• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。 # Parameter Store を設定する AWS Systems Manager のツールである Parameter Store でパラメータを設定する前に、最初に AWS Identity and Access Management (IAM) ポリシーを設定して、アカウント内のユーザーに指定したアクションを実行するためのアクセス許可を付与します。 このセクションでは、IAM コンソールを使用してこれらのポリシーを手動で設定する方法、およびそれらをユーザーとユーザーグループに割り当てる方法について説明します。マネージドノード上で実行できるパラメータアクションを制御するためのポリシーを作成して割り当てることもできます。 また、このセクションでは、Systems Manager パラメータの変更に関する通知を受信するために Amazon EventBridge ルールを作成する方法についても説明します。さらに、Parameter Store の変更に基づき、AWS で他のアクションを呼び出す EventBridge ルールを使用することもできます。 **Topics** + [ # IAM ポリシーを使用して Parameter Store パラメータへのアクセスを制限する ](sysman-paramstore-access.md) + [ # パラメータ層の管理 ](parameter-store-advanced-parameters.md) + [ # Parameter Store スループットの引き上げまたはリセット ](parameter-store-throughput.md) + [ # Parameter Store イベントに基づいた通知の設定またはアクションのトリガー ](sysman-paramstore-cwe.md) # IAM ポリシーを使用して Parameter Store パラメータへのアクセスを制限する AWS Identity and Access Management (IAM) を使用して、AWS Systems Manager パラメータへのアクセスを制限します。具体的には、次の API オペレーションへのアクセスを制限する IAM ポリシーを作成します。 + [DeleteParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html) + [DeleteParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html) + [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html) + [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) + [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) + [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html) + [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html) + [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html) IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する場合は、*制限付き* IAM ポリシーを作成して使用することをお勧めします。たとえば、以下のポリシーでは、ユーザーは限られた一連のリソースに対して `DescribeParameters` および `GetParameters` API オペレーションを呼び出すことができます。つまり、`prod-*` で始まるすべてのパラメータに関する情報を取得し、使用することができます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*" } ] } ``` ------ **重要** ユーザーがパスへのアクセス許可を持つ場合、そのユーザーはそのパスのすべてのレベルにアクセスできます。たとえば、ユーザーがパス `/a` へのアクセス許可を持っている場合、ユーザーは `/a/b` にアクセスすることもできます。ユーザーが IAM でパラメータ `/a/b` へのアクセスを明示的に拒否された場合でも、`/a` に対して `GetParametersByPath` API オペレーションを再帰的に呼び出し、`/a/b` を表示できます。 信頼されている管理者には、以下の例のようなポリシーを使用することで、すべての Systems Manager パラメータ API オペレーションへのアクセスを許可できます。このポリシーにより、ユーザーは、`dbserver-prod-*` で始まるすべての本稼働パラメータにフルアクセスできます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:PutParameter", "ssm:DeleteParameter", "ssm:GetParameterHistory", "ssm:GetParametersByPath", "ssm:GetParameters", "ssm:GetParameter", "ssm:DeleteParameters" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/dbserver-prod-*" }, { "Effect": "Allow", "Action": "ssm:DescribeParameters", "Resource": "*" } ] } ``` ------ ## アクセス許可を拒否する 各 API は一意であり、個別に許可または拒否できる個別の操作とアクセス許可があります。ポリシー内の明示的な拒否は、許可に優先します。 **注記** デフォルトの AWS Key Management Service (AWS KMS) キーには、AWS アカウント 内のすべての IAM プリンシパルに対する `Decrypt` アクセス許可があります。アカウントの `SecureString` パラメータに対して異なるアクセスレベルを使用する場合は、デフォルトのキーを使用することはお勧めしません。 パラメータ値を取得するすべての API オペレーションの動作を同じにする場合は、ポリシーの `GetParameter*` ようなパターンを使用できます。次に、`GetParameter` で始まるすべてのパラメータについて、`GetParameters`、`GetParameterHistory`、`GetParametersByPath`、および `prod-*` を拒否する例を示します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ssm:GetParameter*" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*" } ] } ``` ------ 次に、`prod-*` で始まるすべてのパラメータに対してユーザーが他のコマンドを実行できるようにしながら、一部のコマンドを拒否する例を示します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ssm:PutParameter", "ssm:DeleteParameter", "ssm:DeleteParameters", "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParametersByPath", "ssm:GetParameters", "ssm:GetParameter", "ssm:GetParameterHistory" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*" } ] } ``` ------ **注記** パラメータ履歴には、現在のパラメータを含むすべてのパラメータバージョンが含まれます。