelles relatives à votre ressource dans le contexte d'une application.
## Création d'une application dans Application Manager
Procédez comme suit pour créer une application dans Application Manager et ajouter des ressources à cette application.
**Pour créer une application dans Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Choisissez **Créer une application**.
1. Choisissez une option dans la liste déroulante et renseignez les champs de la page qui apparaît.
# Utilisation d'applications
Application Managerest un composant de AWS Systems Manager. Utilisez les rubriques de cette section pour apprendre à travailler avec les applications Application Manager et à afficher les informations opérationnelles relatives à vos ressources AWS .
**Topics**
+ [Présentation de l’application dans Application Manager](application-manager-working-viewing-overview.md)
+ [Gestion des instances EC2 de votre application](application-manager-working-instances.md)
+ [Affichage des ressources associées à votre application](application-manager-working-viewing-resources.md)
+ [Gestion de la conformité de votre application](application-manager-working-viewing-resource-compliance.md)
+ [Utilisation CloudWatch d'Application Insights pour surveiller une application](application-manager-working-viewing-monitors.md)
+ [Affichage OpsItems pour une application](application-manager-working-viewing-OpsItems.md)
+ [Gestion des journaux de votre application](application-manager-viewing-logs.md)
+ [Utiliser les dossiers d’exploitation d’automatisation pour remédier aux problèmes d’application](application-manager-working-runbooks.md)
+ [Baliser des ressources dans Application Manager](application-manager-working-tags.md)
+ [Utilisation de CloudFormation modèles et de piles dans Application Manager](application-manager-working-stacks.md)
+ [Utilisation des clusters dans Application Manager](application-manager-working-clusters.md)
# Présentation de l’application dans Application Manager
DansApplication Manager, un composant de AWS Systems Manager, l'onglet **Overview** affiche un résumé des CloudWatch alarmes Amazon, des éléments de travail opérationnels (OpsItems), des informations sur les CloudWatch applications et de l'historique du runbook. Sélectionnez **View all (Afficher tout)** pour n'importe quelle carte, afin d'ouvrir l'onglet correspondant sous lequel figurent toutes les informations sur l'application, les alarmes, OpsItems, ou l'historique de runbook.
**À propos d'Application Insights**
CloudWatch Application Insights identifie et met en place des indicateurs, des journaux et des alarmes clés pour l'ensemble des ressources de votre application et de votre infrastructure technologique. Application Insights surveille en permanence les métriques et les journaux afin de détecter et de corréler les anomalies et les erreurs. Lorsque le système détecte des erreurs ou des anomalies, Application Insights génère CloudWatch des événements que vous pouvez utiliser pour configurer des notifications ou prendre des mesures. Si vous cliquez sur le bouton **Modifier la configuration** dans l'onglet **Surveillance**, le système ouvre la console CloudWatch Application Insights. Pour plus d'informations sur Application Insights, consultez la section [Qu'est-ce qu'Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
**A propos de Cost Explorer**
Application Managerest intégré à AWS Cost Explorer une fonctionnalité de [gestion des AWS coûts](https://docs.aws.amazon.com/account-billing/index.html), via le widget **Cost** et l'onglet **Cost**. Une fois que vous avez activé l'explorateur de coûts dans la console Cost Management, le widget **Coût** et l'onglet **Coût** dans Application Manager affiche les données de coût pour une application ou un composant d'application non-conteneurisés spécifiques. Vous pouvez appliquer des filtres dans le widget ou l'onglet pour afficher les données de coût selon différentes périodes, différents niveaux de granularité et différents types sous forme de graphique à barres ou linéaire.
Vous pouvez activer cette fonctionnalité en cliquant sur le bouton **Accéder à la console AWS Cost Management**. Par défaut, les données sont filtrées sur les trois derniers mois. Pour une application non conteneurisée, si vous cliquez sur le bouton **Afficher tout** de cette section, Application Manager ouvre l'onglet **Ressources**. Pour les applications conteneurisées, le bouton **View all (Afficher tout)** ouvre la console AWS Cost Explorer .
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez activer les widgets suivants et accéder aux informations les concernant dans l'onglet **Overview** (Présentation) de cette page. Lorsqu'un widget est activé, sélectionnez **View all** (Afficher tout) pour voir les détails de l'application pertinents pour cette zone.
+ Dans la section **Insights and Alarms** (Informations et alertes), sélectionnez un numéro de sévérité pour ouvrir l'onglet **Monitoring** (Surveillance) et afficher des détails supplémentaires sur les alertes de la sévérité choisie.
+ Dans la section **Costs** (Coûts), choisissez **View all** (Afficher tout) pour ouvrir l'onglet **Resources** (Ressources), dans lequel vous pouvez consulter les données de coût d'une application ou d'un composant d'application spécifique.
+ Dans la section **Conformité**, choisissez **Afficher tout** pour ouvrir l'onglet **Conformité**, dans lequel vous pouvez consulter les informations de conformité AWS Config et State Manager les associations.
**Note**
Pour consulter les détails de conformité des correctifs, cliquez directement sur l'onglet **Compliance** (Conformité). Vous pouvez ensuite consulter les détails de conformité des correctifs pour les nœuds gérés utilisés par l'application sélectionnée.
+ Dans la section **Runbooks**, sélectionnez un runbook pour l'ouvrir sur la page **Documents** de Systems Manager et afficher des détails supplémentaires sur le document.
+ Dans la **OpsItems**section, choisissez une sévérité pour ouvrir l'**OpsItems**onglet où vous pouvez voir l'ensemble OpsItems de la sévérité choisie.
+ Sélectionnez un bouton **View all (Afficher tout)** pour ouvrir l'onglet correspondant. Vous pouvez afficher toutes les alarmes ou OpsItems les entrées de l'historique des runbooks de l'application.
**Pour ouvrir l'onglet **Overview** (Présentation)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
# Gestion des instances EC2 de votre application
Application Manager s'intègre à Amazon Elastic Compute Cloud (Amazon EC2) pour afficher des informations sur vos instances dans le contexte d'une application. Application Manager affiche l'état et le statut de l'instance et l'intégrité d'Amazon EC2 Auto Scaling pour une application sélectionnée dans un format graphique. L'onglet **Instances** inclut également un tableau contenant les informations suivantes pour chaque instance de votre application :
+ État de l'instance (Pending, Stopping, Running, Stopped [En attente, Arrêt, En cours d'exécution, Arrêtée])
+ Statut du ping de SSM Agent
+ Statut et nom du dernier runbook Systems Manager Automation traité sur l'instance
+ Nombre d'alarmes Amazon CloudWatch Logs par État.
+ `ALARM` – La métrique ou l'expression se trouve à l'extérieur du seuil défini.
+ `OK` – La métrique ou l'expression se trouve dans le seuil défini.
+ `INSUFFICIENT_DATA` – L'alerte vient de commencer, la métrique n'est pas disponible, ou la quantité de données n'est pas suffisante pour permettre à la métrique de déterminer le statut de l'alerte.
+ Intégrité du groupe Auto Scaling pour les groupes de scalabilité automatique parent et individuel
Si vous choisissez une instance dans le tableau **All instances** (Toutes les instances), Application Manager affiche les informations relatives à cette instance dans quatre onglets :
+ **Details** (Détails) : tous les détails de l'instance provenant d'Amazon EC2, y compris l'Amazon Machine Image (AMI), les informations DNS, les informations d'adresse IP, etc.
+ **Health** (Intégrité) : le statut d'intégrité actuel tel que fourni par les vérifications de statut du système EC2 et de l'instance.
+ **Execution history** (Historique des exécutions) : journaux d'exécution pour les runbooks de Systems Manager Automation et les appels d'API traités par l'instance.
+ **CloudWatch alarmes** : nom, état, etc., de toutes les CloudWatch alarmes déclenchées par l'instance.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Lancez, arrêtez et résiliez des instances.
+ Appliquez une recette Chef.
+ Associez des instances à un groupe Auto Scaling ou détachez-les de celui-ci.
+ Activez les mises à jour automatisées pour SSM Agent.
**Ouvrir l'onglet **Instances****
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Si vous souhaitez ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Custom applications** (Applications personnalisées).
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Choisissez l'onglet **Instances**.
**Pour afficher des détails de vos instances d’application**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Si vous souhaitez ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Custom applications** (Applications personnalisées).
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Choisissez l'onglet **Instances**.
1. Sélectionnez le bouton en regard de l’instance dont vous souhaitez consulter les détails.
1. Vérifiez les détails de l’instance au bas de la page.
**Pour mettre à jour automatiquement l'SSM Agent**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Si vous souhaitez ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Custom applications** (Applications personnalisées).
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Choisissez l'onglet **Instances**.
1. Dans le menu déroulant **Actions de l’agent**, sélectionnez **Configurer la mise à jour de SSM Agent**.
1. Choisissez **Toutes les instances** afin de configurer les mises à jour automatiques de SSM Agent pour toutes les instances gérées. Vous pouvez également choisir **Instance** afin de configurer les mises à jour automatisées de SSM Agent pour une seule instance de votre application.
1. Sélectionnez le bouton **Activer la mise à jour automatique**.
1. Dans le menu déroulant **Spécifier la planification**, choisissez la planification que vous souhaitez utiliser pour les mises à jour de SSM Agent.
1. Sélectionnez **Configure (Configurer)**.
# Affichage des ressources associées à votre application
DansApplication Manager, un composant de AWS Systems Manager, l'onglet **Ressources** affiche les AWS ressources de votre application. Si vous sélectionnez un composant de niveau supérieur, cette page affiche toutes les ressources pour ce composant et tous les sous-composants. Si vous sélectionnez un sous-composant, cette page affiche uniquement les ressources affectées à ce sous-composant.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Choisissez le nom d'une ressource pour afficher les informations la concernant, notamment les informations fournies par la console sur laquelle elle a été créée, les balises, les CloudWatch alarmes Amazon, AWS Config les détails et les informations du AWS CloudTrail journal.
+ Sélectionnez le bouton d'option à côté du nom d'une ressource. Cliquez ensuite sur le bouton **Chronologie des ressources** pour ouvrir la AWS Config console dans laquelle vous pouvez consulter les informations de conformité relatives à une ressource sélectionnée.
+ Si vous l'avez activé AWS Cost Explorer, la section **Cost Explorer** affiche les données de coût pour une application ou un composant d'application non conteneur spécifique. Vous pouvez activer cette fonctionnalité en cliquant sur le bouton **Accéder à la console AWS Cost Management**. Utilisez les filtres de cette section pour afficher les coûts relatifs à votre application.
**Pour ouvrir l'onglet **Resources** (Ressources)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Sélectionnez l'onglet **Ressources**.
# Gestion de la conformité de votre application
DansApplication Manager, un composant de AWS Systems Manager, la page **Configurations** affiche les informations de conformité [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/)des ressources et des règles de configuration. Cette page affiche également les informations de conformité des AWS Systems Manager [https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)associations. Vous pouvez choisir une ressource, une règle ou une association afin d'ouvrir la console correspondante et obtenir davantage d'informations. Cette page affiche les informations de conformité des 90 derniers jours.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Choisissez un nom de ressource pour ouvrir la AWS Config console dans laquelle vous pouvez consulter les informations de conformité relatives à une ressource sélectionnée.
+ Sélectionnez le bouton d'option à côté du nom d'une ressource. Cliquez ensuite sur le bouton **Chronologie des ressources** pour ouvrir la AWS Config console dans laquelle vous pouvez consulter les informations de conformité relatives à une ressource sélectionnée.
+ Dans la section **Config rules compliance (Conformité des règles de config)**, vous pouvez effectuer les actions suivantes :
+ Choisissez un nom de règle pour ouvrir la AWS Config console dans laquelle vous pouvez consulter les informations relatives à cette règle.
+ Choisissez **Ajouter des règles** pour ouvrir la AWS Config console dans laquelle vous pouvez créer une règle.
+ Sélectionnez le bouton d'option à côté d'un nom de règle, sélectionnez **Actions**, puis **Manage remediation (Gérer la résolution)** pour modifier l'action de résolution d'une règle.
+ Cliquez sur le bouton d'option à côté du nom d'une règle, choisissez **Actions**, puis choisissez **Réévaluer** pour AWS Config effectuer un contrôle de conformité sur la règle sélectionnée.
+ Dans la section **Association compliance (Conformité de l'association)**, vous pouvez effectuer les actions suivantes :
+ Sélectionnez un nom d'association pour ouvrir la page **Associations** et afficher des informations sur cette association.
+ Sélectionnez **Create association (Créer une association)** pour ouvrir Systems Manager State Manager et y créer une association.
+ Cliquez sur le bouton d'option à côté d'un nom d'association et sélectionnez **Apply association Appliquer l'association)** pour démarrer immédiatement toutes les actions spécifiées dans l'association.
**Pour ouvrir l'onglet **Compliance** (Conformité)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Choisissez l'onglet **Compliance** (Conformité).
# Utilisation CloudWatch d'Application Insights pour surveiller une application
DansApplication Manager, un composant de AWS Systems Manager, l'onglet **Monitoring** affiche Amazon CloudWatch Application Insights et les détails des alarmes relatives aux ressources d'une application.
**À propos d'Application Insights**
CloudWatch Application Insights identifie et met en place des indicateurs, des journaux et des alarmes clés pour l'ensemble des ressources de votre application et de votre infrastructure technologique. Application Insights surveille en permanence les métriques et les journaux afin de détecter et de corréler les anomalies et les erreurs. Lorsque le système détecte des erreurs ou des anomalies, Application Insights génère CloudWatch des événements que vous pouvez utiliser pour configurer des notifications ou prendre des mesures. Si vous cliquez sur le bouton **Modifier la configuration** dans l'onglet **Surveillance**, le système ouvre la console CloudWatch Application Insights. Pour plus d'informations sur Application Insights, consultez la section [Qu'est-ce qu'Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Choisissez un nom de service dans la section **Alarmes par AWS service** pour CloudWatch ouvrir le service et l'alarme sélectionnés.
+ Ajustez la durée d'affichage des données dans les widgets dans la section **Alarmes récentes** en sélectionnant l'une des valeurs de durée prédéfinies. Vous pouvez choisir **personnalisé** pour définir votre propre durée.
![\[Les contrôles de durée sous l'onglet Monitoring (Surveillance) dans Application Manager.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/application-manager-Monitoring-1.png)
+ Passez le curseur sur un widget dans la section **Alarmes récentes** pour afficher une fenêtre contextuelle de données pendant une durée spécifique.
![\[Un widget d'alarme dans la section Alarmes récentes sous l'onglet Monitoring (Surveillance) dans Application Manager.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/application-manager-Monitoring-2.png)
+ Sélectionnez le menu d'options d'un widget pour afficher les options d'affichage. Sélectionnez **Enlarge (Agrandir)** pour développer un widget. Sélectionnez **Refresh (Actualiser)** pour mettre à jour les données d'un widget. Cliquez et faites glisser le curseur dans un affichage de données de widget pour sélectionner une plage spécifique. Vous pouvez alors choisir **Apply time range (Appliquer la plage de temps)**.
![\[Options du widget Alarme dans Application Manager.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/application-manager-Monitoring-3.png)
+ Sélectionnez le menu **Actions** pour afficher les options **Annuler** des données d'alarme, qui incluent les éléments suivants :
+ Sélectionnez si vos widgets de métriques affichent des données en direct. Les données en direct sont des données publiées au cours de la dernière minute et qui n'ont pas été entièrement agrégées. Si les données en direct sont désactivées, seuls les points de données ayant une période d'agrégation d'au moins une minute dans le passé sont affichés. Par exemple, lorsque vous utilisez des périodes de 5 minutes, le point de données de 12h35 est agrégé de 12h35 à 12h40, et affiché à 12h41.
Si les données en direct sont activées, le point de données le plus récent est affiché dès que les données sont publiées dans l'intervalle d'agrégation correspondant. Chaque fois que vous actualisez l'affichage, le point de données le plus récent peut changer lorsque de nouvelles données de cette période d'agrégation sont publiées.
+ Spécifiez une durée pour les données en direct.
+ Liez les graphiques de la section **Alarmes récentes** de sorte qu'un zoom avant ou arrière sur un graphique entraîne la même action sur l'autre graphique. Vous pouvez délier les graphiques afin de limiter le zoom à un seul d'entre eux.
+ Masquez les alarmes Auto Scaling.
![\[Le menu Action de l'onglet Monitoring (Surveillance) dans Application Manager.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/application-manager-Monitoring-4.png)
**Pour ouvrir l'onglet **Monitoring** (Surveillance)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Sélectionnez l'onglet **Monitoring** (Surveillance).
# Affichage OpsItems pour une application
DansApplication Manager, un composant de AWS Systems Manager, l'**OpsItems**onglet affiche les éléments de travail opérationnels (OpsItems) pour les ressources de l'application sélectionnée. Vous pouvez configurer Systems Manager OpsCenter pour créer automatiquement des CloudWatch alarmes et des EventBridge événements Amazon OpsItems à partir d'Amazon. Vous pouvez également créer manuellement des éléments OpsItems.
**Actions que vous pouvez effectuer dans cet onglet**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Filtrez la liste d'OpsItems dans le champ de recherche. Vous pouvez filtrer par nom d'OpsItem, ID, ID source ou sévérité. Vous pouvez également filtre la liste en fonction du statut. OpsItems prend en charge les statuts suivants : Open (Ouvert), In progress (En cours), Open and In progress (Ouvert et En cours), Resolved (Résolu) ou All (Tout).
+ Pour modifier le statut d'un OpsItem, sélectionnez le bouton d'option situé à côté de l'élément, puis sélectionnez une option dans le menu **Set status (Définir le statut)**.
+ Ouvrez Systems Manager OpsCenter pour créer un OpsItem en choisissant **Create (Créer) OpsItem**.
**Pour ouvrir l'onglet **OpsItems****
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Cliquez sur l'onglet **OpsItems**.
# Gestion des journaux de votre application
DansApplication Manager, un composant de AWS Systems Manager, l'onglet **Logs** affiche une liste des groupes de journaux provenant d'Amazon CloudWatch Logs.
**Actions que vous pouvez effectuer dans cet onglet**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Choisissez un nom de groupe de journaux pour l'ouvrir dans CloudWatch Logs. Vous pouvez ensuite choisir un flux de journaux pour afficher les journaux d'une ressource dans le contexte d'une application.
+ Choisissez **Create log groups** pour créer un groupe de CloudWatch logs dans Logs.
**Pour ouvrir l'onglet **Logs** (Journaux)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Sélectionnez l'onglet **Logs (Journaux)**.
# Utiliser les dossiers d’exploitation d’automatisation pour remédier aux problèmes d’application
Vous pouvez résoudre les problèmes liés aux AWS ressources provenant Application Manager d'un outil en utilisant AWS Systems Manager des runbooks d'automatisation. Un manuel d'automatisation définit les actions que Systems Manager exécute sur vos instances gérées et sur d'autres AWS ressources lorsqu'une automatisation s'exécute. Automation est un outil d’ AWS Systems Manager. Un runbook contient une ou plusieurs étapes exécutées dans un ordre séquentiel. Chaque étape est articulée autour d'une seule action. La sortie d'une étape peut être utilisée comme entrée lors d'une étape ultérieure.
Lorsque vous choisissez **Start runbook** (Démarrer un runbook) à partir d'une application ou un cluster Application Manager, le système affiche une liste filtrée de runbooks disponibles en fonction du type de ressources de votre application ou votre cluster. Lorsque vous sélectionnez le runbook à démarrer, Systems Manager ouvre la page **Exécuter le document d'automatisation**.
Application Manager inclut les améliorations suivantes apportées à l'utilisation de runbooks.
+ Si vous sélectionnez le nom d'une ressource dans Application Manager, puis que vous sélectionnez **Exécuter un runbook**, le système affiche une liste de runbooks filtrée en fonction de ce type de ressource.
+ Vous pouvez lancer une automatisation sur toutes les ressources du même type en choisissant un runbook dans la liste, puis en sélectionnant **Exécuter pour les ressources de même type**.
**Avant de commencer**
Avant de démarrer un runbook à partir de Application Manager, effectuez la procédure suivante :
+ Vérifiez que vous disposez des autorisations voulues pour démarrer des runbooks. Pour de plus amples informations, veuillez consulter [Configuration d'Automation](automation-setup.md).
+ Consultez la documentation sur la procédure d'automatisation associée au démarrage des runbooks. Pour de plus amples informations, veuillez consulter [Exécuter une opération automatisée grâce à Systems Manager Automation](running-simple-automations.md).
**Pour démarrer un runbook à partir de Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Choisissez **Démarrer le runbook**. Application Manager ouvre la fenêtre contextuelle du **Widget d'automatisation**. Pour obtenir des informations sur les options du **Widget d'automatisation**, veuillez consulter la rubrique [Exécuter une opération automatisée grâce à Systems Manager Automation](running-simple-automations.md).
# Baliser des ressources dans Application Manager
Vous pouvez rapidement ajouter ou supprimer des balises sur les applications et les AWS ressources dansApplication Manager. Suivez la procédure ci-dessous pour ajouter ou supprimer une balise dans une application et dans toutes les AWS ressources de cette application.
**Pour ajouter ou supprimer une balise d'une application et de toutes les ressources de l'application**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Dans la section **Informations d'application**, sélectionnez le numéro situé sous **Balises d'application**. Si aucune balise n'est affectée à l'application, le numéro affiche zéro.
1. Pour ajouter une balise, sélectionnez **Add new tag (Ajouter une nouvelle balise)**. Spécifiez une clé et une valeur facultative. Pour supprimer une balise, sélectionnez **Remove (Supprimer)**.
1. Sélectionnez **Enregistrer**.
Procédez comme suit pour ajouter ou supprimer une balise d'une ressource spécifique dans Application Manager.
**Pour ajouter ou supprimer une balise d'une ressource**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Applications**, sélectionnez une catégorie. Pour ouvrir une application que vous avez créée manuellement dans Application Manager, sélectionnez **Applications personnalisées**.
1. Sélectionnez l'application dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Sélectionnez l'onglet **Ressources**.
1. Sélectionnez un nom de ressource.
1. Dans la section **Tags (Balises)**, sélectionnez **Edit (Modifier)**.
1. Pour ajouter une balise, sélectionnez **Add new tag (Ajouter une nouvelle balise)**. Spécifiez une clé et une valeur facultative. Pour supprimer une balise, sélectionnez **Remove (Supprimer)**.
1. Choisissez **Enregistrer**.
# Utilisation de CloudFormation modèles et de piles dans Application Manager
Application Manager, un outil de AWS Systems Manager, vous aide à provisionner et à gérer les ressources de vos applications en les intégrant à AWS CloudFormation. Vous pouvez créer, modifier et supprimer des modèles et des piles CloudFormation dans Application Manager. Une *pile* est un ensemble de ressources AWS que vous gérez comme une seule unité. Cela signifie que vous pouvez créer, mettre à jour ou supprimer un ensemble de AWS ressources à l'aide de CloudFormation piles. Un *modèle* est un fichier texte au format JSON ou YAML, qui spécifie les ressources à approvisionner dans vos piles.
Application Managerinclut également une bibliothèque de modèles dans laquelle vous pouvez cloner, créer et stocker des modèles. Application Manageret CloudFormation affichent les mêmes informations sur l'état actuel d'une pile. Les modèles et les mises à jour des modèles sont stockés dans Systems Manager jusqu'à ce que vous approvisionniez la pile, date à laquelle les modifications sont également affichées CloudFormation.
Une fois que vous avez créé une pileApplication Manager, la page **CloudFormation des piles** affiche des informations utiles à ce sujet. Cela inclut le modèle utilisé pour créer la pile, un nombre d'[https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) pour les ressources de votre pile, le [statut de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes), et le [statut de l'écart](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html).
**Démarrage de Cost Explorer**
Application Managerest intégré à AWS Cost Explorer une fonctionnalité de [gestion des AWS coûts](https://docs.aws.amazon.com/account-billing/index.html) via le widget **Cost**. Une fois que vous avez activé l'explorateur de coûts dans la console Cost Management, le widget **Cost** (Coût) dans Application Manager affiche les données de coût pour une application ou un composant d'application non-conteneurisés spécifiques. Vous pouvez appliquer des filtres dans le widget pour afficher les données de coût selon différentes périodes, différentes granularités et différents types sous forme de graphique à barres ou linéaire.
Vous pouvez activer cette fonctionnalité en cliquant sur le bouton **Accéder à la console AWS Cost Management**. Par défaut, les données sont filtrées sur les trois derniers mois. Pour une application non conteneurisée, si vous cliquez sur le bouton **Afficher tout** de cette section, Application Manager ouvre l'onglet **Ressources**. Pour les applications conteneurisées, le bouton **View all (Afficher tout)** ouvre la console AWS Cost Explorer .
**Note**
Cost Explorer utilise des balises pour le suivi des coûts de vos applications. Si votre application CloudFormation basée sur une pile n'est pas configurée avec la clé de `AppManagerCFNStackKey` balise, Cost Explorer ne parvient pas à présenter des données de coûts précises dans. Application Manager Lorsque la clé de `AppManagerCFNStackKey` balise n'est pas détectée, vous êtes invité dans la console à ajouter la balise à votre CloudFormation pile pour permettre le suivi des coûts. Son ajout fait correspondre la clé de balise à l'Amazon Resource Name (ARN) de votre pile et permet au widget **Cost** (Coût) d'afficher des données de coûts précises.
**Important**
L'ajout de la balise `AppManagerCFNStackKey` déclenchera une mise à jour de la pile. Les configurations manuelles effectuées après le déploiement initial de la pile ne seront pas reflétées après l'ajout de la balise utilisateur. Pour plus d'informations sur les comportements de mise à jour des ressources, veuillez consulter la rubrique [Comportements de mise à jour des ressources de pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/ using-cfn-updating-stacks-update-behaviors.html) dans le *Guide de l'utilisateur AWS CloudFormation *.
## Avant de commencer
Utilisez les liens suivants pour en savoir plus sur CloudFormation les concepts avant de créer, de modifier ou de supprimer CloudFormation des modèles et des piles en utilisantApplication Manager.
+ [Présentation de AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation meilleures pratiques](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html)
+ [Découvrir les concepts de base des modèles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/gettingstarted.templatebasics.html)
+ [Utilisation des piles AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)
+ [Utilisation des modèles AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)
+ [Exemples de modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-sample-templates.html)
**Topics**
+ [Avant de commencer](#application-manager-working-stacks-before-you-begin)
+ [Utilisation Application Manager pour gérer les CloudFormation modèles](application-manager-working-templates-overview.md)
+ [Utilisation Application Manager pour gérer les CloudFormation piles](application-manager-working-stacks-overview.md)
# Utilisation Application Manager pour gérer les CloudFormation modèles
Application Manager, un outil dans AWS Systems Manager, inclut une bibliothèque de modèles et d'autres outils pour vous aider à gérer les AWS CloudFormation modèles. Cette section comprend les informations suivantes.
**Topics**
+ [Utilisation de la bibliothèque de modèles](#application-manager-working-stacks-template-library-working)
+ [Création d'un modèle](#application-manager-working-stacks-creating-template)
+ [Modification d'un modèle](#application-manager-working-stacks-editing-template)
## Utilisation de la bibliothèque de modèles
La bibliothèque de modèles Application Manager vous fournit des outils pour afficher, créer, modifier, supprimer et cloner des modèles. Vous pouvez également approvisionner des piles directement à partir de la bibliothèque de modèles. Les modèles sont stockés sous forme de documents Systems Manager (SSM) du type `CloudFormation`. En stockant des modèles sous forme de documents SSM, vous pouvez utiliser des contrôles de version pour utiliser différentes versions d'un modèle. Vous pouvez également définir des autorisations et partager des modèles. Une fois que vous avez correctement approvisionné une pile, la pile et le modèle sont disponibles dans Application Manager et CloudFormation.
**Avant de commencer**
Nous vous recommandons de lire les rubriques suivantes pour en savoir plus sur les documents SSM avant de commencer à travailler avec des CloudFormation modèles dansApplication Manager.
+ [AWS Systems Manager Documents](documents.md)
+ [Partage de documents SSM](documents-ssm-sharing.md)
+ [Bonnes pratiques pour les documents SSM partagés](documents-ssm-sharing.md#best-practices-shared)
**Pour afficher la bibliothèque de modèles dans Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Choisissez la **bibliothèque de CloudFormation modèles**.
## Création d'un modèle
La procédure suivante décrit comment créer un CloudFormation modèle dansApplication Manager. Lorsque vous créez un modèle, vous saisissez les détails de la pile du modèle au format JSON ou YAML. Si vous n'êtes pas familiarisé avec JSON ou YAML, vous pouvez utiliser AWS Infrastructure Composer, un outil permettant de créer et de modifier visuellement des modèles. Pour plus d’informations, consultez [Créer des modèles visuellement avec Infrastructure Composer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/infrastructure-composer-for-cloudformation.html) dans le *guide de l’utilisateur AWS CloudFormation *. Pour plus d’informations sur la structure et la syntaxe d’un modèle, consultez [Sections du modèle CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-anatomy.html) dans le *guide de l’utilisateur AWS CloudFormation *.
Vous pouvez également créer un modèle à partir de plusieurs extraits de modèle. Les extraits de modèle proposent des exemples qui montrent comment écrire des modèles pour une ressource déterminée. Par exemple, vous pouvez consulter des extraits pour des instances Amazon Elastic Compute Cloud (Amazon EC2), des domaines Amazon Simple Storage Service (Amazon S3 CloudFormation ), des mappages, etc. Les extraits sont regroupés par ressource. Vous pouvez trouver des extraits CloudFormation polyvalents dans la section [Extraits de modèle généraux](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/quickref-general.html) du *Guide de l'utilisateur AWS CloudFormation *.
### Création d'un CloudFormation modèle dans Application Manager (console)
Utilisez la procédure suivante pour créer un CloudFormation modèle dans à Application Manager l'aide du AWS Management Console.
**Pour créer un CloudFormation modèle dans Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Choisissez **Bibliothèque de CloudFormation modèles**, puis choisissez **Créer un modèle** ou choisissez un modèle existant, puis sélectionnez **Actions**, **Cloner**.
1. Pour **Nom**, saisissez un nom pour le modèle, qui vous aidera à identifier les ressources créées ou le but de la pile.
1. (Facultatif) Pour **Nom de la version**, saisissez un nom ou un numéro pour identifier la version du modèle.
1. Dans la section **Éditeur de code**, sélectionnez **YAML** ou **JSON**, puis saisissez ou copiez et collez votre code de modèle.
1. (Facultatif) Dans la section **Balises**, appliquez une ou plusieurs name/value paires de clés de balise au modèle.
