• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Ferramentas de aplicações do AWS Systems Manager
As Ferramentas de aplicações são um conjunto de recursos que ajudam você a gerenciar as aplicações em execução na AWS.
**Topics**
+ [AWS AppConfig](appconfig.md)
+ [AWS Systems Manager Application Manager](application-manager.md)
+ [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md)
# AWS AppConfig
As informações sobre o AWS AppConfig foram movidas para guias separados. Para obter mais informações, consulte:
+ [Guia do usuário do AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html)
+ [Referência de API do AWS AppConfig](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/Welcome.html)
# AWS Systems Manager Application Manager
O Application Manager, uma ferramenta do AWS Systems Manager, ajuda os engenheiros de DevOps a investigar e corrigir problemas com os recursos da AWS no contexto de suas aplicações e clusters. O Application Manager agrega informações de operações de vários Serviços da AWS e de ferramentas do Systems Manager em um único Console de gerenciamento da AWS.
No Application Manager, uma *aplicação* é um grupo lógico de recursos da AWS que você deseja operar como uma unidade. Esse grupo lógico pode representar diferentes versões de uma aplicação, limites de propriedade para operadores ou ambientes de desenvolvedor, entre outras. O suporte do Application Manager para clusters de contêiner inclui clusters do Amazon Elastic Kubernetes Service (Amazon EKS) e do Amazon Elastic Container Service (Amazon ECS).
Na primeira vez que você abrir o Application Manager, a página **O que o Application Manager pode fazer por você** será exibida. Quando você escolhe **Começar**, o Application Manager importa automaticamente os metadados sobre os recursos criados em outros Serviços da AWS ou em ferramentas do Systems Manager. Em seguida, o Application Manager exibe esses recursos em uma lista agrupada por categorias predefinidas.
Para **Applications** (Aplicações), a lista inclui o seguinte:
+ Pilhas do AWS CloudFormation
+ Aplicações personalizadas
+ Aplicações do AWS Launch Wizard
+ Aplicações do AppRegistry
+ Aplicações do AWS SAP Enterprise Workload
+ Clusters do Amazon ECS
+ Clusters do Amazon EKS
Depois de você [definir](https://docs.aws.amazon.com/systems-manager/latest/userguide/application-manager-getting-started-related-services.html) e configurar Serviços da AWS e ferramentas do Systems Manager, o Application Manager exibirá os seguintes tipos de informações sobre os recursos:
+ Informações sobre o estado atual, o status e a integridade do Amazon EC2 Auto Scaling das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) na sua aplicação
+ Alarmes fornecidos pelo Amazon CloudWatch
+ Informações de conformidade fornecidas pela AWS Config e State Manager (um componente do Systems Manager)
+ Informações de cluster do Kubernetes fornecidas pelo Amazon EKS
+ Dados de log fornecidos pelo AWS CloudTrail e Amazon CloudWatch Logs
+ OpsItems fornecido pelo do Systems Manager OpsCenter
+ Detalhes do recurso fornecidos pelos Serviços da AWS que os hospedam.
+ Informações de cluster de contêiner fornecidas pelo Amazon ECS.
Para ajudar você a corrigir problemas com componentes ou recursos, o Application Manager também fornece runbooks que você pode associar às aplicações. Para começar a usar o Application Manager, abra o [Systems Manager console](https://console.aws.amazon.com//systems-manager/appmanager) (Console do gerenciador de sistemas). No painel de navegação, escolha **Application Manager**.
## Quais são os benefícios do uso do Application Manager?
O Application Manager reduz o tempo necessário para que os engenheiros de DevOps detectem e investiguem problemas com os recursos da AWS. Para fazer isso, o Application Manager exibe vários tipos de informações de operações no contexto de uma aplicação em um console. O Application Manager também reduz o tempo necessário para corrigir problemas fornecendo runbooks que executam tarefas comuns de remediação em recursos da AWS.
## Quais são os recursos do Application Manager?
O Application Manager inclui os seguintes recursos:
+ **Importe os recursos da AWS automaticamente**
Durante a configuração inicial, você poderá optar por configurar o Application Manager para importar e exibir recursos automaticamente na Conta da AWS, que se baseiam em pilhas do CloudFormation, AWS Resource Groups, implantações Launch Wizard, aplicações do AppLogisty, além de clusters do Amazon ECS e do Amazon EKS. O sistema exibe esses recursos em categorias predefinidas da aplicação ou do cluster. Posteriormente, sempre que novos recursos desses tipos forem adicionados à Conta da AWS, o Application Manager exibirá automaticamente os novos recursos nas categorias de aplicações e cluster predefinidos.
+ **Crie ou edite pilhas e modelos do CloudFormation**
O Application Manager ajuda você a provisionar e gerenciar recursos para suas aplicações integrando o [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html). Você pode criar, editar e excluir modelos e pilhas do CloudFormation no Application Manager. O Application Manager também inclui uma biblioteca de modelos na qual você pode clonar, criar e armazenar modelos. O Application Manager e o CloudFormation exibem as mesmas informações sobre o status atual de uma pilha. Modelos e atualizações de modelos são armazenados no Systems Manager até que você provisione a pilha, momento em que as alterações também são exibidas no CloudFormation.
+ **Visualize informações sobre suas instâncias no contexto de uma aplicação**
O Application Manager se integra ao Amazon Elastic Compute Cloud (Amazon EC2) para exibir informações sobre suas instâncias no contexto de uma aplicação. O Application Manager exibe o estado da instância, o status e a integridade do Amazon EC2 Auto Scaling para uma aplicação selecionada em um formato gráfico. A guia **Instâncias** também inclui uma tabela com as informações a seguir para cada instância na sua aplicação.
+ Estado da instância (pendente, sendo interrompida, em execução, interrompida)
+ Status de ping para SSM Agent
+ Status e nome do runbook mais recente do Systems Manager Automation processado na instância
+ Uma contagem de alarmes do Amazon CloudWatch Logs por estado.
+ `ALARM`: a métrica ou a expressão está fora do limite definido.
+ `OK`: a métrica ou a expressão está dentro do limite definido.
+ `INSUFFICIENT_DATA`: o alarme acabou de ser acionado, a métrica não está disponível ou não há dados suficientes para a métrica determinar o estado do alarme.
+ Integridade do grupo do Auto Scaling para os grupos de escalabilidade automática pai e individual
+ **Visualizar métricas operacionais e alarmes para uma aplicação ou cluster**
Application Manager O integra-se ao [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) para fornecer métricas operacionais e alarmes em tempo real para uma aplicação ou cluster. Você pode se aprofundar na árvore de aplicações para exibir alarmes em cada nível de componente ou exibir alarmes para um cluster individual.
+ **Visualizar dados de log de uma aplicação**
O Application Manager integra-se ao [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para fornecer dados de log no contexto da sua aplicação sem precisar sair do Systems Manager.
+ **Visualizar e gerenciar o OpsItems para uma aplicação ou cluster**
O Application Manager integra-se ao [AWS Systems Manager OpsCenter](OpsCenter.md) para fornecer uma lista de itens de trabalho operacionais (OpsItems) para suas aplicações e clusters. A lista reflete automaticamente os gerados e criados manualmente OpsItems. Você pode visualizar os detalhes do recurso que criou um OpsItem e o status, origem e gravidade do OpsItem.
+ **Visualizar dados de conformidade de recursos para uma aplicação ou cluster**
O Application Manager integra-se ao [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) para fornecer detalhes de conformidade e histórico sobre os recursos da AWS, de acordo com as regras que você especificar. O Application Manager também se integra ao [AWS Systems Manager State Manager](systems-manager-state.md) para fornecer informações de conformidade sobre o estado que você deseja manter para suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2).
+ **Visualizar informações sobre a infraestrutura de clusters do Amazon ECS e Amazon EKS**
O Application Manager integra-se ao [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/) e ao [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) para fornecer informações sobre a integridade das infraestruturas de cluster e uma visualização de runtime de componentes dos recursos de computação, rede e armazenamento em um cluster.
No entanto, você não pode gerenciar ou visualizar informações de operações sobre seus pods ou contêineres do Amazon EKS no Application Manager. Você só pode gerenciar e visualizar informações de operações sobre a infraestrutura que está hospedando os recursos do Amazon EKS.
+ **Exibir detalhes do custo do recurso de uma aplicação**
O Application Manager é integrado ao AWS Cost Explorer, um recurso do Gerenciamento de Faturamento e Custos da AWS, por meio do widget **Cost** (Custo). Após ativar o Cost Explorer no console do Gerenciamento de Faturamento e Custos, o widget **Cost** (Custo) no Application Manager mostrará os dados de custo para um aplicativo fora de um contêiner específico ou um componente de aplicativo. Você pode usar filtros no widget para exibir dados de custo de acordo com diferentes períodos de tempo, granularidades e tipos de custo em um gráfico de barras ou linhas.
+ **Visualizar informações detalhadas de recursos em um console**
Escolha um nome de recurso listado no Application Manager e exiba as informações contextuais e de operações sobre esse recurso, sem precisar sair do Systems Manager.
+ **Receba atualizações automáticas de recursos para aplicações**
Se você fizer alterações em um recurso em um console de serviço e esse recurso fizer parte de uma aplicação no Application Manager, o Systems Manager exibirá essas alterações automaticamente. Por exemplo, se você atualizar uma pilha no console do CloudFormation e se essa pilha fizer parte de uma aplicação do Application Manager, as atualizações da pilha serão refletidas automaticamente no Application Manager.
+ **Descobrir aplicações do Launch Wizard automaticamente**
Application Manager O é integrado ao [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/?id=docs_gateway). Se você usou o Launch Wizard para implantar recursos em uma aplicação, o Application Manager poderá importá-los e exibi-los automaticamente em uma seção do Launch Wizard.
+ **Monitorar recursos de aplicações no Application Manager usando o CloudWatch Application Insights**
O Application Manager integra-se ao Amazon CloudWatch Application Insights. O Application Insights identifica e configura as principais métricas, logs e alarmes na pilha de tecnologia e nos recursos da aplicação. O Application Insights monitora continuamente os logs e as métricas para detectar e correlacionar anomalias e erros. Quando erros e anomalias são detectados, o Application Insights gera CloudWatch Events que você pode usar para configurar notificações ou executar ações. Você pode habilitar e exibir o Application Insights em **Overview** (Visão geral) e nas guias **Monitoring** (Monitoramento) no Application Manager. Para obter mais informações sobre o Application Insights, consulte [O que é o Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) no *Manual do usuário do Amazon CloudWatch*.
+ **Corrija problemas com runbooks**
O Application Manager inclui runbooks predefinidos do Systems Manager para corrigir problemas comuns com os recursos da AWS. É possível executar um runbook em todos os recursos aplicáveis em uma aplicação sem precisar sair do Application Manager.
## Há cobrança pelo uso do Application Manager?
Application ManagerO está disponível sem custo adicional.
## Quais são as cotas de recursos para o Application Manager?
Visualize cotas de todas as ferramentas do Systems Manager em [Cotas de serviço do Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) no *Referência geral da Amazon Web Services*. A menos que especificado de outra forma, cada cota é específica da região.
**Topics**
+ [Quais são os benefícios do uso do Application Manager?](#application-manager-learn-more-benefits)
+ [Quais são os recursos do Application Manager?](#application-manager-learn-more-features)
+ [Há cobrança pelo uso do Application Manager?](#application-manager-learn-more-cost)
+ [Quais são as cotas de recursos para o Application Manager?](#application-manager-learn-more-quotas)
+ [Configurando serviços relacionados](application-manager-getting-started-related-services.md)
+ [Configurar permissões para o Systems Manager Application Manager](application-manager-getting-started-permissions.md)
+ [Adicionar aplicações e clusters de contêiner ao Application Manager](application-manager-getting-started-adding-applications.md)
+ [Como trabalhar com aplicações](application-manager-working-applications.md)
# Configurando serviços relacionados
O Application Manager, uma ferramenta do AWS Systems Manager, exibe recursos e informações de outros Serviços da AWS e ferramentas do Systems Manager. Para maximizar a quantidade de informações de operações exibidas no Application Manager, recomendamos que você instale e configure esses outros serviços ou ferramentas *antes* de usar o Application Manager.