したがって、`GetParameter`、`GetParameters`、および `GetParameterByPath` に対するアクセス許可が拒否され、`GetParameterHistory` に対するアクセス許可が認められている場合、`SecureString` を使用して、`GetParameterHistory` パラメータを含む現在のパラメータを表示できます。 ## 特定のパラメータのみノードでの実行を許可する 指定したパラメータのみをマネージドノードが実行できるようにアクセスをコントロールできます。 パラメータを作成するときに `SecureString` パラメータ型を選択した場合、Systems Manager は AWS KMS を使用してパラメータ値を暗号化します。AWS KMS は AWS マネージドキー またはカスタマーマネージドキーを使用して値を暗号化します。AWS KMS と AWS KMS key の詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。 AWS マネージドキー を表示するには、以下のコマンドを AWS CLI から実行します。 ``` aws kms describe-key --key-id alias/aws/ssm ``` 以下の例では、「`prod-`」で始まるパラメータに対してのみ、ノードがパラメータの値を取得できるようにしています。パラメータが `SecureString` の場合、ノードは AWS KMS を使用してその文字列を復号化します。 **注記** 以下の例のように、IAM でインスタンスポリシーはインスタンスロールに割り当てられます。ユーザーとインスタンスにポリシーを割り当てる方法を含め、Systems Manager の機能へのアクセスを設定する方法の詳細については、「[Systems Manager を利用した EC2 インスタンスの管理](systems-manager-setting-up-ec2.md)」を参照してください。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": [ "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-east-1:111122223333:key/4914ec06-e888-4ea5-a371-5b88eEXAMPLE" ] } ] } ``` ------ ## AWS のデフォルトキーとカスタマーマネージドキーを使用するための IAM アクセス権限 Parameter Store `SecureString` パラメータは、AWS KMS キーを使用して暗号化および復号化されます。AWS が提供する AWS KMS key またはデフォルトの KMS キーを使用して、`SecureString` パラメータを暗号化することを選択できます。 カスタマーマネージドキーを使用する場合、パラメータまたはパラメータパスへのユーザーアクセスを許可する IAM ポリシーによって、キーに対する明示的な `kms:Encrypt` アクセス許可を提供する必要があります。例えば、次のポリシーでは、指定した AWS リージョン と AWS アカウント で「`prod-`」で始まる `SecureString` パラメータを作成、更新、表示できます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:PutParameter", "ssm:GetParameter", "ssm:GetParameters" ], "Resource": [ "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE" ] } ] } ``` ------ **注記** 指定されたカスタマーマネージドキーを使用して暗号化された詳細パラメータを作成するには、`kms:GenerateDataKey` アクセス許可が必要です。 対照的に、カスタマーアカウント内のすべてのユーザーは、デフォルトの AWS マネージドキーにアクセスできます。このデフォルトキーを使用して `SecureString` パラメータを暗号化し、ユーザーが `SecureString` パラメータを操作しないようにする場合は、次のポリシー例に示すように、IAM ポリシーでデフォルトキーへのアクセスを明示的に拒否する必要があります。 **注記** デフォルトのキーの Amazon リソースネーム (ARN) は、AWS KMS コンソールの [[AWS マネージドキー]](https://console.aws.amazon.com/kms/home#/kms/defaultKeys) ページで確認できます。デフォルトのキーは、**[エイリアス]** 列の `aws/ssm` で識別されます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:us-east-1:111122223333:key/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE" ] } ] } ``` ------ アカウントの `SecureString` パラメータに対するきめ細かいアクセス制御が必要な場合は、カスタマーマネージドキーを使用して、これらのパラメータへのアクセスを保護および制限する必要があります。また、AWS CloudTrail を使用して `SecureString` パラメータのアクティビティを監視することをお勧めします。 詳細については、以下のトピックを参照してください。 + *IAM ユーザーガイド*の「[ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」 + 「AWS Key Management Service デベロッパーガイド」の「[AWS KMS の主要ポリシーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」 + *AWS CloudTrail ユーザーガイド*の「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」 # パラメータ層の管理 AWS Systems Manager のツールである Parameter Store には、*スタンダードパラメータ*と*アドバンストパラメータ*が含まれています。スタンダードパラメータ階層 (デフォルト階層) またはアドバンストパラメータ階層を使用するようパラメータを個別に設定します。 スタンダードパラメータをアドバンストパラメータに変更することはできますが、アドバンストパラメータをスタンダードパラメータに変更することはできません。アドバンストパラメータをスタンダードパラメータに戻すと、システムはパラメータのサイズを 8 KB から 4 KB に切り捨て、データが失われるためです。元に戻すと、パラメータにアタッチされたポリシーも削除されます。