1. (Facultatif) Dans la section **Autorisations**, entrez un Compte AWS identifiant et choisissez **Ajouter un compte**. Cette action fournit une autorisation en lecture au modèle. Le propriétaire du compte peut approvisionner et cloner le modèle, mais il ne peut ni le modifier ni le supprimer.
1. Sélectionnez **Create** (Créer). Le modèle est enregistré dans le service Document Systems Manager (SSM).
### Création d'un CloudFormation modèle en Application Manager (ligne de commande)
Après avoir créé le contenu de votre CloudFormation modèle au format JSON ou YAML, vous pouvez utiliser le AWS Command Line Interface (AWS CLI) ou Outils AWS pour PowerShell pour enregistrer le modèle en tant que document SSM. Remplacez chaque *example resource placeholder* par vos propres informations.
**Avant de commencer**
Installez et configurez le AWS CLI ou le Outils AWS pour PowerShell, si vous ne l'avez pas déjà fait. Pour plus d'informations, consultez la section [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) et [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/template_in_json_or_yaml \
--name "a_name_for_the_template" \
--document-type "CloudFormation" \
--document-format "JSON_or_YAML" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\template_in_json_or_yaml ^
--name "a_name_for_the_template" ^
--document-type "CloudFormation" ^
--document-format "JSON_or_YAML" ^
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\template_in_json_or_yaml | Out-String
New-SSMDocument `
-Content $json `
-Name "a_name_for_the_template" `
-DocumentType "CloudFormation" `
-DocumentFormat "JSON_or_YAML" `
-Tags "Key=tag-key,Value=tag-value"
```
------
Si elle aboutit, la commande renvoie une réponse semblable à la suivante :
```
{
"DocumentDescription": {
"Hash": "c1d9640f15fbdba6deb41af6471d6ace0acc22f213bdd1449f03980358c2d4fb",
"HashType": "Sha256",
"Name": "MyTestCFTemplate",
"Owner": "428427166869",
"CreatedDate": "2021-06-04T09:44:18.931000-07:00",
"Status": "Creating",
"DocumentVersion": "1",
"Description": "My test template",
"PlatformTypes": [],
"DocumentType": "CloudFormation",
"SchemaVersion": "1.0",
"LatestVersion": "1",
"DefaultVersion": "1",
"DocumentFormat": "YAML",
"Tags": [
{
"Key": "Templates",
"Value": "Test"
}
]
}
```
## Modification d'un modèle
Utilisez la procédure suivante pour modifier un CloudFormation modèle dansApplication Manager. Les modifications de modèle sont disponibles une CloudFormation fois que vous avez provisionné une pile utilisant le modèle mis à jour.
**Pour modifier un CloudFormation modèle dans Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Choisissez la **bibliothèque CloudFormation de modèles**
1. Sélectionnez une règle, puis sélectionnez **Actions**, **Edit (Modifier)**. Vous ne pouvez pas modifier le nom d'un modèle, mais tous les autres détails sont modifiables.
1. Sélectionnez **Enregistrer**. Le modèle est enregistré dans le service Document Systems Manager.
# Utilisation Application Manager pour gérer les CloudFormation piles
Application Manager, un outil de AWS Systems Manager, vous aide à provisionner et à gérer les ressources de vos applications en les intégrant à AWS CloudFormation. Vous pouvez créer, modifier et supprimer des CloudFormation modèles et des piles dansApplication Manager. Une *pile* est un ensemble de AWS ressources que vous pouvez gérer comme une seule unité. Cela signifie que vous pouvez créer, mettre à jour ou supprimer un ensemble de AWS ressources à l'aide de CloudFormation piles. Un *modèle* est un fichier texte au format JSON ou YAML, qui spécifie les ressources à approvisionner dans vos piles. Cette section comprend les informations suivantes.
**Topics**
+ [Création d'une pile](#application-manager-working-stacks-creating-stack)
+ [Mise à jour d'une pile](#application-manager-working-stacks-editing-stack)
## Création d'une pile
Les procédures suivantes décrivent comment créer une CloudFormation pile à l'aide deApplication Manager. Une pile est basée sur un modèle. Lorsque vous créez une pile, vous pouvez choisir un modèle existant ou en créer un. Après avoir créé la pile, le système tente immédiatement de créer les ressources identifiées dans la pile. Une fois que le système a correctement approvisionné les ressources, le modèle et la pile peuvent être consultés et modifiés dans Application Manager et CloudFormation.
**Note**
La création d'une pile est gratuite, mais les AWS ressources créées dans la pile vous sont facturées. Application Manager
### Création d'une CloudFormation pile à l'aide de Application Manager (console)
Utilisez la procédure suivante pour créer une pile à l'aide du Application Manager dans la AWS Management Console.
**Pour créer une CloudFormation pile**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Choisissez **Create Application, CloudFormation Stack**.
1. Dans la section **Préparer un modèle**, sélectionnez une option. Si vous sélectionnez **Utiliser un modèle existant**, les onglets de la section **Choisir un modèle** vous aideront à localiser le modèle à utiliser. (Si vous sélectionnez l’une des autres options, suivez l’assistant pour préparer un modèle.)
1. Sélectionnez le bouton à côté du nom d’un modèle, puis choisissez **Suivant**.
1. Sur la page **Spécifier les détails du modèle**, vérifiez les détails du modèle pour vous assurer que le processus crée les ressources voulues.
+ (Facultatif) Dans la section **Balises**, appliquez une ou plusieurs name/value paires de clés de balise au modèle.
+ Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement.
+ Choisissez **Suivant**.
1. Sur la page **Modifier les détails de la pile**, pour **Nom de la pile**, saisissez un nom qui vous aidera à identifier les ressources créées par la pile ou son but.
+ La section **Paramètres** inclut tous les paramètres facultatifs et obligatoires spécifiés dans le modèle. Saisissez un ou plusieurs paramètres dans chaque champ.
+ (Facultatif) Dans la section **Balises**, appliquez une ou plusieurs name/value paires de clés de balises à la pile.
+ (Facultatif) Dans la section **Autorisations**, spécifiez un nom de rôle Gestion des identités et des accès AWS (IAM) ou un nom de ressource IAM Amazon (ARN). Le système utilise le rôle de service spécifié pour créer l'ensemble des ressources spécifiées dans votre pile. Si vous ne définissez aucun rôle IAM, CloudFormation utilise alors une session temporaire générée par le système à partir de vos informations d'identification utilisateur. Pour de plus amples informations sur ce rôle IAM, consultez [Rôle de service CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) dans le *Guide de l'utilisateur AWS CloudFormation *.
+ Sélectionnez **Suivant**.
1. Sur la page **Examen et approvisionnement**, examinez les détails de la pile. Sélectionnez un bouton **Modifier** sur cette page pour apporter des modifications.
1. Sélectionnez **Approvisionner une pile**.
Application Manageraffiche la page **CloudFormation des piles** et l'état de la création et du déploiement des piles. En cas d' CloudFormation échec de la création et du provisionnement de la pile, consultez les rubriques suivantes du *guide de AWS CloudFormation l'utilisateur*.
+ [Codes d'état de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-describing-stacks.html#w2ab1c23c15c17c11)
+ [Résolution des problèmes CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)
Une fois que vos ressources de pile sont approvisionnées et en cours d'exécution, les utilisateurs peuvent les modifier directement en utilisant le service sous-jacent qui a créé la ressource. Par exemple, un utilisateur peut utiliser la console Amazon Elastic Compute Cloud (Amazon EC2) pour mettre à jour une instance de serveur créée dans le cadre d'une pile. CloudFormation Certaines modifications peuvent être accidentelles, et d'autres peuvent être apportées intentionnellement pour répondre aux événements opérationnels prioritaires. Quoi qu'il en soit, les modifications apportées en dehors de CloudFormation peuvent compliquer les opérations de mise à jour ou de suppression de la pile. Vous pouvez utiliser la détection de dérive ou l'*état de dérive* pour identifier les ressources de la pile auxquelles des modifications de configuration ont été apportées en dehors de la CloudFormation gestion. Pour de plus amples informations sur le statut de l'écart, consultez [Détection de modifications non gérées de la configuration des piles et des ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html).
### Création d'une CloudFormation pile en utilisant Application Manager (ligne de commande)
Utilisez la procédure suivante AWS Command Line Interface (AWS CLI) pour approvisionner une pile à l'aide d'un CloudFormation modèle stocké sous forme de document SSM dans Systems Manager. Remplacez chaque *example resource placeholder* par vos propres informations. Pour plus d'informations sur AWS CLI les autres procédures de création de piles, voir [Création d'une pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html) dans le *Guide de l'AWS CloudFormation utilisateur*.
**Avant de commencer**
Installez et configurez le AWS CLI ou le Outils AWS pour PowerShell, si vous ne l'avez pas déjà fait. Pour plus d'informations, consultez la section [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) et [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
------
#### [ Linux & macOS ]
```
aws cloudformation create-stack \
--stack-name a_name_for_the_stack \
--template-url "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" \
```
------
#### [ Windows ]
```
aws cloudformation create-stack ^
--stack-name a_name_for_the_stack ^
--template-url "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" ^
```
------
#### [ PowerShell ]
```
New-CFNStack `
-StackName "a_name_for_the_stack" `
-TemplateURL "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" `
```
------
## Mise à jour d'une pile
Vous pouvez déployer des mises à jour sur une CloudFormation pile en modifiant directement la pileApplication Manager. Avec une mise à jour directe, vous spécifiez les mises à jour à apporter à un modèle ou à des paramètres d'entrée. Après avoir enregistré et déployé les modifications, CloudFormation met à jour les AWS ressources en fonction des modifications que vous avez spécifiées.
Vous pouvez prévisualiser les modifications qui CloudFormation seront apportées à votre pile avant de la mettre à jour en utilisant des ensembles de modifications. Pour de plus amples informations, consultez [Mise à jour des piles à l'aide de jeux de modifications](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-changesets.html) dans le *Guide de l'utilisateur AWS CloudFormation *.
**Pour mettre à jour une CloudFormation pile dans Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Sélectionnez le bouton radio à côté du nom d’une application, puis choisissez **Actions**, **Mettre à jour la pile**.
1. Sur la page **Spécifier la source du modèle**, sélectionnez l'une des options suivantes, puis sélectionnez **Suivant**.
+ Sélectionnez **Utiliser le code de modèle actuellement approvisionné dans la pile** pour afficher un modèle. Sélectionnez une version de modèle dans la liste **Versions**, puis sélectionnez **Next (Suivant)**.
+ Sélectionnez **Basculer vers un autre modèle** pour choisir un modèle ou en créer un pour la pile.
1. Une fois les modifications apportées, sélectionnez **Suivant**.
1. Sur la page **Modifier les détails de la pile**, vous pouvez modifier les paramètres, les balises et les autorisations. Vous ne pouvez pas changer le nom de la pile. Effectuez les modifications de votre choix, puis sélectionnez **Next (Suivant)**.
1. Sur la page **Examen et approvisionnement**, examinez les détails de la pile, puis sélectionnez **Approvisionner une pile**.
# Utilisation des clusters dans Application Manager
Cette section inclut des rubriques destinées à vous aider à utiliser les clusters de conteneurs Amazon Elastic Container Service (Amazon ECS) et Amazon Elastic Kubernetes Service (Amazon EKSApplication Manager) dans un composant de. AWS Systems Manager
**Topics**
+ [Utiliser Amazon ECS dans Application Manager](application-manager-working-ECS.md)
+ [Utiliser Amazon EKS dans Application Manager](application-manager-working-EKS.md)
+ [Utiliser des runbooks pour des clusters](application-manager-working-runbooks-clusters.md)
# Utiliser Amazon ECS dans Application Manager
À l'aide Application Manager d'un outil AWS Systems Manager, vous pouvez visualiser et gérer votre infrastructure de cluster Amazon Elastic Container Service (Amazon ECS). Application Managerapplique une balise à votre cluster Amazon ECS en utilisant le nom de ressource Amazon (ARN) du cluster comme valeur de balise. Application Managerfournit une vue d'exécution des composants des ressources de calcul, de mise en réseau et de stockage d'un cluster.
**Note**
Il ne vous est pas possible de gérer ou d'afficher les informations opérationnelles relatives à vos conteneurs dans Application Manager. Vous ne pouvez gérer et afficher que les informations opérationnelles relatives à l'infrastructure qui héberge vos ressources Amazon ECS.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Sélectionnez **Gérer un cluster** pour ouvrir le cluster dans Amazon ECS.
+ Sélectionnez **Afficher tout** pour afficher la liste des ressources de votre cluster.
+ Choisissez **Afficher dans CloudWatch** pour afficher les alarmes relatives aux ressources sur Amazon CloudWatch.
+ Choisissez **Manage nodes** (Gérer des nœuds) ou **Manage Fargate profiles** (Gérer les profils Fargate) pour afficher ces ressources dans Amazon ECS.
+ Sélectionnez un ID de ressource pour afficher des informations détaillées à ce sujet dans la console où il a été créé.
+ Affichez une liste d'OpsItems associés à vos clusters.
+ Affichez un historique des runbooks qui ont été exécutés sur vos clusters.
**Pour ouvrir un **cluster ECS****
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Clusters de conteneurs**, sélectionnez **Cluster ECS**.
1. Sélectionnez un cluster dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
# Utiliser Amazon EKS dans Application Manager
Application Manager, un outil intégré AWS Systems Manager, s'intègre à [Amazon Elastic Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) Service (Amazon EKS) pour fournir des informations sur l'état de votre infrastructure de cluster Amazon EKS. Application Managerapplique une balise à votre cluster Amazon EKS en utilisant le nom de ressource Amazon (ARN) du cluster comme valeur de balise. Application Managerfournit une vue d'exécution des composants des ressources de calcul, de mise en réseau et de stockage d'un cluster.
**Note**
Il ne vous est pas possible de gérer ou d'afficher les informations opérationnelles relatives à vos pods ou conteneurs Amazon EKS dans Application Manager. Vous ne pouvez gérer et afficher que les informations opérationnelles relatives à l'infrastructure qui héberge vos ressources Amazon EKS.
**Actions que vous pouvez effectuer sur cette page**
Vous pouvez effectuer les actions suivantes sur cette page :
+ Sélectionnez **Manage cluster (Gérer un cluster)** pour ouvrir le cluster dans Amazon EKS.
+ Sélectionnez **Afficher tout** pour afficher la liste des ressources de votre cluster.
+ Choisissez **Afficher dans CloudWatch** pour afficher les alarmes relatives aux ressources sur Amazon CloudWatch.
+ Sélectionnez **Manage nodes** (Gérer des nœuds) ou **Manage Fargate profiles** (Gérer les profils Fargate) pour afficher ces ressources dans Amazon EKS.
+ Sélectionnez un ID de ressource pour afficher des informations détaillées à ce sujet dans la console où il a été créé.
+ Affichez une liste d'OpsItems associés à vos clusters.
+ Affichez un historique des runbooks qui ont été exécutés sur vos clusters.
**Pour ouvrir une application **clusters EKS****
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Clusters de conteneurs**, sélectionnez **Cluster EKS**.
1. Sélectionnez un cluster dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
# Utiliser des runbooks pour des clusters
Vous pouvez résoudre les problèmes liés aux AWS ressources provenant Application Manager d'un outil en utilisant AWS Systems Manager les runbooks Systems Manager Automation. Lorsque vous sélectionnez **Démarrer un runbook** à partir d'n cluster Application Manager, le système affiche une liste de runbooks filtrée en fonction du type de ressources de votre cluster. Lorsque vous sélectionnez le runbook à démarrer, Systems Manager ouvre la page **Exécuter le document d'automatisation**.
**Avant de commencer**
Avant de démarrer un runbook à partir de Application Manager, effectuez la procédure suivante :
+ Vérifiez que vous disposez des autorisations voulues pour démarrer des runbooks. Pour de plus amples informations, veuillez consulter [Configuration d'Automation](automation-setup.md).
+ Consultez la documentation sur la procédure d'automatisation associée au démarrage des runbooks. Pour de plus amples informations, veuillez consulter [Exécuter une opération automatisée grâce à Systems Manager Automation](running-simple-automations.md).
+ Si vous envisagez de lancer des runbooks sur plusieurs ressources à la fois, consultez la documentation sur l'utilisation des cibles et des contrôles de débit. Pour de plus amples informations, veuillez consulter [Exécuter des opérations automatisées à grande échelle](running-automations-scale.md).
**Pour démarrer un runbook pour des clusters à partir d'Application Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Application Manager**.
1. Dans la section **Clusters de conteneurs**, sélectionnez un type de conteneur.
1. Sélectionnez le cluster dans la liste. Application Manager ouvre l'onglet **Overview (Présentation)**.
1. Dans l'onglet **Runbooks**, sélectionnez **Start runbook** (Démarrer un runbook). Application Manager ouvre la page **Execute automation document** (Exécuter le document d’automatisation) sous un nouvel onglet. Pour obtenir des informations sur les options de la page **Exécuter le document d'automatisation**, veuillez consulter [Exécuter une opération automatisée grâce à Systems Manager Automation](running-simple-automations.md).
# AWS Systems Manager Parameter Store
Parameter Store offre un stockage sécurisé et hiérarchique des données pour la gestion des données de configuration et des codes secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données Amazon Machine Image (AMI) IDs et des codes de licence sous forme de valeurs de paramètres. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez référencer des paramètres Systems Manager dans vos scripts, commandes, documents SSM et flux de travail de configuration et d'automatisation à l'aide du nom unique que vous avez spécifié lors de la création du paramètre. Pour vos premiers pas dans Parameter Store, ouvrez [Systems Manager console](https://console.aws.amazon.com//systems-manager/parameters). Dans le panneau de navigation, sélectionnez **Parameter Store**.
Parameter Store est également intégré à Secrets Manager. Vous pouvez récupérer les secrets Secrets Manager lors de l'utilisation d'autres Services AWS qui prennent déjà en charge les références aux paramètres Parameter Store. Pour de plus amples informations, veuillez consulter [Référencement de AWS Secrets Manager secrets à partir de paramètres Parameter Store](integration-ps-secretsmanager.md).
**Note**
Pour implémenter les cycles de vie de rotation des mots de passe, utilisez. AWS Secrets Manager Vous pouvez effectuer une rotation, gérer et récupérer les informations d'identification de la base de données, les clés d'API et d'autres secrets tout au long de leur cycle de vie à l'aide de Secrets Manager. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Secrets Manager ?](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
## Comment mon organisation peut-elle tirer parti de Parameter Store ?
Parameter Store offre les avantages suivants :
+ Utilisation d'un service de gestion sécurisé, évolutif et hébergé des codes secrets, sans serveurs à gérer.
+ Amélioration de vos niveaux de sécurité en séparant les données du code.
+ Stockage des données de configuration et des chaînes chiffrées en hiérarchies et en versions de suivi.
+ Accès de contrôle et d'audit à niveaux granulaires.
+ Stockez les paramètres de manière fiable car Parameter Store est hébergé dans plusieurs zones de disponibilité dans une Région AWS.
## À qui est destiné Parameter Store ?
+ Tout AWS client qui souhaite disposer d'une méthode centralisée pour gérer les données de configuration.
+ Les développeurs de logiciels qui veulent stocker différentes connexions et différents flux de référence.
+ Les administrateurs qui veulent recevoir des notifications lorsque leurs secrets et leurs mots de passe sont ou ne sont pas modifiés.
## Quelles sont les fonctions d'Parameter Store ?
+ **Notification de modification**
Vous pouvez configurer des notifications de modifications et invoquer des actions automatisées à la fois pour les paramètres et les politiques de paramètres. Pour de plus amples informations, veuillez consulter [Configuration de notifications ou d’actions de déclenchement basées sur des événements Parameter Store](sysman-paramstore-cwe.md).
+ **Organisation des paramètres**
Vous pouvez baliser vos paramètres individuellement pour vous aider à identifier un ou plusieurs paramètres en fonction des balises que vous leur avez affectées. Par exemple, vous pouvez baliser des paramètres pour des environnements ou des services spécifiques.
+ **Versions d'étiquettes**
Vous pouvez associer un alias aux versions de votre paramètre en créant des étiquettes. Les étiquettes peuvent vous aider à vous souvenir de l'objectif d'une version de paramètre lorsqu'il existe plusieurs versions.
+ **Validation des données**
Vous pouvez créer des paramètres désignant une instance Amazon Elastic Compute Cloud (Amazon EC2), et Parameter Store les valide pour s'assurer qu'il fait référence au type de ressource attendu, que la ressource existe et que le client a l'autorisation d'utiliser la ressource. Par exemple, vous pouvez créer un paramètre avec un ID d'Amazon Machine Image (AMI) comme valeur avec le type de données `aws:ec2:image`, et Parameter Store effectue une opération de validation asynchrone pour s'assurer que la valeur du paramètre répond aux exigences de mise en forme d'un ID d'AMI et que la valeur spécifiée AMI est disponible dans votre Compte AWS.
+ **Secrets de référence**
Parameter Storeest intégré AWS Secrets Manager afin que vous puissiez récupérer les secrets de Secrets Manager lorsque vous en utilisez un autre Services AWS qui prend déjà en charge les références aux Parameter Store paramètres.
+ **Partage de paramètres avec d’autres comptes**
Vous pouvez éventuellement centraliser les données de configuration en un seul Compte AWS et partager les paramètres avec d'autres comptes qui ont besoin d'y accéder.
+ **Accessible depuis d'autres Services AWS**
Vous pouvez utiliser Parameter Store les paramètres avec d'autres outils de Systems Manager et Services AWS récupérer des secrets et des données de configuration depuis un magasin central. Les paramètres fonctionnent avec les outils Systems Manager tels que Run Command l'automatisation et State Manager les outils intégrés AWS Systems Manager. Vous pouvez également référencer des paramètres dans plusieurs autres domaines Services AWS, notamment les suivants :
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Amazon Elastic Container Service (Amazon ECS)
+ AWS Secrets Manager
+ AWS Lambda
+ AWS CloudFormation
+ AWS CodeBuild
+ AWS CodePipeline
+ AWS CodeDeploy
+ **Intégrez avec d'autres Services AWS**
Configurez l'intégration avec les éléments suivants Services AWS pour le chiffrement, les notifications, la surveillance et l'audit :
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon CloudWatch : pour plus d'informations, consultez[Configuration des EventBridge règles pour les paramètres et des politiques de paramètres](sysman-paramstore-cwe.md#cwe-parameter-changes).
+ Amazon EventBridge : pour plus d'informations, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md) et[Référence : modèles et types d' EventBridge événements Amazon pour Systems Manager](reference-eventbridge-events.md).
+ AWS CloudTrail: Pour plus d'informations, consultez [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md).
## Qu'est-ce qu'un paramètre ?
Un paramètre Parameter Store est tout élément de données enregistré dans Parameter Store, tel qu'un bloc de texte, une liste de noms, un mot de passe, un ID d'AMI, une clé de licence, etc. Vous pouvez référencer ces données de manière centralisée et sécurisée dans vos scripts, commandes et documents SSM.
Lorsque vous référencez un paramètre, vous spécifiez son nom à l'aide de la convention suivante.
\$1\$1`ssm:parameter-name`\$1\$1
**Note**
Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure `{{}}` ou `{{ssm:parameter-name}}` dans une valeur de paramètre.
Parameter Store prend en charge trois types de paramètres. `String`, `StringList` et `SecureString`.
À une exception près, lorsque vous créez ou mettez à jour un paramètre, vous saisissez sa valeur sous forme de texte brut et Parameter Store n'effectue aucune validation sur le texte en question. Pour les paramètres `String`, vous pouvez néanmoins spécifier le type de données comme `aws:ec2:image`. Alors, Parameter Store valide la valeur que vous saisissez comme étant au format approprié pour une AMI Amazon EC2 ; par exemple : `ami-12345abcdeEXAMPLE`.
### Type de paramètre : String
Par défaut, la valeur d’un paramètre `String` est constituée d’un bloc de texte que vous saisissez. Par exemple :
+ `abc123`
+ `Example Corp`
+ `
`
### Type de paramètre : StringList
Les valeurs des paramètres `StringList` contiennent une liste de valeurs séparées par des virgules, comme le montrent les exemples suivants.
`Monday,Wednesday,Friday`
`CSV,TSV,CLF,ELF,JSON`
### Type de paramètre : SecureString
La valeur d’un paramètre `SecureString` correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne voulez pas que les utilisateurs modifient ou référencent en texte brut certaines de vos données, telles que les mots de passe ou les clés de licence, créez ces paramètres à l'aide du type de données `SecureString`.
**Important**
Ne stockez pas de données sensibles dans un paramètre `StringList` ou `String`. Pour toutes les données sensibles qui doivent rester chiffrées, utilisez uniquement le type de paramètre `SecureString`.
Pour de plus amples informations, veuillez consulter [Création d'un SecureString paramètre à l'aide du AWS CLI](param-create-cli.md#param-create-cli-securestring).
Nous recommandons l'utilisation des paramètres `SecureString` pour les scénarios suivants :
+ Vous souhaitez utiliser data/parameters across Services AWS sans exposer les valeurs sous forme de texte brut dans les commandes, les fonctions, les journaux des agents ou les CloudTrail journaux.
+ Vous voulez contrôler les personnes ayant accès aux données sensibles.
+ Vous souhaitez être en mesure de contrôler les accès aux données sensibles (CloudTrail).
+ Vous voulez chiffrer vos données sensibles et vous voulez utiliser vos propres clés de chiffrement pour la gestion des accès.
**Important**
Seule la *valeur* d'un paramètre `SecureString` est chiffrée. Les noms de paramètres, les descriptions et d'autres propriétés ne sont pas chiffrés.
Vous pouvez utiliser le type de `SecureString` paramètre pour les données textuelles que vous souhaitez chiffrer, telles que les mots de passe, les secrets d'application, les données de configuration confidentielles ou tout autre type de données que vous souhaitez protéger. `SecureString`les données sont cryptées et déchiffrées à l'aide d'une clé. AWS KMS Vous pouvez utiliser une clé KMS par défaut fournie par AWS ou créer et utiliser la vôtre AWS KMS key. (Utilisez votre propre AWS KMS key pour restreindre l'accès des utilisateurs aux paramètres `SecureString`. Pour de plus amples informations, veuillez consulter [Autorisations IAM pour l'utilisation des clés AWS par défaut et des clés gérées par le client](sysman-paramstore-access.md#ps-kms-permissions).)
Vous pouvez également utiliser des `SecureString` paramètres avec d'autres Services AWS. Dans l'exemple suivant, la fonction Lambda récupère un `SecureString` paramètre à l'aide de l'API. [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)
```
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
response = ssm.get_parameters(
Names=['LambdaSecureString'],WithDecryption=True
)
for parameter in response['Parameters']:
return parameter['Value']
def lambda_handler(event, context):
value = get_parameters()
print("value1 = " + value)
return value # Echo back the first key value
```
**AWS KMS chiffrement et tarification**
Si vous choisissez le type de `SecureString` paramètre lorsque vous créez votre paramètre, Systems Manager l'utilise AWS KMS pour chiffrer la valeur du paramètre.
**Important**
Parameter Store prend uniquement en charge des [clés KMS à chiffrement symétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé KMS à chiffrement asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) pour chiffrer vos paramètres. Pour savoir si une clés KMS est symétrique ou asymétrique, consultez [Identification de clés symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) dans le *Guide du développeur AWS Key Management Service *.
La création d'Parameter Storeun `SecureString` paramètre est gratuite, mais des frais d'utilisation du AWS KMS chiffrement s'appliquent. Pour obtenir des informations, veuillez consulter [Tarification AWS Key Management Service](https://aws.amazon.com/kms/pricing).
Pour plus d'informations sur les clés gérées par le client Clés gérées par AWS et les clés gérées par le client, consultez la section [AWS Key Management Service Concepts](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) du *guide du AWS Key Management Service développeur*. Pour plus d'informations sur le AWS KMS chiffrement Parameter Store et le chiffrement, consultez la section [Comment AWS Systems ManagerParameter Store les utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html).
**Note**
Pour afficher un Clé gérée par AWS, utilisez l' AWS KMS `DescribeKey`opération. Cet exemple AWS Command Line Interface (AWS CLI) est utilisé `DescribeKey` pour afficher un Clé gérée par AWS.
```
aws kms describe-key --key-id alias/aws/ssm
```
**Plus d'informations**
+ [Création d'un SecureString paramètre Parameter Store et connexion d'un nœud à un domaine (PowerShell)](sysman-param-securestring-walkthrough.md)
+ [Utilisez Parameter Store pour accéder en toute sécurité aux secrets et aux donnée de configuration dans CodeDeploy](https://aws.amazon.com/blogs/mt/use-parameter-store-to-securely-access-secrets-and-config-data-in-aws-codedeploy/)
+ [Articles intéressants sur Amazon EC2 Systems Manager Parameter Store](https://aws.amazon.com/blogs/mt/interesting-articles-on-ec2-systems-manager-parameter-store/)
## Limites de taille des paramètres
Parameter Store comporte des limites de taille différentes pour les valeurs des paramètres en fonction du niveau de paramètres que vous utilisez :
+ **Paramètres standard** : taille de valeur maximale de 4 Ko
+ **Paramètres avancés** : taille de valeur maximale de 8 Ko
Si vous devez stocker des valeurs de paramètres supérieures à 4 Ko, utilisez le niveau de paramètres avancé. Les paramètres avancés fournissent des fonctionnalités supplémentaires mais entraînent des frais sur votre AWS compte. Pour plus d’informations sur les niveaux de paramètres de leurs fonctionnalités, consultez [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
Pour une liste complète des quotas et des limites Parameter Store, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#parameter-store) dans la *Référence générale AWS *.
# Configuration de Parameter Store
Avant de configurer les paramètres dansParameter Store, configurez des politiques Gestion des identités et des accès AWS (IAM) qui autorisent les utilisateurs de votre compte à effectuer les actions que vous spécifiez.
Cette section inclut des informations sur la façon de configurer manuellement ces politiques à l'aide de la console IAM, et la façon de les affecter à des utilisateurs et groupes d'utilisateurs. Vous pouvez également créer et attribuer des politiques pour contrôler les actions de paramètres qui peuvent être exécutées sur un nœud géré.
Cette section contient également des informations sur la création de EventBridge règles Amazon qui vous permettent de recevoir des notifications concernant les modifications apportées aux paramètres de Systems Manager. Vous pouvez également utiliser des EventBridge règles pour invoquer d'autres actions en AWS fonction des modifications apportées àParameter Store.