**Topics**
+ [Configure tarefas para importar recursos](#application-manager-getting-started-related-services-resources)
+ [Configure tarefas para exibir informações de operações sobre recursos](#application-manager-getting-started-related-services-information)
## Configure tarefas para importar recursos
As tarefas de configuração a seguir ajudam você a exibir recursos da AWS no Application Manager. Após a conclusão de cada uma dessas tarefas, o Systems Manager pode importar recursos automaticamente para o Application Manager. Depois que seus recursos forem importados, você poderá criar aplicações no Application Manager e mover seus recursos importados para eles. Isso ajuda você a visualizar informações de operações no contexto de uma aplicação.
**(Opcional) Organizar seu recursos da AWS usando tags**
Você pode atribuir metadados aos seus recursos da AWS na forma de tags. Cada tag é um rótulo que consiste em um valor e uma chave definida pelo usuário. As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar recursos. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios.
**(Opcional) Organize seu recursos da AWS usando as [AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html)**
É possível usar grupos de recursos para organizar seus recursos da AWS. Os grupos de recursos facilitam o gerenciamento, o monitoramento e a automatização de tarefas em vários recursos de uma vez.
O Application Manager importa automaticamente todos os grupos de recursos e lista-os na categoria de **aplicações personalizadas**.
**(Opcional) Configure e implante os recursos da AWS usando o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)**
O CloudFormation permite que você crie e provisione implantações de infraestrutura da AWS de maneira previsível e repetida. Ele ajuda você a usar Serviços da AWS como Amazon EC2, Amazon Elastic Block Store (Amazon EBS), Amazon Simple Notification Service (Amazon SNS), Elastic Load Balancing e AWS Auto Scaling. Com o CloudFormation, você pode criar aplicações confiáveis, escaláveis e econômicas na nuvem, sem se preocupar com a criação e a configuração da infraestrutura da AWS subjacente.
O Application Manager importa automaticamente todos os CloudFormation e lista-os na categoria de **pilhas do CloudFormation**. Você pode criar pilhas e modelos do CloudFormation no Application Manager. As alterações da pilha e do modelo são sincronizadas automaticamente entre o Application Manager e o CloudFormation. Você também pode criar aplicações no Application Manager e transferir pilhas para elas. Isso ajuda você a visualizar informações de operações para os recursos da pilha no contexto de uma aplicação. Para obter informações sobre a definição de preço, consulte [Definição de preço do CloudFormation](https://aws.amazon.com/cloudformation/pricing/).
**(Opcional) Configure e implante as aplicações usando o AWS Launch Wizard**
O Launch Wizard orienta você durante o processo de dimensionamento, configuração e implantação de recursos da AWS para aplicações de terceiros, sem a necessidade de identificar e provisionar manualmente os recursos da AWS.
O Application Manager importa automaticamente todos os recursos do Launch Wizard e lista-os na categoria **Launch Wizard**. Para obter mais informações sobre o AWS Launch Wizard, consulte [Conceitos básicos da AWS Launch Wizard para SQL Server](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-getting-started.html). O Launch Wizard está disponível sem custo adicional. Você só paga pelos recursos da AWS que você provisionar para executar sua solução.
**(Opcional) Configure e implante as aplicações em contêineres usando o [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/) e [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)**
O Amazon Elastic Container Service (Amazon ECS) é um serviço de gerenciamento de contêineres altamente escalável e rápido que facilita a execução, a interrupção e o gerenciamento de contêineres em um cluster. Os contêineres são definidos em uma definição de tarefa que você usa para executar tarefas individuais ou tarefas em um serviço.
O Amazon EKS é um serviço gerenciado que ajuda você a executar o Kubernetes na AWS, eliminando a necessidade de instalar, operar e manter seu próprio ambiente de gerenciamento ou nós do Kubernetes. O Kubernetes é um sistema de código aberto para automatizar a implantação, a escalabilidade e o gerenciamento de aplicações em contêineres.
O Application Manager importa automaticamente todos os recursos de infraestrutura do Amazon ECS e do Amazon EKS e os lista na guia **Container clusters** (Clusters de contêineres). No entanto, você não pode gerenciar ou visualizar informações de operações sobre seus pods ou contêineres do Amazon EKS no Application Manager. Você só pode gerenciar e visualizar informações de operações sobre a infraestrutura que está hospedando os recursos do Amazon EKS. Para obter mais informações, consulte [Preço do Amazon ECS](https://aws.amazon.com/ecs/pricing/) e [Preço do Amazon EKS](https://aws.amazon.com/eks/pricing/).
## Configure tarefas para exibir informações de operações sobre recursos
As tarefas de configuração a seguir ajudam você a exibir informações de operações sobre os recursos da AWS no Application Manager.
**(Recomendado) Verificar [permissões do runbook](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup.html)**
Corrija problemas com recursos da AWS no Application Manager, usando os runbooks do Systems Manager Automation. Para usar essa ferramenta de correção, é necessário configurar ou verificar as permissões. Para obter informações sobre a definição de preço, consulte [Definição de preço do AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
**(Opcional) Habilitar o [Explorador de Custos](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-enable.html)**
O AWS Cost Explorer é um atributo do AWS Cost Management que pode ser usado para visualizar seus dados de custo para análise posterior. Ao habilitar o Explorador de Custos, é possível visualizar informações de custo, histórico de custos e otimização de custos dos recursos de sua aplicação no console do Application Manager.
**(Opcional) Definir e configurar os [logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) e [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/GettingStarted.html) do Amazon CloudWatch**
O CloudWatch é um serviço de monitoramento e gerenciamento que fornece dados e insights acionáveis para a AWS, aplicações híbridas multinuvem e recursos de infraestrutura. Com o CloudWatch, você pode coletar e acessar todos os dados operacionais e de performance na forma de logs e métricas, em uma única plataforma. Para visualizar logs e alarmes do CloudWatch para os recursos no Application Manager, você deve configurar o CloudWatch. Para obter informações de preço, consulte [Preço do CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
O suporte ao CloudWatch Logs se aplica somente a aplicações, não a clusters.
**(Opcional) Definir e configurar o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)**
O AWS Config fornece uma visualização detalhada dos recursos associados à sua Conta da AWS, incluindo como eles são configurados, como eles se relacionam entre si e como as configurações e seus relacionamentos foram alterados ao longo do tempo. Você pode usar o AWS Config para avaliar as definições de configuração de seus recursos da AWS. Você pode fazer isso criando regras AWS Config, que representam suas definições ideais de configuração. Enquanto o AWS Config monitora continuamente as alterações de configuração que ocorrem entre seus recursos, ele verifica se essas alterações violam alguma das condições em suas regras. Se um recurso viola uma regra, o AWS Config sinaliza o recurso e a regra como *incompatível*. O Application Manager exibe informações de conformidade sobre as regras do AWS Config. Para visualizar esses dados no Application Manager, é necessário configurar o AWS Config. Para obter informações sobre a definição de preço, consulte [Definição de preço do AWS Config](https://aws.amazon.com/config/pricing/).
**(Opcional) Crie [associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html) do State Manager**
Você pode usar o Systems Manager State Manager para criar uma configuração que você atribui aos nós gerenciados. A configuração, chamada de *associação*, define o estado que você deseja manter em seus nós. Para visualizar dados de conformidade da associação no Application Manager, você deve configurar uma ou mais associações do State Manager. O State Manager é oferecido sem custo adicional.
**(Opcional) Definir e configurar o [https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html)**
Você pode visualizar itens de trabalho operacionais (OpsItems) sobre seus recursos no Application Manager, usando o OpsCenter. Você pode configurar o Amazon CloudWatch e o Amazon EventBridge para enviar automaticamente o OpsItems para o OpsCenter, com base nos alarmes e eventos. Você também pode inserir OpsItems manualmente. Para obter informações sobre a definição de preço, consulte [Definição de preço do AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
# Configurar permissões para o Systems Manager Application Manager
Você poderá usar todos os recursos do Application Manager, uma ferramenta do AWS Systems Manager, se sua entidade do AWS Identity and Access Management (IAM) (por exemplo, usuários, grupos ou perfis) tiver acesso às operações de API listadas neste tópico. As operações da API são separadas em duas tabelas para ajudar você a entender as diferentes funções que elas desempenham.
A tabela a seguir lista as operações de API chamadas pelo Systems Manager se você escolher um recurso no Application Manager porque quer visualizar os detalhes dele. Por exemplo, se o Application Manager listar um grupo do Amazon EC2 Auto Scaling e, se você escolher esse grupo para exibir seus detalhes, o Systems Manager chamará as operações de API do `autoscaling:DescribeAutoScalingGroups`. Se você não tiver nenhum grupo de Auto Scaling em sua conta, essa operação de API não será chamada do Application Manager.
****
| Somente detalhes do recurso |
| --- |
| acm:DescribeCertificate
acm:ListTagsForCertificate
autoscaling:DescribeAutoScalingGroups
cloudfront:GetDistribution
cloudfront:ListTagsForResource
cloudtrail:DescribeTrails
cloudtrail:ListTags
cloudtrail:LookupEvents
codebuild:BatchGetProjects
codepipeline:GetPipeline
codepipeline:ListTagsForResource
dynamodb:DescribeTable
dynamodb:ListTagsOfResource
ec2:DescribeAddresses
ec2:DescribeCustomerGateways
ec2:DescribeHosts
ec2:DescribeInternetGateways
ec2:DescribeNetworkAcls
ec2:DescribeNetworkInterfaces
ec2:DescribeRouteTables
ec2:DescribeSecurityGroups
ec2:DescribeSubnets
ec2:DescribeVolumes
ec2:DescribeVpcs
ec2:DescribeVpnConnections
ec2:DescribeVpnGateways
elasticbeanstalk:DescribeApplications
elasticbeanstalk:ListTagsForResource
elasticloadbalancing:DescribeInstanceHealth
elasticloadbalancing:DescribeListeners
elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTags
iam:GetGroup
iam:GetPolicy
iam:GetRole
iam:GetUser
lambda:GetFunction
rds:DescribeDBClusters
rds:DescribeDBInstances
rds:DescribeDBSecurityGroups
rds:DescribeDBSnapshots
rds:DescribeDBSubnetGroups
rds:DescribeEventSubscriptions
rds:ListTagsForResource
redshift:DescribeClusterParameters
redshift:DescribeClusterSecurityGroups
redshift:DescribeClusterSnapshots
redshift:DescribeClusterSubnetGroups
redshift:DescribeClusters
s3:GetBucketTagging
|
A tabela a seguir lista as operações de API que o Systems Manager usa para fazer alterações em aplicações e recursos listados no Application Manager ou para exibir informações de operações de uma aplicação ou recurso selecionado.