また、アドバンストパラメータはスタンダードパラメータよりもさまざまな暗号化形式を使用します。詳細については、AWS Key Management Service デベロッパーガイドの「[AWS Systems ManagerParameter Store が AWS KMS を使用する方法](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)」を参照してください。 アドバンストパラメータが不要になった場合、またはアドバンストパラメータの料金を抑えたい場合は、アドバンストパラメータを削除して新しいスタンダードパラメータとして再作成します。 以下の表では、階層の違いについて説明しています。 **** | | スタンダード | アドバンスト | | --- | --- | --- | | 許可されるパラメータの合計数 (AWS アカウント および AWS リージョン あたり) | 10,000 | 100,000 | | パラメータ値の最大サイズ | 4 KB | 8 KB | | パラメータポリシーの使用可否 | いいえ | はい 詳細については、[Parameter Store でのパラメータポリシーの割り当て](parameter-store-policies.md)を参照してください | | Cost | 追加料金なし | 料金対象 詳細については、「[Parameter Store 向けの AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store)」を参照してください。 | **Topics** + [ ## デフォルトのパラメータ階層の指定 ](#ps-default-tier) + [ ## スタンダードパラメータをアドバンストパラメータに変更する ](#parameter-store-advanced-parameters-enabling) ## デフォルトのパラメータ階層の指定 パラメータを作成または更新するリクエスト (つまり、`[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)` オペレーション) では、リクエストで使用するパラメータ階層を指定できます。以下に示しているのは、AWS Command Line Interface (AWS CLI) を使用した例です。 ------ #### [ Linux & macOS ] ``` aws ssm put-parameter \ --name "default-ami" \ --type "String" \ --value "t2.micro" \ --tier "Standard" ``` ------ #### [ Windows ] ``` aws ssm put-parameter ^ --name "default-ami" ^ --type "String" ^ --value "t2.micro" ^ --tier "Standard" ``` ------ リクエストで階層を指定するたびに、Parameter Store はリクエストに応じてパラメータを作成または更新します。ただし、リクエストで階層を明示的に指定しない場合、デフォルトの Parameter Store 階層設定によって、パラメータが作成される階層が決まります。 スタンダードパラメータ階層は、Parameter Store の使用を開始するときのデフォルトの階層です。アドバンストパラメータ階層を使用する場合、デフォルトとして次のいずれかを指定できます。 + **アドバンスト**: このオプションでは、パラメータストアはすべてのリクエストをアドバンストパラメータとして評価します。 + **Intelligent-Tiering**: このオプションでは、Parameter Store は各リクエストを評価して、パラメータがスタンダードパラメータかアドバンストパラメータかを判断します。 リクエストに詳細パラメータを必要とするオプションが含まれていない場合、パラメータは標準パラメータ階層で作成されます。アドバンストパラメータを必要とする 1 つ以上のオプションがリクエストに含まれている場合、Parameter Store はアドバンストパラメータ階層でパラメータを作成します。 **Intelligent-Tiering の利点** 以下は、デフォルトの階層として Intelligent-Tiering を選択する理由です。 **コスト管理** - Intelligent-Tiering は、高度なパラメータが絶対に必要な場合を除き、常に標準パラメータを作成することで、パラメータ関連のコストを管理するのに役立ちます。 **アドバンストパラメータ階層への自動アップグレード** - 標準パラメータをアドバンストパラメータにアップグレードする必要があるコードに変更を加えると、Intelligent-Tiering によって変換が処理されます。アップグレードを処理するためにコードを変更する必要はありません。 自動アップグレードの例をいくつか示します。 + AWS CloudFormation テンプレートは、実行時に多数のパラメータをプロビジョニングします。このプロセスによって標準パラメータ階層で 10,000 個のパラメータのクォータに達した場合、Intelligent-Tiering によって自動的にアドバンストパラメータ階層にアップグレードされ、CloudFormation プロセスは中断されません。 + 証明書値をパラメータに保存し、証明書値を定期的にローテーションします。コンテンツは標準パラメータ階層の 4 KB のクォータを下回ります。代替証明書の値が 4 KB を超える場合、Intelligent-Tiering は自動的にパラメータをアドバンストパラメータ階層にアップグレードします。 + 多数の既存の標準パラメータをパラメータポリシーに関連付ける必要があります。これには、アドバンストパラメータ階層が必要です。パラメータを更新するすべての呼び出しに `--tier Advanced` オプションを含める必要はなく、Intelligent-Tiering は自動的にパラメータをアドバンストパラメータ階層にアップグレードします。Intelligent-Tiering オプションは、アドバンストパラメータ階層の基準が導入されるたびに、パラメータを標準からアドバンストにアップグレードします。 アドバンストパラメータを必要とするオプションには、以下が含まれます。 + パラメータのコンテンツサイズが 4 KB を超えています。 + パラメータは、パラメータポリシーを使用します。 + 現在の AWS リージョン では、10,000 を超えるパラメータが既に AWS アカウント に存在します。 **デフォルトの階層オプション** デフォルトとして指定できる階層オプションには、以下が含まれます。 + **スタンダード** – スタンダードパラメータ階層は、Parameter Store の使用を開始するときのデフォルトの階層です。スタンダードパラメータ階層を使用すると、AWS アカウント の AWS リージョン ごとに 10,000 個のパラメータを作成できます。各パラメータのコンテンツサイズは最大 4 KB と等しくできます。標準パラメータはパラメータポリシーをサポートしていません。標準パラメータ階層の使用に追加料金はかかりません。デフォルト階層として [**標準**] を選択すると、Parameter Store は常に、階層を指定しないリクエストに対して標準パラメータの作成を試みます。 + **アドバンスト** – アドバンストパラメータ階層を使用して、AWS アカウント の AWS リージョン ごとに最大 100,000 個のパラメータを作成します。各パラメータのコンテンツサイズは、最大 8 KB と等しくできます。