**Topics**
+ [Restriction de l'accès aux paramètres Parameter Store à l'aide des stratégies IAM](sysman-paramstore-access.md)
+ [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md)
+ [Modification du Parameter Store débit](parameter-store-throughput.md)
+ [Configuration de notifications ou d’actions de déclenchement basées sur des événements Parameter Store](sysman-paramstore-cwe.md)
# Restriction de l'accès aux paramètres Parameter Store à l'aide des stratégies IAM
Vous limitez l'accès aux AWS Systems Manager paramètres en utilisant Gestion des identités et des accès AWS (IAM). Plus précisément, vous créez des politiques IAM qui restreignent l'accès aux opérations API suivantes :
+ [DeleteParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html)
+ [DeleteParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html)
+ [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)
+ [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)
+ [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)
+ [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html)
+ [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)
+ [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)
Lorsque vous utilisez des politiques IAM pour restreindre l'accès aux paramètres Systems Manager, nous vous recommandons de créer et d'utiliser des politiques IAM *restrictives*. Par exemple, la politique suivante permet à un utilisateur d'appeler les opérations d'API `DescribeParameters` et `GetParameters` pour un ensemble limité de ressources. Cela signifie que l'utilisateur peut obtenir des informations sur les paramètres qui commencent par `prod-*` et les utiliser.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**Important**
Si un utilisateur a accès à un chemin, il peut accéder à tous les niveaux de ce chemin. Par exemple, si un utilisateur a l'autorisation d'accéder à un chemin `/a`, il peut également accéder à `/a/b`. Même si un utilisateur s'est vu refuser explicitement l'accès au paramètre `/a/b` dans IAM, il peut toujours appeler l'opération d'API `GetParametersByPath` de manière récursive pour `/a` et afficher `/a/b`.
Pour les administrateurs de confiance, vous pouvez fournir un accès complet à toutes les opérations d'API des paramètres Systems Manager en utilisant une politique similaire à l'exemple suivant. Cette politique accorde à l'utilisateur un accès complet à tous les paramètres de production qui commencent par `dbserver-prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameterHistory",
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/dbserver-prod-*"
},
{
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
```
------
## Refuser des autorisations
Chaque API est unique et dispose d'opérations et d'autorisations distinctes que vous pouvez autoriser ou refuser individuellement. Un refus explicite dans n'importe quelle politique remplace l'autorisation.
**Note**
La clé par défaut AWS Key Management Service (AWS KMS) `Decrypt` autorise tous les principaux IAM au sein de. Compte AWS Si vous voulez disposer de différents niveaux d'accès aux paramètres `SecureString` dans votre compte, n'utilisez pas la clé par défaut.
Si vous voulez que toutes les opérations d'API qui récupèrent des valeurs de paramètres aient un comportement identique, vous pouvez utiliser un modèle tel que `GetParameter*` dans une politique. L'exemple suivant montre comment refuser `GetParameter`, `GetParameters`, `GetParameterHistory` et `GetParametersByPath` pour tous les paramètres commençant par `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:GetParameter*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
L'exemple suivant montre comment refuser certaines commandes, tout en permettant à l'utilisateur d'en exécuter d'autres sur tous les paramètres commençant par `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:DeleteParameters",
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:GetParameterHistory"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**Note**
L'historique des paramètres inclut toutes les versions de paramètres, y compris la version actuelle. Par conséquent, si un utilisateur se voit refuser l'autorisation pour `GetParameter`, `GetParameters` et `GetParameterByPath`, mais qu'il obtient l'autorisation pour `GetParameterHistory`, il peut voir le paramètre actuel, y compris les paramètres `SecureString`, en utilisant `GetParameterHistory`.
## Autoriser uniquement l'exécution de paramètres spécifiques sur des nœuds
Vous pouvez contrôler l'accès afin que les nœuds gérés puissent uniquement exécuter les paramètres que vous spécifiez.
Si vous choisissez le type de `SecureString` paramètre lorsque vous créez votre paramètre, Systems Manager l'utilise AWS KMS pour chiffrer la valeur du paramètre. AWS KMS chiffre la valeur à l'aide d'une clé gérée par le client Clé gérée par AWS ou d'une clé gérée par le client. Pour plus d'informations sur AWS KMS et AWS KMS key, consultez le *[Guide du AWS Key Management Service développeur](https://docs.aws.amazon.com/kms/latest/developerguide/)*.
Vous pouvez les consulter Clé gérée par AWS en exécutant la commande suivante à partir du AWS CLI.
```
aws kms describe-key --key-id alias/aws/ssm
```
L'exemple suivant permet aux nœuds d'obtenir une valeur de paramètre seulement pour les paramètres commençant par `prod-`. Si le paramètre est un paramètre `SecureString`, le nœud déchiffre alors la chaîne en utilisant la AWS KMS.
**Note**
Les politiques d'instances, comme dans l'exemple précédent, sont attribuées au rôle de l'instance dans IAM. Pour plus d'informations sur la configuration de l'accès aux fonctions Systems Manager, y compris la façon d'attribuer des politiques aux utilisateurs et aux instances, consultez [Gestion des instances EC2 avec Systems Manager](systems-manager-setting-up-ec2.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/4914ec06-e888-4ea5-a371-5b88eEXAMPLE"
]
}
]
}
```
------
## Autorisations IAM pour l'utilisation des clés AWS par défaut et des clés gérées par le client
Parameter Store`SecureString`les paramètres sont chiffrés et déchiffrés à l'aide de clés. AWS KMS Vous pouvez choisir de chiffrer vos `SecureString` paramètres à l'aide d'une clé KMS AWS KMS key ou de la clé KMS par défaut fournie par AWS.
Lorsque vous utilisez une clé gérée par le client, la politique IAM qui accorde à un utilisateur l'accès à un paramètre ou à un chemin d'accès doit fournir des autorisations `kms:Encrypt` explicites pour la clé. Par exemple, la politique suivante permet à un utilisateur de créer, de mettre à jour et d'afficher des `SecureString` paramètres commençant `prod-` par le Région AWS et spécifié Compte AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:GetParameter",
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE"
]
}
]
}
```
------
**Note**
L’autorisation `kms:GenerateDataKey` est requise pour créer des paramètres avancés chiffrés à l’aide de la clé gérée par le client spécifiée.
En revanche, tous les utilisateurs du compte client ont accès à la clé par défaut gérée par AWS . Si vous utilisez cette clé par défaut pour chiffrer des paramètres `SecureString` et que vous ne souhaitez pas que les utilisateurs utilisent des paramètres `SecureString`, leurs politiques IAM doivent explicitement refuser l'accès à la clé par défaut, comme illustré dans l'exemple de politique suivant.
**Note**
Vous pouvez localiser l'Amazon Resource Name (ARN) de la clé par défaut dans la console AWS KMS sur la page [Clés gérées par AWS](https://console.aws.amazon.com/kms/home#/kms/defaultKeys). La clé par défaut est identifiée par `aws/ssm` dans la colonne **Alias**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE"
]
}
]
}
```
------
Si vous avez besoin d'un contrôle d'accès précis sur les paramètres `SecureString` de votre compte, vous devez utiliser une clé gérée par le client pour protéger et restreindre l'accès à ces paramètres. Nous vous recommandons également de l'utiliser AWS CloudTrail pour surveiller l'activité des `SecureString` paramètres.
Pour plus d’informations, consultez les rubriques suivantes :
+ [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *Guide de l'utilisateur IAM*
+ [Utilisation de politiques de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *
+ [Afficher les événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*
# Gestion des niveaux de paramètres
Parameter Storeinclut des *paramètres standard* et *des paramètres avancés*. Vous configurez individuellement les paramètres afin qu'ils utilisent le niveau paramètre standard (niveau par défaut) ou le niveau paramètre avancé.
Vous pouvez à tout moment remplacer un paramètre standard par un paramètre avancé. Vous *ne pouvez pas* remplacer un paramètre avancé par un paramètre standard pour les raisons suivantes :
+ Si vous revenez en arrière, le système tronquerait la taille du paramètre de 8 Ko à 4 Ko, ce qui entraînerait une perte de données.
+ L'annulation supprimerait les politiques associées au paramètre.
+ Le fait de revenir en arrière modifierait le chiffrement des paramètres.
Pour plus d'informations sur le chiffrement utilisé parParameter Store, consultez la section [Comment les AWS Systems ManagerParameter Store utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) dans le *Guide du AWS Key Management Service développeur*.
**Note**
Si vous n'avez plus besoin d'un paramètre avancé ou si vous ne souhaitez plus payer de frais supplémentaires pour un paramètre avancé, vous devez le supprimer et le recréer en tant que nouveau paramètre standard.
## Paramètres standard et avancés
Le tableau suivant décrit les différences entre les niveaux.
****
| | Standard | Advanced (Avancé) |
| --- | --- | --- |
| Nombre total de paramètres autorisés (par Compte AWS et Région AWS) | 10 000 | 100 000 |
| Taille maximale d'une valeur de paramètre. | 4 Ko | 8 Ko |
| Politiques de paramètre disponibles | Non | Oui Pour de plus amples informations, veuillez consulter [Affectation de politiques de paramètres dans Parameter Store](parameter-store-policies.md). |
| Cost | Pas de frais supplémentaires | Des frais supplémentaires seront facturés Pour plus d’informations, consultez [Tarification d’AWS Systems Manager pour Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store). |
**Topics**
+ [Paramètres standard et avancés](#parameter-store-advanced-parameters-table)
+ [Spécification d'un niveau de paramètre par défaut](ps-default-tier.md)
+ [Remplacement d'un paramètre standard par un paramètre avancé](parameter-store-advanced-parameters-enabling.md)
# Spécification d'un niveau de paramètre par défaut
Lorsque vous créez ou mettez à jour un paramètre à l'aide de cette `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)` opération, vous pouvez spécifier le niveau du paramètre. Voici un AWS CLI exemple.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "default-ami" \
--type "String" \
--value "t2.micro" \
--tier "Standard"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "default-ami" ^
--type "String" ^
--value "t2.micro" ^
--tier "Standard"
```
------
Lorsque vous spécifiez un niveau dans une demande de création ou de mise à jour, Parameter Store utilise ce niveau. Si aucun niveau n'est spécifié, le paramètre de niveau par défaut détermine le niveau utilisé.
Par défaut, Parameter Store utilise le niveau de paramètres standard. Si vous activez le niveau de paramètres avancés, vous pouvez définir l'un des paramètres suivants par défaut :
+ **Avancé** : Tous les paramètres sont créés comme avancés.
+ **Hiérarchisation intelligente** : Parameter Store évalue chaque demande et sélectionne le niveau approprié.
Avec Intelligent-Tiering, Parameter Store crée un paramètre dans le niveau standard, sauf si la demande inclut des options nécessitant le niveau avancé. Si des fonctionnalités avancées sont demandées, le paramètre est créé comme avancé.
## À propos du niveau de paramètres par défaut
Par défaut, lorsque vous créez un nouveau paramètre, Parameter Store attribuez-le au niveau Standard. Les paramètres standard sont disponibles gratuitement, mais des restrictions relatives à la taille et aux fonctionnalités s'appliquent, comme décrit dans[Paramètres standard et avancés](parameter-store-advanced-parameters.md#parameter-store-advanced-parameters-table). Si vos cas d'utilisation ne prennent pas en charge les paramètres standard, vous pouvez définir le niveau avancé par défaut. Le niveau avancé propose des limites plus élevées et des fonctionnalités supplémentaires, moyennant un coût. Pour plus d’informations, consultez [Tarification d’AWS Systems Manager pour Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store).
Pour optimiser l'efficacité et réduire les coûts, vous pouvez définir la hiérarchisation intelligente par défaut. Cette fonctionnalité détermine s'il faut utiliser le niveau Standard ou Avancé en fonction du contenu de la demande. Par exemple, si vous exécutez une commande pour créer un paramètre répondant à tous les critères d'un paramètre standard, Intelligent-Tiering crée le paramètre dans le niveau Standard. Si vous exécutez une commande pour créer un paramètre dont un ou plusieurs critères ne répondent pas aux exigences du niveau Standard, Intelligent-Tiering crée le paramètre dans le niveau Avancé.
La hiérarchisation intelligente offre les avantages suivants :
**Contrôle des coûts** - La fonction Intelligent-Tiering permet de contrôler les coûts liés aux paramètres en créant toujours des paramètres standard, sauf si un paramètre avancé est absolument nécessaire.
**Mise à niveau automatique vers le niveau paramètre avancé** - Lorsque vous apportez à votre code une modification nécessitant la mise à niveau d'un paramètre standard vers un paramètre avancé, la fonction Intelligent-Tiering gère la conversion pour vous. Vous n'avez pas besoin de modifier votre code pour gérer la mise à niveau.
Voici quelques exemples de mise à niveau automatique :
+ Vos AWS CloudFormation modèles fournissent de nombreux paramètres lorsqu'ils sont exécutés. Lorsque ce processus vous amène à atteindre le quota de 10 000 paramètres dans le niveau de paramètres standard, Intelligent-Tiering vous fait automatiquement passer au niveau de paramètres avancés et vos processus ne sont pas interrompus. CloudFormation
+ Vous stockez une valeur de certificat dans un paramètre, effectuez une rotation régulière de la valeur de certificat et le contenu est inférieur au quota de 4 Ko du niveau paramètre standard. Si une valeur de certificat de remplacement dépasse 4 Ko, la fonction Intelligent-Tiering met automatiquement à niveau le paramètre vers le niveau paramètre avancé.
+ Vous souhaitez associer de nombreux paramètres standard existants à une politique de paramètre, ce qui nécessite le niveau paramètre avancé. Au lieu d'inclure l'`--tier Advanced`option de mise à jour des paramètres dans les appels, Intelligent-Tiering met automatiquement à niveau les paramètres vers le niveau avancé.
La hiérarchisation intelligente met à niveau les paramètres du standard au niveau avancé chaque fois que des critères de paramètres avancés sont introduits.
**Note**
Vous pouvez modifier les paramètres de niveau Parameter Store par défaut à tout moment.
# Configuration des autorisations de spécification d'un niveau Parameter Store par défaut
Vérifiez que vous êtes autorisé dans Gestion des identités et des accès AWS (IAM) à modifier le niveau des paramètres par défaut en Parameter Store effectuant l'une des opérations suivantes :
+ Veillez à bien attacher la politique `AdministratorAccess` à votre entité IAM (qui peut être un utilisateur, un groupe ou un rôle).
+ Assurez-vous que vous avez l'autorisation de modifier le paramètre de niveau par défaut à l'aide des opérations d'API suivantes :
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)
Accordez les autorisations suivantes à l'entité IAM pour permettre aux utilisateurs d'afficher et de modifier le paramètre de niveau par défaut pour la configuration d'une Région AWS spécifique dans un Compte AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/parameter-store/default-parameter-tier"
}
]
}
```
------
Les administrateurs peuvent spécifier une autorisation en lecture seule en affectant les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "*"
}
]
}
```
------
Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Spécifier ou modifier le niveau par défaut Parameter Store à l’aide de la console
La procédure suivante montre comment utiliser la console Systems Manager pour spécifier ou modifier le niveau de paramètres par défaut pour le Compte AWS et actuel Région AWS.
**Astuce**
Si vous n'avez pas encore créé de paramètre, vous pouvez utiliser le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell pour modifier le niveau de paramètre par défaut. Pour plus d'informations, consultez [Spécifier ou modifier le niveau Parameter Store par défaut à l'aide du AWS CLI](parameter-store-tier-changing-cli.md) et [Spécification ou modification du niveau Parameter Store par défaut (PowerShell)](parameter-store-tier-changing-ps.md).
**Pour spécifier ou modifier le niveau Parameter Store par défaut**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez l’onglet **Paramètres**.
1. Choisissez **Gérer les paramètres**.
1. Dans la section **Parameter default tier (niveau par défaut**), choisissez une option. Pour de plus amples informations sur ces options, consultez [Spécification d'un niveau de paramètre par défaut](ps-default-tier.md).
1. Si vous y êtes invité, sélectionnez l'option permettant d'approuver les modifications et d'autoriser les frais. Choisissez **Save settings (Enregistrer les paramètres)**.
Si vous souhaitez modifier le paramètre de niveau par défaut ultérieurement, répétez cette procédure et spécifiez une autre option de niveau par défaut.
# Spécifier ou modifier le niveau Parameter Store par défaut à l'aide du AWS CLI
La procédure suivante montre comment utiliser le AWS CLI pour modifier le paramètre de niveau par défaut pour le paramètre actuel Compte AWS et Région AWS.
**Pour spécifier ou modifier le niveau Parameter Store par défaut à l'aide du AWS CLI**
1. Ouvrez le AWS CLI et exécutez la commande suivante pour modifier le paramètre de niveau par défaut pour un paramètre spécifique Région AWS dans un Compte AWS.
```
aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier --setting-value tier-option
```
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
*tier-option*les valeurs incluent `Standard``Advanced`, et`Intelligent-Tiering`. Pour de plus amples informations sur ces options, consultez [Spécification d'un niveau de paramètre par défaut](ps-default-tier.md).
Il n’y a pas de sortie si la commande réussit.
1. Exécutez la commande suivante pour afficher les paramètres de service actuels du niveau des paramètres par défaut pour Parameter Store les versions actuelles Compte AWS et Région AWS.
```
aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier
```
Le système renvoie des informations similaires à ce qui suit :
```
{
"ServiceSetting": {
"SettingId": "/ssm/parameter-store/default-parameter-tier",
"SettingValue": "Advanced",
"LastModifiedDate": 1556551683.923,
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier",
"Status": "Customized"
}
}
```
Si vous souhaitez modifier à nouveau le paramètre de niveau par défaut, répétez cette procédure et spécifiez une autre option `SettingValue`.
# Spécification ou modification du niveau Parameter Store par défaut (PowerShell)
La procédure suivante explique comment utiliser les Outils pour Windows PowerShell afin de modifier le paramètre par défaut défini pour un élément spécifique Région AWS d'un compte Amazon Web Services.
**Pour spécifier ou modifier le niveau Parameter Store par défaut à l'aide de PowerShell**
1. Modifiez le niveau Parameter Store par défaut dans le niveau actuel Compte AWS et Région AWS en utilisant le Outils AWS pour PowerShell (Outils pour PowerShell).
```
Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -SettingValue "tier-option" -Region region
```
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
*tier-option*les valeurs incluent `Standard``Advanced`, et`Intelligent-Tiering`. Pour de plus amples informations sur ces options, consultez [Spécification d'un niveau de paramètre par défaut](ps-default-tier.md).
Il n’y a pas de sortie si la commande réussit.
1. Exécutez la commande suivante pour afficher les paramètres de service actuels du niveau des paramètres par défaut pour Parameter Store les versions actuelles Compte AWS et Région AWS.
```
Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -Region region
```
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
Le système renvoie des informations similaires à ce qui suit :
```
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier
LastModifiedDate : 4/29/2019 3:35:44 PM
LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper
SettingId : /ssm/parameter-store/default-parameter-tier
SettingValue : Advanced
Status : Customized
```
Si vous souhaitez modifier à nouveau le paramètre de niveau par défaut, répétez cette procédure et spécifiez une autre option `SettingValue`.
# Remplacement d'un paramètre standard par un paramètre avancé
Utilisez la procédure suivante pour remplacer un paramètre standard existant par un paramètre avancé. Pour de plus amples informations sur la création d'un nouveau paramètre avancé, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).
**Pour remplacer un paramètre standard par un paramètre avancé**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez un paramètre, puis sélectionnez **Edit (Modifier)**.
1. Pour **Description**, entrez les informations concernant ce paramètre.
1. Choisir **Advanced** (Avancé).
1. Pour **Value (Valeur)**, saisissez la valeur de ce paramètre. La valeur maximale des paramètres avancés est de 8 Ko.
1. Sélectionnez **Enregistrer les modifications**.
# Modification du Parameter Store débit
Le débit du Parameter Store définit le nombre de transactions d'API par seconde (TPS) que Systems Manager peut traiter [GetParameter[GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html), ainsi que le nombre d'appels d'[PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)API pour votre région Compte AWS et votre région. Par défaut, Parameter Store est configuré avec un quota de débit standard adapté aux charges de travail à volume faible à modéré. Les applications qui récupèrent rarement les données de configuration ou fonctionnent à plus petite échelle peuvent généralement utiliser ce paramètre par défaut sans frais supplémentaires.
Pour les charges de travail plus volumineuses, vous pouvez augmenter le débit, ce qui augmente le nombre maximum de transactions prises en charge par seconde pour votre compte et votre région, moyennant un coût. L'augmentation du débit vous permet d'exploiter Parameter Store à des volumes plus élevés afin de prendre en charge des applications et des charges de travail nécessitant des accès simultanés à plusieurs paramètres. Si vous rencontrez des `ThrottlingException: Rate exceeded` erreurs, nous vous recommandons d'activer un débit plus élevé.
Le débit fonctionne indépendamment des niveaux de paramètres, mais les deux sont souvent utilisés ensemble pour répondre aux exigences de performance et d'échelle :
Les paramètres standard (niveau par défaut) sont conçus pour la plupart des charges de travail. Ils prennent en charge jusqu'à 10 000 paramètres par région, avec des valeurs allant jusqu'à 4 Ko, et n'entraînent aucun coût de stockage supplémentaire. Les paramètres avancés prennent en charge des valeurs plus importantes (jusqu'à 8 Ko), un nombre de paramètres plus élevé (jusqu'à 100 000) et des fonctionnalités supplémentaires telles que les politiques de paramètres. Ces fonctionnalités sont assorties de frais supplémentaires.
Alors que les niveaux de paramètres contrôlent les limites de stockage et la disponibilité des fonctionnalités, les paramètres de débit contrôlent le volume des demandes. Par exemple, vous pouvez utiliser des paramètres standard avec un débit par défaut pour des applications simples, ou combiner des paramètres avancés avec un débit plus élevé pour prendre en charge des modèles d'accès haute fréquence à grande échelle. En général, l'augmentation du débit est nécessaire lorsque votre application dépasse les limites TPS par défaut (par exemple, lors de rafales de lectures ou d'écritures simultanées), quel que soit le niveau de paramètres que vous utilisez.
Vous pouvez activer ou désactiver l'augmentation du débit à tout moment depuis la page Parameter Store **Paramètres** ou en utilisant le AWS CLI.
Pour plus d'informations sur le débit maximal et les autres Parameter Store quotas, consultez la section [AWS Systems Manager Points de terminaison et](https://docs.aws.amazon.com//general/latest/gr/ssm.html#limits_ssm) quotas.
**Important**
L'augmentation du quota de débit entraîne des frais pour votre. Compte AWS Pour plus d’informations, consultez [Tarification d’AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
**Topics**
+ [Augmenter le débit à l'aide de la console](#parameter-store-throughput-increasing)
+ [Augmenter le débit à l'aide du AWS CLI](#parameter-store-throughput-increasing-cli)
+ [Accroissement du débit (PowerShell)](#parameter-store-throughput-increasing-ps)
## Augmenter le débit à l'aide de la console
La procédure suivante décrit comment utiliser la console Systems Manager pour augmenter le nombre de transactions par seconde Parameter Store pouvant être traitées pour le Compte AWS et actuel Région AWS.
**Pour augmenter le Parameter Store débit à l'aide de la console**
**Astuce**
Si vous n'avez pas encore créé de paramètre, vous pouvez utiliser le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell pour augmenter le débit. Pour plus d’informations, consultez [Augmenter le débit à l'aide du AWS CLI](#parameter-store-throughput-increasing-cli) et [Accroissement du débit (PowerShell)](#parameter-store-throughput-increasing-ps).
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez l’onglet **Paramètres**.
1. Choisissez l'option **Gérer les paramètres**.
1. Dans la section **Débit des paramètres**, choisissez une option.
1. Si vous y êtes invité, sélectionnez l'option permettant d'approuver les modifications et d'autoriser les frais. Choisissez **Save settings (Enregistrer les paramètres)**.
## Augmenter le débit à l'aide du AWS CLI
La procédure suivante montre comment utiliser le AWS CLI pour augmenter le nombre de transactions par seconde Parameter Store pouvant être traitées pour le Compte AWS et actuel Région AWS.
**Pour augmenter le Parameter Store débit à l'aide du AWS CLI**
1. Ouvrez le AWS CLI et exécutez la commande suivante pour augmenter le nombre de transactions par seconde Parameter Store pouvant être traitées dans le Compte AWS et actuel Région AWS.
```
aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled --setting-value true
```
Il n’y a pas de sortie si la commande réussit.
1. Exécutez la commande suivante pour afficher les paramètres actuels du service de débit pour Parameter Store les versions actuelles Compte AWS et Région AWS.
```
aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled
```
Le système renvoie des informations similaires à ce qui suit :
```
{
"ServiceSetting": {
"SettingId": "/ssm/parameter-store/high-throughput-enabled",
"SettingValue": "true",
"LastModifiedDate": 1556551683.923,
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled",
"Status": "Customized"
}
}
```
## Accroissement du débit (PowerShell)
La procédure suivante montre comment utiliser les Outils pour Windows PowerShell afin d'augmenter le nombre de transactions par seconde Parameter Store pouvant être traitées pour le Compte AWS et actuel Région AWS.
**Pour augmenter le Parameter Store débit en utilisant PowerShell**
1. Augmentez le Parameter Store débit dans le courant Compte AWS et Région AWS en utilisant les Outils AWS pour PowerShell (Outils pour PowerShell).
```
Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -SettingValue "true" -Region region
```
Il n’y a pas de sortie si la commande réussit.
1. Exécutez la commande suivante pour afficher les paramètres actuels du service de débit pour Parameter Store les versions actuelles Compte AWS et Région AWS.
```
Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -Region region
```
Le système renvoie des informations similaires à ce qui suit :
```
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled
LastModifiedDate : 4/29/2019 3:35:44 PM
LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper
SettingId : /ssm/parameter-store/high-throughput-enabled
SettingValue : true
Status : Customized
```
# Configuration de notifications ou d’actions de déclenchement basées sur des événements Parameter Store
Les rubriques de cette section expliquent comment utiliser Amazon EventBridge et Amazon Simple Notification Service (Amazon SNS) pour vous informer des modifications apportées aux paramètres. AWS Systems Manager Vous pouvez créer une EventBridge règle pour vous avertir lorsqu'un paramètre ou une version d'étiquette de paramètre est créé, mis à jour ou supprimé. Les événements sont générés dans la mesure du possible. Vous pouvez être informé des changements ou du statut lié aux politiques de paramètre, par exemple lorsqu'un paramètre expire, va expirer ou n'a pas changé pendant un laps de temps spécifié.
**Note**
Les politiques de paramètre sont disponibles pour les paramètres qui utilisent le niveau de paramètres avancés. Des frais supplémentaires seront facturés. Pour plus d’informations, consultez [Affectation de politiques de paramètres dans Parameter Store](parameter-store-policies.md) et [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
Les rubriques de cette section expliquent également comment lancer d'autres actions sur une cible pour des événements de paramètres spécifiques. Par exemple, vous pouvez exécuter une AWS Lambda fonction pour recréer automatiquement un paramètre lorsqu'il expire ou est supprimé. Vous pouvez configurer une notification pour invoquer une fonction Lambda lorsque le mot de passe de votre base de données est mis à jour. La fonction Lambda peut forcer les connexions de votre base de données à réinitialiser ou à vous reconnecter avec le nouveau mot de passe. EventBridge prend également en charge l'exécution de Run Command commandes et les exécutions automatisées, ainsi que les actions dans de nombreux autres domaines Services AWS. Run Commandet l'automatisation sont tous deux des outils AWS Systems Manager. Pour plus d'informations, consultez le *[guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
**Avant de commencer**
Créez toutes les ressources dont vous avez besoin pour spécifier l'action cible pour la règle que vous créez. Par exemple, si la règle que vous créez concerne l'envoi d'une notification, créez d'abord une rubrique Amazon SNS. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.htmlGettingStarted.html) dans le *Guide du développeur Amazon Simple Notification Service*.
## Configuration des EventBridge règles pour les paramètres et des politiques de paramètres
Cette rubrique explique les sections suivantes :
+ Comment créer une EventBridge règle qui invoque une cible en fonction d'événements survenus dans un ou plusieurs paramètres de votre Compte AWS.
+ Comment créer des EventBridge règles qui invoquent des cibles en fonction d'événements liés à une ou plusieurs politiques de paramètres de votre Compte AWS. Lorsque vous créez un paramètre, vous spécifiez le moment où un paramètre expire, le moment où recevoir une notification avant qu'un paramètre n'expire, ainsi que le délai d'attente avant l'envoi d'une notification indiquant qu'un paramètre n'a pas changé. Procédez comme suit pour configurer la notification pour ces événements. Pour plus d’informations, consultez [Affectation de politiques de paramètres dans Parameter Store](parameter-store-policies.md) et [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
**Pour configurer une EventBridge règle pour un paramètre ou une politique de paramètres de Systems Manager**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le volet de navigation, sélectionnez **Rules (Règles)**, puis **Create rule (Créer une règle)**.
-ou-
Si la page d' EventBridge accueil s'ouvre en premier, choisissez **Créer une règle**.
1. Saisissez un nom et une description pour la règle.
Une règle ne peut pas avoir le même nom qu'une autre règle de la même région et sur le même bus d'événement.
1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle s'applique à des événements correspondants provenant de vos propres événements Compte AWS, sélectionnez **par défaut**. Lorsqu'un événement Service AWS de votre compte est émis, il est toujours redirigé vers le bus d'événements par défaut de votre compte.
1. Pour **Rule type** (Type de règle), ne désactivez pas la valeur par défaut **Rule with an event pattern** (Règle avec un modèle d'événement).
1. Choisissez **Suivant**.
1. Pour **Source d'événement**, laissez les **AWS événements par défaut ou les événements EventBridge partenaires** sélectionnés. Vous pouvez ignorer la section **Sample event** (Exemple d'événement).
1. Pour **Event pattern** (Modèle d’événement), procédez comme suit :
+ Choisissez **Custom pattern (JSON editor)** (Modèle personnalisé [éditeur JSON]).
+ Pour **Event pattern** (Modèle d'événement), collez l'un des contenus suivants dans la zone, selon que vous créez une règle pour un paramètre ou une politique de paramètres :
------
#### [ Parameter ]
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Change"
],
"detail": {
"name": [
"parameter-1-name",
"/parameter-2-name/level-2",
"/parameter-3-name/level-2/level-3"
],
"operation": [
"Create",
"Update",
"Delete",
"LabelParameterVersion"
]
}
}
```
------
#### [ Parameter policy ]
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Policy Action"
],
"detail": {
"parameter-name": [
"parameter-1-name",
"/parameter-2-name/level-2",
"/parameter-3-name/level-2/level-3"
],
"policy-type": [
"Expiration",
"ExpirationNotification",
"NoChangeNotification"
]
}
}
```
------
+ Modifiez le contenu pour les paramètres et les opérations sur lesquels vous voulez agir, comme le montrent les exemples suivants.