****
| Ações e detalhes da aplicação |
| --- |
|
applicationinsights:CreateApplication
applicationinsights:DescribeApplication
applicationinsights:ListProblems
ce:GetCostAndUsage
ce:GetTags
ce:ListCostAllocationTags
ce:UpdateCostAllocationTagsStatus
cloudformation:CreateStack
cloudformation:DeleteStack
cloudformation:DescribeStackDriftDetectionStatus
cloudformation:DescribeStackEvents
cloudformation:DescribeStacks
cloudformation:DetectStackDrift
cloudformation:GetTemplate
cloudformation:GetTemplateSummary
cloudformation:ListStacks
cloudformation:UpdateStack
cloudwatch:DescribeAlarms
cloudwatch:DescribeInsightRules
cloudwatch:DisableAlarmActions
cloudwatch:EnableAlarmActions
cloudwatch:GetMetricData
cloudwatch:ListTagsForResource
cloudwatch:PutMetricAlarm
config:DescribeComplianceByConfigRule
config:DescribeComplianceByResource
config:DescribeConfigRules
config:DescribeRemediationConfigurations
config:GetComplianceDetailsByConfigRule
config:GetComplianceDetailsByResource
config:GetResourceConfigHistory
config:ListDiscoveredResources
config:PutRemediationConfigurations
config:SelectResourceConfig
config:StartConfigRulesEvaluation
config:StartRemediationExecution
ec2:DescribeInstances
ecs:DescribeCapacityProviders
ecs:DescribeClusters
ecs:DescribeContainerInstances
ecs:ListClusters
ecs:ListContainerInstances
ecs:TagResource
eks:DescribeCluster
eks:DescribeFargateProfile
eks:DescribeNodegroup
eks:ListClusters
eks:ListFargateProfiles
eks:ListNodegroups
eks:TagResource
iam:CreateServiceLinkedRole
iam:ListRoles
logs:DescribeLogGroups
resource-groups:CreateGroup
resource-groups:DeleteGroup
resource-groups:GetGroup
resource-groups:GetGroupQuery
resource-groups:GetTags
resource-groups:ListGroupResources
resource-groups:ListGroups
resource-groups:Tag
resource-groups:Untag
resource-groups:UpdateGroup
s3:ListAllMyBuckets
s3:ListBucket
s3:ListBucketVersions
servicecatalog:GetApplication
servicecatalog:ListApplications
sns:CreateTopic
sns:ListSubscriptionsByTopic
sns:ListTopics
sns:Subscribe
ssm:AddTagsToResource
ssm:CreateDocument
ssm:CreateOpsMetadata
ssm:DeleteDocument
ssm:DeleteOpsMetadata
ssm:DescribeAssociation
ssm:DescribeAutomationExecutions
ssm:DescribeDocument
ssm:DescribeDocumentPermission
ssm:GetDocument
ssm:GetInventory
ssm:GetOpsMetadata
ssm:GetOpsSummary
ssm:GetServiceSetting
ssm:ListAssociations
ssm:ListComplianceItems
ssm:ListDocuments
ssm:ListDocumentVersions
ssm:ListOpsMetadata
ssm:ListResourceComplianceSummaries
ssm:ListTagsForResource
ssm:ModifyDocumentPermission
ssm:RemoveTagsFromResource
ssm:StartAssociationsOnce
ssm:StartAutomationExecution
ssm:UpdateDocument
ssm:UpdateDocumentDefaultVersion
ssm:UpdateOpsItem
ssm:UpdateOpsMetadata
ssm:UpdateServiceSetting
tag:GetTagKeys
tag:GetTagValues
tag:TagResources
tag:UntagResources
|
## Exemplo de política para todas as permissões do Application Manager
Para configurar permissões do Application Manager para uma entidade do IAM (por exemplo, usuários, grupos ou perfis), crie uma política do IAM usando o exemplo a seguir. Este exemplo de política inclui todas as operações de API usadas pelo Application Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:ListTagsForCertificate",
"applicationinsights:CreateApplication",
"applicationinsights:DescribeApplication",
"applicationinsights:ListProblems",
"autoscaling:DescribeAutoScalingGroups",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:ListCostAllocationTags",
"ce:UpdateCostAllocationTagsStatus",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackDrift",
"cloudformation:GetTemplate",
"cloudformation:GetTemplateSummary",
"cloudformation:ListStacks",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack",
"cloudfront:GetDistribution",
"cloudfront:ListTagsForResource",
"cloudtrail:DescribeTrails",
"cloudtrail:ListTags",
"cloudtrail:LookupEvents",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeInsightRules",
"cloudwatch:DisableAlarmActions",
"cloudwatch:EnableAlarmActions",
"cloudwatch:GetMetricData",
"cloudwatch:ListTagsForResource",
"cloudwatch:PutMetricAlarm",
"codebuild:BatchGetProjects",
"codepipeline:GetPipeline",
"codepipeline:ListTagsForResource",
"config:DescribeComplianceByConfigRule",
"config:DescribeComplianceByResource",
"config:DescribeConfigRules",
"config:DescribeRemediationConfigurations",
"config:GetComplianceDetailsByConfigRule",
"config:GetComplianceDetailsByResource",
"config:GetResourceConfigHistory",
"config:ListDiscoveredResources",
"config:PutRemediationConfigurations",
"config:SelectResourceConfig",
"config:StartConfigRulesEvaluation",
"config:StartRemediationExecution",
"dynamodb:DescribeTable",
"dynamodb:ListTagsOfResource",
"ec2:DescribeAddresses",
"ec2:DescribeCustomerGateways",
"ec2:DescribeHosts",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ecs:DescribeCapacityProviders",
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:TagResource",
"eks:DescribeCluster",
"eks:DescribeFargateProfile",
"eks:DescribeNodegroup",
"eks:ListClusters",
"eks:ListFargateProfiles",
"eks:ListNodegroups",
"eks:TagResource",
"elasticbeanstalk:DescribeApplications",
"elasticbeanstalk:ListTagsForResource",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"iam:CreateServiceLinkedRole",
"iam:GetGroup",
"iam:GetPolicy",
"iam:GetRole",
"iam:GetUser",
"iam:ListRoles",
"lambda:GetFunction",
"logs:DescribeLogGroups",
"rds:DescribeDBClusters",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventSubscriptions",
"rds:ListTagsForResource",
"redshift:DescribeClusterParameters",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"redshift:DescribeClusterSnapshots",
"redshift:DescribeClusterSubnetGroups",
"resource-groups:CreateGroup",
"resource-groups:DeleteGroup",
"resource-groups:GetGroup",
"resource-groups:GetGroupQuery",
"resource-groups:GetTags",
"resource-groups:ListGroupResources",
"resource-groups:ListGroups",
"resource-groups:Tag",
"resource-groups:Untag",
"resource-groups:UpdateGroup",
"s3:GetBucketTagging",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions",
"servicecatalog:GetApplication",
"servicecatalog:ListApplications",
"sns:CreateTopic",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"sns:Subscribe",
"ssm:AddTagsToResource",
"ssm:CreateDocument",
"ssm:CreateOpsMetadata",
"ssm:DeleteDocument",
"ssm:DeleteOpsMetadata",
"ssm:DescribeAssociation",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeDocument",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:GetInventory",
"ssm:GetOpsMetadata",
"ssm:GetOpsSummary",
"ssm:GetServiceSetting",
"ssm:ListAssociations",
"ssm:ListComplianceItems",
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:ListOpsMetadata",
"ssm:ListResourceComplianceSummaries",
"ssm:ListTagsForResource",
"ssm:ModifyDocumentPermission",
"ssm:RemoveTagsFromResource",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:UpdateOpsMetadata",
"ssm:UpdateOpsItem",
"ssm:UpdateServiceSetting",
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*"
}
]
}
```
------
**nota**
Você pode restringir a capacidade de um usuário fazer alterações em aplicações e recursos no Application Manager, removendo as seguintes operações de API da política de permissões do IAM anexadas ao usuário, grupo ou função. A remoção dessas ações cria uma experiência somente leitura no Application Manager. A seguir estão todas as APIs que permitem que os usuários façam alterações na aplicação ou em qualquer outro recurso relacionado.
```
applicationinsights:CreateApplication
ce:UpdateCostAllocationTagsStatus
cloudformation:CreateStack
cloudformation:DeleteStack
cloudformation:UpdateStack
cloudwatch:DisableAlarmActions
cloudwatch:EnableAlarmActions
cloudwatch:PutMetricAlarm
config:PutRemediationConfigurations
config:StartConfigRulesEvaluation
config:StartRemediationExecution
ecs:TagResource
eks:TagResource
iam:CreateServiceLinkedRole
resource-groups:CreateGroup
resource-groups:DeleteGroup
resource-groups:Tag
resource-groups:Untag
resource-groups:UpdateGroup
sns:CreateTopic
sns:Subscribe
ssm:AddTagsToResource
ssm:CreateDocument
ssm:CreateOpsMetadata
ssm:DeleteDocument
ssm:DeleteOpsMetadata
ssm:ModifyDocumentPermission
ssm:RemoveTagsFromResource
ssm:StartAssociationsOnce
ssm:StartAutomationExecution
ssm:UpdateDocument
ssm:UpdateDocumentDefaultVersion
ssm:UpdateOpsMetadata
ssm:UpdateOpsItem
ssm:UpdateServiceSetting
tag:TagResources
tag:UntagResources
```
Para obter informações sobre como criar e editar políticas do IAM, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html), no *Manual do usuário do IAM*. Para obter informações sobre como atribuir essa política a uma entidade do IAM (por exemplo, usuários, grupos ou perfis), consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
# Adicionar aplicações e clusters de contêiner ao Application Manager
Application Manager O é um componente do AWS Systems Manager. No Application Manager, uma *aplicação* é um grupo lógico de recursos da AWS que você deseja operar como uma unidade. Esse grupo lógico pode representar diferentes versões de uma aplicação, limites de propriedade para operadores ou ambientes de desenvolvedor, entre outras.
Na primeira vez que você abrir o Application Manager, a página **O que o Application Manager pode fazer por você** será exibida. Quando você escolhe **Começar**, o Application Manager importa automaticamente os metadados sobre os recursos criados em outros Serviços da AWS ou em ferramentas do Systems Manager. Em seguida, o Application Manager exibe esses recursos em uma lista agrupada por categorias predefinidas.
Para **Applications** (Aplicações), a lista inclui o seguinte:
+ Pilhas do AWS CloudFormation
+ Aplicações personalizadas
+ Aplicações do AWS Launch Wizard
+ Aplicações do AppRegistry
+ Aplicações do AWS SAP Enterprise Workload
+ Clusters do Amazon ECS
+ Clusters do Amazon EKS
Após a conclusão da importação, você pode exibir informações de operações para uma aplicação ou um recurso específico nessas categorias predefinidas. Ou, se você quiser fornecer mais contexto sobre um conjunto de recursos, você pode criar manualmente uma aplicação no Application Manager. Em seguida, você pode adicionar recursos ou grupos de recursos a essa aplicação. Depois de criar uma aplicação no Application Manager, você poderá exibir informações de operações sobre o recurso no contexto de uma aplicação.
## Criar uma aplicação do Application Manager
Use o procedimento a seguir para criar uma aplicação no Application Manager e adicione recursos a essa aplicação..
**Como criar um aplicativo no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Escolha **Criar aplicação**.
1. Escolha uma opção na lista suspensa e preencha os campos na página que é exibida.
# Como trabalhar com aplicações
Application Manager O é um componente do AWS Systems Manager. Esta seção inclui tópicos para ajudar você a trabalhar com as aplicações do Application Manager e a exibir informações de operações sobre os recursos da AWS.
**Topics**
+ [Visão geral da aplicação no Application Manager](application-manager-working-viewing-overview.md)
+ [Gerenciar instâncias do EC2 da sua aplicação](application-manager-working-instances.md)
+ [Visualizar recursos associados à aplicação](application-manager-working-viewing-resources.md)
+ [Gerenciar a conformidade da sua aplicação](application-manager-working-viewing-resource-compliance.md)
+ [Usar o CloudWatch Application Insights para monitorar uma aplicação](application-manager-working-viewing-monitors.md)
+ [Visualizar OpsItems para uma aplicação](application-manager-working-viewing-OpsItems.md)
+ [Gerenciar seus logs de aplicação](application-manager-viewing-logs.md)
+ [Usar runbooks do Automation para corrigir problemas da aplicação](application-manager-working-runbooks.md)
+ [Recursos de tag no Application Manager](application-manager-working-tags.md)
+ [Trabalhar com modelos e pilhas do CloudFormation no Application Manager.](application-manager-working-stacks.md)
+ [Trabalhar com clusters no Application Manager](application-manager-working-clusters.md)
# Visão geral da aplicação no Application Manager
No Application Manager, um componente do AWS Systems Manager, a guia **Overview** (Visão geral) exibe um resumo dos alarmes do Amazon CloudWatch, itens de trabalho operacionais (OpsItems), CloudWatch Application Insights e histórico de runbooks. Selecione **View all** (Visualizar tudo) para qualquer cartão, a fim de abrir a guia correspondente, onde você poderá ver todos os insights de aplicações, alarmes, OpsItems ou o histórico do runbook.