アドバンストパラメータはパラメータポリシーをサポートします。パラメータを共有するには、そのパラメータが詳細パラメータ階層に含まれている必要があります。アドバンストパラメータ階層の使用には料金が発生します。詳細については、「[Parameter Store 向けの AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store)」を参照してください。デフォルト階層として [**アドバンスト**] を選択すると、Parameter Store は階層を指定しないリクエストに対して常にアドバンストパラメータの作成を試みます。 **注記** アドバンストパラメータ階層を選択する場合、作成するアドバンストパラメータについて AWS がアカウントに課金することを明示的に承認します。 + **Intelligent-Tiering **– Intelligent-Tiering オプションを使用して、Parameter Store は、リクエストのコンテンツに基づいて、スタンダードパラメータ階層またはアドバンストパラメータ階層のどちらを使用するか決定します。例えば、4 KB 未満のコンテンツを持つパラメータを作成するコマンドを実行し、AWS アカウント の現在の AWS リージョン に存在するパラメータが 10,000 個未満であり、パラメータポリシーを指定しない場合、標準パラメータが作成されます。4 KB を超えるコンテンツを含むパラメータを作成するコマンドを実行する場合、AWS アカウント の現在の AWS リージョン に 10,000 個を超えるパラメータが既にある場合、またはパラメータポリシーを指定すると、アドバンストパラメータが作成されます。 **注記** Intelligent-Tiering を選択する場合、作成したアドバンストパラメータについて AWS がアカウントに課金することを明示的に承認する必要があります。 デフォルトの Parameter Store 階層設定はいつでも変更できます。 ### デフォルトの Parameter Store 階層を指定するアクセス許可の設定 次のいずれかを実行して、Parameter Store のデフォルトパラメータ階層を変更するアクセス許可が AWS Identity and Access Management (IAM) にあることを確認します。 + `AdministratorAccess` ポリシーが IAM エンティティ (ユーザー、グループ、ロールなど) にアタッチされていることを確認します。 + 次の API オペレーションを使用して、デフォルト階層設定を変更するアクセス権限があることを確認します。 + [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html) + [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html) + [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html) IAM エンティティに次のアクセス許可を付与して、ユーザーが AWS アカウント の特定の AWS リージョン でパラメータのデフォルト階層の設定を表示および変更できるようにします。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/parameter-store/default-parameter-tier" } ] } ``` ------ 管理者は、次のアクセス許可を割り当てることで、読み取り専用のアクセス許可を指定することができます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "*" } ] } ``` ------ アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。 + AWS IAM アイデンティティセンター のユーザーとグループ: アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。 + IAM 内で、ID プロバイダーによって管理されているユーザー: ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。 + IAM ユーザー: + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。 + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。 ### コンソールを使用してデフォルトの Parameter Store 階層を指定または変更する 次の手順は、Systems Manager コンソールを使用して、現在の AWS アカウント と AWS リージョン のデフォルトのパラメータ階層を指定または変更する方法を示しています。 **ヒント** まだパラメータを作成していない場合は、AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell を使用してデフォルトのパラメータ層を変更できます。詳細については、「[AWS CLI を使用したデフォルトの Parameter Store 階層の指定または変更](#parameter-store-tier-changing-cli)」および「[デフォルトの Parameter Store 階層の指定または変更 (PowerShell)](#parameter-store-tier-changing-ps)」を参照してください。 **デフォルトの Parameter Store 階層を指定または変更するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[Parameter Store]** を選択します。 1. [**Settings**] タブを選択します。 1. [ **Change default tier (デフォルト階層の変更)**] を選択します。 1. 次のいずれかのオプションを選択します。 + **スタンダード** + **アドバンスト** + [**Intelligent-Tiering**] これらのオプションについては、「[デフォルトのパラメータ階層の指定](#ps-default-tier)」を参照してください。 1. メッセージを確認したら、[**確認**] を選択します。 デフォルト階層の設定を後で変更する場合は、この手順を繰り返し、別のデフォルト階層オプションを指定します。 ### AWS CLI を使用したデフォルトの Parameter Store 階層の指定または変更 次の手順では、AWS CLI を使用して、現在の AWS アカウント と AWS リージョン のデフォルトのパラメータ階層の設定を変更する方法を示します。 **AWS CLI を使用してデフォルトの Parameter Store 階層を指定または変更するには** 1. AWS CLI を開き、次のコマンドを実行して、AWS アカウント の特定の AWS リージョン のデフォルトのパラメータ階層設定を変更します。 ``` aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier --setting-value tier-option ``` *region* は、米国東部 (オハイオ) リージョンの `us-east-2` のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている*リージョン*値のリストについては、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)」にある**リージョン**列を参照してください。 *階層オプション* の値は、`Standard`、`Advanced`、および `Intelligent-Tiering` です。これらのオプションについては、「[デフォルトのパラメータ階層の指定](#ps-default-tier)」を参照してください。 コマンドが成功した場合、出力はありません。 1. 次のコマンドを実行して、現在の AWS アカウント と AWS リージョン の Parameter Store で現在のデフォルトパラメータ層のサービス設定を表示します。 ``` aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier ``` システムは以下のような情報を返します。 ``` { "ServiceSetting": { "SettingId": "/ssm/parameter-store/default-parameter-tier", "SettingValue": "Advanced", "LastModifiedDate": 1556551683.923, "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper", "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier", "Status": "Customized" } } ``` デフォルトの階層設定を再び変更する場合は、この手順を繰り返し、別の `SettingValue` オプションを指定します。 ### デフォルトの Parameter Store 階層の指定または変更 (PowerShell) 次の手順では、Tools for Windows PowerShell を使用して、Amazon Web Services アカウントの特定の AWS リージョン のデフォルトのパラメータ階層の設定を変更する方法を示します。 **PowerShell を使用してデフォルトの Parameter Store 階層を指定または変更するには** 1. AWS Tools for PowerShell (Tools for PowerShell) を使用して、現在の AWS アカウント と AWS リージョン の Parameter Store のデフォルト階層を変更します。 ``` Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -SettingValue "tier-option" -Region region ``` *region* は、米国東部 (オハイオ) リージョンの `us-east-2` のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている*リージョン*値のリストについては、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)」にある**リージョン**列を参照してください。 *階層オプション* の値は、`Standard`、`Advanced`、および `Intelligent-Tiering` です。これらのオプションについては、「[デフォルトのパラメータ階層の指定](#ps-default-tier)」を参照してください。 コマンドが成功した場合、出力はありません。 1. 次のコマンドを実行して、現在の AWS アカウント と AWS リージョン の Parameter Store で現在のデフォルトパラメータ層のサービス設定を表示します。 ``` Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -Region region ``` *region* は、米国東部 (オハイオ) リージョンの `us-east-2` のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている*リージョン*値のリストについては、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)」にある**リージョン**列を参照してください。 システムは以下のような情報を返します。 ``` ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier LastModifiedDate : 4/29/2019 3:35:44 PM LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper SettingId : /ssm/parameter-store/default-parameter-tier SettingValue : Advanced Status : Customized ``` デフォルトの階層設定を再び変更する場合は、この手順を繰り返し、別の `SettingValue` オプションを指定します。 ## スタンダードパラメータをアドバンストパラメータに変更する 既存のスタンダードパラメータをアドバンストパラメータに変更するには、次の手順を使用します。新しい詳細パラメータの作成方法については、「[Systems Manager での Parameter Store パラメータの作成](sysman-paramstore-su-create.md)」を参照してください。 **スタンダードパラメータをアドバンストパラメータに変更するには** 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[Parameter Store]** を選択します。 1. パラメータを選択してから、[**編集**] を選択します。 1. [**説明**] に、このパラメータに関する情報を入力します。 1. [**Advanced**] を選択します。 1. [**値**]に、このパラメータの値を入力します。アドバンストパラメータの最大値は 8 KB に制限されます。 1. **[Save changes]** (変更の保存) をクリックします。 # Parameter Store スループットの引き上げまたはリセット Parameter Store のスループットを増やすと、AWS Systems Manager のツールである Parameter Store が処理できる 1 秒あたりのトランザクション (TPS) の最大数が増加します。スループットが引き上げられると、複数のパラメータに同時アクセスが必要なアプリケーションとワークロードをサポートするため、高いボリュームで Parameter Store を運用できます。**[Settings]** (設定) タブでは、最大スループットまでクォータを引き上げることができます。 Parameter Store のスループット設定は、現在の AWS アカウント と AWS リージョン におけるすべての (IAM) ユーザーによって作成されたすべてのトランザクションに適用されます。スループット設定は、スタンダードおよびアドバンストのパラメータに適用されます。 **注記** 通常、更新は Service Quotas にすぐに表示されます。まれに、更新が反映されるまでに最大 24 時間かかることがあります。 最大スループットのデフォルトと上限の詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com//general/latest/gr/ssm.html#limits_ssm)」を参照してください。 