------
#### [ Parameter ]
Avec cet exemple, une action est entreprise lorsque l'un des paramètres nommés /`Oncall` ou `/Project/Teamlead` est mis à jour :
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Change"
],
"detail": {
"name": [
"/Oncall",
"/Project/Teamlead"
],
"operation": [
"Update"
]
}
}
```
------
#### [ Parameter policy ]
Avec cet exemple, une action est entreprise chaque fois que le paramètre nommé /`OncallDuties` arrive à expiration et est supprimé :
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Policy Action"
],
"detail": {
"parameter-name": [
"/OncallDuties"
],
"policy-type": [
"Expiration"
]
}
}
```
------
1. Choisissez **Suivant**.
1. Pour **Target 1** (Cible 1), sélectionnez un type de cible et une ressource prise en charge. Par exemple, si vous sélectionnez **SNS topic (Rubrique SNS)**, sélectionnez une valeur pour **Topic (Rubrique)**. Si vous le souhaitez **CodePipeline**, entrez un ARN de pipeline pour l'**ARN de pipeline**. Fournissez des valeurs de configuration supplémentaires au besoin.
**Astuce**
Choisissez **Add another target** (Ajouter une autre cible) si vous avez besoin de cibles supplémentaires pour la règle.
1. Choisissez **Suivant**.
1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les [ EventBridgebalises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
1. Choisissez **Suivant**.
1. Choisissez **Créer une règle**.
**Plus d'informations**
+ [Utiliser les étiquettes de paramètre pour faciliter la mise à jour de la configuration entre les environnements](https://aws.amazon.com/blogs/mt/use-parameter-labels-for-easy-configuration-update-across-environments/)
+ [Tutoriel : EventBridge à utiliser pour relayer des événements AWS Systems ManagerRun Command](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ec2-run-command.html) dans le *guide de EventBridge l'utilisateur Amazon*
+ [Tutoriel : définissez AWS Systems Manager l'automatisation comme EventBridge objectif](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ssm-automation-as-target.html) dans le *guide de EventBridge l'utilisateur Amazon*
# Utilisation de l’option Parameter Store
Cette section décrit comment organiser et créer des paramètres de balises, et créer différentes versions de paramètres.
Vous pouvez utiliser la console AWS Systems Manager, les kits SDK AWS Command Line Interface (AWS CLI), Outils AWS pour PowerShell et AWS pour créer et utiliser des paramètres. Pour en savoir plus sur les paramètres, consultez [Qu'est-ce qu'un paramètre ?](systems-manager-parameter-store.md#what-is-a-parameter).
**Topics**
+ [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md)
+ [Recherche de paramètres Parameter Store dans Systems Manager](parameter-search.md)
+ [Affectation de politiques de paramètres dans Parameter Store](parameter-store-policies.md)
+ [Utilisation des hiérarchies de paramètres dans Parameter Store](sysman-paramstore-hierarchies.md)
+ [Empêcher l’accès aux opérations d’API Parameter Store](parameter-store-policy-conditions.md)
+ [Utilisation d’étiquettes de paramètre dans Parameter Store](sysman-paramstore-labels.md)
+ [Utilisation des versions de paramètre dans Parameter Store](sysman-paramstore-versions.md)
+ [Utilisation de paramètres partagés dans Parameter Store](parameter-store-shared-parameters.md)
+ [Utilisation des paramètres dans Parameter Store à l’aide de commandes Run Command](sysman-param-runcommand.md)
+ [Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs](parameter-store-ec2-aliases.md)
+ [Suppression de paramètres de Parameter Store](deleting-parameters.md)
# Création de paramètres Parameter Store dans Systems Manager
Utilisez les informations des rubriques suivantes pour créer les paramètres de Systems Manager à l'aide de la AWS Systems Manager console, de AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell (Tools for Windows PowerShell).
Cette section explique comment créer, stocker et exécuter des paramètres avec Parameter Store dans un environnement de test. Il montre également comment l'utiliser Parameter Store avec d'autres outils de Systems Manager dans Services AWS. Pour de plus amples informations, consultez [Qu'est-ce qu'un paramètre ?](systems-manager-parameter-store.md#what-is-a-parameter).
## Comprendre les exigences et contraintes relatives aux noms de paramètres
Utilisez les informations indiquées dans cette rubrique pour vous aider à spécifier les valeurs valides des noms de paramètre lorsque vous créez un paramètre.
Ces informations complètent les informations détaillées dans la rubrique [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)de la *référence de l'AWS Systems Manager API*, qui fournit également des informations sur les valeurs **AllowedPattern**, la **description **KeyId****, le **remplacement,** le **type** et **la valeur**.
Les exigences et contraintes relatives aux noms de paramètre sont les suivantes :
+ **Sensibilité à la casse** : les noms de paramètre sont sensibles à la casse.
+ **Espaces** : les noms de paramètre ne peuvent pas comporter d'espaces.
+ **Caractères valides** : les noms de paramètre ne peuvent inclure que les lettres et symboles suivants : `a-zA-Z0-9_.-`
De plus, le caractère oblique (/) est utilisé pour délimiter les hiérarchies de noms de paramètres. Par exemple : `/Dev/Production/East/Project-ABC/MyParameter`
+ **Valid AMI format (Format d'AMI valide)** : lorsque vous sélectionnez `aws:ec2:image` comme type de données pour un paramètre `String`, l'ID que vous saisissez doit être valide pour le format d'ID d'AMI `ami-12345abcdeEXAMPLE`.
+ **Fully qualified (Complètement qualifié)** : lorsque vous créez ou référencez un paramètre dans une hiérarchie, vous devez inclure une barre oblique (/). Lorsque vous référencez un paramètre faisant partie d'une hiérarchie, vous devez spécifier le chemin de hiérarchie entier, y compris la barre oblique initiale (/).
+ Noms de paramètres complets : `MyParameter1`, `/MyParameter2`, `/Dev/Production/East/Project-ABC/MyParameter`
+ Nom du paramètre non complet : `MyParameter3/L1`
+ **Longueur** : la longueur maximale pour le nom du paramètre que vous spécifiez est de 1011 caractères. Ce décompte de 1011 caractères inclut les caractères de l’ARN qui précèdent le nom que vous spécifiez, comme les 45 caractères dans `arn:aws:ssm:us-east-2:111122223333:parameter/`.
+ **Préfixes** : le préfixe « `aws` » ou « `ssm` » (non sensible à la casse) n'est pas autorisé pour un nom de paramètre. Par exemple, les tentatives de création de paramètres portant les noms suivants échouent avec une exception :
+ `awsTestParameter`
+ `SSM-testparameter`
+ `/aws/testparam1`
**Note**
Lorsque vous spécifiez un paramètre dans un document, une commande ou un script SSM, incluez `ssm` dans la syntaxe. Par exemple, \$1\$1ssm :*parameter-name*\$1\$1 et \$1\$1ssm :*parameter-name*\$1\$1, tels que`{{ssm:MyParameter}}`, et `{{ ssm:MyParameter }}.`
+ **Uniqueness (Unicité)** : un nom de paramètre doit être unique dans une Région AWS. Par exemple, Systems Manager traite les paramètres suivants comme des paramètres distincts, s'ils existent dans la même région :
+ `/Test/TestParam1`
+ `/TestParam1`
Les exemples suivants sont également uniques :
+ `/Test/TestParam1/Logpath1`
+ `/Test/TestParam1`
Cependant, les exemples suivants, s'ils se trouvent dans la même région, ne sont pas uniques :
+ `/TestParam1`
+ `TestParam1`
+ **Profondeur de hiérarchie**: si vous spécifiez une hiérarchie de paramètres, la hiérarchie peut avoir une profondeur maximale de quinze niveaux. Vous pouvez définir un paramètre à n'importe quel niveau de la hiérarchie. Les deux exemples suivants sont valides du point de vue de la structure :
+ `/Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/parameter-name`
+ `parameter-name`
La tentative de création du paramètre suivant échouerait avec une exception `HierarchyLevelLimitExceededException` :
+ `/Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/L15/L16/parameter-name`
**Important**
Si un utilisateur a accès à un chemin, il peut accéder à tous les niveaux de ce chemin. Par exemple, si un utilisateur a l'autorisation d'accéder à un chemin `/a`, il peut également accéder à `/a/b`. Même si un utilisateur s'est vu explicitement refuser l'accès à Gestion des identités et des accès AWS (IAM) pour un paramètre`/a/b`, il peut toujours appeler l'opération d'[GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)API de manière récursive pour `/a` et afficher. `/a/b`
**Topics**
+ [Comprendre les exigences et contraintes relatives aux noms de paramètres](#sysman-parameter-name-constraints)
+ [Création d’un paramètre Parameter Store à l’aide de la console](parameter-create-console.md)
+ [Création d'un Parameter Store paramètre à l'aide du AWS CLI](param-create-cli.md)
+ [Création d'un Parameter Store paramètre à l'aide des outils pour Windows PowerShell](param-create-ps.md)
# Création d’un paramètre Parameter Store à l’aide de la console
Vous pouvez utiliser la AWS Systems Manager console pour créer et exécuter `String` `StringList` des types de `SecureString` paramètres. Après avoir supprimé un paramètre, attendez au moins 30 secondes avant de créer un paramètre avec le même nom.
**Note**
Les paramètres ne sont disponibles que Région AWS là où ils ont été créés.
La procédure suivante vous guide à travers le processus de création d'un paramètre à l'aide de la console Parameter Store. Vous pouvez créer des types de paramètres `String`, `StringList` et `SecureString` à partir de la console.
**Pour créer un paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez **Create parameter**.
1. Dans la zone **Name (Nom)**, entrez une hiérarchie et un nom. Par exemple, saisissez **/Test/helloWorld**.
Pour plus d'informations sur les hiérarchies de paramètres, consultez [Utilisation des hiérarchies de paramètres dans Parameter Store](sysman-paramstore-hierarchies.md).
1. Dans la zone **Description**, entrez une description qui identifie ce paramètre comme paramètre de test.
1. Pour **Parameter tier (Niveau du paramètre)**, sélectionnez **Standard** ou **Advanced (Avancé)**. Pour de plus amples informations sur les paramètres avancés, veuillez consulter [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
1. Pour **Type**, choisissez **String **StringList****, ou **SecureString**.
+ Si vous sélectionnez **String (Chaîne)**, le champ **Data type (Type de données)** apparaît. Si vous créez un paramètre pour contenir l'ID de ressource d'une Amazon Machine Image (AMI), sélectionnez `aws:ec2:image`. Sinon, laissez la valeur par défaut `text` sélectionnée.
+ Si vous le souhaitez **SecureString,** le champ **KMS Key ID** s'affiche. Si vous ne fournissez pas d' AWS Key Management Service AWS KMS key ID, d' AWS KMS key Amazon Resource Name (ARN), de nom d'alias ou d'alias ARN, le système utilise`alias/aws/ssm`, à savoir le nom Clé gérée par AWS de Systems Manager. Si vous ne souhaitez pas utiliser cette clé, vous pouvez utiliser une clé gérée par le client. Pour de plus amples informations sur Clés gérées par AWS et les clés gérées par le client, reportez-vous à la section [Concepts AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans le *Guide du développeur AWS Key Management Service *. Pour plus d'informations sur le AWS KMS chiffrement Parameter Store et le chiffrement, consultez la section [Comment AWS Systems ManagerParameter Store les utiliser AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html).
**Important**
Parameter Store prend uniquement en charge des [clés KMS à chiffrement symétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé KMS à chiffrement asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) pour chiffrer vos paramètres. Pour savoir si une clés KMS est symétrique ou asymétrique, consultez [Identification de clés symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) dans le *Guide du développeur AWS Key Management Service *.
+ Lorsque vous créez un paramètre `SecureString` dans la console à l'aide du paramètre `key-id` avec un nom d'alias de clé gérée par le client ou un ARN d'alias, vous devez spécifier le préfixe `alias/` avant l'alias. Voici un exemple d'ARN.
```
arn:aws:kms:us-east-2:123456789012:alias/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE
```
Voici un exemple de nom d'alias.
```
alias/MyAliasName
```
1. Dans la zone **Valeur**, entrez une valeur. Par exemple, saisissez **This is my first parameter** ou **ami-0dbf5ea29aEXAMPLE**.
**Note**
Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure `{{}}` ou `{{ssm:parameter-name}}` dans une valeur de paramètre.
Si vous le souhaitez **SecureString**, la valeur du paramètre est masquée par défaut (« \$1\$1\$1\$1\$1\$1 ») lorsque vous la visualiserez ultérieurement dans l'onglet **Vue d'ensemble** des paramètres, comme indiqué dans l'illustration suivante. Sélectionnez **Show (Montrer)** pour afficher la valeur du paramètre.
![\[La valeur d'un SecureString paramètre est masquée avec l'option d'affichage de la valeur.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/ps-overview-show-secstring.png)
1. (Facultatif) Dans la zone **Tags (Balises)**, appliquez une ou plusieurs paires clé/valeur de balise au paramètre.
Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser un paramètre Systems Manager pour identifier le type de ressource à laquelle il s'applique, l'environnement ou le type de données de configuration référencé par le paramètre. Dans ce cas, vous pouvez spécifier les paires clé/valeur suivantes :
+ `Key=Resource,Value=S3bucket`
+ `Key=OS,Value=Windows`
+ `Key=ParameterType,Value=LicenseKey`
1. Sélectionnez **Create parameter**.
1. Dans la liste des paramètres, sélectionnez le nom du paramètre que vous venez de créer. Vérifiez les détails dans l'onglet **Overview (Présentation)**. Si vous avez créé un paramètre `SecureString`, sélectionnez **Afficher** pour voir la valeur non chiffrée.
**Note**
Vous ne pouvez pas remplacer un paramètre avancé par un paramètre standard. Si vous n'avez plus besoin d'un paramètre avancé ou si vous ne souhaitez plus payer de frais supplémentaires pour un paramètre avancé, vous devez le supprimer et le recréer en tant que nouveau paramètre standard.
**Note**
Vous ne pouvez pas modifier le type d'un paramètre existant (par exemple, de `String` à`SecureString`) à l'aide de la console. Pour modifier le type d'un paramètre, vous devez utiliser le AWS CLI ou s avec l'`--overwrite`option. Pour de plus amples informations, veuillez consulter [Création d'un Parameter Store paramètre à l'aide du AWS CLI](param-create-cli.md).
# Création d'un Parameter Store paramètre à l'aide du AWS CLI
Vous pouvez utiliser le AWS Command Line Interface (AWS CLI) pour créer des types `String``StringList`, et de `SecureString` paramètres. Après avoir supprimé un paramètre, attendez au moins 30 secondes avant de créer un paramètre avec le même nom.
Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure `{{}}` ou `{{ssm:parameter-name}}` dans une valeur de paramètre.
**Note**
Les paramètres ne sont disponibles que Région AWS là où ils ont été créés.
**Topics**
+ [Création d'un `String` paramètre à l'aide du AWS CLI](#param-create-cli-string)
+ [Création d'un StringList paramètre à l'aide du AWS CLI](#param-create-cli-stringlist)
+ [Création d'un SecureString paramètre à l'aide du AWS CLI](#param-create-cli-securestring)
+ [Création d'un paramètre multiligne à l'aide du AWS CLI](#param-create-cli-multiline)
## Création d'un `String` paramètre à l'aide du AWS CLI
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour créer un paramètre de type `String`. Remplacez chaque *example resource placeholder* par vos propres informations.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "parameter-value" \
--type String \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "parameter-value" ^
--type String ^
--tags "Key=tag-key,Value=tag-value"
```
------
-ou-
Exécutez la commande suivante pour créer un paramètre qui contient un ID d'Amazon Machine Image (AMI) comme valeur de paramètre.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "an-AMI-id" \
--type String \
--data-type "aws:ec2:image" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "an-AMI-id" ^
--type String ^
--data-type "aws:ec2:image" ^
--tags "Key=tag-key,Value=tag-value"
```
------
L'option `--name` prend en charge les hiérarchies. Pour plus d'informations sur les hiérarchies, consultez [Utilisation des hiérarchies de paramètres dans Parameter Store](sysman-paramstore-hierarchies.md).
L'option `--data-type` doit être spécifiée uniquement si vous créez un paramètre contenant un ID d'AMI. Cela valide le fait que la valeur de paramètre saisie est un ID d'AMI Amazon Elastic Compute Cloud (Amazon EC2) correctement formaté. Pour tous les autres paramètres, le type de données par défaut est `text` et la spécification d'une valeur n'est pas obligatoire. Pour de plus amples informations, veuillez consulter [Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs](parameter-store-ec2-aliases.md).
**Important**
En cas de réussite, la commande renvoie le numéro de version du paramètre. **Exception** : si vous avez spécifié `aws:ec2:image` comme type de données, un nouveau numéro de version dans la réponse ne signifie pas que la valeur du paramètre a déjà été validée. Pour de plus amples informations, veuillez consulter [Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs](parameter-store-ec2-aliases.md).
Dans l'exemple suivant, on ajoute deux balises de paires clé-valeur à un paramètre.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name parameter-name \
--value "parameter-value" \
--type "String" \
--tags '[{"Key":"Region","Value":"East"},{"Key":"Environment", "Value":"Production"}]'
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name parameter-name ^
--value "parameter-value" ^
--type "String" ^
--tags [{\"Key\":\"Region1\",\"Value\":\"East1\"},{\"Key\":\"Environment1\",\"Value\":\"Production1\"}]
```
------
L'exemple suivant utilise une hiérarchie de noms de paramètres pour créer un paramètre `String` en texte clair. Cela renvoie le numéro de version du paramètre. Pour plus d'informations sur les hiérarchies de paramètres, consultez [Utilisation des hiérarchies de paramètres dans Parameter Store](sysman-paramstore-hierarchies.md).
------
#### [ Linux & macOS ]
**Paramètre non présent dans une hiérarchie**
```
aws ssm put-parameter \
--name "golden-ami" \
--type "String" \
--value "ami-12345abcdeEXAMPLE"
```
**Paramètre présent dans une hiérarchie**
```
aws ssm put-parameter \
--name "/amis/linux/golden-ami" \
--type "String" \
--value "ami-12345abcdeEXAMPLE"
```
------
#### [ Windows ]
**Paramètre non présent dans une hiérarchie**
```
aws ssm put-parameter ^
--name "golden-ami" ^
--type "String" ^
--value "ami-12345abcdeEXAMPLE"
```
**Paramètre présent dans une hiérarchie**
```
aws ssm put-parameter ^
--name "/amis/windows/golden-ami" ^
--type "String" ^
--value "ami-12345abcdeEXAMPLE"
```
------
1. Exécutez la commande suivante pour afficher la dernière valeur de paramètre et vérifier les détails de votre nouveau paramètre.
```
aws ssm get-parameters --names "/Test/IAD/helloWorld"
```
Le système retourne des informations telles que les suivantes.
```
{
"InvalidParameters": [],
"Parameters": [
{
"Name": "/Test/IAD/helloWorld",
"Type": "String",
"Value": "My updated parameter value",
"Version": 2,
"LastModifiedDate": "2020-02-25T15:55:33.677000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Test/IAD/helloWorld"
}
]
}
```
Exécutez la commande suivante pour modifier la valeur du paramètre. Cela renvoie le numéro de version du paramètre.
```
aws ssm put-parameter --name "/Test/IAD/helloWorld" --value "My updated 1st parameter" --type String --overwrite
```
Exécutez la commande suivante pour afficher l'historique des valeurs du paramètre.
```
aws ssm get-parameter-history --name "/Test/IAD/helloWorld"
```
Exécutez la commande suivante pour utiliser ce paramètre dans une commande.
```
aws ssm send-command --document-name "AWS-RunShellScript" --parameters '{"commands":["echo {{ssm:/Test/IAD/helloWorld}}"]}' --targets "Key=instanceids,Values=instance-ids"
```
Exécutez la commande suivante uniquement pour récupérer la valeur de paramètre.
```
aws ssm get-parameter --name testDataTypeParameter --query "Parameter.Value"
```
Exécutez la commande suivante uniquement pour récupérer la valeur de paramètre avec `get-parameters`.
```
aws ssm get-parameters --names "testDataTypeParameter" --query "Parameters[*].Value"
```
Exécutez la commande suivante pour afficher les métadonnées du paramètre.
```
aws ssm describe-parameters --filters "Key=Name,Values=/Test/IAD/helloWorld"
```
**Note**
*Nom* doit être en majuscule.
Le système retourne des informations telles que les suivantes.
```
{
"Parameters": [
{
"Name": "helloworld",
"Type": "String",
"LastModifiedUser": "arn:aws:iam::123456789012:user/JohnDoe",
"LastModifiedDate": 1494529763.156,
"Version": 1,
"Tier": "Standard",
"Policies": []
}
]
}
```
## Création d'un StringList paramètre à l'aide du AWS CLI
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour créer un paramètre. Remplacez chaque *example resource placeholder* par vos propres informations.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-comma-separated-list-of-values" \
--type StringList \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-comma-separated-list-of-values" ^
--type StringList ^
--tags "Key=tag-key,Value=tag-value"
```
------
**Note**
En cas de réussite, la commande renvoie le numéro de version du paramètre.
Cet exemple ajoute deux balises de paires clé-valeur à un paramètre. (En fonction du type de système d'exploitation de votre ordinateur local, exécutez l'une des commandes suivantes pour télécharger et exécuter un script à partir de la version Windows inclut les caractères d'échappement [« \$1 »] dont vous avez besoin pour exécuter la commande à partir de votre outil de ligne de commande.)
Voici un exemple de `StringList` qui utilise une hiérarchie de paramètres.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name /IAD/ERP/Oracle/addUsers \
--value "Milana,Mariana,Mark,Miguel" \
--type StringList
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name /IAD/ERP/Oracle/addUsers ^
--value "Milana,Mariana,Mark,Miguel" ^
--type StringList
```
------
**Note**
Les éléments d'un `StringList` doivent être séparés par une virgule (,). Vous ne pouvez pas utiliser d'autres caractères de ponctuation ou spéciaux pour introduire des articles dans la liste. Si vous avez une valeur de paramètre qui nécessite une virgule, alors utilisez le type `String`.
1. Exécutez la commande `get-parameters` pour vérifier les détails du paramètre. Par exemple :
```
aws ssm get-parameters --name "/IAD/ERP/Oracle/addUsers"
```
## Création d'un SecureString paramètre à l'aide du AWS CLI
Utilisez la procédure suivante pour créer un paramètre `SecureString`. Remplacez chaque *example resource placeholder* par vos propres informations.
**Important**
Seule la *valeur* d'un paramètre `SecureString` est chiffrée. Les noms de paramètres, les descriptions et d'autres propriétés ne sont pas chiffrés.
**Important**
Parameter Store prend uniquement en charge des [clés KMS à chiffrement symétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé KMS à chiffrement asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) pour chiffrer vos paramètres. Pour savoir si une clés KMS est symétrique ou asymétrique, consultez [Identification de clés symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) dans le *Guide du développeur AWS Key Management Service *.
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez **l'une** des commandes suivantes pour créer un paramètre utilisant le type de données `SecureString`.
------
#### [ Linux & macOS ]
**Création d'un `SecureString` paramètre en utilisant la valeur par défaut Clé gérée par AWS **
```
aws ssm put-parameter \
--name "parameter-name" \
--value "parameter-value" \
--type "SecureString"
```
**Créer un paramètre `SecureString` utilisant une clé gérée par le client**
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-parameter-value, for example P@ssW%rd#1" \
--type "SecureString"
--tags "Key=tag-key,Value=tag-value"
```
**Création d'un `SecureString` paramètre utilisant une AWS KMS clé personnalisée**
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-parameter-value, for example P@ssW%rd#1" \
--type "SecureString" \
--key-id "your-account-ID/the-custom-AWS KMS-key" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
**Création d'un `SecureString` paramètre en utilisant la valeur par défaut Clé gérée par AWS**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "parameter-value" ^
--type "SecureString"
```
**Créer un paramètre `SecureString` utilisant une clé gérée par le client**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-parameter-value, for example P@ssW%rd#1" ^
--type "SecureString" ^
--tags "Key=tag-key,Value=tag-value"
```
**Création d'un `SecureString` paramètre utilisant une AWS KMS clé personnalisée**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-parameter-value, for example P@ssW%rd#1" ^
--type "SecureString" ^
--key-id " ^
--tags "Key=tag-key,Value=tag-value"account-ID/the-custom-AWS KMS-key"
```
------
Si vous créez un paramètre `SecureString` à l'aide de la clé Clé gérée par AWS dans votre compte et votre région, il *n'est pas* nécessaire de fournir une valeur pour le paramètre `--key-id`.
**Note**
Pour utiliser le paramètre AWS KMS key attribué à votre Compte AWS et Région AWS, supprimez le `key-id` paramètre de la commande. Pour plus d'informations sur la configuration d'une règle dans AWS KMS keys, consultez les [Concepts AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) dans le *Guide du développeur AWS Key Management Service *.
Pour utiliser une clé gérée par le client au lieu de Clé gérée par AWS celle attribuée à votre compte, spécifiez la clé à l'aide du `--key-id` paramètre. Le paramètre prend en charge les formats de paramètre KMS suivants.
+ Exemple d'Amazon Resource Name (ARN) de clé :
`arn:aws:kms:us-east-2:123456789012:key/key-id`
+ Exemple d'ARN de l'alias:
`arn:aws:kms:us-east-2:123456789012:alias/alias-name`
+ Exemple d'ID de clé :
`12345678-1234-1234-1234-123456789012`
+ Exemple de nom d'alias :
`alias/MyAliasName`
Vous pouvez créer une clé gérée par le client à l'aide de l'API AWS Management Console ou de l' AWS KMS API. Les AWS CLI commandes suivantes créent une clé gérée par le client dans le courant Région AWS de votre Compte AWS.
```
aws kms [create-key](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
```
Utilisez une commande au format suivant pour créer un paramètre `SecureString` à l'aide de la clé que vous venez de créer.
L'exemple suivant utilise un nom brouillé (`3l3vat3131`) comme paramètre de mot de passe et une AWS KMS key.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name /Finance/Payroll/3l3vat3131 \
--value "P@sSwW)rd" \
--type SecureString \
--key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name /Finance/Payroll/3l3vat3131 ^
--value "P@sSwW)rd" ^
--type SecureString ^
--key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e
```
------
1. Exécutez la commande suivante pour vérifier les détails du paramètre.
Si vous ne spécifiez le paramètre `with-decryption`, ou si vous spécifiez le paramètre `no-with-decryption`, la commande renvoie un GUID chiffré.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--name "the-parameter-name-you-specified" \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--name "the-parameter-name-you-specified" ^
--with-decryption
```
------
1. Exécutez la commande suivante pour afficher les métadonnées du paramètre.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--filters "Key=Name,Values=the-name-that-you-specified"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--filters "Key=Name,Values=the-name-that-you-specified"
```
------
1. Exécutez la commande suivante pour modifier la valeur du paramètre si vous **n'utilisez pas** de AWS KMS key gérée par le client.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--overwrite
```
------
-ou-
Exécutez l'une des commandes suivantes pour modifier la valeur du paramètre si vous **utilisez** une AWS KMS key gérée par le client.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--key-id "the-KMSkey-ID" \
--overwrite
```
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--key-id "account-alias/the-KMSkey-ID" \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--key-id "the-KMSkey-ID" ^
--overwrite
```
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--key-id "account-alias/the-KMSkey-ID" ^
--overwrite
```
------
1. Exécutez la commande suivante pour afficher la dernière valeur du paramètre.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--name "the-name-that-you-specified" \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--name "the-name-that-you-specified" ^
--with-decryption
```
------
1. Exécutez la commande suivante pour afficher l'historique des valeurs du paramètre.
------
#### [ Linux & macOS ]
```
aws ssm get-parameter-history \
--name "the-name-that-you-specified"
```
------
#### [ Windows ]
```
aws ssm get-parameter-history ^
--name "the-name-that-you-specified"
```
------
**Note**
Vous pouvez créer manuellement un paramètre avec une valeur chiffrée. Dans ce cas, dans la mesure où la valeur est déjà chiffrée, vous n'avez pas à choisir le type de paramètre `SecureString`. Si vous sélectionnez `SecureString`, votre paramètre sera doublement chiffré.
Par défaut, toutes les valeurs `SecureString` sont affichées sous forme de texte chiffré. Pour déchiffrer une `SecureString` valeur, un utilisateur doit être autorisé à appeler l'opération de l'API AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Pour obtenir des informations sur la configuration du contrôle d'accès pour une AWS KMS , consultez [Authentification et contrôle d'accès pour une AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Manuel du développeur AWS Key Management Service *.
**Important**
Si vous modifiez l'alias de clé KMS pour la clé KMS utilisée pour chiffrer un paramètre, vous devez alors également mettre à jour l'alias de clé utilisé par le paramètre pour référencer la AWS KMS. Cela s'applique uniquement à l'alias de clé KMS. L'ID de clé auquel un alias s'attache ne change pas, sauf si vous supprimez la clé entière.
## Création d'un paramètre multiligne à l'aide du AWS CLI
Vous pouvez utiliser le AWS CLI pour créer un paramètre avec des sauts de ligne. Utilisez des sauts de ligne pour diviser le texte en valeurs de paramètres plus longues afin d'améliorer la lisibilité ou, par exemple, mettre à jour le contenu de paramètres multi-paragraphes d'une page Web. Vous pouvez inclure le contenu dans un fichier JSON et utiliser l'option `--cli-input-json` en utilisant des caractères de saut de ligne tels que `\n`, comme illustré dans l'exemple suivant.
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour créer un paramètre multiligne.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "MultiLineParameter" \
--type String \
--cli-input-json file://MultiLineParameter.json
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "MultiLineParameter" ^
--type String ^
--cli-input-json file://MultiLineParameter.json
```
------
L'exemple suivant affiche le contenu d'un fichier `MultiLineParameter.json`.
```
{
"Value": "Paragraph One\nParagraph Two\nParagraph Three"
}
```
La valeur de paramètre enregistrée est stockée de la façon suivante.
```
Paragraph One
Paragraph Two
Paragraph Three
```
# Création d'un Parameter Store paramètre à l'aide des outils pour Windows PowerShell
Vous pouvez l'utiliser AWS Tools for Windows PowerShell pour créer `String``StringList`, et des types de `SecureString` paramètres. Après avoir supprimé un paramètre, attendez au moins 30 secondes avant de créer un paramètre avec le même nom.