**Sobre o Application Insights**
O CloudWatch Application Insights identifica e configura as principais métricas, logs e alarmes na pilha de tecnologia e nos recursos da aplicação. O Application Insights monitora continuamente os logs e as métricas para detectar e correlacionar anomalias e erros. Quando erros e anomalias são detectados, o Application Insights gera o CloudWatch Events que você pode usar para configurar notificações ou executar ações. Se você escolher o botão **Edit configuration** (Editar configuração) na guia **Monitoring** (Monitoramento), o sistema abrirá o console do CloudWatch Application Insights. Para obter mais informações sobre o Application Insights, consulte [O que é o Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) no *Manual do usuário do Amazon CloudWatch*.
**Sobre o Cost Explorer**
O Application Manager é integrado ao AWS Cost Explorer, um atributo do [Gerenciamento de Custos da AWS](https://docs.aws.amazon.com/account-billing/index.html), por meio do widget **Cost** e da guia **Custo**. Após habilitar o Explorador de Custos no console do Gerenciamento de Custos, o widget **Cost** e a guia **Custo** no Application Manager mostrarão os dados de custo para uma aplicação fora de um contêiner específico ou um componente de aplicação. Você pode usar filtros no widget ou na guia para exibir dados de custo de acordo com diferentes períodos de tempo, níveis de granularidades e tipos de custo em um gráfico de barras ou linhas.
É possível habilitar esse atributo escolhendo o botão **Ir para o console do Gerenciamento de Custos da AWS**. Por padrão, os dados são filtrados nos últimos três meses. Para um aplicativo que não esteja em contêiner, se você escolher o botão **View all** (Visualizar tudo), o Application Manager abrirá a guia **Resources** (Recursos). Para aplicações de contêiner, o botão **View all** (Visualizar tudo) abre o console do AWS Cost Explorer.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível ativar e acessar informações sobre os widgets a seguir na guia **Overview** (Visão geral) desta página. Quando um widget estiver habilitado, escolha **View All** (Visualizar tudo) para ver os detalhes relevantes da aplicação para essa área.
+ Na seção **Insights and Alarms** (Insights e alarmes), escolha um número de gravidade para abrir a guia **Monitoring** (Monitoramento) onde é possível visualizar mais detalhes sobre os alarmes da gravidade escolhida.
+ Na seção **Cost** (Custo), escolha **View all** (Visualizar tudo) para abrir a guia **Resources** (Recursos), na qual é possível visualizar os dados de custos de uma aplicação ou componente de aplicação específico.
+ Na seção **Conformidade**, escolha **Visualizar tudo** para abrir a guia **Conformidade**, na qual é possível visualizar as informações de conformidade de AWS Config e associações do State Manager.
**nota**
Para visualizar os detalhes de conformidade do patch, escolha diretamente a guia **Compliance** (Conformidade). Em seguida, será possível visualizar os detalhes de conformidade do patch para os nós gerenciados usados pela aplicação selecionada.
+ Na seção **Runbooks**, escolha um runbook para abrir na página **Documents** (Documentos) do Systems Manager, onde você poderá ver mais detalhes sobre o documento.
+ Na seção **OpsItems**, escolha uma gravidade para abrir a guia **OpsItems**, onde você verá todos os OpsItems da gravidade selecionada.
+ Escolha um botão **View all** (Visualizar tudo) para abrir a página correspondente. Você pode exibir todos os alarmes, OpsItems ou entradas do histórico do runbook para a aplicação.
**Para abrir a guia **Overview** (Visão geral)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
# Gerenciar instâncias do EC2 da sua aplicação
O Application Manager se integra ao Amazon Elastic Compute Cloud (Amazon EC2) para exibir informações sobre suas instâncias no contexto de uma aplicação. O Application Manager exibe o estado da instância, o status e a integridade do Amazon EC2 Auto Scaling para uma aplicação selecionada em um formato gráfico. A guia **Instances** (Instâncias) também inclui uma tabela com as seguintes informações para cada instância em sua aplicação:
+ Estado da instância (pendente, sendo interrompida, em execução, interrompida)
+ Status de ping para SSM Agent
+ Status e nome do runbook mais recente do Systems Manager Automation processado na instância
+ Uma contagem de alarmes do Amazon CloudWatch Logs por estado.
+ `ALARM`: a métrica ou a expressão está fora do limite definido.
+ `OK`: a métrica ou a expressão está dentro do limite definido.
+ `INSUFFICIENT_DATA`: o alarme acabou de ser acionado, a métrica não está disponível ou não há dados suficientes para a métrica determinar o estado do alarme.
+ Integridade do grupo do Auto Scaling para os grupos de escalabilidade automática pai e individual
Se você escolher uma instância na tabela **All instances** (Todas as instâncias), o Application Manager exibirá as informações sobre essa instância em quatro guias:
+ **Details** (Detalhes): todos os detalhes da instância do Amazon EC2, incluindo a imagem de máquina da Amazon (AMI), informações de DNS, informações de endereço IP e muito mais.
+ **Health** (Integridade): o status atual, conforme fornecido pelas verificações de status do sistema e da instância do EC2.
+ **Execution history** (Histórico de execução): logs de execução dos runbooks do Systems Manager Automation e das chamadas de API processadas pela instância.
+ **CloudWatch alarms** (Alarmes do CloudWatch): o nome, o estado e outras informações de todos os alarmes do CloudWatch gerados pela instância.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Iniciar, interromper e encerrar instâncias.
+ Aplique uma receita do Chef.
+ Anexe instâncias ou desanexe instâncias de um grupo do Auto Scaling.
+ Habilite atualizações automatizadas para o SSM Agent.
**Para abrir a guia **Instances** (Instâncias)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que tenha criado manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Instâncias**.
**Para visualizar os detalhes das suas instâncias de aplicação**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que tenha criado manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Instâncias**.
1. Selecione o botão ao lado da instância cujos detalhes você deseja visualizar.
1. Analise os detalhes da sua instância na parte de baixo da página.
**Como atualizar automaticamente o SSM Agent**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que tenha criado manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Instâncias**.
1. No menu suspenso **Ações do agente**, escolha **Configurar atualização do SSM Agent**.
1. Escolha **Todas as instâncias** para configurar atualizações automáticas do SSM Agent para todas as instâncias gerenciadas. Como alternativa, escolha **Instância** para configurar atualizações de automação do SSM Agent para uma única instância na sua aplicação.
1. Selecione o botão **Habilitar atualização automática**.
1. No menu suspenso **Especificar programação**, escolha a programação que você deseja usar para atualizações do SSM Agent.
1. Selecione **Configurar**.
# Visualizar recursos associados à aplicação
No Application Manager, um componente do AWS Systems Manager, a guia **Resources** (Recursos) exibe os recursos da AWS na aplicação. Se você escolher um componente de nível superior, esta página exibirá todos os recursos desse componente e quaisquer subcomponentes. Se você escolher um subcomponente, esta página mostrará apenas os recursos atribuídos a esse subcomponente.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Escolha um nome de recurso para exibir informações sobre ele, incluindo detalhes fornecidos pelo console onde ele foi criado, tags, alarmes do Amazon CloudWatch, detalhes do AWS Config e informações de log do AWS CloudTrail.
+ Selecione o botão de opção ao lado do nome de um recurso. Escolha então o botão **Resource timeline** (Cronograma do recurso) para abrir o console do AWS Config onde você poderá exibir informações de conformidade sobre um recurso selecionado.
+ Se você ativou o AWS Cost Explorer, a seção **Cost Explorer** mostrará os dados de custo de uma aplicação sem contêiner ou de um componente de aplicação específico. É possível habilitar esse atributo escolhendo o botão **Ir para o console do Gerenciamento de Custos da AWS**. Use os filtros nesta seção para exibir informações de custo sobre sua aplicação.
**Para abrir a guia **Resources** (Recursos)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Resources** (Recursos).
# Gerenciar a conformidade da sua aplicação
No Application Manager, um componente do AWS Systems Manager, a página **Configurações** exibe as informações de conformidade de regras de configuração e recursos [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/). Esta página também exibe informações de conformidade das associações do AWS Systems Manager [https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html). Você pode escolher um recurso, uma regra ou uma associação para abrir o console correspondente para obter mais informações. Esta página exibe informações de conformidade dos últimos 90 dias.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Escolha um nome de recurso para abrir o console do AWS Config onde você poderá exibir informações de conformidade sobre um recurso selecionado.
+ Selecione o botão de opção ao lado do nome de um recurso. Escolha então o botão **Resource timeline** (Cronograma do recurso) para abrir o console do AWS Config onde você poderá exibir informações de conformidade sobre um recurso selecionado.
+ Na seção **Config rules compliance** (Conformidade das regras do Config), faça o seguinte:
+ Escolha um nome de regra para abrir o console do AWS Config, onde você poderá visualizar informações sobre essa regra.
+ Selecione **Add rules** (Adicionar regras) para abrir o console do AWS Config onde você pode criar uma regra.
+ Selecione o botão de opção ao lado do nome de uma regra, escolha **Actions** (Ações) e, em seguida, escolha **Manage remediation** (Gerenciar correção) para alterar a ação de correção de uma regra.
+ Selecione o botão de opção ao lado do nome de uma regra, escolha **Actions** (Ações) e, em seguida, escolha **Re-evaluate** (Reavaliar) para que o AWS Config execute uma verificação de conformidade na regra selecionada.
+ Na sessão **Association compliance** (Conformidade das associações), você pode fazer o seguinte:
+ Escolha um nome de associação para abrir a página **Associations** (Associações) na qual você poderá visualizar informações sobre essa associação.
+ Selecione**Create association** (Criar associação) para abrir o Systems Manager State Manager onde você pode criar uma associação.
+ Selecione o botão de opção ao lado de um nome de associação e escolha**Apply association** (Aplicar associação) para iniciar imediatamente todas as ações especificadas na associação.
**Para abrir a guia **Compliance** (Conformidade)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Compliance** (Conformidade).
# Usar o CloudWatch Application Insights para monitorar uma aplicação
No Application Manager, um componente do AWS Systems Manager, a guia **Monitoring** (Monitoramento) exibe o Amazon CloudWatch Application Insights e os detalhes do alarme para recursos em uma aplicação.
**Sobre o Application Insights**
O CloudWatch Application Insights identifica e configura as principais métricas, logs e alarmes na pilha de tecnologia e nos recursos da aplicação. O Application Insights monitora continuamente os logs e as métricas para detectar e correlacionar anomalias e erros. Quando erros e anomalias são detectados, o Application Insights gera o CloudWatch Events que você pode usar para configurar notificações ou executar ações. Se você escolher o botão **Edit configuration** (Editar configuração) na guia **Monitoring** (Monitoramento), o sistema abrirá o console do CloudWatch Application Insights. Para obter mais informações sobre o Application Insights, consulte [O que é o Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) no *Manual do usuário do Amazon CloudWatch*.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Escolha um nome de serviço na seção **Alarms by AWS service** (Alarmes dos serviços) para abrir o CloudWatch para o serviço e o alarme selecionados.
+ Ajuste o período de tempo para os dados exibidos em widgets na seção **Recent alarms** (Alarmes recentes), selecionando um dos valores predefinidos do período de tempo. Você pode escolher **custom** (personalizar) para definir seu próprio período de tempo.
![\[Os controles do período de tempo na guia Application Manager Monitoring (Monitoramento).\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/application-manager-Monitoring-1.png)
+ Passe o cursor sobre um widget na seção **Recent alarms** (Alarmes recentes) para exibir um pop-up de dados para um horário específico.