スループットのクォータを引き上げると、AWS アカウント に追加料金が発生します。詳細については、[AWS Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。 **Topics** + [ ## Parameter Store のスループットを変更するアクセス許可を設定する ](#parameter-store-throughput-permissions) + [ ## コンソールを使用したスループットの引き上げまたはリセット ](#parameter-store-throughput-increasing) + [ ## AWS CLI を使用したスループットの引き上げまたはリセット ](#parameter-store-throughput-increasing-cli) + [ ## スループットの引き上げまたはリセット (PowerShell) ](#parameter-store-throughput-increasing-ps) ## Parameter Store のスループットを変更するアクセス許可を設定する 次のいずれかを実行して、Parameter Store のスループットを変更する IAM のアクセス許可があることを確認します。 + `AdministratorAccess` ポリシーが、IAM エンティティ (ユーザー、グループ、またはロール) にアタッチされていることを確認します。 + 次の API オペレーションを使用して、スループットサービス設定を変更する権限があることを確認します。 + [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html) + [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html) + [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html) IAM エンティティに次のアクセス許可を付与して、ユーザーが AWS アカウント の特定の AWS リージョン でパラメータのスループット設定を表示および変更できるようにします。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/parameter-store/high-throughput-enabled" } ] } ``` ------ 管理者は、次のアクセス許可を割り当てることで、読み取り専用のアクセス許可を指定することができます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "*" } ] } ``` ------ アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。 + AWS IAM アイデンティティセンター のユーザーとグループ: アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。 + IAM 内で、ID プロバイダーによって管理されているユーザー: ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。 + IAM ユーザー: + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。 + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。 ## コンソールを使用したスループットの引き上げまたはリセット 次の手順では、Systems Manager コンソールを使用して Parameter Store が現在の AWS アカウント と AWS リージョン に対して処理できる 1 秒あたりのトランザクション数を引き上げる方法を示します。スループットの向上が不要になった場合や追加の料金を回避したい場合に標準の設定に戻す方法も示します。 **コンソールを使用して Parameter Store スループットを増加またはリセットするには** **ヒント** パラメータをまだ作成していない場合は、AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell を使用してスループットを増加することができます。詳細については、「[AWS CLI を使用したスループットの引き上げまたはリセット](#parameter-store-throughput-increasing-cli)」および「[スループットの引き上げまたはリセット (PowerShell)](#parameter-store-throughput-increasing-ps)」を参照してください。 1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。 1. ナビゲーションペインで、**[Parameter Store]** を選択します。 1. **[Settings]** (設定) タブを選択します。 1. スループットを上げるには、**[上限をセットする]** を選択します。 -または- デフォルトの上限に戻すには、**[上限をリセットする]** を選択します。 1. 上限を上げる場合は、次の手順を実行します。 + **[この設定を変更すると AWS アカウント に料金が発生することを承諾します]** のチェックボックスを選択します。 + [**Set limit (制限の設定)**] を選択します。 -または- 上限をデフォルトにリセットする場合は、次の手順を実行します。 + **[デフォルトのスループット上限にリセットすると、Parameter Store で 1 秒あたりに処理されるトランザクションが少なくなることを承諾します]** のチェックボックスを選択します。 + **[上限をリセットする]** を選択します。 ## AWS CLI を使用したスループットの引き上げまたはリセット 次の手順では、AWS CLI を使用して、Parameter Store が現在の AWS アカウント と AWS リージョン に対して処理できる 1 秒あたりのトランザクションの数を増やす方法を示します。デフォルトの上限に戻すこともできます。 **AWS CLI を使用して Parameter Store のスループットを向上させるには** 1. AWS CLI を開き、次のコマンドを実行して、現在の AWS アカウント と AWS リージョン で Parameter Store が処理できる 1 秒あたりのトランザクション数を増やします。 ``` aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled --setting-value true ``` コマンドが成功した場合、出力はありません。 1. 次のコマンドを実行して、現在の AWS アカウント と AWS リージョン の Parameter Store で現在のスループットサービス設定を表示します。 ``` aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled ``` システムは以下のような情報を返します。 ``` { "ServiceSetting": { "SettingId": "/ssm/parameter-store/high-throughput-enabled", "SettingValue": "true", "LastModifiedDate": 1556551683.923, "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper", "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled", "Status": "Customized" } } ``` スループットの向上が不要になった場合や追加の料金を節約したい場合は、標準の設定に戻すことができます。