Les paramètres ne peuvent pas être référencés ou imbriqués dans les valeurs d'autres paramètres. Vous ne pouvez pas inclure `{{}}` ou `{{ssm:parameter-name}}` dans une valeur de paramètre.
**Note**
Les paramètres ne sont disponibles que Région AWS là où ils ont été créés.
**Topics**
+ [Création d'un paramètre de chaîne (Outils pour Windows PowerShell)](#param-create-ps-string)
+ [Création d'un StringList paramètre (Outils pour Windows PowerShell)](#param-create-ps-stringlist)
+ [Création d'un SecureString paramètre (Outils pour Windows PowerShell)](#param-create-ps-securestring)
## Création d'un paramètre de chaîne (Outils pour Windows PowerShell)
1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.
Pour plus d'informations, consultez [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Exécutez la commande suivante pour créer un paramètre contenant une valeur de texte brut. Remplacez chaque *example resource placeholder* par vos propres informations.
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "parameter-value" `
-Type "String"
```
-ou-
Exécutez la commande suivante pour créer un paramètre qui contient un ID d'Amazon Machine Image (AMI) comme valeur de paramètre.
**Note**
Pour créer un paramètre avec une balise, créez au préalable la service.model.tag en tant que variable. Voici un exemple.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "an-AMI-id" `
-Type "String" `
-DataType "aws:ec2:image" `
-Tags $tag
```
L'option `-DataType` doit être spécifiée uniquement si vous créez un paramètre contenant un ID d'AMI. Pour tous les autres paramètres, le type de données par défaut est `text`. Pour de plus amples informations, veuillez consulter [Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs](parameter-store-ec2-aliases.md).
Voici un exemple qui utilise une hiérarchie de paramètres.
```
Write-SSMParameter `
-Name "/IAD/Web/SQL/IPaddress" `
-Value "99.99.99.999" `
-Type "String" `
-Tags $tag
```
1. Exécutez la commande suivante pour vérifier les détails du paramètre.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified").Parameters
```
## Création d'un StringList paramètre (Outils pour Windows PowerShell)
1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.
Pour plus d'informations, consultez [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Exécutez la commande suivante pour créer un StringList paramètre. Remplacez chaque *example resource placeholder* par vos propres informations.
**Note**
Pour créer un paramètre avec une balise, créez au préalable la service.model.tag en tant que variable. Voici un exemple.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "a-comma-separated-list-of-values" `
-Type "StringList" `
-Tags $tag
```
En cas de réussite, la commande renvoie le numéro de version du paramètre.
Voici un exemple.
```
Write-SSMParameter `
-Name "stringlist-parameter" `
-Value "Milana,Mariana,Mark,Miguel" `
-Type "StringList" `
-Tags $tag
```
**Note**
Les éléments d'un `StringList` doivent être séparés par une virgule (,). Vous ne pouvez pas utiliser d'autres caractères de ponctuation ou spéciaux pour introduire des articles dans la liste. Si vous avez une valeur de paramètre qui nécessite une virgule, alors utilisez le type `String`.
1. Exécutez la commande suivante pour vérifier les détails du paramètre.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified").Parameters
```
## Création d'un SecureString paramètre (Outils pour Windows PowerShell)
Avant de créer un paramètre `SecureString`, lisez les exigences liées à ce type de paramètre. Pour de plus amples informations, veuillez consulter [Création d'un SecureString paramètre à l'aide du AWS CLI](param-create-cli.md#param-create-cli-securestring).
**Important**
Seule la *valeur* d'un paramètre `SecureString` est chiffrée. Les noms de paramètres, les descriptions et d'autres propriétés ne sont pas chiffrés.
**Important**
Parameter Store prend uniquement en charge des [clés KMS à chiffrement symétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé KMS à chiffrement asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) pour chiffrer vos paramètres. Pour savoir si une clés KMS est symétrique ou asymétrique, consultez [Identification de clés symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) dans le *Guide du développeur AWS Key Management Service *.
1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.
Pour plus d'informations, consultez [Installation d' Outils AWS pour PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Exécutez la commande suivante pour créer un paramètre. Remplacez chaque *example resource placeholder* par vos propres informations.
**Note**
Pour créer un paramètre avec une balise, créez d'abord la service.model.tag en tant que variable. Voici un exemple.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "parameter-value" `
-Type "SecureString" `
-KeyId "an AWS KMS key ID, an AWS KMS key ARN, an alias name, or an alias ARN" `
-Tags $tag
```
En cas de réussite, la commande renvoie le numéro de version du paramètre.
**Note**
Pour utiliser le paramètre Clé gérée par AWS attribué à votre compte, supprimez le `-KeyId` paramètre de la commande.
Voici un exemple qui utilise un nom brouillé (3l3vat3131) pour un paramètre de mot de passe et une Clé gérée par AWS.
```
Write-SSMParameter `
-Name "/Finance/Payroll/3l3vat3131" `
-Value "P@sSwW)rd" `
-Type "SecureString"`
-Tags $tag
```
1. Exécutez la commande suivante pour vérifier les détails du paramètre.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified" –WithDecryption $true).Parameters
```
Par défaut, toutes les valeurs `SecureString` sont affichées sous forme de texte chiffré. Pour déchiffrer une `SecureString` valeur, un utilisateur doit être autorisé à appeler l'opération de l'API AWS KMS [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Pour obtenir des informations sur la configuration du contrôle d'accès pour une AWS KMS , consultez [Authentification et contrôle d'accès pour une AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Manuel du développeur AWS Key Management Service *.
**Important**
Si vous modifiez l'alias de clé KMS pour la clé KMS utilisée pour chiffrer un paramètre, vous devez alors également mettre à jour l'alias de clé utilisé par le paramètre pour référencer la AWS KMS. Cela s'applique uniquement à l'alias de clé KMS. L'ID de clé auquel un alias s'attache ne change pas, sauf si vous supprimez la clé entière.
# Recherche de paramètres Parameter Store dans Systems Manager
Lorsque vous avez un grand nombre de paramètres dans votre compte, il peut être difficile de trouver des informations sur un ou plusieurs paramètres à la fois. Dans ce cas, vous pouvez utiliser des outils de filtre pour rechercher ceux sur lesquels vous avez besoin d'informations, en fonction des critères de recherche que vous spécifiez. Vous pouvez utiliser la AWS Systems Manager console, le AWS Command Line Interface (AWS CLI) Outils AWS pour PowerShell, le ou l'[DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)API pour rechercher des paramètres.
**Topics**
+ [Recherche d’un paramètre à l’aide de la console](#parameter-search-console)
+ [Recherche d'un paramètre à l'aide du AWS CLI](#parameter-search-cli)
## Recherche d’un paramètre à l’aide de la console
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Cliquez dans la zone de recherche et sélectionnez le mode de recherche. Par exemple, `Type` ou `Name`.
1. Fournissez des informations sur le type de recherche que vous avez sélectionné. Par exemple :
+ Si vous effectuez une recherche par `Type`, sélectionnez parmi `String`, `StringList` ou `SecureString`.
+ Si vous effectuez une recherche par `Name`, `contains`, sélectionnez`equals` ou `begins-with`, puis entrez tout ou partie d'un nom de paramètre.
**Note**
Dans la console, le type de recherche par défaut `Name` est `contains`.
1. Appuyez sur **Entrée**.
La liste des paramètres est mise à jour avec les résultats de votre recherche.
**Note**
Votre recherche pourrait contenir plus de résultats que ce qui est affiché sur la première page de résultats. Utilisez la flèche droite (**>**) en haut de la liste des paramètres (le cas échéant) pour afficher le prochain ensemble de résultats.
## Recherche d'un paramètre à l'aide du AWS CLI
Utilisez la commande `describe-parameters` pour afficher des informations sur un ou plusieurs paramètres dans l' AWS CLI.
Les exemples suivants illustrent les différentes options que vous pouvez utiliser pour afficher les informations relatives aux paramètres de votre Compte AWS. Pour plus d'informations sur ces options, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html) dans le *Guide de l'utilisateur AWS Command Line Interface *.
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Remplacez les exemples de valeurs dans les commandes suivantes par des valeurs reflétant les paramètres créés dans votre compte.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Values=MyParameterName"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--parameter-filters "Key=Name,Values=MyParameterName"
```
------
**Note**
Pour `describe-parameters`, le type de recherche par défaut pour `Name` est `Equals`. Dans vos filtres de paramètres, spécifier `"Key=Name,Values=MyParameterName"` est équivalent à spécifier `"Key=Name,Option=Equals,Values=MyParameterName"`.
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Option=Contains,Values=Product"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Type,Values=String"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Path,Values=/Production/West"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Tier,Values=Standard"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=tag:tag-key,Values=tag-value"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=KeyId,Values=key-id"
```
**Note**
Dans le dernier exemple, *key-id* représente l'ID d'une clé AWS Key Management Service (AWS KMS) utilisée pour chiffrer un `SecureString` paramètre créé dans votre compte. Vous pouvez également entrer **alias/aws/ssm** pour utiliser la AWS KMS clé par défaut de votre compte. Pour de plus amples informations, veuillez consulter [Création d'un SecureString paramètre à l'aide du AWS CLI](param-create-cli.md#param-create-cli-securestring).
Si elle aboutit, la commande renvoie un résultat semblable au suivant :
```
{
"Parameters": [
{
"Name": "/Production/West/Manager",
"Type": "String",
"LastModifiedDate": 1573438580.703,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
},
{
"Name": "/Production/West/TeamLead",
"Type": "String",
"LastModifiedDate": 1572363610.175,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
},
{
"Name": "/Production/West/HR",
"Type": "String",
"LastModifiedDate": 1572363680.503,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
}
]
}
```
# Affectation de politiques de paramètres dans Parameter Store
Les politiques de paramètre vous aident à gérer un ensemble croissant de paramètres en vous permettant de leur attribuer des critères spécifiques, tels que la date d'expiration ou la *durée de vie*. Les politiques de paramètre sont particulièrement utiles, car elles vous obligent à mettre à jour ou à supprimer les mots de passe et les données de configuration stockés dans Parameter Store, un des outils d’ AWS Systems Manager. Parameter Store fournit les types de politiques suivants : `Expiration`, `ExpirationNotification` et `NoChangeNotification`.
**Note**
Pour implémenter les cycles de vie de rotation des mots de passe, utilisez. AWS Secrets Manager Vous pouvez effectuer une rotation, gérer et récupérer les informations d'identification de la base de données, les clés d'API et d'autres secrets tout au long de leur cycle de vie à l'aide de Secrets Manager. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Secrets Manager ?](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
Parameter Store applique les politiques de paramètre à l'aide d'analyses asynchrones et périodiques. Une fois que vous avez créé une politique, vous n'avez pas besoin d'effectuer d'autres actions pour l'appliquer. Parameter Store exécute automatiquement l'action définie par la politique en fonction des critères que vous avez spécifiés.
**Note**
Les politiques de paramètre sont disponibles pour les paramètres qui utilisent le niveau de paramètres avancés. Pour de plus amples informations, veuillez consulter [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md).
Une politique de paramètre est une séquence JSON, comme illustré dans le tableau suivant. Vous pouvez attribuer une politique lorsque vous créez un nouveau paramètre avancé ; vous pouvez aussi appliquer une politique en mettant à jour un paramètre. Parameter Store prend en charge les types suivants de politiques de paramètre.
| Politique | Détails | Exemples |
| --- | --- | --- |
| **Expiration** | Cette politique supprime le paramètre. Vous pouvez spécifier une date et une heure spécifiques en utilisant le format `ISO_INSTANT` ou le format `ISO_OFFSET_DATE_TIME`. Pour modifier la date de suppression du paramètre, vous devez mettre à jour la politique. La mise à jour d'un *paramètre* n'affecte pas la date ou l'heure d'expiration de la politique qui lui est associée. Lorsque la date et l'heure d'expiration sont atteintes, Parameter Store supprime le paramètre. Cet exemple utilise le format `ISO_INSTANT`. Vous pouvez également spécifier une date et une heure en utilisant le format `ISO_OFFSET_DATE_TIME`. Voici un exemple : `2019-11-01T22:13:48.87+10:30:00`. | {
"Type": "Expiration",
"Version": "1.0",
"Attributes": {
"Timestamp": "2018-12-02T21:34:33.000Z"
}
} |
| **ExpirationNotification** | Cette politique déclenche un événement sur Amazon EventBridge (EventBridge) qui vous informe de l'expiration. Cette politique vous permet de recevoir des notifications avant la date d'expiration, exprimées en unités de jours ou d'heures. | {
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "15",
"Unit": "Days"
}
} |
| **NoChangeNotification** | Cette politique déclenche un événement EventBridge si un paramètre *n'a pas* été modifié pendant une période spécifiée. Ce type de politique est utile quand, par exemple, un mot de passe doit être modifié dans un délai donné. Cette politique détermine quand envoyer une notification en lisant l'attribut `LastModifiedTime` du paramètre. Si vous modifiez un paramètre, le système réinitialise la période de notification en fonction de la nouvelle valeur de `LastModifiedTime`. | {
"Type": "NoChangeNotification",
"Version": "1.0",
"Attributes": {
"After": "20",
"Unit": "Days"
}
} |
Vous pouvez attribuer plusieurs politiques à un paramètre. Par exemple, vous pouvez attribuer `Expiration` des `ExpirationNotification` politiques afin que le système déclenche un EventBridge événement pour vous informer de la suppression imminente d'un paramètre. Vous pouvez attribuer un maximum de dix (10) politiques à un paramètre.
L'exemple suivant montre la syntaxe d'une demande d'[PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)API qui attribue quatre politiques à un nouveau `SecureString` paramètre nommé`ProdDB3`.
```
{
"Name": "ProdDB3",
"Description": "Parameter with policies",
"Value": "P@ssW*rd21",
"Type": "SecureString",
"Overwrite": "True",
"Policies": [
{
"Type": "Expiration",
"Version": "1.0",
"Attributes": {
"Timestamp": "2018-12-02T21:34:33.000Z"
}
},
{
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "30",
"Unit": "Days"
}
},
{
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "15",
"Unit": "Days"
}
},
{
"Type": "NoChangeNotification",
"Version": "1.0",
"Attributes": {
"After": "20",
"Unit": "Days"
}
}
]
}
```
## Ajout de politiques à un paramètre existant
Cette section contient des informations sur la façon d'ajouter des politiques à un paramètre existant à l'aide de la AWS Systems Manager console, du AWS Command Line Interface (AWS CLI) et AWS Tools for Windows PowerShell . Pour plus d'informations sur la création d'un nouveau paramètre incluant des politiques, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).
**Topics**
+ [Ajout de politiques à un paramètre existant à l’aide de la console](#sysman-paramstore-policy-create-console)
+ [Ajouter des politiques à un paramètre existant à l'aide du AWS CLI](#sysman-paramstore-policy-create-cli)
+ [Ajouter des politiques à un paramètre existant (Outils pour Windows PowerShell)](#sysman-paramstore-policy-create-ps)
### Ajout de politiques à un paramètre existant à l’aide de la console
Utilisez la procédure suivante pour ajouter des politiques à un paramètre en utilisant la console Systems Manager.
**Pour ajouter des politiques à un paramètre existant**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez l'option en regard du paramètre que vous souhaitez mettre à jour afin d'inclure les politiques, puis sélectionnez **Edit (Modifier)**.
1. Choisir **Advanced** (Avancé).
1. (Facultatif) Dans la section **Parameter policies (Politiques de paramètre)**, sélectionnez **Enabled (Activé)**. Vous pouvez spécifier une date d'expiration et une ou plusieurs politiques de notification pour ce paramètre.
1. Sélectionnez **Enregistrer les modifications**.
**Important**
Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en utilisant des crochets et des accolades, comme suit : `[{}]`
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.
### Ajouter des politiques à un paramètre existant à l'aide du AWS CLI
Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide de l' AWS CLI.
**Pour ajouter des politiques à un paramètre existant**
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque *example resource placeholder* par vos propres informations.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter
--name "parameter name" \
--value 'parameter value' \
--type parameter type \
--overwrite \
--policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
```
------
#### [ Windows ]
```
aws ssm put-parameter
--name "parameter name" ^
--value 'parameter value' ^
--type parameter type ^
--overwrite ^
--policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
```
------
Voici un exemple incluant une politique d'expiration qui supprime le paramètre au bout de 15 jours. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique `NoChangeNotification` si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (`3l3vat3131`) comme paramètre de mot de passe et une AWS KMS key AWS Key Management Service . Pour plus d'informations AWS KMS keys, consultez la section [AWS Key Management Service Concepts](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) du *guide du AWS Key Management Service développeur*.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/Finance/Payroll/3l3vat3131" \
--value "P@sSwW)rd" \
--type "SecureString" \
--overwrite \
--policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/Finance/Payroll/3l3vat3131" ^
--value "P@sSwW)rd" ^
--type "SecureString" ^
--overwrite ^
--policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
```
------
1. Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez *parameter name* par vos propres informations.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Values=parameter name"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--parameter-filters "Key=Name,Values=parameter name"
```
------
**Important**
Parameter Store conserve les politiques d'un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Remplacez chaque *example resource placeholder* par vos propres informations. Par exemple :
```
aws ssm put-parameter \
--name parameter name \
--type parameter type \
--value 'parameter value' \
--policies "[{}]"
```
```
aws ssm put-parameter ^
--name parameter name ^
--type parameter type ^
--value 'parameter value' ^
--policies "[{}]"
```
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.
### Ajouter des politiques à un paramètre existant (Outils pour Windows PowerShell)
Utilisez la procédure suivante pour ajouter des politiques à un paramètre existant à l'aide des Outils pour Windows PowerShell. Remplacez chaque *example resource placeholder* par vos propres informations.
**Pour ajouter des politiques à un paramètre existant**
1. Ouvrez Outils pour Windows PowerShell et exécutez la commande suivante pour spécifier vos informations d'identification. Vous devez soit disposer des autorisations d'administrateur dans Amazon Elastic Compute Cloud (Amazon EC2), soit avoir obtenu les autorisations appropriées Gestion des identités et des accès AWS dans (IAM).
```
Set-AWSCredentials `
–AccessKey access-key-name `
–SecretKey secret-key-name
```
1. Exécutez la commande suivante pour définir la région de votre PowerShell session. L'exemple utilise la région USA Est (Ohio) (us-east-2).
```
Set-DefaultAWSRegion `
-Region us-east-2
```
1. Exécutez la commande suivante pour ajouter des politiques à un paramètre existant. Remplacez chaque *example resource placeholder* par vos propres informations.
```
Write-SSMParameter `
-Name "parameter name" `
-Value "parameter value" `
-Type "parameter type" `
-Policies "[{policies-enclosed-in-brackets-and-curly-braces}]" `
-Overwrite
```
Voici un exemple incluant une politique d'expiration qui supprime le paramètre à minuit (GMT) le 13 mai 2020. L'exemple inclut également une politique de notification qui génère un EventBridge événement cinq (5) jours avant la suppression du paramètre. Enfin, il inclut une politique `NoChangeNotification` si aucune modification n'est apportée à ce paramètre au bout de 60 jours. L'exemple utilise un nom brouillé (`3l3vat3131`) comme paramètre de mot de passe et une Clé gérée par AWS.
```
Write-SSMParameter `
-Name "/Finance/Payroll/3l3vat3131" `
-Value "P@sSwW)rd" `
-Type "SecureString" `
-Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" `
-Overwrite
```
1. Exécutez la commande suivante pour vérifier les détails du paramètre. Remplacez *parameter name* par vos propres informations.
```
(Get-SSMParameterValue -Name "parameter name").Parameters
```
**Important**
Parameter Store conserve les politiques associées à un paramètre jusqu'à ce que vous les remplaciez par de nouvelles politiques ou que vous les supprimiez.
Pour supprimer toutes les politiques d'un paramètre existant, modifiez le paramètre et appliquez une politique vide en l'entourant de crochets et d'accolades. Par exemple :
```
Write-SSMParameter `
-Name "parameter name" `
-Value "parameter value" `
-Type "parameter type" `
-Policies "[{}]"
```
Si vous ajoutez une nouvelle politique à un paramètre qui en possède déjà, Systems Manager remplace les politiques déjà associées au paramètre. Les politiques existantes sont supprimées. Si vous souhaitez ajouter une nouvelle politique à un paramètre qui en possède déjà une ou plusieurs, vous devez copier et coller les politiques d'origine, saisir la nouvelle politique, puis enregistrer vos modifications.
# Utilisation des hiérarchies de paramètres dans Parameter Store
La gestion de douzaines ou de centaines de paramètres comme une liste simple est chronophage et propice aux erreurs. Il peut également être difficile d'identifier le bon paramètre pour une tâche. Cela signifie que vous utilisez peut-être par erreur le mauvais paramètre ou que vous créez peut-être plusieurs paramètres qui utilisent les mêmes données de configuration.
Vous pouvez utiliser les hiérarchies des paramètres pour vous aider à organiser et à gérer des paramètres . Une hiérarchie est un nom de paramètre qui comporte un chemin que vous définissez en utilisant des barres obliques (/).
**Topics**
+ [Comprendre la hiérarchie des paramètres à l’aide d’exemples](#ps-hierarchy-examples)
+ [Interrogation de paramètres dans une hiérarchie](#ps-hierarchy-queries)
+ [Gestion des paramètres à l'aide de hiérarchies à l'aide du AWS CLI](#sysman-paramstore-walk-hierarchy)
## Comprendre la hiérarchie des paramètres à l’aide d’exemples
L'exemple suivant utilise trois niveaux de hiérarchie dans le nom pour identifier ce qui suit :
`/Environment/Type of computer/Application/Data`
`/Dev/DBServer/MySQL/db-string13`
Vous pouvez créer une hiérarchie avec un maximum de 15 niveaux. Nous vous suggérons de créer des hiérarchies qui reflètent une structure hiérarchique existante dans votre environnement, comme indiqué dans les exemples suivants :
+ Votre environnement [d'intégration continue](https://aws.amazon.com/devops/continuous-integration/) et de [livraison continue](https://aws.amazon.com/devops/continuous-delivery/) (flux de travail IC/LC)
`/Dev/DBServer/MySQL/db-string`
`/Staging/DBServer/MySQL/db-string`
`/Prod/DBServer/MySQL/db-string`
+ Vos applications qui utilisent des conteneurs
```
/MyApp/.NET/Libraries/my-password
```
+ L'organisation de votre entreprise
`/Finance/Accountants/UserList`
`/Finance/Analysts/UserList`
`/HR/Employees/EU/UserList`
Les hiérarchies des paramètres standardisent la façon dont vous créez les paramètres et facilitent la gestion des paramètres dans le temps. Une hiérarchie de paramètres peut aussi vous aider à identifier le bon paramètre pour une tâche de configuration. Cela vous évite de créer plusieurs paramètres avec les mêmes données de configuration.
Vous pouvez créer une hiérarchie qui vous permet de partager des paramètres entre différents environnements, comme illustré dans les exemples suivants qui utilisent des mots de passe dans l'environnement de développement et de transit.
`/DevTest/MyApp/database/my-password`
Vous pouvez ensuite créer un mot de passe unique pour votre environnement de production, comme illustré dans l'exemple suivant :
`/prod/MyApp/database/my-password`
Vous n'avez pas besoin de spécifier une hiérarchie de paramètres. Vous pouvez créer des paramètres au niveau un. Ils sont appelés paramètres *racine*. Pour assurer la compatibilité descendante, tous les paramètres créés dans Parameter Store avant la mise à disposition des hiérarchies sont des paramètres racine. Le système traite les deux paramètres suivants comme des paramètres racines.
`/parameter-name`
`parameter-name`
## Interrogation de paramètres dans une hiérarchie
Un autre avantage de l'utilisation des hiérarchies est la possibilité d'interroger tous les paramètres *inférieurs* à un certain niveau dans une hiérarchie à l'aide de l'opération [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)API. Par exemple, si vous exécutez la commande suivante depuis le AWS Command Line Interface (AWS CLI), le système renvoie tous les paramètres inférieurs au `Oncall` niveau :
```
aws ssm get-parameters-by-path --path /Dev/Web/Oncall
```
Exemple de sortie :
```
{
"Parameters": [
{
"Name": "/Dev/Web/Oncall/Week1",
"Type": "String",
"Value": "John Doe",
"Version": 1,
"LastModifiedDate": "2024-11-22T07:18:53.510000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Dev/Web/Oncall/Week1",
"DataType": "text"
},
{
"Name": "/Dev/Web/Oncall/Week2",
"Type": "String",
"Value": "Mary Major",
"Version": 1,
"LastModifiedDate": "2024-11-22T07:21:25.325000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Dev/Web/Oncall/Week2",
"DataType": "text"
}
]
}
```
Pour afficher les paramètres `SecureString` déchiffrés dans une hiérarchie, vous spécifiez le chemin et le paramètre `--with-decryption`, comme illustré dans l'exemple suivant.
```
aws ssm get-parameters-by-path --path /Prod/ERP/SAP --with-decryption
```
## Gestion des paramètres à l'aide de hiérarchies à l'aide du AWS CLI
Cette procédure vous montre comment utiliser les paramètres et les hiérarchies de paramètres à l'aide de l' AWS CLI.
**Pour gérer les paramètres en utilisant les hiérarchies**
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour créer un paramètre utilisant le paramètre `allowedPattern` et le type de paramètre `String`. Le modèle autorisé dans cet exemple indique que la valeur du paramètre doit comporter entre 1 et 4 chiffres.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/MaxConnections" \
--value 100 --allowed-pattern "\d{1,4}" \
--type String
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/MaxConnections" ^
--value 100 --allowed-pattern "\d{1,4}" ^
--type String
```
------
La commande renvoie le numéro de version du paramètre.
1. Exécutez la commande suivante pour *essayer* de remplacer la paramètre que vous venez de créer avec une nouvelle valeur.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/MaxConnections" \
--value 10,000 \
--type String \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/MaxConnections" ^
--value 10,000 ^
--type String ^
--overwrite
```
------
Le système renvoie l'erreur suivante, car la nouvelle valeur ne répond pas aux exigences du modèle autorisé que vous avez spécifié à l'étape précédente.
```
An error occurred (ParameterPatternMismatchException) when calling the PutParameter operation: Parameter value, cannot be validated against allowedPattern: \d{1,4}
```
1. Exécutez la commande suivante pour créer un paramètre `SecureString` utilisant une Clé gérée par AWS. Le modèle autorisé dans cet exemple indique que l'utilisateur peut spécifique n'importe quel caractère, et la valeur doit comporter entre 8 et 20 caractères.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/my-password" \
--value "p#sW*rd33" \
--allowed-pattern ".{8,20}" \
--type SecureString
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/my-password" ^
--value "p#sW*rd33" ^
--allowed-pattern ".{8,20}" ^
--type SecureString
```
------
1. Exécutez les commandes suivantes pour créer plus de paramètres qui utilisent la structure de hiérarchie à partir de l'étape précédente.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/DBname" \
--value "SQLDevDb" \
--type String
```
```
aws ssm put-parameter \
--name "/MyService/Test/user" \
--value "SA" \
--type String
```
```
aws ssm put-parameter \
--name "/MyService/Test/userType" \
--value "SQLuser" \
--type String
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/DBname" ^
--value "SQLDevDb" ^
--type String
```
```
aws ssm put-parameter ^
--name "/MyService/Test/user" ^
--value "SA" ^
--type String
```
```
aws ssm put-parameter ^
--name "/MyService/Test/userType" ^
--value "SQLuser" ^
--type String
```
------
1. Exécutez la commande suivante pour obtenir la valeur de deux paramètres.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names "/MyService/Test/user" "/MyService/Test/userType"
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names "/MyService/Test/user" "/MyService/Test/userType"
```
------
1. Exécutez la commande suivante pour interroger tous les paramètres sous un seul niveau.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/MyService/Test"
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/MyService/Test"
```
------
1. Exécutez la commande suivante pour supprimer deux paramètres.
------
#### [ Linux & macOS ]
```
aws ssm delete-parameters \
--names "/IADRegion/Dev/user" "/IADRegion/Dev/userType"
```
------
#### [ Windows ]
```
aws ssm delete-parameters ^
--names "/IADRegion/Dev/user" "/IADRegion/Dev/userType"
```
------
# Empêcher l’accès aux opérations d’API Parameter Store
En utilisant *[les conditions spécifiques aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)* services prises en charge par les politiques de Systems Manager for Gestion des identités et des accès AWS (IAM), vous pouvez explicitement autoriser ou refuser l'accès aux opérations et au contenu des Parameter Store API. En utilisant ces conditions, vous pouvez autoriser uniquement certaines entités IAM (utilisateurs et rôles) de votre organisation à appeler certaines actions d’API, ou empêcher certaines entités IAM de les exécuter. Cela inclut les actions exécutées via la Parameter Store console, le AWS Command Line Interface (AWS CLI) et SDKs.
Systems Manager prend actuellement en charge trois conditions spécifiques à Parameter Store.
**Topics**
+ [Empêcher la modification des paramètres existants à l’aide de `ssm:Overwrite`](#overwrite-condition)
+ [Empêcher la création ou la mise à jour de paramètres qui utilisent une politique de paramètres à l’aide de `ssm:Policies`](#parameter-policies-condition)
+ [Empêcher l’accès aux niveaux d’un paramètre hiérarchique à l’aide de `ssm:Recursive`](#recursive-condition)
## Empêcher la modification des paramètres existants à l’aide de `ssm:Overwrite`
Utilisez la condition `ssm:Overwrite` pour contrôler si les entités IAM peuvent mettre à jour les paramètres existants.
Dans l'exemple de politique suivant, la `"Allow"` déclaration autorise la création de paramètres en exécutant l'opération d'`PutParameter`API dans le Compte AWS 123456789012 dans la région USA Est (Ohio) (us-east-2).
Toutefois, l’instruction `"Deny"` empêche les entités de modifier les valeurs des paramètres *existants*, car l’option `Overwrite` est explicitement refusée pour l’opération `PutParameter`. Par conséquent, les entités auxquelles cette politique est attribuée peuvent créer des paramètres, mais pas modifier les paramètres existants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Overwrite": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
}
]
}
```
------
## Empêcher la création ou la mise à jour de paramètres qui utilisent une politique de paramètres à l’aide de `ssm:Policies`
Utilisez la condition `ssm:Policies` pour contrôler si les entités peuvent créer des paramètres incluant une politique de paramètres et mettre à jour des paramètres existants incluant une politique de paramètres.