![\[Um widget de alarme na seção Recent alarms (Alarmes recentes) da guia Application Manager Monitoring (Monitoramento).\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/application-manager-Monitoring-2.png)
+ Selecione o menu de opções em um widget para exibir as opções de exibição. Selecione **Enlarge** (Ampliar) para expandir um widget. Selecione **Refresh** (Atualizar) para atualizar os dados em um widget. Clique e arraste o cursor em uma exibição de dados do widget para selecionar um intervalo específico. Você pode então escolher **Apply time range** (Aplicar intervalo de tempo).
![\[Opções do widget de alarme no Application Manager.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/application-manager-Monitoring-3.png)
+ Selecione o menu **Actions** (Ações) para visualizar as opções de **Substituição** dos dados de alarmes, que incluem o seguinte:
+ Selecione se os widgets exibirão dados em tempo real. Os dados em tempo real são os dados publicados no último minuto em que eles não foram totalmente agregados. Se os dados em tempo real estiverem desativados, somente os pontos de dados com um período de agregação de pelo menos um minuto no passado serão exibidos. Por exemplo, ao usar períodos de 5 minutos, o ponto de dados para 12:35 seria agregado de 12:35 a 12:40 e exibido às 12:41.
Se os dados em tempo real estiverem ativados, o ponto de dados mais recente será exibido assim que todos os dados forem publicados no intervalo de agregação correspondente. Cada vez que você atualiza a exibição, o ponto de dados mais recente poderá ser alterado à medida que novos dados dentro desse período de agregação são publicados.
+ Especifique um período de tempo para os dados dinâmicos.
+ Vincule os gráficos na seção **Recent alarms** (Alarmes recentes) para que, ao ampliar ou reduzir um gráfico, o outro seja ampliado ou amplie ao mesmo tempo. É possível desvincular gráficos para limitar o zoom a um gráfico.
+ Ocultar alarmes Auto Scaling.
![\[O menu Action (Ação) da guia Application Manager Monitoring (Monitoramento).\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/application-manager-Monitoring-4.png)
**Para abrir a guia **Monitoring** (Monitoramento)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Monitoring (Monitoramento)**.
# Visualizar OpsItems para uma aplicação
No Application Manager, um componente do AWS Systems Manager, a guia **OpsItems** exibe itens de trabalho operacionais (OpsItems) para obter recursos na aplicação selecionada. Você pode configurar o OpsCenter do Systems Manager para criar automaticamente o OpsItems com base nos alarmes do Amazon CloudWatch e eventos do Amazon EventBridge. Você também pode criar manualmente OpsItems.
**Você pode executar qualquer uma das seguintes ações nesta guia:**
É possível executar as seguintes ações nesta página:
+ Filtrar a lista de OpsItems usando o campo de pesquisa. Você pode filtrar pelo nome, ID, ID de origem ou gravidade do OpsItem. Você também pode filtrar a lista com base no status. O OpsItems suporta os seguintes status: Open (Aberto), In progress (Em andamento), Aberto e em andamento (Open and In progress), Resolved (Resolvido) ou All (Todos).
+ Altere o status de um OpsItem escolhendo o botão de opção ao lado dele e, em seguida, escolhendo uma opção no menu **Set status** (Definir status).
+ Abra o Systems Manager OpsCenter para criar um OpsItem escolhendo **Create OpsItem** (Criar item operacional).
**Para abrir a guia **OpsItems****
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **OpsItems**.
# Gerenciar seus logs de aplicação
No Application Manager, um componente do AWS Systems Manager, a guia **Logs** exibe uma lista de grupos de logs do Amazon CloudWatch Logs.
**Você pode executar qualquer uma das seguintes ações nesta guia:**
É possível executar as seguintes ações nesta página:
+ Escolha um nome de grupo de logs para abri-lo no CloudWatch Logs. Em seguida, você pode escolher um fluxo de log para exibir logs de um recurso no contexto de uma aplicação.
+ Selecione **Create log groups** (Criar grupos de log) para criar um grupo de logs no CloudWatch Logs.
**Para abrir a guia **Logs****
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Logs**.
# Usar runbooks do Automation para corrigir problemas da aplicação
É possível corrigir problemas com recursos da AWS no Application Manager, uma ferramenta do AWS Systems Manager, usando os runbooks do Automation. Um runbook do Automation define as ações que o Systems Manager realizará nas instâncias gerenciadas e outros recursos da AWS quando uma automação for executada. O Automation é uma ferramenta do AWS Systems Manager. Um runbook contém uma ou mais etapas que são executadas em ordem sequencial. Cada etapa se baseia em uma única ação. A saída de uma etapa pode ser usada como entrada de uma etapa posterior.
Quando você escolher **Start runbook** (Iniciar o runbook) em uma aplicação ou cluster do Application Manager, o sistema exibirá uma lista filtrada de runbooks disponíveis com base no tipo de recursos da aplicação ou cluster. Quando você escolhe o runbook que deseja iniciar, o Systems Manager abre a página **Execute automation document** (Executar o documento de automação).
Application ManagerO contém as melhorias a seguir para trabalhar com runbooks.
+ Se você escolher o nome de um recurso no Application Manager e, depois, escolher **Execute runbook** (Executar runbook), o sistema exibirá uma lista filtrada de runbooks para esse tipo de recurso.
+ Você pode iniciar uma automação em todos os recursos do mesmo tipo escolhendo um runbook na lista e, em seguida, escolhendo **Run for resources of same type** (Executar para recursos do mesmo tipo).
**Antes de começar**
Antes de começar um runbook do Application Manager, faça o seguinte:
+ Verifique se você tem as permissões corretas para iniciar runbooks. Para obter mais informações, consulte [Configurar a automação](automation-setup.md).
+ Examine a documentação de procedimentos do Automation sobre como iniciar runbooks. Para obter mais informações, consulte [Executar uma operação automatizada com tecnologia do Systems Manager Automation](running-simple-automations.md).
**Para iniciar um runbook no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha **Iniciar runbook**. O Application Manager abrirá o pop-up do **widget Automation**. Para obter informações sobre as opções no **widget Automation**, consulte [Executar uma operação automatizada com tecnologia do Systems Manager Automation](running-simple-automations.md).
# Recursos de tag no Application Manager
Você pode adicionar ou excluir tags rapidamente em aplicações e recursos da AWS no Application Manager. Use o procedimento a seguir para adicionar ou excluir uma tag de uma aplicação e todos os recursos da AWS nessa aplicação.
**Para adicionar ou excluir uma tag de uma aplicação e todos os recursos nessa aplicação.**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Na seção **Application information** (Informações sobre a aplicação), selecione o número abaixo de **Application tags** (Tags de aplicações). Se nenhuma tag for atribuída à aplicação, o número será zero.
1. Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag). Especifique uma chave e um valor opcional. Para excluir uma tag, escolha **Remove** (Remover).
1. Escolha **Save** (Salvar).
Use o procedimento a seguir para adicionar ou excluir uma tag de um recurso específico no Application Manager.
**Para adicionar ou excluir uma tag de um recurso**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Applications** (Aplicações) escolha uma categoria. Se você quiser abrir uma aplicação que você criou manualmente no Application Manager, escolha **Custom applications** (Aplicações personalizadas).
1. Selecione a aplicação na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Escolha a guia **Resources** (Recursos).
1. Escolha o nome de um recurso.
1. Na seção **Tags**, selecione **Edit** (Editar).
1. Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag). Especifique uma chave e um valor opcional. Para excluir uma tag, escolha **Remove** (Remover).
1. Escolha **Salvar**.
# Trabalhar com modelos e pilhas do CloudFormation no Application Manager.
O Application Manager, uma ferramenta do AWS Systems Manager, ajuda você a provisionar e gerenciar recursos para suas aplicações integrando-se ao AWS CloudFormation. Você pode criar, editar e excluir modelos e pilhas do CloudFormation no Application Manager. Uma *pilha* é um conjunto de recursos da AWS que você pode gerenciar como uma unidade. Isso significa que você pode criar, atualizar ou excluir uma coleção de recursos da AWS usando pilhas do CloudFormation. O *modelo* é um arquivo de texto formatado no JSON ou YAML que especifica os recursos que você quer provisionar nas pilhas.
O Application Manager também inclui uma biblioteca de modelos na qual você pode clonar, criar e armazenar modelos. O Application Manager e o CloudFormation exibem as mesmas informações sobre o status atual de uma pilha. Modelos e atualizações de modelos são armazenados no Systems Manager, até que você provisione a pilha, quando então as alterações também serão exibidas no CloudFormation.
Depois de criar uma pilha no Application Manager, a página **CloudFormation stacks** (Pilhas do CloudFormation) exibirá informações úteis sobre ela. Isso inclui o modelo usado para criá-lo, uma contagem de [https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) para os recursos na pilha, o [status da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes) e o [status do desvio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html).
**Sobre o Cost Explorer**
O Application Manager é integrado ao AWS Cost Explorer, um recurso do [Gerenciamento de Custos da AWS](https://docs.aws.amazon.com/account-billing/index.html), por meio do widget **Cost** (Custo). Após habilitar o Cost Explorer no console do Gerenciamento de Custos, o widget **Cost** (Custo) no Application Manager mostrará os dados de custo para um aplicativo fora de um contêiner específico ou um componente de aplicativo. Você pode usar filtros no widget para exibir dados de custo de acordo com diferentes períodos de tempo, granularidades e tipos de custo em um gráfico de barras ou linhas.
É possível habilitar esse atributo escolhendo o botão **Ir para o console do Gerenciamento de Custos da AWS**. Por padrão, os dados são filtrados nos últimos três meses. Para um aplicativo que não esteja em contêiner, se você escolher o botão **View all** (Visualizar tudo), o Application Manager abrirá a guia **Resources** (Recursos). Para aplicações de contêiner, o botão **View all** (Visualizar tudo) abre o console do AWS Cost Explorer.
**nota**
O Cost Explorer usa tags para rastrear os custos por aplicativo. Se o seu aplicativo baseado em pilha do CloudFormation não estiver configurado com a chave de tag `AppManagerCFNStackKey`, o Cost Explorer não apresentará dados de custo precisos no Application Manager. Quando a chave da etiqueta `AppManagerCFNStackKey` não for detectada, você receberá uma solicitação no console para adicionar a etiqueta à sua pilha do CloudFormation para habilitar o controle de custos. Essa adição mapeia a chave de tag para o nome do recurso da Amazon (ARN) da sua pilha e habilita o widget **Cost** (Custo) a exibir dados de custo precisos.
**Importante**
Adicionar a etiqueta `AppManagerCFNStackKey` acionará uma atualização da pilha. As configurações manuais que forem executadas após a implantação original da pilha não serão refletidas após a adição da etiqueta do usuário. Para obter mais informações sobre o comportamento de atualização de recursos, consulte [Update behaviors of stack resources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/ using-cfn-updating-stacks-update-behaviors.html) no *Guia do usuário do AWS CloudFormation*
## Antes de começar
Use os links a seguir para saber mais sobre os conceitos do CloudFormation antes de criar, editar ou excluir modelos e pilhas do CloudFormation, usando o Application Manager.