設定を元に戻すには、次のコマンドを実行します。 ``` aws ssm reset-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled ``` ``` { "ServiceSetting": { "SettingId": "/ssm/parameter-store/high-throughput-enabled", "SettingValue": "false", "LastModifiedDate": 1555532818.578, "LastModifiedUser": "System", "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled", "Status": "Default" } } ``` ## スループットの引き上げまたはリセット (PowerShell) 次の手順は、Tools for Windows PowerShell を使用して、現在の AWS アカウント と AWS リージョン に対して Parameter Store が処理できる 1 秒あたりのトランザクション数を引き上げる増やす方法を示しています。デフォルトの上限に戻すこともできます。 **PowerShell を使用して Parameter Store のスループットを向上させるには** 1. AWS Tools for PowerShell (Tools for PowerShell) を使用して、現在の AWS アカウント と AWS リージョン の Parameter Store のスループットを引き上げます。 ``` Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -SettingValue "true" -Region region ``` コマンドが成功した場合、出力はありません。 1. 次のコマンドを実行して、現在の AWS アカウント と AWS リージョン の Parameter Store で現在のスループットサービス設定を表示します。 ``` Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -Region region ``` システムは以下のような情報を返します。 ``` ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled LastModifiedDate : 4/29/2019 3:35:44 PM LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper SettingId : /ssm/parameter-store/high-throughput-enabled SettingValue : true Status : Customized ``` スループットの向上が不要になった場合や追加の料金を節約したい場合は、標準の設定に戻すことができます。設定を元に戻すには、次のコマンドを実行します。 ``` Reset-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -Region region ``` システムは以下のような情報を返します。 ``` ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled LastModifiedDate : 4/17/2019 8:26:58 PM LastModifiedUser : System SettingId : /ssm/parameter-store/high-throughput-enabled SettingValue : false Status : Default ``` # Parameter Store イベントに基づいた通知の設定またはアクションのトリガー Parameter Store イベントに基づいた通知の設定またはアクションのトリガー このセクションのトピックでは、Amazon EventBridge および Amazon Simple Notification Service (Amazon SNS) を使用して、AWS Systems Manager のパラメータに変更があったことの通知を受け取る方法について説明します。パラメータまたはパラメータラベルのバージョンが作成、更新、または削除されたときに通知する EventBridge ルールを作成できます。イベントは、ベストエフォートベースで出力されます。パラメータの有効期限切れ、期限切れ間近、または指定された期間中に変更されていないなど、パラメータポリシーに関する変更またはステータスに関する通知を受信することができます。 **注記** パラメータポリシーは、高度なパラメータ階層を使用するパラメータに利用できます。料金が適用されます。詳細については、「[Parameter Store でのパラメータポリシーの割り当て](parameter-store-policies.md)」および「[パラメータ層の管理](parameter-store-advanced-parameters.md)」を参照してください。 本セクションのトピックでは、特定のパラメータイベントに対してターゲット上で他のアクションを開始する方法も説明しています。たとえば、有効期限が切れたか、削除された場合に、そのパラメータを自動的に再作成する AWS Lambda 関数を実行することができます。また、データベースパスワードが更新された際に Lambda 関数を起動する通知をセットアップすることもできます。Lambda 関数は、データベース接続のリセットまたは新しいパスワードでの再接続を強制できます。EventBridge は、Run Command コマンドの実行と Automation の実行、およびその他多くの AWS のサービスでのアクションもサポートしています。Run Command と Automation はどちらも AWS Systems Manager のツールです。詳細については、「*[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*」を参照してください。 **開始する前に** 作成したルールのターゲットアクションを指定するために必要なリソースを作成します。例えば、作成したルールが通知の送信用である場合は、まず Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「[Amazon SNS の使用開始](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.htmlGettingStarted.html)」を参照してください。 ## パラメータおよびパラメータポリシー用の EventBridge ルールを設定する このトピックは、次のセクションで構成されています。 + AWS アカウント の 1 つ以上のパラメータに発生したイベントに基づき、ターゲットを呼び出す EventBridge ルールを作成する方法。 + AWS アカウント の 1 つ以上のパラメータポリシーに発生したイベントに基づき、ターゲットを呼び出す EventBridge ルールを作成する方法。