Dans l'exemple de politique suivant, l'`"Allow"`instruction accorde l'autorisation générale de créer des paramètres, mais elle empêche les `"Deny"` entités de créer ou de mettre à jour des paramètres qui incluent une politique de paramètres dans la région Compte AWS 123456789012 dans l'est des États-Unis (Ohio) (us-east-2). Les entités peuvent toujours créer ou mettre à jour des paramètres auxquels aucune politique de paramètres n’a été attribuée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Policies": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
}
]
}
```
------
## Empêcher l’accès aux niveaux d’un paramètre hiérarchique à l’aide de `ssm:Recursive`
Utilisez la condition `ssm:Recursive` pour contrôler si les entités IAM peuvent afficher ou référencer les niveaux d’un paramètre hiérarchique. Vous pouvez autoriser ou restreindre l’accès à tous les paramètres au-delà d’un niveau spécifique d’une hiérarchie.
Dans l’exemple de politique suivant, l’instruction `"Allow"` donne accès aux opérations Parameter Store sur tous les paramètres du chemin `/Code/Departments/Finance/*` pour le Compte AWS 123456789012 dans la région USA Est (Ohio) (us-east-2).
Ensuite, l’instruction `"Deny"` empêche les entités IAM de consulter ou d’extraire des données de paramètres au niveau de `/Code/Departments/*` ou à un niveau inférieur. Toutefois, les entités peuvent toujours créer ou mettre à jour des paramètres dans ce chemin. L’exemple a été construit pour illustrer le fait que le refus récursif de l’accès en dessous d’un certain niveau dans une hiérarchie de paramètres a la priorité sur un accès plus permissif dans la même politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:GetParametersByPath"
],
"Condition": {
"StringEquals": {
"ssm:Recursive": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/Code/Departments/*"
}
]
}
```
------
**Important**
Si un utilisateur a accès à un chemin, il peut accéder à tous les niveaux de ce chemin. Par exemple, si un utilisateur a l'autorisation d'accéder à un chemin `/a`, il peut également accéder à `/a/b`. Ceci est vrai sauf si l’utilisateur s’est vu explicitement refuser l’accès dans IAM pour le paramètre `/b`, comme illustré ci-dessus.
# Utilisation d’étiquettes de paramètre dans Parameter Store
Une étiquette de paramètre est un alias défini par l'utilisateur pour vous aider à gérer les différentes versions d'un paramètre. Lorsque vous modifiez un paramètre, une nouvelle version est AWS Systems Manager automatiquement enregistrée et le numéro de version est incrémenté d'une unité. Une étiquette peut vous aider à vous souvenir de l'objectif d'une version de paramètre lorsqu'il existe plusieurs versions.
Par exemple, disons que vous avez un paramètre appelé `/MyApp/DB/ConnectionString`. La valeur de ce paramètre est une chaîne de connexion à un serveur MySQL dans une base de données locale, dans un environnement de test. Une fois que vous avez terminé la mise à jour de l'application, vous souhaitez que le paramètre utilise une chaîne de connexion pour une base de données de production. Vous modifiez la valeur de `/MyApp/DB/ConnectionString`. Systems Manager crée automatiquement la version 2 avec la nouvelle chaîne de connexion. Pour vous aider à vous souvenir de l'objectif de chaque version, vous attachez une étiquette à chaque paramètre. Pour la version 1, vous attachez l'étiquette *Test* et pour la version 2, vous attachez l'étiquette *Production*.
Vous pouvez déplacer les étiquettes d'une version d'un paramètre à une autre version. Par exemple, si vous créez la version 3 du paramètre `/MyApp/DB/ConnectionString` avec une chaîne de connexion pour une nouvelle base de données de production, vous pouvez déplacer l'étiquette *Production* de la version 2 vers la version 3 du paramètre.
Les étiquettes de paramètre sont une alternative légère aux balises de paramètre. Votre organisation peut avoir des consignes strictes concernant les balises qui doivent être appliquées aux différentes ressources AWS . En revanche, une étiquette est une simple association de texte pour une version spécifique d'un paramètre.
À l'instar des balises, vous pouvez interroger les paramètres à l'aide des étiquettes. Vous pouvez consulter une liste de versions de paramètres spécifiques qui utilisent toutes le même libellé si vous interrogez votre ensemble de paramètres à l'aide de l'opération d'[GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)API, comme décrit plus loin dans cette section.
**Note**
Si vous exécutez une commande qui spécifie une version d'un paramètre qui n'existe pas, la commande échoue. Il ne revient pas à la valeur la plus récente ou à la valeur par défaut du paramètre.
**Exigences et restrictions liées aux étiquettes**
Les étiquettes de paramètre possèdent les exigences et les restrictions suivantes :
+ Une version d'un paramètre peut avoir un maximum de 10 étiquettes.
+ Vous ne pouvez pas attacher la même étiquette à différentes versions d'un même paramètre. Par exemple, si la version 1 du paramètre a l'étiquette *Production*, vous ne pouvez pas attacher *Production* à la version 2.
+ Vous pouvez déplacer une étiquette d'une version d'un paramètre à une autre.
+ Vous ne pouvez pas créer d'étiquette lorsque vous créez un paramètre. Vous devez attacher une étiquette à une version spécifique d'un paramètre.
+ Si vous ne souhaitez plus utiliser une étiquette de paramètre, vous pouvez la déplacer vers une autre version d'un paramètre ou la supprimer.
+ Une étiquette peut comporter un maximum de 100 caractères.
+ Les étiquettes peuvent contenir des lettres (sensibles à la casse), des chiffres, des points (.), des tirets (-) et des traits de soulignement (\$1).
+ Les étiquettes ne peuvent pas commencer par un chiffre, par « aws » ni par « ssm » (non sensible à la casse). Si une étiquette ne répond pas à ces exigences, elle n'est pas attachée à la version du paramètre et le système l'affiche dans la liste `InvalidLabels`.
**Topics**
+ [Utilisation des étiquettes de paramètre à l’aide de la console](#sysman-paramstore-labels-console)
+ [Utilisation des libellés de paramètres à l'aide du AWS CLI](#sysman-paramstore-labels-cli)
## Utilisation des étiquettes de paramètre à l’aide de la console
Cette section explique comment effectuer les tâches suivantes à l'aide de la console Systems Manager.
+ [Création d’une étiquette de paramètre à l’aide de la console](#sysman-paramstore-labels-console-create)
+ [Affichage des étiquettes attachées à un paramètre à l’aide de la console](#sysman-paramstore-labels-console-view)
+ [Déplacement d’une étiquette de paramètre à l’aide de la console](#sysman-paramstore-labels-console-move)
+ [Suppression d’étiquettes de paramètres à l’aide de la console](#systems-manager-parameter-store-labels-console-delete)
### Création d’une étiquette de paramètre à l’aide de la console
La procédure suivante indique comment attacher une étiquette à une version spécifique d'un paramètre *existant* à l'aide de la console Systems Manager. Vous ne pouvez pas attacher d'étiquette lorsque vous créez un paramètre.
**Pour attacher une étiquette à la version d'un paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez le nom d'un paramètre pour ouvrir la page des détails de ce paramètre.
1. Sélectionnez l'onglet **History (Historique)**.
1. Sélectionnez la version du paramètre pour laquelle vous souhaitez attacher une étiquette.
1. Sélectionnez **Manage labels (Gérer des étiquettes)**.
1. Sélectionnez **Add new label (Ajouter une nouvelle étiquette)**.
1. Dans la zone de texte, saisissez le nom de l'étiquette. Pour ajouter d'autres étiquettes, sélectionnez **Add new label (Ajouter une nouvelle étiquette)**. Vous pouvez attacher un maximum de dix étiquettes.
1. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
### Affichage des étiquettes attachées à un paramètre à l’aide de la console
Une version de paramètre peut avoir un maximum de dix étiquettes. La procédure suivante explique comment afficher toutes les étiquettes attachées à une version de paramètre à l'aide de la console Systems Manager.
**Pour afficher les étiquettes attachées à la version d'un paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez le nom d'un paramètre pour ouvrir la page des détails de ce paramètre.
1. Sélectionnez l'onglet **History (Historique)**.
1. Localisez la version du paramètre pour laquelle vous souhaitez afficher toutes les étiquettes attachées. La colonne **Labels (Étiquettes)** indique toutes les étiquettes attachées à la version de paramètre.
### Déplacement d’une étiquette de paramètre à l’aide de la console
La procédure suivante explique comment déplacer une étiquette de paramètre vers une autre version du même paramètre à l'aide de la console Systems Manager.
**Pour déplacer une étiquette vers une autre version du paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez le nom d'un paramètre pour ouvrir la page des détails de ce paramètre.
1. Sélectionnez l'onglet **History (Historique)**.
1. Sélectionnez la version du paramètre pour laquelle vous souhaitez déplacer l'étiquette.
1. Sélectionnez **Manage labels (Gérer des étiquettes)**.
1. Sélectionnez **Add new label (Ajouter une nouvelle étiquette)**.
1. Dans la zone de texte, saisissez le nom de l'étiquette.
1. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
### Suppression d’étiquettes de paramètres à l’aide de la console
La procédure suivante décrit la suppression d'une ou plusieurs étiquettes de paramètres avec la console Systems Manager.
**Pour supprimer des étiquettes d'un paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez le nom d'un paramètre pour ouvrir la page des détails de ce paramètre.
1. Sélectionnez l'onglet **History (Historique)**.
1. Sélectionnez la version du paramètre pour laquelle vous souhaitez supprimer les étiquettes.
1. Sélectionnez **Manage labels (Gérer des étiquettes)**.
1. Sélectionnez **Remove (Supprimer)** en regard de chaque étiquette à supprimer.
1. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
1. Confirmez l'exactitude de vos modifications, saisissez `Confirm` dans la zone de texte, puis sélectionnez **Confirm (Confirmer)**.
## Utilisation des libellés de paramètres à l'aide du AWS CLI
Cette section explique comment effectuer les tâches suivantes à l'aide de l' AWS Command Line Interface (AWS CLI).
+ [Création d'une nouvelle étiquette de paramètre à l'aide du AWS CLI](#sysman-paramstore-labels-cli-create)
+ [Afficher les libellés d'un paramètre à l'aide du AWS CLI](#sysman-paramstore-labels-cli-view)
+ [Afficher la liste des paramètres auxquels une étiquette est attribuée à l'aide du AWS CLI](#sysman-paramstore-labels-cli-view-param)
+ [Déplacer une étiquette de paramètre à l'aide du AWS CLI](#sysman-paramstore-labels-cli-move)
+ [Suppression d'étiquettes de paramètres à l'aide du AWS CLI](#systems-manager-parameter-store-labels-cli-delete)
### Création d'une nouvelle étiquette de paramètre à l'aide du AWS CLI
La procédure suivante indique comment attacher une étiquette à une version spécifique d'un paramètre *existant* à l'aide de l' AWS CLI. Vous ne pouvez pas attacher d'étiquette lorsque vous créez un paramètre.
**Pour créer une étiquette de paramètre**
1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.
Pour de plus amples informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Exécutez la commande suivante pour afficher la liste des paramètres auxquels vous êtes autorisé à attacher une étiquette.
**Note**
Les paramètres ne sont disponibles que Région AWS là où ils ont été créés. Si vous ne trouvez pas le paramètre auquel vous souhaitez attacher une étiquette, vérifiez votre région.
```
aws ssm describe-parameters
```
Notez le nom d'un paramètre auquel vous souhaitez attacher une étiquette.
1. Exécutez la commande suivante pour afficher toutes les versions du paramètre.
```
aws ssm get-parameter-history --name "parameter-name"
```
Notez la version du paramètre à laquelle vous souhaitez attacher une étiquette.
1. Exécutez la commande suivante pour récupérer des informations sur un paramètre par numéro de version.
```
aws ssm get-parameters --names "parameter-name:version-number"
```
Voici un exemple.
```
aws ssm get-parameters --names "/Production/SQLConnectionString:3"
```
1. Exécutez l'une des commandes suivantes pour attacher une étiquette à une version d'un paramètre. Si vous attachez plusieurs étiquettes, séparez leurs noms par un espace.
**Attacher une étiquette à la dernière version d'un paramètre**
```
aws ssm label-parameter-version --name parameter-name --labels label-name
```
**Attacher une étiquette à une version spécifique d'un paramètre**
```
aws ssm label-parameter-version --name parameter-name --parameter-version version-number --labels label-name
```
Voici quelques exemples.
```
aws ssm label-parameter-version --name /config/endpoint --labels production east-region finance
```
```
aws ssm label-parameter-version --name /config/endpoint --parameter-version 3 --labels MySQL-test
```
**Note**
Si la sortie montre l'étiquette que vous avez créée dans la liste `InvalidLabels`, l'étiquette ne respecte pas les exigences décrites plus haut dans cette rubrique. Passez en revue les exigences et réessayez. Si la liste `InvalidLabels` est vide, votre étiquette a été correctement appliquée à la version du paramètre.
1. Vous pouvez afficher les détails du paramètre en utilisant un numéro de version ou un nom d'étiquette. Exécutez la commande suivante et spécifiez l'étiquette que vous avez créée à l'étape précédente.
```
aws ssm get-parameter --name parameter-name:label-name --with-decryption
```
La commande renvoie des informations telles que les suivantes.
```
{
"Parameter": {
"Version": version-number,
"Type": "parameter-type",
"Name": "parameter-name",
"Value": "parameter-value",
"Selector": ":label-name"
}
}
```
**Note**
*Selector* dans la sortie correspond au numéro de version ou à l'étiquette que vous avez spécifiée dans le champ de saisie `Name`.
### Afficher les libellés d'un paramètre à l'aide du AWS CLI
Vous pouvez utiliser l'opération [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html)API pour afficher l'historique complet et toutes les étiquettes associées à un paramètre spécifique. Vous pouvez également utiliser l'opération [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)API pour afficher la liste de tous les paramètres auxquels une étiquette spécifique est attribuée.
**Pour afficher les libellés d'un paramètre à l'aide de l'opération GetParameterHistory API**
1. Exécutez la commande suivante pour afficher la liste des paramètres dont vous pouvez afficher les étiquettes.
**Note**
Les paramètres sont uniquement disponibles dans la région où ils ont été créés. Si vous ne trouvez pas de paramètre pour lequel vous souhaitez déplacer une étiquette, vérifiez votre région.
```
aws ssm describe-parameters
```
Notez le nom du paramètre dont vous voulez afficher les étiquettes.
1. Exécutez la commande suivante pour afficher toutes les versions du paramètre.
```
aws ssm get-parameter-history --name parameter-name --with-decryption
```
Le système retourne des informations telles que les suivantes.
```
{
"Parameters": [
{
"Name": "/Config/endpoint",
"LastModifiedDate": 1528932105.382,
"Labels": [
"Deprecated"
],
"Value": "MyTestService-June-Release.example.com",
"Version": 1,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Type": "String"
},
{
"Name": "/Config/endpoint",
"LastModifiedDate": 1528932111.222,
"Labels": [
"Current"
],
"Value": "MyTestService-July-Release.example.com",
"Version": 2,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Type": "String"
}
]
}
```
### Afficher la liste des paramètres auxquels une étiquette est attribuée à l'aide du AWS CLI
Vous pouvez utiliser l'opération [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)API pour afficher la liste de tous les paramètres d'un chemin auxquels une étiquette spécifique a été attribuée.
Exécutez la commande suivante pour afficher la liste des paramètres dans un chemin d'accès auxquels une étiquette spécifique est attribuée. Remplacez chaque *example resource placeholder* par vos propres informations.
```
aws ssm get-parameters-by-path \
--path parameter-path \
--parameter-filters Key=Label,Values=label-name,Option=Equals \
--max-results a-number \
--with-decryption --recursive
```
Le système retourne des informations telles que les suivantes. Pour cet exemple, l'utilisateur a recherché dans le chemin d'accès `/Config`.
```
{
"Parameters": [
{
"Version": 3,
"Type": "SecureString",
"Name": "/Config/DBpwd",
"Value": "MyS@perGr&pass33"
},
{
"Version": 2,
"Type": "String",
"Name": "/Config/DBusername",
"Value": "TestUserDB"
},
{
"Version": 2,
"Type": "String",
"Name": "/Config/endpoint",
"Value": "MyTestService-July-Release.example.com"
}
]
}
```
### Déplacer une étiquette de paramètre à l'aide du AWS CLI
La procédure suivante explique comment déplacer une étiquette de paramètre vers une autre version du même paramètre.
**Pour déplacer une étiquette de paramètre**
1. Exécutez la commande suivante pour afficher toutes les versions du paramètre. Remplacez *parameter name* par vos propres informations.
```
aws ssm get-parameter-history \
--name "parameter name"
```
Notez les versions des paramètres vers lesquelles, ou à partir desquelles, vous voulez déplacer l'étiquette.
1. Exécutez la commande suivante pour affecter une étiquette existante à une autre version d'un paramètre. Remplacez chaque *example resource placeholder* par vos propres informations.
```
aws ssm label-parameter-version \
--name parameter name \
--parameter-version version number \
--labels name-of-existing-label
```
**Note**
Si vous souhaitez déplacer une étiquette existante vers la dernière version d'un paramètre, supprimez `--parameter-version` de la commande.
### Suppression d'étiquettes de paramètres à l'aide du AWS CLI
La procédure suivante décrit la suppression des étiquettes de paramètres à l'aide de la AWS CLI.
**Pour supprimer une étiquette de paramètre**
1. Exécutez la commande suivante pour afficher toutes les versions du paramètre. Remplacez *parameter name* par vos propres informations.
```
aws ssm get-parameter-history \
--name "parameter name"
```
Le système retourne des informations telles que les suivantes.
```
{
"Parameters": [
{
"Name": "foo",
"DataType": "text",
"LastModifiedDate": 1607380761.11,
"Labels": [
"l3",
"l2"
],
"Value": "test",
"Version": 1,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Policies": [],
"Tier": "Standard",
"Type": "String"
},
{
"Name": "foo",
"DataType": "text",
"LastModifiedDate": 1607380763.11,
"Labels": [
"l1"
],
"Value": "test",
"Version": 2,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Policies": [],
"Tier": "Standard",
"Type": "String"
}
]
}
```
Notez la version du paramètre pour laquelle vous souhaitez supprimer une ou plusieurs étiquettes.
1. Exécutez la commande suivante pour supprimer de ce paramètre les étiquettes que vous avez choisies. Remplacez chaque *example resource placeholder* par vos propres informations.
```
aws ssm unlabel-parameter-version \
--name parameter name \
--parameter-version version \
--labels label 1,label 2,label 3
```
Le système retourne des informations telles que les suivantes.
```
{
"InvalidLabels": ["invalid"],
"DeletedLabels" : ["Prod"]
}
```
# Utilisation des versions de paramètre dans Parameter Store
Chaque fois que vous modifiez la valeur d'un paramètreParameter Store, un outil AWS Systems Manager crée une nouvelle *version* du paramètre et conserve les versions précédentes. Lorsque vous créez un paramètre, Parameter Store lui affecte la version `1`. Lorsque vous modifiez la valeur du paramètre, Parameter Store augmente automatiquement le numéro de version d'une unité. Vous pouvez afficher les détails, y compris les valeurs, de toutes les versions de l'historique d'un paramètre.
Vous pouvez également spécifier la version d'un paramètre à utiliser dans les commandes API et les documents SSM, par exemple : `ssm:MyParameter:3`. Vous pouvez spécifier un nom et un numéro de version spécifiques pour un paramètre dans les appels d'API et les documents SSM. Si vous ne spécifiez pas de numéro de version, le système utilise automatiquement la dernière version. Si vous spécifiez le numéro d'une version qui n'existe pas, le système renvoie une erreur au lieu de revenir à la version la plus récente ou à la version par défaut du paramètre.
Vous pouvez également utiliser les versions de paramètre pour savoir le nombre de fois un paramètre a été modifié sur une période donnée. Les versions de paramètres fournissent également une couche de protection si une valeur de paramètre est accidentellement modifiée.
Vous pouvez créer et conserver jusqu'à 100 versions d'un paramètre. Lorsque 100 versions d'un paramètre ont été créées, à chaque nouvelle création d'une version, la version la plus ancienne du paramètre est supprimée de l'historique pour faire place à la nouvelle version.
Cette règle s'applique sauf lorsqu'il existe déjà 100 versions de paramètres dans l'historique et qu'une étiquette est affectée à la version la plus ancienne d'un paramètre. Dans ce cas, cette version n'est pas supprimée de l'historique et la demande de création d'une nouvelle version de paramètre échoue. Cela vise à empêcher la suppression de versions de paramètres auxquelles des étiquettes critiques ont été affectées. Pour continuer à créer de nouveaux paramètres, déplacez d'abord l'étiquette de la version la plus ancienne du paramètre vers une version plus récente pour l'utiliser dans vos opérations. Pour obtenir des informations sur le déplacement d'étiquettes de paramètres, consultez [Déplacement d’une étiquette de paramètre à l’aide de la console](sysman-paramstore-labels.md#sysman-paramstore-labels-console-move) et [Déplacer une étiquette de paramètre à l'aide du AWS CLI](sysman-paramstore-labels.md#sysman-paramstore-labels-cli-move).
Les procédures suivantes vous montrent comment modifier un paramètre, puis vérifier qu'une nouvelle version a été créée. Vous pouvez utiliser les commandes `get-parameter` et `get-parameters` pour afficher les versions de paramètres. Pour des exemples d'utilisation de ces commandes, consultez [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_Examples)et [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html#API_GetParameters_Examples)dans le Guide de *référence de l'AWS Systems Manager API*
**Topics**
+ [Création d’une nouvelle version d’un paramètre à l’aide de la console](#sysman-paramstore-version-console)
+ [Référencement d’une version de paramètre](#reference-parameter-version)
## Création d’une nouvelle version d’un paramètre à l’aide de la console
Vous pouvez utiliser la console Systems Manager pour créer une nouvelle version d'un paramètre et afficher l'historique des versions d'un paramètre.
**Pour créer une nouvelle version d'un paramètre**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez le nom d'un paramètre que vous avez créé précédemment. Pour plus d'informations sur la création d'un nouveau paramètre, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).
1. Sélectionnez **Edit** (Modifier).
1. Dans la boîte de dialogue **Value (Valeur)**, saisissez une nouvelle valeur, puis sélectionnez **Save changes (Enregistrer les modifications)**.
1. Sélectionnez le nom du paramètre que vous venez de mettre à jour. Dans l'onglet **Présentation**, vérifiez que le numéro de version a été incrémenté de 1, et vérifiez la nouvelle valeur.
1. Pour afficher l'historique de toutes les versions d'un paramètre, sélectionnez l'onglet **Historique** .
## Référencement d’une version de paramètre
Vous pouvez référencer des versions de paramètres spécifiques dans les commandes, les appels d'API et les documents SSM en utilisant le format suivant : ssm:`parameter-name:version-number`.
Dans l'exemple suivant, la `run-instances command` Amazon Elastic Compute Cloud (Amazon EC2) utilise la version 3 du paramètre `golden-ami`.
------
#### [ Linux & macOS ]
```
aws ec2 run-instances \
--image-id resolve:ssm:/golden-ami:3 \
--count 1 \
--instance-type t2.micro \
--key-name my-key-pair \
--security-groups my-security-group
```
------
#### [ Windows ]
```
aws ec2 run-instances ^
--image-id resolve:ssm:/golden-ami:3 ^
--count 1 ^
--instance-type t2.micro ^
--key-name my-key-pair ^
--security-groups my-security-group
```
------
**Note**
L'utilisation de `resolve` et d'une valeur de paramètre ne fonctionne qu'avec l'option `--image-id` et un paramètre qui contient une Amazon Machine Image (AMI) comme valeur. Pour de plus amples informations, veuillez consulter [Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs](parameter-store-ec2-aliases.md).
Voici un exemple pour spécifier la version 2 d'un paramètre nommé `MyRunCommandParameter` dans un document SSM.
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: Run a shell script or specify the commands to run.
parameters:
commands:
type: String
description: "(Required) Specify a shell script or a command to run."
displayType: textarea
default: "{{ssm:MyRunCommandParameter:2}}"
mainSteps:
- action: aws:runShellScript
name: RunScript
inputs:
runCommand:
- "{{commands}}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Run a shell script or specify the commands to run.",
"parameters": {
"commands": {
"type": "String",
"description": "(Required) Specify a shell script or a command to run.",
"displayType": "textarea",
"default": "{{ssm:MyRunCommandParameter:2}}"
}
},
"mainSteps": [
{
"action": "aws:runShellScript",
"name": "RunScript",
"inputs": {
"runCommand": [
"{{commands}}"
]
}
}
]
}
```
------
# Utilisation de paramètres partagés dans Parameter Store
Le partage des paramètres avancés simplifie la gestion des données de configuration dans un environnement multi-comptes. Vous pouvez stocker et gérer vos paramètres de manière centralisée et les partager avec d'autres personnes Comptes AWS qui ont besoin de les référencer.
Parameter Stores'intègre à AWS Resource Access Manager (AWS RAM) pour permettre un partage de paramètres avancé. AWS RAM est un service qui vous permet de partager des ressources avec d'autres personnes Comptes AWS ou par le biais de AWS Organizations.
Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, les autorisations à accorder et les consommateurs avec lesquels partager. Les consommateurs peuvent être :
+ Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations
+ Une unité organisationnelle au sein de son organisation dans AWS Organizations
+ Toute son organisation en AWS Organizations
Pour plus d'informations AWS RAM, consultez le *[guide de AWS RAM l'utilisateur](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Cette rubrique explique comment partager les paramètres que vous possédez et comment utiliser les paramètres qui sont partagés avec vous.
**Topics**
+ [Conditions préalables au partage de paramètres](#prereqs)
+ [Partage d’un paramètre](#share)
+ [Arrêter le partage d’un paramètre partagé](#unshare)
+ [Identification des paramètres partagés](#identify)
+ [Accès aux paramètres partagés](#accessing)
+ [Jeux d’autorisations pour le partage de paramètres](#sharing-permissions)
+ [Débit maximal pour les paramètres partagés](#throughput)
+ [Tarification des paramètres partagés](#pricing)
+ [Accès entre comptes pour les comptes fermés Comptes AWS](#closed-accounts)
## Conditions préalables au partage de paramètres
Les conditions suivantes doivent être remplies pour que vous puissiez partager des paramètres à partir de votre compte :
+ Pour partager un paramètre, vous devez le posséder dans votre Compte AWS. Vous ne pouvez pas partager un paramètre qui a été partagé avec vous.
+ Pour partager un paramètre, celui-ci doit se trouver dans le niveau de paramètre avancé. Pour plus d’informations sur les niveaux de paramètres, consultez [Gestion des niveaux de paramètres](parameter-store-advanced-parameters.md). Pour plus d’informations sur la transformation d’un paramètre standard existant en paramètre avancé, consultez [Remplacement d'un paramètre standard par un paramètre avancé](parameter-store-advanced-parameters-enabling.md).
+ Pour partager un `SecureString` paramètre, il doit être chiffré à l'aide d'une clé gérée par le client, et vous devez partager la clé séparément AWS Key Management Service. Clés gérées par AWS ne peut pas être partagé. Les paramètres chiffrés par défaut Clé gérée par AWS peuvent être mis à jour pour utiliser à la place une clé gérée par le client. Pour les définitions AWS KMS clés, voir [AWS KMS les concepts](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) dans le *guide du AWS Key Management Service développeur*.
+ Pour partager un paramètre avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez [Activation du partage avec AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de l’utilisateur AWS RAM *.
## Partage d’un paramètre
Pour partager un paramètre, vous devez l’ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre elles Comptes AWS. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées.
Lorsque vous partagez un paramètre que vous possédez avec d'autres utilisateurs Comptes AWS, vous pouvez choisir entre deux autorisations AWS gérées à accorder aux consommateurs. Pour de plus amples informations, veuillez consulter [Jeux d’autorisations pour le partage de paramètres](#sharing-permissions).
Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, vous pouvez autoriser les consommateurs de votre organisation à accéder au paramètre partagé depuis la AWS RAM console. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et bénéficient d’un accès au paramètre partagé après avoir accepté l’invitation.
Vous pouvez partager un paramètre qui vous appartient à l’aide de la console AWS RAM ou de l’ AWS CLI.
**Note**
Bien que vous puissiez partager un paramètre à l'aide de l'opération d'[PutResourcePolicy](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutResourcePolicy.html)API Systems Manager, nous vous recommandons d'utiliser AWS Resource Access Manager (AWS RAM) à la place. En effet, l'utilisation `PutResourcePolicy` nécessite l'étape supplémentaire consistant à promouvoir le paramètre au niveau d'un partage de ressources standard à l'aide de l'opération AWS RAM [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html)API. Dans le cas contraire, le paramètre ne sera pas renvoyé par l'opération d'[DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)API Systems Manager à l'aide de l'`--shared`option.
**Pour partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console**
Consultez [Création d’un partage de ressources dans AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) dans le *Guide de l’utilisateur AWS RAM *.
Effectuez les sélections suivantes au fur et à mesure de la procédure :
+ Dans la page Étape 1, pour **Ressources**, sélectionnez `Parameter Store Advanced Parameter`, puis cochez la case de chaque paramètre du niveau de paramètre avancé que vous voulez partager.
+ Dans la page Étape 2, pour **Autorisations gérées**, choisissez l’autorisation à accorder aux consommateurs, comme décrit dans [Jeux d’autorisations pour le partage de paramètres](#sharing-permissions) plus loin dans cette rubrique.
Choisissez d’autres options en fonction de vos objectifs de partage de paramètres.
**Pour partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI**
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) pour ajouter des paramètres à un nouveau partage de ressources.
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html) pour ajouter des paramètres à un partage de ressources existant.
L’exemple suivant crée un nouveau partage de ressources pour partager des paramètres avec les consommateurs d’une organisation et d’un compte individuel.
```
aws ram create-resource-share \
--name "MyParameter" \
--resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
--principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"
```
## Arrêter le partage d’un paramètre partagé
Lorsque vous arrêtez le partage d’un paramètre partagé, le compte du consommateur ne peut plus accéder au paramètre.
Pour arrêter de partager un paramètre que vous possédez, vous devez le supprimer du partage de ressources. Pour ce faire, vous pouvez utiliser la console Systems Manager, la console AWS RAM ou l’ AWS CLI.
**Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide de la AWS RAM console**
Consultez la section [Mettre à jour un partage de ressources dans AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) du *Guide de l’utilisateur AWS RAM *.