+ [O que é AWS CloudFormation?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation melhores práticas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html)
+ [Saiba mais sobre noções básicas de modelo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/gettingstarted.templatebasics.html)
+ [Trabalhar com pilhas do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)
+ [Trabalhar com modelos do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)
+ [Modelos de exemplo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-sample-templates.html)
**Topics**
+ [Antes de começar](#application-manager-working-stacks-before-you-begin)
+ [Usar Application Manager para gerenciar modelos do CloudFormation](application-manager-working-templates-overview.md)
+ [Usar o Application Manager para gerenciar pilhas do CloudFormation](application-manager-working-stacks-overview.md)
# Usar Application Manager para gerenciar modelos do CloudFormation
O Application Manager, uma ferramenta do AWS Systems Manager, inclui uma biblioteca de modelos e outras ferramentas para ajudar você a gerenciar modelos do AWS CloudFormation. Esta seção inclui as seguintes informações:
**Topics**
+ [Trabalhar com a biblioteca de modelos](#application-manager-working-stacks-template-library-working)
+ [Criar modelos](#application-manager-working-stacks-creating-template)
+ [Edite um modelo](#application-manager-working-stacks-editing-template)
## Trabalhar com a biblioteca de modelos
A biblioteca de modelos do Application Manager fornece ferramentas para ajudar você a exibir, criar, editar, excluir e clonar modelos. Você também pode provisionar pilhas diretamente da biblioteca de modelos. Os modelos são armazenados como documentos do Systems Manager (SSM), do tipo `CloudFormation`. Ao armazenar modelos como documentos SSM, você poderá usar controles de versão para trabalhar com diferentes versões de um modelo. Você também pode definir permissões e compartilhar modelos. Depois de provisionar uma pilha com êxito, a pilha e o modelo estarão disponíveis no Application Manager e no CloudFormation.
**Antes de começar**
Recomendamos que você leia os tópicos a seguir para saber mais sobre os documentos SSM antes de começar a trabalhar com modelos do CloudFormation no Application Manager.
+ [Documentos do AWS Systems Manager](documents.md)
+ [Compartilhar documentos do Systems Manager](documents-ssm-sharing.md)
+ [Práticas recomendadas para documentos compartilhados do SSM](documents-ssm-sharing.md#best-practices-shared)
**Para visualizar a biblioteca de modelos no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Selecione **Biblioteca de modelos do CloudFormation**.
## Criar modelos
O procedimento a seguir descreve como criar um modelo do CloudFormation no Application Manager. Ao criar um modelo, você insere os detalhes da pilha do modelo em JSON ou YAML. Se você não estiver familiarizado com JSON ou YAML, poderá usar o AWS Infrastructure Composer, uma ferramenta para criar e modificar modelos de maneira visual. Para obter mais informações, consulte [Criar modelos visualmente com o Infrastructure Composer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/infrastructure-composer-for-cloudformation.html) no *Guia do usuário do AWS CloudFormation*. Para obter informações sobre a estrutura e a sintaxe de um modelo, consulte [Seções de modelos do CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-anatomy.html), no *Guia do usuário do AWS CloudFormation*.
Você também pode construir um modelo a partir de vários trechos do modelo. Os trechos do modelo fornecem exemplos que demonstram como criar modelos para um recurso específico. Por exemplo, é possível visualizar trechos de instâncias do Amazon Elastic Compute Cloud (Amazon EC2), domínios do Amazon Simple Storage Service (Amazon S3), mapeamentos do CloudFormation e muito mais. Os trechos são agrupados por recurso. Você pode encontrar trechos do CloudFormation para fins gerais, na seção [Trechos de modelos gerais](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/quickref-general.html) do *Manual do usuário do AWS CloudFormation*.
### Criar um modelo do CloudFormation usando o Application Manager (console)
Use o procedimento a seguir para criar um novo modelo do CloudFormation no Application Manager, usando o Console de gerenciamento da AWS.
**Para criar um modelo do CloudFormation no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Selecione **Biblioteca de modelos do CloudFormation** e depois **Criar modelo** ou escolha um modelo existente e depois **Ações** e **Clonar**.
1. Para **Name** (Nome), insira um nome para o modelo que ajude você a identificar os recursos que ele cria ou a finalidade da pilha.
1. (Opcional) Em **Version name** (Nome da versão), insira um nome ou um número para identificar a versão do modelo.
1. Na seção **Code editor** (Editor de código), escolha **YAML** ou **JSON** e, em seguida, insira ou copie e cole o código do modelo.
1. (Opcional) Na seção **Tags**, aplique um ou mais pares de nome/valor de chave de tag ao modelo.
1. (Opcional) Na seção **Permissions** (Permissões), insira uma ID da Conta da AWS e escolha **Add account** (Adicionar conta). Essa ação fornece permissão de leitura para o modelo. O proprietário da conta pode provisionar e clonar o modelo, mas não pode editá-lo ou excluí-lo.
1. Escolha **Criar**. O modelo é salvo no serviço de documentos do Systems Manager (SSM).
### Criar um modelo do CloudFormation usando o Application Manager (linha de comando)
Depois de criar o conteúdo do modelo do CloudFormation no JSON ou no YAML, você poderá usar o AWS Command Line Interface (AWS CLI) ou Ferramentas da AWS para PowerShell para salvar o modelo como um documento do SSM. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
**Antes de começar**
Instale e configure a AWS CLI ou o Ferramentas da AWS para PowerShell, caso ainda não o tenha feito. Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Instalar o Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/template_in_json_or_yaml \
--name "a_name_for_the_template" \
--document-type "CloudFormation" \
--document-format "JSON_or_YAML" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\template_in_json_or_yaml ^
--name "a_name_for_the_template" ^
--document-type "CloudFormation" ^
--document-format "JSON_or_YAML" ^
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\template_in_json_or_yaml | Out-String
New-SSMDocument `
-Content $json `
-Name "a_name_for_the_template" `
-DocumentType "CloudFormation" `
-DocumentFormat "JSON_or_YAML" `
-Tags "Key=tag-key,Value=tag-value"
```
------
Se houver êxito, o comando retornará uma resposta semelhante à seguinte.
```
{
"DocumentDescription": {
"Hash": "c1d9640f15fbdba6deb41af6471d6ace0acc22f213bdd1449f03980358c2d4fb",
"HashType": "Sha256",
"Name": "MyTestCFTemplate",
"Owner": "428427166869",
"CreatedDate": "2021-06-04T09:44:18.931000-07:00",
"Status": "Creating",
"DocumentVersion": "1",
"Description": "My test template",
"PlatformTypes": [],
"DocumentType": "CloudFormation",
"SchemaVersion": "1.0",
"LatestVersion": "1",
"DefaultVersion": "1",
"DocumentFormat": "YAML",
"Tags": [
{
"Key": "Templates",
"Value": "Test"
}
]
}
```
## Edite um modelo
Use o procedimento a seguir para editar um modelo do CloudFormation no Application Manager. As alterações do modelo estão disponíveis no CloudFormation depois de provisionar uma pilha que usa o modelo atualizado.
**Para editar um modelo do CloudFormation no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Selecione **Biblioteca de modelos do CloudFormation**
1. Escolha um modelo e selecione **Actions** (Ações), **Edit** (Editar). Não é possível alterar o nome de um modelo, mas é possível alterar todos os outros detalhes.
1. Escolha **Salvar**. O modelo é salvo no serviço de documentos do Systems Manager.
# Usar o Application Manager para gerenciar pilhas do CloudFormation
O Application Manager, uma ferramenta do AWS Systems Manager, ajuda você a provisionar e gerenciar recursos para suas aplicações integrando-se ao AWS CloudFormation. Você pode criar, editar e excluir modelos e pilhas do CloudFormation no Application Manager. Uma *pilha* é um conjunto de recursos da AWS que você pode gerenciar como uma unidade. Isso significa que você pode criar, atualizar ou excluir uma coleção de recursos da AWS usando pilhas do CloudFormation. O *modelo* é um arquivo de texto formatado no JSON ou YAML que especifica os recursos que você quer provisionar nas pilhas. Esta seção inclui as seguintes informações:
**Topics**
+ [Criar uma pilha](#application-manager-working-stacks-creating-stack)
+ [Atualizar uma pilha](#application-manager-working-stacks-editing-stack)
## Criar uma pilha
O procedimento a seguir descreve como criar uma pilha do CloudFormation usando o Application Manager. Uma pilha é baseada em um modelo. Ao criar uma pilha, você poderá escolher um modelo existente ou criar um novo. Depois de criar a pilha, o sistema tenta imediatamente criar os recursos identificados nela. Depois que o sistema provisionar os recursos com êxito, o modelo e a pilha estarão disponíveis para visualização e edição no Application Manager e no CloudFormation
**nota**
Não há nenhum custo para usar o Application Manager na criação de uma pilha, mas você será cobrado pelos recursos da AWS criados na pilha.
### Criar uma pilha do CloudFormation usando o Application Manager (console)
Use o procedimento a seguir para criar uma pilha usando o Application Manager no Console de gerenciamento da AWS.
**Para criar uma pilha do CloudFormation**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Selecione **Criar aplicação, Pilha do CloudFormation**.
1. Na seção **Prepare a template** (Preparar um modelo), escolha uma opção. Se escolher **Use an existing template** (Usar um modelo existente), você poderá usar as guias na seção **Choose a template** (Escolher um modelo) para localizar o modelo que você quiser.. (Se você escolher uma das outras opções, conclua o assistente para preparar um modelo.)
1. Selecione o botão que está ao lado do nome do modelo e depois selecione **Próximo**.
1. Na página **Specify template details** (Especificar detalhes do modelo), verifique os detalhes do modelo para garantir que o processo crie os recursos desejados.
+ (Opcional) Na seção **Tags**, aplique um ou mais pares de nome/valor de chave de tag ao modelo.
+ Tags são metadados opcionais que você atribui a um recurso. Usando tags, você pode categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente.
+ Escolha **Próximo**.
1. Na página **Edit stack details** (Editar detalhes da pilha), para **Stack name** (Nome da pilha), insira um nome que ajude a identificar os recursos criados pela pilha ou pela sua finalidade.
+ A seção **Parameters** (Parâmetros) inclui todos os parâmetros opcionais e obrigatórios especificados no modelo. Insira um ou mais parâmetros em cada campo.
+ (Opcional) Na seção **Tags**, aplique um ou mais pares de nome/valor de chave de tag à pilha.
+ (Opcional) Na seção **Permissions** (Permissões), especifique um nome de função (IAM) do AWS Identity and Access Management ou um nome do recurso da Amazon (ARN) do IAM. O sistema usa a função de serviço especificada para criar todos os recursos especificados em sua pilha. Se você não especificar uma função do IAM, o CloudFormation usará uma sessão temporária que o sistema gera a partir de suas credenciais de usuário. Para obter mais informações sobre essa função do IAM, consulte [Função de serviço do CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) no *Manual do usuário do AWS CloudFormation*.
+ Escolha **Próximo**.
1. Na página **Review and provision** (Análise e provisão), examine todos os detalhes da pilha. Escolha um botão **Edit** (Editar) nesta página para fazer alterações.
1. Selecione **Provision stack** (Provisionar pilha).
O Application Manager exibe a página **CloudFormation stacks** (Pilhas do CloudFormation) e o status da criação e implantação da pilha. Se o CloudFormation não conseguir criar e provisionar a pilha, consulte os tópicos a seguir no *Manual do usuário do AWS CloudFormation*.
+ [Códigos de status da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-describing-stacks.html#w2ab1c23c15c17c11)
+ [Resolução de problemas CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)
Após os recursos de pilha serem provisionados e executados, os usuários podem editar recursos diretamente usando o serviço subjacente que o criou. Por exemplo, um usuário pode usar o console do Amazon Elastic Compute Cloud (Amazon EC2) para atualizar uma instância de servidor que foi criada como parte de uma pilha do CloudFormation. Algumas mudanças podem ser acidentais e algumas podem ser feitas intencionalmente para responder a eventos operacionais sensíveis ao tempo. Independentemente disso, as alterações feitas fora do CloudFormation podem complicar as operações de atualização ou exclusão de pilha. Você pode usar o *status do desvio* para identificar os recursos da pilha para os quais as alterações de configuração foram feitas fora do gerenciamento do CloudFormation. Para obter informações sobre status de desvios, consulte [Detectar alterações de configuração não gerenciadas para pilhas e recursos](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html).