詳細パラメータを作成する際、パラメータの失効日、パラメータの有効期限の失効前に通知を受信するタイミング、パラメータが変更されていないことを示す通知を送信するまでの時間を指定します。次の手順を使用して、これらのイベントの通知を設定します。詳細については、「[Parameter Store でのパラメータポリシーの割り当て](parameter-store-policies.md)」および「[パラメータ層の管理](parameter-store-advanced-parameters.md)」を参照してください。 **Systems Manager パラメータまたはパラメータポリシー用に EventBridge を設定するには** 1. Amazon EventBridge コンソール の[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。 1. ナビゲーションペインで、[**Rules** (ルール)] を選択し、[**Create rule** (ルールの作成)] を選択します。 -または- EventBridge ホームページが最初に開く場合は、[**Create rule **(ルールの作成)] を選択します。 1. ルールの名前と説明を入力します。 ルールには同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。 1. **[イベントバス]** で、このルールに関連付けるイベントバスを選択します。このルールをユーザー自身の AWS アカウント の一致するイベントで開始する場合は、**[Default]** (デフォルト) 選択します。アカウントの AWS のサービスで発生したイベントは、常にアカウントのデフォルトのイベントバスに移動します。 1. **[Rule type]** (ルールタイプ) で、デフォルトの **[Rule with an event pattern]** (イベントパターンを持つルール) を選択したままにします。 1. [**次へ**] を選択します。 1. **[イベントソース]** で、デフォルトの **[AWS イベントまたは EventBridge パートナーイベント]** を選択したままにします。**[Sample event]** (サンプルイベント) セクションはスキップできます。 1. **[Event pattern]** (イベントパターン) の場合は次のいずれかを実行します。 + **[Custom pattern (JSON editor)]** (カスタムパターン (JSON エディター)) を選択します。 + **[Event pattern]** (イベントパターン) で、パラメータまたはパラメータポリシーのどちらのルールを作成するかに応じて、次のいずれかの内容をボックスに貼り付けます。 ------ #### [ Parameter ] ``` { "source": [ "aws.ssm" ], "detail-type": [ "Parameter Store Change" ], "detail": { "name": [ "parameter-1-name", "/parameter-2-name/level-2", "/parameter-3-name/level-2/level-3" ], "operation": [ "Create", "Update", "Delete", "LabelParameterVersion" ] } } ``` ------ #### [ Parameter policy ] ``` { "source": [ "aws.ssm" ], "detail-type": [ "Parameter Store Policy Action" ], "detail": { "parameter-name": [ "parameter-1-name", "/parameter-2-name/level-2", "/parameter-3-name/level-2/level-3" ], "policy-type": [ "Expiration", "ExpirationNotification", "NoChangeNotification" ] } } ``` ------ + 次の例に示されているように、アクションを行うパラメータやオペレーションの内容を変更します。 ------ #### [ Parameter ] この例では、`Oncall` と `/Project/Teamlead` という名前のいずれかのパラメータが更新されると、アクションが実行されます。 ``` { "source": [ "aws.ssm" ], "detail-type": [ "Parameter Store Change" ], "detail": { "name": [ "/Oncall", "/Project/Teamlead" ], "operation": [ "Update" ] } } ``` ------ #### [ Parameter policy ] この例では、`OncallDuties` という名前のパラメータが失効し、削除されると、アクションが実行されます。 ``` { "source": [ "aws.ssm" ], "detail-type": [ "Parameter Store Policy Action" ], "detail": { "parameter-name": [ "/OncallDuties" ], "policy-type": [ "Expiration" ] } } ``` ------ 1. [**次へ**] を選択します。 1. **[Target 1]** (ターゲット 1) で、ターゲットタイプとサポートされているリソースを選択します。たとえば、[**SNS トピック**] を選択した場合は、[**トピック**] に対して選択を行います。**[CodePipeline]** を選択した場合は、**[Pipeline ARN]** (パイプライン ARN) にパイプライン ARN を入力します。必要に応じて、追加の設定値を指定します。 **ヒント** ルールに追加のターゲットが必要な場合は、**[Add another target]** (別のターゲットを追加) を選択します。 1. [**次へ**] を選択します。 1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。 1. [**次へ**] を選択します。 1. **ルールの作成**を選択してください。 **詳細情報** + [環境全体での設定更新を容易にするためにパラメーターラベルを使用する](https://aws.amazon.com/blogs/mt/use-parameter-labels-for-easy-configuration-update-across-environments/) + 「Amazon EventBridge ユーザーガイド」の「[Tutorial: Use EventBridge to relay events to AWS Systems ManagerRun Command](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ec2-run-command.html)」 + *Amazon EventBridge ユーザーガイド*の「[チュートリアル: AWS Systems Manager Automation を EventBridge のターゲットとして設定する](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ssm-automation-as-target.html)」