**Pour arrêter de partager un paramètre dont vous êtes propriétaire à l'aide du AWS CLI**
Utilisez la commande [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identification des paramètres partagés
Les propriétaires et les consommateurs peuvent identifier les paramètres partagés à l’aide de l’ AWS CLI.
**Pour identifier les paramètres partagés à l'aide du AWS CLI**
Pour identifier les paramètres partagés à l'aide de AWS CLI, vous pouvez choisir entre la `[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html)` commande Systems Manager et la AWS RAM `[list-resources](https://docs.aws.amazon.com/cli/latest/reference/ram/list-resources.html)` commande.
Lorsque vous utilisez l’option `--shared` avec `describe-parameters`, la commande renvoie les paramètres qui sont partagés avec vous.
Voici un exemple :
```
aws ssm describe-parameters --shared
```
## Accès aux paramètres partagés
Les consommateurs peuvent accéder aux paramètres partagés à l'aide des outils de ligne de AWS commande, et AWS SDKs. Pour les comptes de consommateurs, les paramètres partagés avec ce compte ne sont pas inclus dans la page **Mes paramètres**.
**Exemple de CLI : accès aux détails des paramètres partagés à l'aide du AWS CLI**
Pour accéder aux détails des paramètres partagés à l'aide de AWS CLI, vous pouvez utiliser les [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html)commandes [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html)ou. Vous devez spécifier l’ARN complet du paramètre en tant que `--name` afin de récupérer le paramètre à partir d’un autre compte.
Voici un exemple.
```
aws ssm get-parameter \
--name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
```
**Intégrations prises en charge et non prises en charge pour les paramètres partagés**
Actuellement, vous pouvez utiliser les paramètres partagés dans les scénarios d’intégration suivants :
+ AWS CloudFormation [paramètres du modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html#aws-ssm-parameter-types)
+ L’[extension Lambda AWS Parameters and Secrets](ps-integration-lambda-extensions.md)
+ [Les modèles de lancement Amazon Elastic Compute Cloud (EC2)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
+ Valeurs à utiliser `ImageID` avec la [ RunInstances commande EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html) pour créer des instances à partir d'un Amazon Machine Image () AMI
+ [Récupération des valeurs des paramètres dans les dossiers d’exploitation](https://repost.aws/knowledge-center/systems-manager-parameter-store) pour l’automatisation, un outil de Systems Manager
Les scénarios et services intégrés suivants ne prennent pas actuellement en charge l’utilisation de paramètres partagés :
+ [Paramètres dans les commandes](sysman-param-runcommand.md) dans Run Command, un outil de Systems Manager
+ AWS CloudFormation [références dynamiques](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)
+ Les [valeurs des variables d'environnement](https://docs.aws.amazon.com/codebuild/latest/userguide/build-spec-ref.html#build-spec.env.parameter-store) dans AWS CodeBuild
+ Les [valeurs des variables d'environnement](https://docs.aws.amazon.com/apprunner/latest/dg/env-variable.html) dans AWS App Runner
+ La [valeur d’un secret](https://docs.aws.amazon.com/AmazonECS/latest/userguide/secrets-envvar-ssm-paramstore.html) dans Amazon Elastic Container Service
## Jeux d’autorisations pour le partage de paramètres
Les comptes de consommateurs reçoivent un accès en lecture seule aux paramètres que vous partagez avec eux. Le consommateur ne peut pas mettre à jour ou supprimer le paramètre. Le consommateur ne peut pas partager le paramètre avec un troisième compte.
Lorsque vous créez un partage de ressources AWS Resource Access Manager pour partager vos paramètres, vous pouvez choisir parmi deux ensembles d'autorisations AWS gérées pour accorder cet accès en lecture seule :
**AWSRAMDefaultAutorisationSSMParameterReadOnly**
Actions autorisées : `DescribeParameters`, `GetParameter`, `GetParameters`
**AWSRAMPermissionSSMParameterReadOnlyWithHistory**
Actions autorisées : `DescribeParameters`, `GetParameter`, `GetParameters`, `GetParameterHistory`
Lorsque vous suivez les étapes de la section [Création d’un partage de ressources dans AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) du *Guide de l’utilisateur AWS RAM *, choisissez `Parameter Store Advanced Parameters` comme type de ressource et l’une ou l’autre de ces autorisations gérées, selon que vous voulez que les utilisateurs visualisent ou non l’historique des paramètres.
**Note**
Si vous récupérez des paramètres partagés par programmation (par exemple, en utilisant AWS Lambda), vous devrez peut-être ajouter les `ssm:PutResourcePolicy` autorisations `ssm:GetResourcePolicies` et à tous les rôles IAM appelant des actions d'API. AWS Resource Access Manager
## Débit maximal pour les paramètres partagés
Systems Manager limite le débit maximal (transactions par seconde) pour les opérations [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) et [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html). Le débit est appliqué au niveau de chaque compte. Par conséquent, chaque compte qui consomme un paramètre partagé peut utiliser son débit maximal autorisé sans être affecté par d’autres comptes. Pour plus d’informations sur le débit maximal des paramètres, consultez les rubriques suivantes :
+ [Accroissement du débit Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-throughput.html)
+ [Quotas de service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) de la *Référence générale d'Amazon Web Services*.
## Tarification des paramètres partagés
Le partage entre comptes n’est disponible que dans la catégorie des paramètres avancés. Pour les paramètres avancés, des coûts sont encourus au prix actuel pour le *stockage* et l’*utilisation de l’API* pour chaque paramètre avancé. Le compte propriétaire est facturé pour le stockage du paramètre avancé. Tout compte consommateur qui effectue un appel d’API vers un paramètre avancé partagé est facturé pour l’utilisation du paramètre.
Par exemple, si le compte A crée un paramètre avancé, `MyAdvancedParameter`, ce compte est facturé 0,05 USD par mois pour stocker le paramètre.
Le compte A partage ensuite `MyAdvancedParameter` avec le compte B et le compte C. Au cours d’un mois, les trois comptes effectuent des appels vers `MyAdvancedParameter`. Le tableau suivant illustre les frais qu’ils encourent pour le nombre d’appels effectués par chacun d’eux.
**Note**
Les tarifs indiqués dans le tableau ci-dessous sont donnés à titre d’illustration uniquement. Pour vérifier la tarification actuelle, consultez [Tarification d’AWS Systems Manager pour Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store).
| Compte | Nombre d’appels | Frais |
| --- | --- | --- |
| Compte A (compte propriétaire) | 10 000 appels | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| Compte B (compte consommateur) | 20 000 appels | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| Compte C (compte consommateur) | 30 000 appels | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
## Accès entre comptes pour les comptes fermés Comptes AWS
Si le Compte AWS compte propriétaire d'un paramètre partagé est fermé, tous les comptes consommateurs perdent l'accès au paramètre partagé. Si le compte propriétaire est rouvert dans les 90 jours suivant la fermeture du compte, les comptes consommateurs retrouvent l’accès aux paramètres précédemment partagés. Pour plus d'informations sur la réouverture d'un compte pendant la période postérieure à la fermeture, consultez la section [Accès à votre compte Compte AWS après sa fermeture dans le](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#accessing-after-closure) Guide de *Gestion de compte AWS référence*.
# Utilisation des paramètres dans Parameter Store à l’aide de commandes Run Command
Vous pouvez utiliser des paramètres dans Run Command, un outil d’ AWS Systems Manager. Pour de plus amples informations, veuillez consulter [AWS Systems Manager Run Command](run-command.md).
## Exécution d’un paramètre de chaîne à l’aide de la console
La procédure suivante vous guide à travers le processus d'exécution d'une commande utilisant un paramètre `String`.
**Pour exécuter un paramètre de chaîne à l'aide de Parameter Store**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Run Command**.
1. Sélectionnez **Run Command (Exécuter la commande)**.
1. Dans la liste **Command document (Document de commande)**, sélectionnez `AWS-RunPowerShellScript` (Windows) ou `AWS-RunShellScript` (Linux).
1. Pour **Command parameters (Paramètres de commande)**, entrez **echo \$1\$1ssm:*parameter-name*\$1\$1**. Par exemple : **echo \$1\$1ssm:/Test/helloWorld\$1\$1**.
1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
1. Pour **Autres paramètres** :
+ Pour **Comment (Commentaire)**, saisissez des informations à propos de cette commande.
+ Pour **Délai (secondes)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande globale.
1. Pour **Rate control (Contrôle de débit)** :
+ Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
+ Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.
Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
1. Cliquez sur **Exécuter**.
1. Sur la page **Command ID (ID de commande)** dans la zone **Targets and outputs (Cibles et sorties)** sélectionnez le bouton en regard de l'ID d'un nœud dans lequel vous avez exécuté la commande, puis sélectionnez **View output (Afficher la sortie)**. Vérifiez que la sortie de la commande est la valeur que vous avez fournie pour le paramètre, par exemple, **This is my first parameter**.
## Exécution d'un paramètre à l'aide du AWS CLI
**Exemple 1 : commande simple**
L'exemple de commande suivant inclut un paramètre Systems Manager appelé `DNS-IP`. La valeur de ce paramètre est simplement l'adresse IP d'un nœud. Cet exemple utilise une commande AWS Command Line Interface (AWS CLI) pour faire écho à la valeur du paramètre.
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--document-name "AWS-RunShellScript" \
--document-version "1" \
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" \
--parameters "commands='echo {{ssm:DNS-IP}}'" \
--timeout-seconds 600 \
--max-concurrency "50" \
--max-errors "0" \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--document-version "1" ^
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" ^
--parameters "commands='echo {{ssm:DNS-IP}}'" ^
--timeout-seconds 600 ^
--max-concurrency "50" ^
--max-errors "0" ^
--region us-east-2
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Command": {
"CommandId": "c70a4671-8098-42da-b885-89716EXAMPLE",
"DocumentName": "AWS-RunShellScript",
"DocumentVersion": "1",
"Comment": "",
"ExpiresAfter": "2023-12-26T15:19:17.771000-05:00",
"Parameters": {
"commands": [
"echo {{ssm:DNS-IP}}"
]
},
"InstanceIds": [],
"Targets": [
{
"Key": "instanceids",
"Values": [
"i-02573cafcfEXAMPLE"
]
}
],
"RequestedDateTime": "2023-12-26T14:09:17.771000-05:00",
"Status": "Pending",
"StatusDetails": "Pending",
"OutputS3Region": "us-east-2",
"OutputS3BucketName": "",
"OutputS3KeyPrefix": "",
"MaxConcurrency": "50",
"MaxErrors": "0",
"TargetCount": 0,
"CompletedCount": 0,
"ErrorCount": 0,
"DeliveryTimedOutCount": 0,
"ServiceRole": "",
"NotificationConfig": {
"NotificationArn": "",
"NotificationEvents": [],
"NotificationType": ""
},
"CloudWatchOutputConfig": {
"CloudWatchLogGroupName": "",
"CloudWatchOutputEnabled": false
},
"TimeoutSeconds": 600,
"AlarmConfiguration": {
"IgnorePollAlarmFailure": false,
"Alarms": []
},
"TriggeredAlarms": []
}
}
```
Une fois l’exécution d’une commande terminée, vous pouvez afficher plus d’informations à son sujet à l’aide des commandes suivantes :
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-command-invocation.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-command-invocation.html) : affiche des informations détaillées sur l’exécution de la commande.
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-command-invocations.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-command-invocations.html) : affiche l’état d’exécution des commandes sur un nœud géré spécifique.
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-commands.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-commands.html) : affiche l’état d’exécution des commandes sur les nœuds gérés.
**Exemple 2 : déchiffrer une valeur de paramètre `SecureString`**
L'exemple de commande suivant utilise un `SecureString` paramètre nommé **SecurePassword**. La commande utilisée dans le champ `parameters` récupère et déchiffre la valeur du paramètre `SecureString`, puis réinitialise le mot de passe administrateur local sans avoir à le transmettre en texte clair.
------
#### [ Linux ]
```
aws ssm send-command \
--document-name "AWS-RunShellScript" \
--document-version "1" \
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" \
--parameters '{"commands":["secure=$(aws ssm get-parameters --names SecurePassword --with-decryption --query Parameters[0].Value --output text --region us-east-2)","echo $secure | passwd myuser --stdin"]}' \
--timeout-seconds 600 \
--max-concurrency "50" \
--max-errors "0" \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--document-version "1" ^
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" ^
--parameters "commands=['$secure = (Get-SSMParameterValue -Names SecurePassword -WithDecryption $True).Parameters[0].Value','net user administrator $secure']" ^
--timeout-seconds 600 ^
--max-concurrency "50" ^
--max-errors "0" ^
--region us-east-2
```
------
**Exemple 3 : référencer un paramètre dans un document SSM**
Vous pouvez aussi référencer des paramètres Systems Manager dans la section *Paramètres* d'un document SSM, comme le montre l'exemple suivant.
```
{
"schemaVersion":"2.0",
"description":"Sample version 2.0 document v2",
"parameters":{
"commands" : {
"type": "StringList",
"default": ["{{ssm:parameter-name}}"]
}
},
"mainSteps":[
{
"action":"aws:runShellScript",
"name":"runShellScript",
"inputs":{
"runCommand": "{{commands}}"
}
}
]
}
```
Évitez de confondre la syntaxe similaire pour les *paramètres locaux* utilisés dans la section `runtimeConfig` des documents SSM avec les paramètres Parameter Store. Un paramètre local est différent d'un paramètre Systems Manager. Vous pouvez distinguer les paramètres locaux des paramètres Systems Manager par l'absence du préfixe `ssm:`.
```
"runtimeConfig":{
"aws:runShellScript":{
"properties":[
{
"id":"0.aws:runShellScript",
"runCommand":"{{ commands }}",
"workingDirectory":"{{ workingDirectory }}",
"timeoutSeconds":"{{ executionTimeout }}"
```
**Note**
Les documents SSM ne prennent pas en charge les références aux paramètres `SecureString`. Cela signifie que pour utiliser les paramètres `SecureString` avec, par exemple, la fonctionnalité Run Command, vous devez récupérer la valeur du paramètre avant de la passer à Run Command, comme illustré dans les exemples suivants.
```
value=$(aws ssm get-parameters --names parameter-name --with-decryption)
```
```
aws ssm send-command \
--name AWS-JoinDomain \
--parameters password=$value \
--instance-id instance-id
```
```
aws ssm send-command ^
--name AWS-JoinDomain ^
--parameters password=$value ^
--instance-id instance-id
```
```
$secure = (Get-SSMParameterValue -Names parameter-name -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -AsPlainText -Force
```
```
$cred = New-Object System.Management.Automation.PSCredential -argumentlist user-name,$secure
```
# Utilisation de la prise en charge native Parameter Store des paramètres dans Amazon Machine Image IDs
Lorsque vous créez un paramètre `String`, vous pouvez spécifier le *type de données* `aws:ec2:image`, afin de vous assurer que la valeur du paramètre que vous saisissez est un format d'ID d'Amazon Machine Image (AMI) valide.
La prise en charge des formats d'ID d'AMI vous permet d'éviter de mettre à jour tous vos scripts et modèles avec un nouvel ID lors de chaque changement de l'AMI que vous souhaitez utiliser dans vos processus. Vous pouvez créer un paramètre avec le type de données `aws:ec2:image`, et saisir pour sa valeur l'ID d'une AMI. Il s'agit de l'AMI à partir de laquelle vous souhaitez créer de nouvelles instances. Vous référencez ensuite ce paramètre dans vos modèles, commandes et scripts.
Par exemple, vous définissez le paramètre qui contient votre IDAMI préféré lorsque vous exécutez la commande `run-instances` Amazon Elastic Compute Cloud (Amazon EC2).
**Note**
L'utilisateur qui exécute cette commande doit disposer d'autorisations Gestion des identités et des accès AWS (IAM) incluant l'opération d'`ssm:GetParameters`API pour que la valeur du paramètre soit validée. Sinon, le processus de création du paramètre échoue.
------
#### [ Linux & macOS ]
```
aws ec2 run-instances \
--image-id resolve:ssm:/golden-ami \
--count 1 \
--instance-type t2.micro \
--key-name my-key-pair \
--security-groups my-security-group
```
------
#### [ Windows ]
```
aws ec2 run-instances ^
--image-id resolve:ssm:/golden-ami ^
--count 1 ^
--instance-type t2.micro ^
--key-name my-key-pair ^
--security-groups my-security-group
```
------
Vous pouvez également choisir votre AMI préférée lorsque vous créez une instance à l'aide de la console Amazon EC2. Pour de plus amples informations, veuillez consulter [Utilisation d’un paramètre Systems Manager pour rechercher une AMI](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/finding-an-ami.html#using-systems-manager-parameter-to-find-AMI) dans le *Guide de l’utilisateur Amazon EC2*.
Lorsqu'il faut utiliser une AMI différente dans votre workflow de création d'instance, il vous suffit de mettre à jour le paramètre avec la nouvelle valeur d'AMI et Parameter Store valide à nouveau le fait que vous avez saisi l'ID dans le format approprié.
## Octroi d’autorisations pour créer un paramètre du type de données `aws:ec2:image`
À l'aide de politiques Gestion des identités et des accès AWS (IAM), vous pouvez fournir ou restreindre l'accès des utilisateurs aux opérations et au contenu de Parameter Store l'API.
Pour créer un paramètre de type de données `aws:ec2:image`, l’utilisateur doit disposer des autorisations `ssm:PutParameter` et `ec2:DescribeImages`.
L'exemple de politique suivant octroie aux utilisateurs l'autorisation d'appeler l'opération d'API `PutParameter` pour `aws:ec2:image`. Cela signifie que l'utilisateur peut ajouter un paramètre du type de données `aws:ec2:image` au système.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:PutParameter",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
}
]
}
```
------
## Fonctionnement de la validation du format d'AMI
Lorsque vous spécifiez `aws:ec2:image` comme type de données pour un paramètre, Systems Manager ne crée pas le paramètre immédiatement. Au lieu de cela, il effectue une opération de validation asynchrone pour s'assurer que la valeur du paramètre répond aux exigences de mise en forme d'un ID d'AMI, et que l'AMI spécifiée est disponible dans votre Compte AWS.
Un numéro de version de paramètre pourrait être généré avant la fin de l'opération de validation. L'opération peut ne pas être terminée même si un numéro de version de paramètre est généré.
Pour vérifier si vos paramètres ont été créés correctement, nous vous recommandons d'utiliser Amazon EventBridge pour vous envoyer des notifications concernant vos opérations `create` et celles relatives aux `update` paramètres. Ces notifications indiquent si une opération de paramètre a réussi ou non. Si une opération échoue, la notification inclut un message d'erreur indiquant la raison de l'échec.
```
{
"version": "0",
"id": "eed4a719-0fa4-6a49-80d8-8ac65EXAMPLE",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "111122223333",
"time": "2020-05-26T22:04:42Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:111122223333:parameter/golden-ami"
],
"detail": {
"exception": "Unable to Describe Resource",
"dataType": "aws:ec2:image",
"name": "golden-ami",
"type": "String",
"operation": "Create"
}
}
```
Pour plus d'informations sur l'abonnement à Parameter Store des événements dans EventBridge, voir[Configuration de notifications ou d’actions de déclenchement basées sur des événements Parameter Store](sysman-paramstore-cwe.md).
# Suppression de paramètres de Parameter Store
Cette rubrique explique comment supprimer les paramètres que vous avez créés dans Parameter Store, un outil d’AWS Systems Manager.
**Avertissement**
La suppression d’un paramètre supprime toutes ses versions. Une fois supprimé, le paramètre et ses versions ne peuvent pas être restaurés.
**Pour supprimer un paramètre à l’aide de la console**
1. Ouvrez la console AWS Systems Manager à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sous l'onglet **My parameters (Mes paramètres)**, activez la case à cocher en regard de chaque paramètre à supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Dans la boîte de dialogue de confirmation, sélectionnez **Delete parameters (Supprimer les paramètres)**.
**Pour supprimer un paramètre en utilisant l’AWS CLI**
+ Exécutez la commande suivante :
```
aws ssm delete-parameter --name "my-parameter"
```
Remplacez *my-parameter* par le nom du paramètre à supprimer.
Pour plus d’informations sur toutes les options disponibles pour la commande `delete-parameter`, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-parameter.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-parameter.html) dans la *section AWS Systems Manager de la Référence des commandes AWS CLI*.
# Utilisation des paramètres publics dans Parameter Store
Certains Services AWS publient des informations sur les artefacts courants sous forme de paramètres AWS Systems Manager *publics*. Par exemple, le service Amazon Elastic Compute Cloud (Amazon EC2) publie des informations sur des Amazon Machine Images (AMIs) sous forme de paramètres publics.
**Topics**
+ [Découverte des paramètres publics dans Parameter Store](parameter-store-finding-public-parameters.md)
+ [Appel des paramètres publics de l’AMI dans Parameter Store](parameter-store-public-parameters-ami.md)
+ [Appel d’un paramètre public d’AMI optimisée pour ECS dans Parameter Store](parameter-store-public-parameters-ecs.md)
+ [Appel d’un paramètre public d’AMI optimisée pour EKS dans Parameter Store](parameter-store-public-parameters-eks.md)
+ [Appel de paramètres publics pour les régions Services AWS, les points de terminaison, les zones de disponibilité, les zones locales et les zones de longueur d'onde dans Parameter Store](parameter-store-public-parameters-global-infrastructure.md)
**Articles de AWS blog connexes**
+ [Requête pour Régions AWS, points de terminaison, etc. à l'aide de AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/aws/new-query-for-aws-regions-endpoints-and-more-using-aws-systems-manager-parameter-store/)
+ [Recherchez la dernière version d'Amazon Linux à AMI IDs l'aide de AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/)
+ [Query for the Latest Windows AMI Using AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/)
# Découverte des paramètres publics dans Parameter Store
Vous pouvez rechercher des paramètres publics an utilisant la console Parameter Store ou la AWS Command Line Interface.
Le nom d'un paramètre public commence par `aws/service/list`. La section suivante du nom correspond au service auquel appartient ce paramètre.
Voici une liste partielle des ressources fournissant Services AWS des paramètres publics ainsi que d'autres ressources :
+ `ami-amazon-linux-latest`
+ `ami-windows-latest`
+ `ec2-macos`
+ `appmesh`
+ `aws-for-fluent-bit`
+ `aws-sdk-pandas`
+ `bottlerocket`
+ `canonical`
+ `cloud9`
+ `datasync`
+ `deeplearning`
+ `ecs`
+ `eks`
+ `fis`
+ `freebsd`
+ `global-infrastructure`
+ `marketplace`
+ `neuron`
+ `powertools`
+ `sagemaker-distribution`
+ `storagegateway`
Les paramètres publics ne sont pas tous publiés pour tous Région AWS.
## Recherche des paramètres publics en utilisant la console Parameter Store
Vous devez avoir au moins un paramètre dans votre Compte AWS et Région AWS avant de pouvoir rechercher des paramètres publics à l'aide de la console.
**Pour rechercher des paramètres publics en utilisant la console**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Parameter Store**.
1. Sélectionnez l'onglet **Public parameters (Paramètres publics)**.
1. Sélectionnez le menu déroulant **Select a service (Sélectionner un service)** Sélectionnez le service dont vous voulez utiliser les paramètres.
1. (Facultatif) Filtrez les paramètres appartenant au service sélectionné en saisissant de plus amples informations dans la barre de recherche.
1. Sélectionnez le paramètre public à utiliser.
## Recherche de paramètres publics à l'aide du AWS CLI
Utilisez `describe-parameters` pour découvrir des paramètres publics.
Utilisez `get-parameters-by-path` pour obtenir le chemin réel d'un service répertorié dans `/aws/service/list`. Pour obtenir le chemin du service, supprimez `/list` du chemin. Par exemple, `/aws/service/list/ecs` devient `/aws/service/ecs`.
Pour récupérer une liste de paramètres publics appartenant à différents services dans Parameter Store, exécutez la commande suivante.
```
aws ssm get-parameters-by-path --path /aws/service/list
```
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/list/ami-al-latest",
"Type": "String",
"Value": "/aws/service/ami-al-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:10.902000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/ami-al-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/ami-windows-latest",
"Type": "String",
"Value": "/aws/service/ami-windows-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:12.567000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/ami-windows-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/aws-storage-gateway-latest",
"Type": "String",
"Value": "/aws/service/aws-storage-gateway-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:09.903000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/aws-storage-gateway-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/global-infrastructure",
"Type": "String",
"Value": "/aws/service/global-infrastructure/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:11.901000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/global-infrastructure",
"DataType": "text"
}
]
}
```
Pour afficher les paramètres appartenant à un service spécifique, sélectionnez le service dans la liste générée après l'exécution de la commande précédente. Ensuite, faites un appel à `get-parameters-by-path` en utilisant le nom du service souhaité.
Par exemple, `/aws/service/global-infrastructure`. Le chemin peut être à un seul niveau (seuls les paramètres qui correspondent aux valeurs exactes données sont appelés) ou récursif (contient des éléments dans le chemin au-delà de ce que vous avez donné).
**Note**
Le chemin `/aws/service/global-infrastructure` n’est pas pris en charge pour les requêtes dans toutes les régions. Pour plus d'informations, consultez [Appel de paramètres publics pour les régions Services AWS, les points de terminaison, les zones de disponibilité, les zones locales et les zones de longueur d'onde dans Parameter Store](parameter-store-public-parameters-global-infrastructure.md).
Si aucun résultat n'est obtenu pour le service que vous spécifiez, ajoutez l'indicateur `--recursive` et exécutez à nouveau la commande.
```
aws ssm get-parameters-by-path --path /aws/service/global-infrastructure
```
Cela renvoie tous les paramètres appartenant à `global-infrastructure`. Voici un exemple.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/current-region",
"Type": "String",
"LastModifiedDate": "2019-06-21T05:15:34.252000-07:00",
"Version": 1,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/version",
"Type": "String",
"LastModifiedDate": "2019-02-04T06:59:32.875000-08:00",
"Version": 1,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
}
]
}
```
Vous pouvez aussi afficher les paramètres appartenant à un service spécifique en utilisant le filtre `Option:BeginsWith`.
```
aws ssm describe-parameters --parameter-filters "Key=Name, Option=BeginsWith, Values=/aws/service/ami-amazon-linux-latest"
```
La commande renvoie des informations telles que les suivantes. Cet exemple de sortie a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-ebs",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.686000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-gp2",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.807000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-s3",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.920000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
}
]
}
```
**Note**
Les paramètres renvoyés peuvent être différents si vous utilisez `Option=BeginsWith` car le modèle de recherche utilisé est différent.
# Appel des paramètres publics de l’AMI dans Parameter Store
Les paramètres publics d'Amazon Elastic Compute Cloud (Amazon Amazon Machine Image EC2) AMI () sont disponibles pour Amazon Linux 2, Amazon Linux 2023 AL2023 ()macOS, Windows Server et depuis les chemins suivants :
+ Amazon Linux 2 et Amazon Linux 2023 : `/aws/service/ami-amazon-linux-latest`
+ macOS: `/aws/service/ec2-macos`
+ Windows Server: `/aws/service/ami-windows-latest`
## Appelez des paramètres publics d’AMI pour Amazon Linux 2 et Amazon Linux 2023
Vous pouvez consulter la liste de tous les Amazon Linux 2 et Amazon Linux 2023 (AL2023) actuels AMIs en Région AWS utilisant la commande suivante dans le AWS Command Line Interface (AWS CLI).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-amazon-linux-latest \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ami-amazon-linux-latest ^
--query Parameters[].Name
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-default-arm64",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-s3",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-default-x86_64",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn-ami-minimal-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn-ami-minimal-hvm-x86_64-s3",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-arm64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-arm64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-minimal-hvm-arm64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-minimal-hvm-x86_64-ebs"
]
```
Vous pouvez consulter les informations les concernantAMIs, notamment les noms AMI IDs et Amazon Resource Names (ARNs), à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ami-amazon-linux-latest" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ami-amazon-linux-latest" ^
--region region
```
------
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
La commande renvoie des informations telles que les suivantes. Cet exemple de sortie a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-0b1b8b24a6c8e5d8b",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.583000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"Type": "String",
"Value": "ami-0e0bf53f6def86294",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.890000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-09951bb66f9e5b5a5",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:10.197000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"DataType": "text"
}
]
}
```
Vous pouvez afficher les détails d'un élément spécifique en AMI utilisant l'opération d'[GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)API avec le AMI nom complet, y compris le chemin. Voici un exemple de commande.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 ^
--region us-east-2
```
------
La commande renvoie les informations suivantes.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-0b1b8b24a6c8e5d8b",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.583000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
## Appel de paramètres publics d'AMI pour macOS
Vous pouvez afficher une liste de tous les éléments actuels macOS AMIs à Région AWS l'aide de la commande suivante dans le AWS CLI.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ec2-macos\
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ec2-macos ^
--query Parameters[].Name
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"/aws/service/ec2-macos/sonoma/x86_64_mac/latest/image_id",
"/aws/service/ec2-macos/ventura/x86_64_mac/latest/image_id",
"/aws/service/ec2-macos/sonoma/arm64_mac/latest/image_id",
"/aws/service/ec2-macos/ventura/arm64_mac/latest/image_id"
]
```
Vous pouvez consulter les informations les concernantAMIs, notamment les noms AMI IDs et Amazon Resource Names (ARNs), à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ec2-macos" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ec2-macos" ^
--region region
```
------
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
La commande renvoie des informations telles que les suivantes. Cet exemple de sortie a été tronqué faute d'espace.
```
{
"Parameters": [
...sample results pending...
]
}
```
Vous pouvez afficher les détails d'un élément spécifique en AMI utilisant l'opération d'[GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)API avec le AMI nom complet, y compris le chemin. Voici un exemple de commande.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ec2-macos/...pending... \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ec2-macos/...pending... ^
--region us-east-2
```
------
La commande renvoie les informations suivantes.
```
{
"Parameters": [
...sample results pending...
],
"InvalidParameters": []
}
```
## Appel de paramètres publics d'AMI pour Windows Server
Vous pouvez afficher une liste de tous les éléments actuels Windows Server AMIs à Région AWS l'aide de la commande suivante dans le AWS CLI.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-windows-latest \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ami-windows-latest ^
--query Parameters[].Name
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple de sortie a été tronqué faute d'espace.