### Criar uma pilha do CloudFormation usando o Application Manager (linha de comando)
Use o seguinte procedimento da AWS Command Line Interface(AWS CLI) para provisionar uma pilha usando um modelo do CloudFormation armazenado como um documento do SSM no Systems Manager. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações. Para obter informações sobre outros procedimentos da AWS CLI para criar pilhas, consulte [Criar uma pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html) no *Manual do usuário do AWS CloudFormation*.
**Antes de começar**
Instale e configure a AWS CLI ou o Ferramentas da AWS para PowerShell, caso ainda não o tenha feito. Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Instalar o Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
------
#### [ Linux & macOS ]
```
aws cloudformation create-stack \
--stack-name a_name_for_the_stack \
--template-url "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" \
```
------
#### [ Windows ]
```
aws cloudformation create-stack ^
--stack-name a_name_for_the_stack ^
--template-url "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" ^
```
------
#### [ PowerShell ]
```
New-CFNStack `
-StackName "a_name_for_the_stack" `
-TemplateURL "ssm-doc://arn:aws:ssm:Region:account_ID:document/template_name" `
```
------
## Atualizar uma pilha
Você pode implantar atualizações em uma pilha do CloudFormation editando diretamente a pilha no Application Manager. Com uma atualização direta, você especifica atualizações para um modelo ou parâmetros de entrada. Depois de salvar e implantar as alterações, o CloudFormation atualiza os recursos da AWS de acordo com as alterações que você especificou.
Você pode visualizar as alterações que o CloudFormation fará em sua pilha antes de atualizá-la, usando conjuntos de alterações. Para obter mais informações, consulte [Atualizar pilhas usando conjuntos de alterações](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-changesets.html) no *Manual do usuário do AWS CloudFormation*.
**Para atualizar uma pilha do CloudFormation no Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Selecione o botão de opção que está ao lado do nome da aplicação e depois selecione **Ações**, **Atualizar pilha**.
1. Na página **Specify template source** (Especificar origem do modelo), escolha uma das seguintes opções e selecione **Next** (Próximo).
+ Selecione **Use the template code currently provisioned in the stack** (Usar o código de modelo provisionado atualmente na pilha) para exibir um modelo. Use a lista **Versions** (Versões) para selecionar um modelo de versão e escolha **Next** (Próximo).
+ Selecione **Switch to a different template** (Alternar para um modelo diferente) para escolher ou criar um novo modelo para a pilha.
1. Após terminar de fazer as alterações no modelo, selecione **Next** (Próximo).
1. Na página **Edit stack details** (Editar detalhes da pilha), você pode editar parâmetros, tags e permissões. Não é possível mudar o nome de uma pilha. Faça suas alterações e escolha **Next** (Salvar).
1. Na página **Review and provision** (Análise e provisão), examine todos os detalhes da pilha e escolha **Provision stack** (Provisionar pilha).
# Trabalhar com clusters no Application Manager
Esta seção inclui tópicos para ajudar você a trabalhar com os clusters de contêiner do Amazon Elastic Container Service (Amazon ECS) e do Amazon Elastic Kubernetes Service (Amazon EKS) no Application Manager, um componente do AWS Systems Manager.
**Topics**
+ [Trabalhar com o Amazon ECS no Application Manager](application-manager-working-ECS.md)
+ [Trabalhar com o Amazon EKS no Application Manager](application-manager-working-EKS.md)
+ [Trabalhar com runbooks para clusters](application-manager-working-runbooks-clusters.md)
# Trabalhar com o Amazon ECS no Application Manager
Com o Application Manager, uma ferramenta do AWS Systems Manager, é possível visualizar e gerenciar sua infraestrutura de cluster do Amazon Elastic Container Service (Amazon ECS). O Application Manager aplica uma tag ao seu cluster do Amazon ECS usando o Nome do Recurso da Amazon (ARN) do cluster como valor da tag. O Application Manager fornece uma visualização do runtime do componente da rede dos recursos de computação, rede e armazenamento em um cluster.
**nota**
Você não pode gerenciar ou visualizar informações de operações sobre seus pods ou contêineres no Application Manager. Você só pode gerenciar e visualizar informações de operações sobre a infraestrutura que estiver hospedando os recursos do Amazon ECS.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Selecione **Manage cluster** (Gerenciar clusters) para abrir o cluster no Amazon ECS.
+ Selecione **View all** (Visualizar tudo) para visualizar uma lista de recursos em seu cluster.
+ Selecione **View in CloudWatch** (Visualizar no CloudWatch) para visualizar alarmes de recursos no Amazon CloudWatch.
+ Selecione **Manage nodes** (Gerenciar nós) ou **Manage Fargate profiles** (Gerenciar perfis do Fargate) para visualizar esses recursos no Amazon ECS.
+ Escolha um ID de recurso para exibir informações detalhadas sobre ele no console onde ele foi criado.
+ Visualizar uma lista de OpsItems relacionados aos clusters.
+ Visualizar um histórico de runbooks que foram executados nos clusters.
**Para abrir um **cluster do ECS****
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Container clusters** (Clusters de contêineres), escolha **ECS clusters** (Clusters do ECS).
1. Escolha um cluster na lista. O Application Manager abre a guia **Overview** (Visão geral).
# Trabalhar com o Amazon EKS no Application Manager
O Application Manager, uma ferramenta do AWS Systems Manager, integra-se ao [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) (Amazon EKS) para fornecer informações sobre a integridade das suas infraestruturas de cluster do Amazon EKS. O Application Manager aplica uma tag ao seu cluster do Amazon EKS usando o Nome do Recurso da Amazon (ARN) do cluster como valor da tag. O Application Manager fornece uma visualização de runtime de componentes dos recursos de computação, rede e armazenamento em um cluster.
**nota**
Você não pode gerenciar ou visualizar informações de operações sobre seus pods ou contêineres do Amazon EKS no Application Manager. Você só pode gerenciar e visualizar informações de operações sobre a infraestrutura que estiver hospedando os recursos do Amazon EKS.
**Você pode executar qualquer uma das seguintes ações nesta página:**
É possível executar as seguintes ações nesta página:
+ Selecione **Manage cluster** (Gerenciar clusters) para abrir o cluster no Amazon EKS.
+ Selecione **View all** (Visualizar tudo) para visualizar uma lista de recursos em seu cluster.
+ Selecione **View in CloudWatch** (Visualizar no CloudWatch) para visualizar alarmes de recursos no Amazon CloudWatch.
+ Selecione **Manage nodes** (Gerenciar nós) ou **Manage Fargate profiles** (Gerenciar perfis do Fargate) para visualizar esses recursos no Amazon EKS.
+ Escolha um ID de recurso para exibir informações detalhadas sobre ele no console onde ele foi criado.
+ Visualizar uma lista de OpsItems relacionados aos clusters.
+ Visualizar um histórico de runbooks que foram executados nos clusters.
**Para abrir uma aplicação do **EKS clusters** (Clusters da aplicação).**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Container clusters** (Clusters de contêineres), escolha **EKS clusters** (Clusters do EKS).
1. Escolha um cluster na lista. O Application Manager abre a guia **Overview** (Visão geral).
# Trabalhar com runbooks para clusters
É possível corrigir problemas com recursos da AWS no Application Manager, uma ferramenta do AWS Systems Manager, usando os runbooks do Systems Manager Automation. Quando você escolher **Start runbook** (Iniciar o runbook) em um cluster do Application Manager, o sistema exibirá uma lista filtrada de runbooks com base no tipo de recursos do cluster. Quando você escolhe o runbook que deseja iniciar, o Systems Manager abre a página **Execute automation document** (Executar o documento de automação).
**Antes de começar**
Antes de começar um runbook do Application Manager, faça o seguinte:
+ Verifique se você tem as permissões corretas para iniciar runbooks. Para obter mais informações, consulte [Configurar a automação](automation-setup.md).
+ Examine a documentação de procedimentos do Automation sobre como iniciar runbooks. Para obter mais informações, consulte [Executar uma operação automatizada com tecnologia do Systems Manager Automation](running-simple-automations.md).
+ Se você pretende iniciar runbooks em vários recursos ao mesmo tempo, revise a documentação sobre o uso de destinos e controles de taxa. Para obter mais informações, consulte [Executar operações automatizadas em escala](running-automations-scale.md).
**Para iniciar um runbook para clusters do Application Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Application Manager**.
1. Na seção **Container clusters** (Clusters de contêineres), selecione um tipo de contêiner.
1. Selecione um cluster na lista. O Application Manager abrirá a guia **Overview** (Visão geral).
1. Na guia **Runbooks**, escolha **Iniciar runbook**. O Application Manager abrirá a página **Executar documento de automação** em uma nova guia. Para obter informações sobre as opções no **Documento de execução da automação**, consulte [Executar uma operação automatizada com tecnologia do Systems Manager Automation](running-simple-automations.md).
# AWS Systems Manager Parameter Store
O Parameter Store, uma ferramenta do AWS Systems Manager, oferece armazenamento hierárquico seguro para gerenciamento de dados de configuração e gerenciamento de segredos. Você pode armazenar dados, como senhas, strings de banco de dados, IDs de Amazon Machine Images (AMIs) e códigos de licença como valores de parâmetro. É possível armazenar valores como texto sem formatação ou dados criptografados. Você pode referenciar parâmetros do Systems Manager em seus scripts, comandos, documentos do SSM e fluxos de trabalho de configuração e automação usando o nome exclusivo especificado ao criar o parâmetro. Para começar a usar o Parameter Store, abra o [Systems Manager console](https://console.aws.amazon.com//systems-manager/parameters) (Console do gerenciador de sistemas). No painel de navegação, escolha **Parameter Store**.
Parameter StoreO também está integrado ao Secrets Manager. Você pode recuperar segredos do Secrets Manager quando estiver usando outros Serviços da AWS que já oferecem suporte às referências dos parâmetros do Parameter Store. Para obter mais informações, consulte [Fazer referência a segredos do AWS Secrets Manager em parâmetros do Parameter Store](integration-ps-secretsmanager.md).
**nota**
Para implementar ciclos de vida de rotação de senha, use AWS Secrets Manager. Você pode alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida, usando o Secrets Manager. Para obter mais informações, consulte [O que é o AWS Secrets Manager?](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) no * Guia do usuário do AWS Secrets Manager*.
## Como o Parameter Store beneficia minha organização?
Parameter Store oferece estes benefícios:
+ Use um serviço de gerenciamento escalável de segredos hospedados sem servidores para gerenciar.
+ Melhora sua postura de segurança, separando dados e código.
+ Armazena dados de configuração e strings criptografadas em hierarquias e versões de trilha.
+ Controla e audita o acesso em níveis específicos.
+ Armazena parâmetros de forma confiável porque o Parameter Store é hospedado em várias zonas de disponibilidade em uma Região da AWS.
## Quem deve usar o Parameter Store?
+ Qualque cliente da AWS que quiser ter uma maneira centralizada de gerenciar os dados de configuração.
+ Desenvolvedores de software que desejam armazenar logins diferentes e fluxos de referência.
+ Administradores que desejam receber notificações quando seus segredos e senhas forem ou não alterados.
## Quais são os recursos do Parameter Store?
+ **Notificação de alterações**
Configure notificações de alteração e acione ações automatizadas para ambos os parâmetros e políticas de parâmetro. Para obter mais informações, consulte [Configurar notificações ou acionar ações com base nos eventos do Parameter Store](sysman-paramstore-cwe.md).
+ **Organizar parâmetros**
É possível atribuir uma tag aos parâmetros para ajudar você a identificar rapidamente um ou mais parâmetros de acordo com as tags que tiver atribuído a eles. Por exemplo, você pode marcar parâmetros para ambientes ou departamentos específicos.
+ **Versões do rótulo**
Você pode associar um alias para versões do seu parâmetro criando rótulos. Um rótulo pode ajudar você a lembrar-se do objetivo de uma versão de parâmetro quando houver várias versões.