```
[
"/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2016_SP3_Standard",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2017_Web",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-1.25",
"/aws/service/ami-windows-latest/Windows_Server-2019-Italian-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2022-Japanese-Full-SQL_2019_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2022-Portuguese_Brazil-Full-Base",
"/aws/service/ami-windows-latest/amzn2-ami-hvm-2.0.20191217.0-x86_64-gp2-mono",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Deep-Learning",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2016_SP3_Web",
"/aws/service/ami-windows-latest/Windows_Server-2016-Korean-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-STIG-Core",
"/aws/service/ami-windows-latest/Windows_Server-2019-French-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-Japanese-Full-SQL_2017_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2019-Korean-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-SQL_2022_Web",
"/aws/service/ami-windows-latest/Windows_Server-2022-Italian-Full-Base",
"/aws/service/ami-windows-latest/amzn2-x86_64-SQL_2019_Express",
"/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Core-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2019_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2019_Standard",
"/aws/service/ami-windows-latest/Windows_Server-2016-Portuguese_Portugal-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-1.24",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Deep-Learning",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-SQL_2017_Web",
"/aws/service/ami-windows-latest/Windows_Server-2019-Hungarian-Full-Base
]
```
Vous pouvez consulter les informations les concernantAMIs, notamment les noms AMI IDs et Amazon Resource Names (ARNs), à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ami-windows-latest" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ami-windows-latest" ^
--region region
```
------
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
La commande renvoie des informations telles que les suivantes. Cet exemple de sortie a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"Type": "String",
"Value": "ami-0a30b2e65863e2d16",
"Version": 36,
"LastModifiedDate": "2024-03-15T15:58:37.976000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"DataType": "text"
},
{
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"Type": "String",
"Value": "ami-001f20c053dd120ce",
"Version": 69,
"LastModifiedDate": "2024-03-15T15:53:58.905000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"DataType": "text"
},
{
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"Type": "String",
"Value": "ami-063be4935453e94e9",
"Version": 102,
"LastModifiedDate": "2024-03-15T15:51:12.003000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"DataType": "text"
}
]
}
```
Vous pouvez afficher les détails d'un élément spécifique en AMI utilisant l'opération d'[GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)API avec le AMI nom complet, y compris le chemin. Voici un exemple de commande.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base ^
--region us-east-2
```
------
La commande renvoie les informations suivantes.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"Type": "String",
"Value": "ami-0a30b2e65863e2d16",
"Version": 36,
"LastModifiedDate": "2024-03-15T15:58:37.976000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Appel d’un paramètre public d’AMI optimisée pour ECS dans Parameter Store
Le service Amazon Elastic Container Service (Amazon ECS) publie le nom de la dernière Amazon Machine Images (AMIs) optimisée Amazon ECS en tant que paramètres publics. Les utilisateurs sont invités à utiliser cette AMI lors de la création d'un nouveau cluster Amazon Elastic Compute Cloud (Amazon EC2) pour Amazon ECS, car l'AMIs optimisée inclut des correctifs de bogues et des mises à jour de fonctions.
Utilisez la commande suivante pour afficher le nom de la dernière AMI optimisée Amazon ECS pour Amazon Linux 2. Pour consulter les commandes pour d'autres systèmes d'exploitation, veuillez consulter [Récupération de métadonnées d'AMI optimisées Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/retrieve-ecs-optimized_AMI.html) dans le *Manuel du développeur Amazon Elastic Container Service*.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ecs/optimized-ami/amazon-linux-2/recommended
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ecs/optimized-ami/amazon-linux-2/recommended
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Parameters": [
{
"Name": "/aws/service/ecs/optimized-ami/amazon-linux-2/recommended",
"Type": "String",
"Value": "{\"schema_version\":1,\"image_name\":\"amzn2-ami-ecs-hvm-2.0.20210929-x86_64-ebs\",\"image_id\":\"ami-0c38a2329ed4dae9a\",\"os\":\"Amazon Linux 2\",\"ecs_runtime_version\":\"Docker version 20.10.7\",\"ecs_agent_version\":\"1.55.4\"}",
"Version": 73,
"LastModifiedDate": "2021-10-06T16:35:10.004000-07:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ecs/optimized-ami/amazon-linux-2/recommended",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Appel d’un paramètre public d’AMI optimisée pour EKS dans Parameter Store
Le service Amazon Elastic Kubernetes Service (Amazon EKS) publie le nom de la dernière Amazon Machine Image (AMI) optimisée Amazon EKS en tant que paramètre public. Nous vous encourageons à utiliser cette AMI lors de l'ajout de nœuds à un cluster Amazon EKS, car les nouvelles versions incluent des correctifs Kubernetes et des mises à jour de sécurité. Auparavant, vous assurer que vous utilisiez la dernière AMI impliquait de vérifier la documentation Amazon EKS et de mettre à jour manuellement les modèles de déploiement ou les ressources avec le nouvel ID d'AMI.
Utilisez la commande suivante pour afficher le nom de la dernière AMI optimisée Amazon EKS pour Amazon Linux 2.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended
```
------
La commande renvoie des informations telles que les suivantes.
```
{
"Parameters": [
{
"Name": "/aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended",
"Type": "String",
"Value": "{\"schema_version\":\"2\",\"image_id\":\"ami-08984d8491de17ca0\",\"image_name\":\"amazon-eks-node-1.14-v20201007\",\"release_version\":\"1.14.9-20201007\"}",
"Version": 24,
"LastModifiedDate": "2020-11-17T10:16:09.971000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Appel de paramètres publics pour les régions Services AWS, les points de terminaison, les zones de disponibilité, les zones locales et les zones de longueur d'onde dans Parameter Store
Vous pouvez appeler les zones de service Région AWS, de point de terminaison, de disponibilité et de longueur d'onde des paramètres publics en utilisant le chemin suivant.
`/aws/service/global-infrastructure`
**Note**
Actuellement, le chemin `/aws/service/global-infrastructure` n'est pris en charge Régions AWS que pour les requêtes suivantes :
USA Est (Virginie du Nord) (us-east-1)
USA Est (Ohio) (us-east-2)
USA Ouest (Californie du Nord) (us-west-1)
USA Ouest (Oregon) (us-west-2)
Asie-Pacifique (Hong Kong) (ap-east-1)
Asie-Pacifique (Mumbai) (ap-south-1)
Asie-Pacifique (Séoul) (ap-northeast-2)
Asie-Pacifique (Singapour) (ap-southeast-1)
Asie-Pacifique (Sydney) (ap-southeast-2)
Asie-Pacifique (Tokyo) (ap-northeast-1)
Canada (Centre) (ca-central-1)
Europe (Francfort) (eu-central-1)
Europe (Irlande) (eu-west-1)
Europe (Londres) (eu-west-2)
Europe (Paris) (eu-west-3)
Europe (Stockholm) (eu-north-1)
Amérique du Sud (São Paulo) (sa-east-1)
Si vous travaillez dans une autre [région commerciale](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#region), vous pouvez spécifier une région prise en charge dans votre requête pour afficher les résultats. Par exemple, si vous travaillez dans la région Canada Ouest (Calgary) (ca-west-1), vous pouvez spécifier Canada (Centre) (ca-central-1) dans votre requête :
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions \
--region ca-central-1
```
**Afficher actif Régions AWS**
Vous pouvez afficher la liste de tous les actifs à Régions AWS l'aide de la commande suivante dans le AWS Command Line Interface (AWS CLI).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/regions ^
--query Parameters[].Name
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"/aws/service/global-infrastructure/regions/af-south-1",
"/aws/service/global-infrastructure/regions/ap-east-1",
"/aws/service/global-infrastructure/regions/ap-northeast-3",
"/aws/service/global-infrastructure/regions/ap-south-2",
"/aws/service/global-infrastructure/regions/ca-central-1",
"/aws/service/global-infrastructure/regions/eu-central-2",
"/aws/service/global-infrastructure/regions/eu-west-2",
"/aws/service/global-infrastructure/regions/eu-west-3",
"/aws/service/global-infrastructure/regions/us-east-1",
"/aws/service/global-infrastructure/regions/us-gov-west-1",
"/aws/service/global-infrastructure/regions/ap-northeast-2",
"/aws/service/global-infrastructure/regions/ap-southeast-1",
"/aws/service/global-infrastructure/regions/ap-southeast-2",
"/aws/service/global-infrastructure/regions/ap-southeast-3",
"/aws/service/global-infrastructure/regions/cn-north-1",
"/aws/service/global-infrastructure/regions/cn-northwest-1",
"/aws/service/global-infrastructure/regions/eu-south-1",
"/aws/service/global-infrastructure/regions/eu-south-2",
"/aws/service/global-infrastructure/regions/us-east-2",
"/aws/service/global-infrastructure/regions/us-west-1",
"/aws/service/global-infrastructure/regions/ap-northeast-1",
"/aws/service/global-infrastructure/regions/ap-south-1",
"/aws/service/global-infrastructure/regions/ap-southeast-4",
"/aws/service/global-infrastructure/regions/ca-west-1",
"/aws/service/global-infrastructure/regions/eu-central-1",
"/aws/service/global-infrastructure/regions/il-central-1",
"/aws/service/global-infrastructure/regions/me-central-1",
"/aws/service/global-infrastructure/regions/me-south-1",
"/aws/service/global-infrastructure/regions/sa-east-1",
"/aws/service/global-infrastructure/regions/us-gov-east-1",
"/aws/service/global-infrastructure/regions/eu-north-1",
"/aws/service/global-infrastructure/regions/eu-west-1",
"/aws/service/global-infrastructure/regions/us-west-2"
]
```
**Afficher disponible Services AWS**
Vous pouvez consulter la liste complète de toutes les options disponibles Services AWS et les trier par ordre alphabétique à l'aide de la commande suivante. Cet exemple de sortie a été tronqué faute d'espace.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/services \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/services ^
--query "Parameters[].Name | sort(@)"
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
[
"/aws/service/global-infrastructure/services/accessanalyzer",
"/aws/service/global-infrastructure/services/account",
"/aws/service/global-infrastructure/services/acm",
"/aws/service/global-infrastructure/services/acm-pca",
"/aws/service/global-infrastructure/services/ahl",
"/aws/service/global-infrastructure/services/aiq",
"/aws/service/global-infrastructure/services/amazonlocationservice",
"/aws/service/global-infrastructure/services/amplify",
"/aws/service/global-infrastructure/services/amplifybackend",
"/aws/service/global-infrastructure/services/apigateway",
"/aws/service/global-infrastructure/services/apigatewaymanagementapi",
"/aws/service/global-infrastructure/services/apigatewayv2",
"/aws/service/global-infrastructure/services/appconfig",
"/aws/service/global-infrastructure/services/appconfigdata",
"/aws/service/global-infrastructure/services/appflow",
"/aws/service/global-infrastructure/services/appintegrations",
"/aws/service/global-infrastructure/services/application-autoscaling",
"/aws/service/global-infrastructure/services/application-insights",
"/aws/service/global-infrastructure/services/applicationcostprofiler",
"/aws/service/global-infrastructure/services/appmesh",
"/aws/service/global-infrastructure/services/apprunner",
"/aws/service/global-infrastructure/services/appstream",
"/aws/service/global-infrastructure/services/appsync",
"/aws/service/global-infrastructure/services/aps",
"/aws/service/global-infrastructure/services/arc-zonal-shift",
"/aws/service/global-infrastructure/services/artifact",
"/aws/service/global-infrastructure/services/athena",
"/aws/service/global-infrastructure/services/auditmanager",
"/aws/service/global-infrastructure/services/augmentedairuntime",
"/aws/service/global-infrastructure/services/aurora",
"/aws/service/global-infrastructure/services/autoscaling",
"/aws/service/global-infrastructure/services/aws-appfabric",
"/aws/service/global-infrastructure/services/awshealthdashboard",
```
**Afficher les régions prises en charge pour un Service AWS**
Vous pouvez consulter la liste des Régions AWS endroits où un service est disponible. Cet exemple utilise AWS Systems Manager (`ssm`).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/services/ssm/regions \
--query 'Parameters[].Value'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/services/ssm/regions ^
--query Parameters[].Value
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"ap-south-1",
"eu-central-1",
"eu-central-2",
"eu-west-1",
"eu-west-2",
"eu-west-3",
"il-central-1",
"me-south-1",
"us-east-2",
"us-gov-west-1",
"af-south-1",
"ap-northeast-3",
"ap-southeast-1",
"ap-southeast-4",
"ca-central-1",
"ca-west-1",
"cn-north-1",
"eu-north-1",
"eu-south-2",
"us-west-1",
"ap-east-1",
"ap-northeast-1",
"ap-northeast-2",
"ap-southeast-2",
"ap-southeast-3",
"cn-northwest-1",
"eu-south-1",
"me-central-1",
"us-gov-east-1",
"us-west-2",
"ap-south-2",
"sa-east-1",
"us-east-1"
]
```
**Afficher le point de terminaison régional d'un service**
Vous pouvez afficher un point de terminaison régional pour un service à l'aide de la commande suivante. Cette commande interroge la région USA Est (Ohio) (us-east-2).
------
#### [ Linux & macOS ]
```
aws ssm get-parameter \
--name /aws/service/global-infrastructure/regions/us-east-2/services/ssm/endpoint \
--query 'Parameter.Value'
```
------
#### [ Windows ]
```
aws ssm get-parameter ^
--name /aws/service/global-infrastructure/regions/us-east-2/services/ssm/endpoint ^
--query Parameter.Value
```
------
La commande renvoie des informations telles que les suivantes.
```
"ssm.us-east-2.amazonaws.com"
```
**Afficher les détails complets de la zone de disponibilité**
Vous pouvez afficher les zones de disponibilité à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones/
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones/
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/availability-zones/afs1-az3",
"Type": "String",
"Value": "afs1-az3",
"Version": 1,
"LastModifiedDate": "2020-04-21T12:05:35.375000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az3",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/availability-zones/aps1-az2",
"Type": "String",
"Value": "aps1-az2",
"Version": 1,
"LastModifiedDate": "2020-04-03T16:13:57.351000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/aps1-az2",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/availability-zones/apse3-az1",
"Type": "String",
"Value": "apse3-az1",
"Version": 1,
"LastModifiedDate": "2021-12-13T08:51:38.983000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/apse3-az1",
"DataType": "text"
}
]
}
```
**Afficher les noms des zones de disponibilité uniquement**
Vous pouvez afficher les noms des zones de disponibilité uniquement à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones ^
--query "Parameters[].Name | sort(@)"
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
[
"/aws/service/global-infrastructure/availability-zones/afs1-az1",
"/aws/service/global-infrastructure/availability-zones/afs1-az2",
"/aws/service/global-infrastructure/availability-zones/afs1-az3",
"/aws/service/global-infrastructure/availability-zones/ape1-az1",
"/aws/service/global-infrastructure/availability-zones/ape1-az2",
"/aws/service/global-infrastructure/availability-zones/ape1-az3",
"/aws/service/global-infrastructure/availability-zones/apne1-az1",
"/aws/service/global-infrastructure/availability-zones/apne1-az2",
"/aws/service/global-infrastructure/availability-zones/apne1-az3",
"/aws/service/global-infrastructure/availability-zones/apne1-az4"
```
**Afficher les noms des zones de disponibilité dans une seule région**
Vous pouvez afficher les noms des zones de disponibilité dans une région (`us-east-2`, dans cet exemple) à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions/us-east-2/availability-zones \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/regions/us-east-2/availability-zones ^
--query "Parameters[].Name | sort(@)"
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az1",
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az2",
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az3"
```
**Afficher la zone de disponibilité ARNs uniquement**
Vous pouvez consulter les Amazon Resource Names (ARNs) des zones de disponibilité uniquement à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones \
--query 'Parameters[].ARN | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones ^
--query "Parameters[].ARN | sort(@)"
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
[
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az1",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az2",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az3",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az1",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az2",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az3",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/apne1-az1",
```
**Afficher les détails de la zone locale**
Vous pouvez afficher les zones locales à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/local-zones
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/local-zones
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/local-zones/afs1-los1-az1",
"Type": "String",
"Value": "afs1-los1-az1",
"Version": 1,
"LastModifiedDate": "2023-01-25T11:53:11.690000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/afs1-los1-az1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/apne1-tpe1-az1",
"Type": "String",
"Value": "apne1-tpe1-az1",
"Version": 1,
"LastModifiedDate": "2024-03-15T12:35:41.076000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/apne1-tpe1-az1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/aps1-ccu1-az1",
"Type": "String",
"Value": "aps1-ccu1-az1",
"Version": 1,
"LastModifiedDate": "2022-12-19T11:34:43.351000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/aps1-ccu1-az1",
"DataType": "text"
}
]
}
```
**Afficher les détails de la zone Wavelength**
Vous pouvez afficher les zones Wavelength à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/wavelength-zones
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/wavelength-zones
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/apne1-wl1-nrt-wlz1",
"Type": "String",
"Value": "apne1-wl1-nrt-wlz1",
"Version": 3,
"LastModifiedDate": "2020-12-15T17:16:04.715000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/apne1-wl1-nrt-wlz1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/apne2-wl1-sel-wlz1",
"Type": "String",
"Value": "apne2-wl1-sel-wlz1",
"Version": 1,
"LastModifiedDate": "2022-05-25T12:29:13.862000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/apne2-wl1-sel-wlz1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/cac1-wl1-yto-wlz1",
"Type": "String",
"Value": "cac1-wl1-yto-wlz1",
"Version": 1,
"LastModifiedDate": "2022-04-26T09:57:44.495000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/cac1-wl1-yto-wlz1",
"DataType": "text"
}
]
}
```
**Afficher tous les paramètres et valeurs sous une zone locale**
Vous pouvez afficher toutes les données de paramètres d'une zone locale à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/global-infrastructure/local-zones/usw2-lax1-az1/"
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/global-infrastructure/local-zones/use1-bos1-az1"
```
------
La commande renvoie des informations telles que les suivantes. Cet exemple a été tronqué faute d'espace.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"Type": "String",
"Value": "US",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.641000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"Type": "String",
"Value": "US-MA",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.794000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"Type": "String",
"Value": "US East (Boston)",
"Version": 1,
"LastModifiedDate": "2021-01-11T10:53:24.634000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"Type": "String",
"Value": "us-east-1-bos-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.641000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"Type": "String",
"Value": "use1-az4",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.834000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"Type": "String",
"Value": "us-east-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.721000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group",
"Type": "String",
"Value": "us-east-1-bos-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.983000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group",
"DataType": "text"
}
]
}
```
**Afficher les noms des paramètres de zone locale uniquement**
Vous pouvez afficher uniquement les noms des paramètres de zone locale à l'aide de la commande suivante.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/local-zones/usw2-lax1-az1 \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/local-zones/use1-bos1-az1 ^
--query "Parameters[].Name | sort(@)"
```
------
La commande renvoie des informations telles que les suivantes.
```
[
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group"
]
```
# Procédures Parameter Store
La procédure pas à pas de cette section explique comment créer, stocker et exécuter des paramètres Parameter Store dans un environnement de test. Ces procédures pas à pas vous montrent comment utiliser Parameter Store avec d’autres outils de Systems Manager. Vous pouvez également utiliser Parameter Store avec d'autres Services AWS. Pour de plus amples informations, veuillez consulter [Qu'est-ce qu'un paramètre ?](systems-manager-parameter-store.md#what-is-a-parameter).
**Topics**
+ [Création d'un SecureString paramètre Parameter Store et connexion d'un nœud à un domaine (PowerShell)](sysman-param-securestring-walkthrough.md)
# Création d'un SecureString paramètre Parameter Store et connexion d'un nœud à un domaine (PowerShell)
Cette procédure pas à pas montre comment joindre un Windows Server nœud à un domaine à l'aide des AWS Systems Manager `SecureString` paramètres etRun Command. Elle a recours à des paramètres de domaine classiques, tels que le nom de domaine et un nom d'utilisateur de domaine. Ces valeurs sont transmises sous forme de valeurs de chaîne non chiffrées. Le mot de passe du domaine est chiffré à l'aide d'une Clé gérée par AWS et transmise en tant que chaîne chiffrée.
**Conditions préalables**
Cette démonstration suppose que vous avez déjà spécifié votre nom de domaine et l'adresse IP du serveur DNS dans le jeu d'options DHCP associé à votre Amazon VPC. Pour en savoir plus, consultez [Utilisation des jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSet) dans le *Guide de l'utilisateur Amazon VPC*.
**Pour créer un paramètre `SecureString` et associer un nœud à un domaine**
1. Entrez les paramètres dans le système à l'aide de AWS Tools for Windows PowerShell.
Dans les commandes suivantes, remplacez chacune *user input placeholder* par vos propres informations.
```
Write-SSMParameter -Name "domainName" -Value "DOMAIN-NAME" -Type String
Write-SSMParameter -Name "domainJoinUserName" -Value "DOMAIN\USERNAME" -Type String
Write-SSMParameter -Name "domainJoinPassword" -Value "PASSWORD" -Type SecureString
```
**Important**
Seule la *valeur* d'un paramètre `SecureString` est chiffrée. Les noms de paramètres, les descriptions et d'autres propriétés ne sont pas chiffrés.
1. Associez les politiques Gestion des identités et des accès AWS (IAM) suivantes aux autorisations de rôle IAM pour votre nœud :
+ **Amazon SSMManaged InstanceCore** — Obligatoire. Cette politique AWS gérée permet à un nœud géré d'utiliser les fonctionnalités principales du service Systems Manager.
+ **Amazon SSMDirectory ServiceAccess** — Obligatoire. Cette politique AWS gérée permet SSM Agent d'accéder AWS Directory Service en votre nom aux demandes de connexion au domaine par le nœud géré.
+ **Une politique personnalisée pour l'accès au compartiment S3** – Obligatoire. SSM Agent, qui se trouve sur votre nœud et effectue des tâches Systems Manager, a besoin d'accéder à des compartiments Amazon Simple Storage Service (Amazon S3) spécifiques appartenant à Amazon. Dans la politique de compartiment S3 personnalisée que vous créez, vous pouvez également fournir l'accès à vos propres compartiments S3 qui sont nécessaires pour les opérations Systems Manager.
Exemples : Vous pouvez écrire la sortie pour des commandes Run Command ou des sessions Session Manager dans un compartiment S3, puis utiliser cette sortie ultérieurement aux fins d'audit ou de dépannage. Vous stockez des scripts d'accès ou des listes de références de correctifs personnalisées dans un compartiment S3, puis vous faites référence au script ou à la liste lorsque vous exécutez une commande, ou lorsqu'un référentiel de correctifs est appliquée.
Pour obtenir des informations sur la création d'une politique personnalisée pour l'accès à un compartiment Amazon S3, veuillez consulter [Créer une politique de compartiment S3 personnalisée pour un profil d'instance](setup-instance-permissions.md#instance-profile-custom-s3-policy)
**Note**
L'enregistrement des données de journal de sortie dans un compartiment S3 est facultatif, mais nous vous recommandons de le configurer au début de votre processus de configuration de Systems Manager si vous avez décidé d'utiliser. Pour plus d'informations, consultez [Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
+ **CloudWatchAgentServerPolicy** : facultatif. Cette politique AWS gérée vous permet d'exécuter l' CloudWatch agent sur des nœuds gérés. Cette politique permet de lire des informations sur un nœud et de les écrire sur Amazon CloudWatch. Votre profil d'instance a besoin de cette politique uniquement si vous utilisez des services tels qu'Amazon EventBridge ou CloudWatch Logs.
**Note**
L'utilisation CloudWatch et les EventBridge fonctionnalités sont facultatives, mais nous vous recommandons de les configurer au début du processus de configuration de Systems Manager si vous avez décidé de les utiliser. Pour plus d'informations, consultez le guide de *[ EventBridge l'utilisateur Amazon et le guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* de l'*[utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
1. Modifiez le rôle IAM attaché au nœud et ajoutez la politique ci-dessous. Cette politique autorise le nœud à appeler l'API `kms:Decrypt` et `ssm:CreateDocument`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"ssm:CreateDocument"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
]
}
]
}
```
------
1. Copiez et collez l'exemple json suivant dans un éditeur de texte simple et enregistrez le fichier en tant que `JoinInstanceToDomain.json` à l'emplacement suivant : `c:\temp\JoinInstanceToDomain.json`.
```
{
"schemaVersion": "2.2",
"description": "Run a PowerShell script to securely join a Windows Server instance to a domain",
"mainSteps": [
{
"action": "aws:runPowerShellScript",
"name": "runPowerShellWithSecureString",
"precondition": {
"StringEquals": [
"platformType",
"Windows"
]
},
"inputs": {
"runCommand": [
"$domain = (Get-SSMParameterValue -Name domainName).Parameters[0].Value",
"if ((gwmi Win32_ComputerSystem).domain -eq $domain){write-host \"Computer is part of $domain, exiting\"; exit 0}",
"$username = (Get-SSMParameterValue -Name domainJoinUserName).Parameters[0].Value",
"$password = (Get-SSMParameterValue -Name domainJoinPassword -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -asPlainText -Force",
"$credential = New-Object System.Management.Automation.PSCredential($username,$password)",
"Add-Computer -DomainName $domain -Credential $credential -ErrorAction SilentlyContinue -ErrorVariable domainjoinerror",
"if($?){Write-Host \"Instance joined to domain successfully. Restarting\"; exit 3010}else{Write-Host \"Instance failed to join domain with error:\" $domainjoinerror; exit 1 }"
]
}
}
]
}
```
1. Exécutez la commande suivante dans Outils pour Windows PowerShell pour créer un nouveau document SSM.
```
$json = Get-Content C:\temp\JoinInstanceToDomain | Out-String
New-SSMDocument -Name JoinInstanceToDomain -Content $json -DocumentType Command
```
1. Exécutez la commande suivante dans Outils PowerShell pour Windows pour joindre le nœud au domaine.
```
Send-SSMCommand -InstanceId instance-id -DocumentName JoinInstanceToDomain
```
Si la commande aboutit, le système renvoie des informations similaires à ce qui suit.
```
WARNING: The changes will take effect after you restart the computer EC2ABCD-EXAMPLE.
Domain join succeeded, restarting
Computer is part of example.local, exiting
```
Si la commande échoue, le système renvoie des informations similaires à ce qui suit.
```
Failed to join domain with error:
Computer 'EC2ABCD-EXAMPLE' failed to join domain 'example.local'
from its current workgroup 'WORKGROUP' with following error message:
The specified domain either does not exist or could not be contacted.
```
# Audit et journalisation de l'activité de Parameter Store
AWS CloudTrail capture les appels d'API effectués dans la AWS Systems Manager console, le AWS Command Line Interface (AWS CLI) et le SDK Systems Manager. Vous pouvez consulter les informations dans la CloudTrail console ou dans un bucket Amazon Simple Storage Service (Amazon S3). Tous les CloudTrail journaux de votre compte utilisent un seul compartiment. Pour plus d'informations sur l'affichage et l'utilisation des CloudTrail journaux d'activité de Systems Manager, consultez[Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md). Pour de plus amples informations sur les options d'audit et de journalisation de Systems Manager, veuillez consulter [Connexion et surveillance AWS Systems Manager](monitoring.md).
# Résolution des problèmes de Parameter Store
Utilisez les informations suivantes pour résoudre les problèmes liés à Parameter Store, un outil de AWS Systems Manager.
## Dépannage pour la création de paramètres `aws:ec2:image`
Utilisez les informations suivantes pour résoudre les problèmes liés à la création de paramètres de type de données `aws:ec2:image`.
### Pas d’autorisation pour créer une instance
**Problème** : vous essayez de créer une instance à l’aide d’un paramètre `aws:ec2:image`, mais vous recevez un message d’erreur tel que « Vous n’êtes pas autorisé à effectuer cette opération. »
+ **Solution** : vous ne disposez pas de toutes les autorisations nécessaires pour créer une instance EC2 à l’aide d’une valeur de paramètre, telles que les autorisations pour `ec2:RunInstances`, `ec2:DescribeImages` et `ssm:GetParameter`, entre autres. Contactez un utilisateur disposant des autorisations d’administrateur dans votre organisation pour demander les autorisations nécessaires.
### EventBridge signale le message d'erreur « Impossible de décrire la ressource »
**Problème** : vous avez exécuté une commande pour créer un paramètre `aws:ec2:image`, mais la création de ce dernier a échoué. Vous recevez une notification d'Amazon EventBridge signalant l'exception « Impossible de décrire la ressource ».
**Solution** : ce message peut indiquer ce qui suit :
+ Vous n'avez pas reçu l'autorisation requise pour l'opération d'API `ec2:DescribeImages`, ou vous n'avez pas l'autorisation d'accéder à l'image spécifique référencée dans le paramètre. Contactez un utilisateur disposant des autorisations d'administrateur dans votre organisation pour demander les autorisations nécessaires.
+ L'ID d'Amazon Machine Image (AMI) que vous avez saisi en tant que valeur de paramètre n'est pas valide. Assurez-vous de saisir l'identifiant d'un AMI numéro disponible sur le compte courant Région AWS et sur lequel vous travaillez.
### Le nouveau paramètre `aws:ec2:image` n'est pas disponible
**Problème** : vous venez d'exécuter une commande pour créer un paramètre `aws:ec2:image` et un numéro de version a été signalé, mais le paramètre n'est pas disponible.
+ **Solution** : lorsque vous exécutez la commande pour créer un paramètre qui utilise le type de données `aws:ec2:image`, un numéro de version est immédiatement généré pour le paramètre, mais le format de ce dernier doit être validé avant qu'il ne soit disponible. Ce processus peut prendre quelques minutes. Pour surveiller le processus de création et de validation des paramètres, vous pouvez faire ce qui suit :
+ EventBridge Utilisez-le pour vous envoyer des notifications concernant vos opérations `create` et les `update` paramètres. Ces notifications indiquent si une opération de paramètre a réussi ou non. Pour plus d'informations sur l'abonnement à Parameter Store des événements dans EventBridge, voir[Configuration de notifications ou d’actions de déclenchement basées sur des événements Parameter Store](sysman-paramstore-cwe.md).
+ Dans la section Parameter Store de la console Systems Manager, mettez à jour périodiquement la liste des paramètres pour rechercher les détails des nouveaux paramètres ou de ceux mis à jour.
+ Utilisez la commande **GetParameter** pour vérifier le nouveau paramètre ou le paramètre mis à jour. Par exemple, en utilisant l' AWS Command Line Interface (AWS CLI) :
```
aws ssm get-parameter name MyParameter
```
Pour un nouveau paramètre, un message `ParameterNotFound` est renvoyé jusqu'à ce que le paramètre soit validé. Pour un paramètre existant que vous mettez à jour, les informations sur la nouvelle version ne sont pas incluses tant que le paramètre n'est pas validé.
Si vous tentez de créer ou de mettre à jour à nouveau le paramètre avant la fin du processus de validation, le système signale que la validation est toujours en cours. Si le paramètre n'est pas créé ou mis à jour, vous pouvez réessayer 5 minutes après la première tentative.