+ **Validação de dados**
Você pode criar parâmetros que apontam para uma instância do Amazon Elastic Compute Cloud (Amazon EC2) e o Parameter Store valida esses parâmetros para garantir que ele faz referência ao tipo de recurso esperado, que o recurso existe e que o cliente tem permissão para usar o recurso. Por exemplo, você pode criar um parâmetro com o ID da Amazon Machine Image (AMI) como um valor com tipo de dados `aws:ec2:image`, e o Parameter Store executará uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para um ID da AMI, e que o AMI esteja disponível na sua Conta da AWS.
+ **Secretos de referência**
O Parameter Store está integrado com o AWS Secrets Manager para que você possa recuperar segredos do Secrets Manager ao usar outros Serviços da AWS que já oferecem suporte a referências a parâmetros do Parameter Store.
+ **Compartilhe parâmetros com outras contas**
Opcionalmente, você pode centralizar os dados de configuração em uma única Conta da AWS e compartilhar parâmetros com outras contas que precisam acessá-los.
+ **Acessível de outros Serviços da AWS**
Você pode usar os parâmetros da Parameter Store com outras ferramentas do Systems Manager e Serviços da AWS para recuperar segredos e dados de configuração de um armazenamento central. Os parâmetros funcionam com ferramentas do Systems Manager, como Run Command, Automation e State Manager, ferramentas do AWS Systems Manager. Você também pode fazer referência a parâmetros em vários outros Serviços da AWS, incluindo os seguintes:
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Amazon Elastic Container Service (Amazon ECS)
+ AWS Secrets Manager
+ AWS Lambda
+ AWS CloudFormation
+ AWS CodeBuild
+ AWS CodePipeline
+ AWS CodeDeploy
+ **Integrar com outros Serviços da AWS**
Configure a integração com os seguintes Serviços da AWS para criptografia, notificação, monitoramento e auditoria:
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon CloudWatch: pbter mais informações, consulte [Configurar regras do EventBridge para parâmetros e políticas de parâmetros](sysman-paramstore-cwe.md#cwe-parameter-changes).
+ Amazon EventBridge: para obter mais informações, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md) e [Referência: padrões e tipos de eventos do Amazon EventBridge para o Systems Manager](reference-eventbridge-events.md).
+ AWS CloudTrail: para obter mais informações, consulte [Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail](monitoring-cloudtrail-logs.md).
## O que é um parâmetro ?
Um parâmetro da Parameter Store é qualquer parte de dados que é salva no Parameter Store, como um bloco de texto, uma lista de nomes, uma senha, um ID de AMI, uma chave de licença e assim por diante. Você pode fazer referência a esses dados de forma centralizada e segura em seus scripts, comandos e documentos do SSM.
Ao referenciar um parâmetro, você especifica o nome desse parâmetro usando a seguinte convenção.
\$1\$1`ssm:parameter-name`\$1\$1
**nota**
Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir `{{}}` ou `{{ssm:parameter-name}}` em um valor de parâmetro.
O Parameter Store fornece suporte a três tipos de parâmetros: `String`, `StringList` e `SecureString`.
Com uma exceção, ao criar ou atualizar um parâmetro, você insere o valor do parâmetro como texto sem formatação, e o Parameter Store não executa nenhuma validação no texto inserido. No entanto, para parâmetros `String`, você pode especificar o tipo de dados como `aws:ec2:image`, e o Parameter Store valida se o valor inserido é o formato adequado para uma AMI do Amazon EC2. por exemplo, `ami-12345abcdeEXAMPLE`.
### Tipo de parâmetro: String
Por padrão, o valor de um parâmetro `String` consiste em qualquer bloco de texto inserido. Por exemplo:
+ `abc123`
+ `Example Corp`
+ `
`
### Tipo de parâmetro: StringList
Os valores de parâmetros `StringList` contêm uma lista de valores separada por vírgulas, conforme mostrado nos exemplos a seguir.
`Monday,Wednesday,Friday`
`CSV,TSV,CLF,ELF,JSON`
### Tipo de parâmetro: SecureString
O valor de um parâmetro `SecureString` é qualquer dado sensível que precisa ser armazenado e referenciado com segurança. Se você tem dados que não deseja que os usuários alterem ou consultem em texto sem formatação, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados `SecureString`.
**Importante**
Não armazene dados confidenciais em um parâmetro `String` ou `StringList`. Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro `SecureString`.
Para obter mais informações, consulte [Criar um parâmetro SecureString usando a AWS CLI](param-create-cli.md#param-create-cli-securestring).
Recomendamos usar parâmetros do `SecureString` nos seguintes cenários:
+ Você deseja usar dados/parâmetros em todos os Serviços da AWS sem expor os valores como texto sem formatação em comandos, funções, logs de agentes ou logs do CloudTrail.
+ Você deseja controlar quem tem acesso a dados confidenciais.
+ Você deseja fazer uma auditoria quando dados confidenciais forem acessados (CloudTrail).
+ Você deseja criptografar seus dados confidenciais e trazer suas próprias chaves de criptografia para gerenciar o acesso.
**Importante**
Somente o *valor* de um parâmetro `SecureString` é criptografado. O nome do parâmetro, a descrição e outras propriedades não são criptografados.
O tipo de parâmetro `SecureString` pode ser usado para dados textuais que você deseja criptografar, como senhas, segredos de aplicações, dados de configuração confidenciais ou outros tipos de dados que você precisa proteger. Os dados do `SecureString` são criptografados e descriptografados usando uma chave AWS KMS. Você pode usar uma chave KMS padrão fornecida pela AWS ou criar e usar sua própria AWS KMS key. (Use seu próprio AWS KMS key se você quiser restringir o acesso do usuário aos parâmetros `SecureString`. Para obter mais informações, consulte [Permissões do IAM para usar chaves padrão da AWS e chaves gerenciadas pelo cliente](sysman-paramstore-access.md#ps-kms-permissions)).
Você também pode usar parâmetros de `SecureString` com outros Serviços da AWS. No exemplo a seguir, a função do Lambda recupera um parâmetro `SecureString` usando a API [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html).
```
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
response = ssm.get_parameters(
Names=['LambdaSecureString'],WithDecryption=True
)
for parameter in response['Parameters']:
return parameter['Value']
def lambda_handler(event, context):
value = get_parameters()
print("value1 = " + value)
return value # Echo back the first key value
```
**AWS KMSCriptografia de definição de preço do**
Se você escolher o tipo de parâmetro `SecureString` ao criar seu parâmetro, o Systems Manager usará o AWS KMS para criptografar o valor do parâmetro.
**Importante**
O Parameter Store só oferece suporte a [chaves de criptografia simétricas KMS](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Não é possível usar uma [chave de criptografia KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) para criptografar os parâmetros. Para obter ajuda para determinar se uma KMS é simétrica ou assimétrica, consulte [Identificar KMSs simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) no *Manual do desenvolvedor do AWS Key Management Service*.
Não há cobrança do Parameter Store para criar um parâmetro `SecureString`, mas as cobranças pelo uso da criptografia do AWS KMS são aplicáveis. Para obter mais informações, consulte [Definição de preço do AWS Key Management Service](https://aws.amazon.com/kms/pricing).
Para obter mais informações sobre Chaves gerenciadas pela AWS e chaves gerenciadas pelo cliente, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), no *Guia do desenvolvedor do AWS Key Management Service*. Para obter mais informações sobre a criptografia do Parameter Store e do AWS KMS, consulte [Como o AWS Systems ManagerParameter Store usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html).
**nota**
Para visualizar uma Chave gerenciada pela AWS, use a operação `DescribeKey` do AWS KMS. Este exemplo de AWS Command Line Interface (AWS CLI) usa `DescribeKey` para visualizar uma Chave gerenciada pela AWS.
```
aws kms describe-key --key-id alias/aws/ssm
```
**Mais informações**
+ [Criar um parâmetro SecureString no Parameter Store e integrar um nó a um domínio (PowerShell)](sysman-param-securestring-walkthrough.md)
+ [Use o Parameter Store para acessar segredos e dados de configuração com segurança no CodeDeploy](https://aws.amazon.com/blogs/mt/use-parameter-store-to-securely-access-secrets-and-config-data-in-aws-codedeploy/)
+ [Artigos interessantes sobre o do Amazon EC2 Systems Manager Parameter Store](https://aws.amazon.com/blogs/mt/interesting-articles-on-ec2-systems-manager-parameter-store/)
## Limites de tamanhos de parâmetros
O Parameter Store tem limites de tamanho diferentes para os valores dos parâmetros dependendo do nível de parâmetros utilizado:
+ **Parâmetros padrão**: tamanho máximo do valor de 4 KB
+ **Parâmetros avançados**: tamanho máximo do valor de 8 KB
Se precisar armazenar valores de parâmetros maiores que 4 KB, será necessário usar o nível de parâmetros avançados. Os parâmetros avançados fornecem recursos adicionais, mas geram cobranças em sua conta da AWS. Para obter mais informações sobre níveis de parâmetros e seus recursos, consulte [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md).
Para obter uma lista completa de cotas e limites do Parameter Store, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#parameter-store) na *Referência geral da AWS*.
# Configurar o Parameter Store
Para configurar parâmetros no Parameter Store, uma ferramenta do AWS Systems Manager, configure primeiro as políticas do AWS Identity and Access Management (IAM) que fornecem aos usuários em sua conta as permissões para executar as ações especificadas.
Esta seção inclui informações sobre como configurar manualmente essas políticas usando o console do IAM, e como atribuí-las a usuários e grupos de usuários. Você também pode criar e atribuir políticas para controlar quais ações de parâmetro podem ser executadas em um nó gerenciado.
Esta seção também inclui informações sobre como criar regras do Amazon EventBridge que permitem que você receba notificações sobre alterações nos parâmetros do Systems Manager. Você também pode usar as regras do EventBridge para acionar outras ações na AWS com base nas alterações da Parameter Store.
**Topics**
+ [Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM](sysman-paramstore-access.md)
+ [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md)
+ [Aumentar ou redefinir o throughput do Parameter Store](parameter-store-throughput.md)
+ [Configurar notificações ou acionar ações com base nos eventos do Parameter Store](sysman-paramstore-cwe.md)
# Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM
Restrinja o acesso aos parâmetros AWS Systems Manager usando o AWS Identity and Access Management (IAM). Mais especificamente, você cria políticas do IAM que restringem o acesso às seguintes operações de API:
+ [DeleteParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html)
+ [DeleteParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html)
+ [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)
+ [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)
+ [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)
+ [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html)
+ [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)
+ [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)
Ao usar políticas do IAM para restringir o acesso a parâmetros do Systems Manager, recomendamos a criação e o uso de políticas *restritivas* do IAM. Por exemplo, a seguinte política permite que um usuário chame as operações de API `DescribeParameters` e `GetParameters` para um conjunto limitado de recursos. Isso significa que o usuário pode obter informações e usar todos os parâmetros que começam com `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**Importante**
Se um usuário tiver acesso a um caminho, o usuário poderá acessar todos os níveis desse caminho. Por exemplo, se um usuário tiver permissão para acessar um caminho `/a`, ele também pode acessar `/a/b`. Mesmo se o acesso de um usuário tiver sido explicitamente negado no IAM para o parâmetro `/a/b`, ele ainda poderá chamar a operação de API `GetParametersByPath` recursivamente para `/a` e visualizar `/a/b`.
Para administradores confiáveis, é possível fornecer acesso a todas as operações de API de parâmetros do Systems Manager usando uma política semelhante ao exemplo a seguir. Esta política fornece ao usuário o acesso total a todos os parâmetros de produção que começam com `dbserver-prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameterHistory",
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/dbserver-prod-*"
},
{
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
```
------
## Negar permissões
Cada API é exclusiva e tem operações e permissões distintas que você pode permitir ou negar individualmente. Uma negação explícita em qualquer política substitui a permissão.
**nota**
O valorAWS Key Management Service(AWS KMS) tem`Decrypt`permissão para todos os principais do IAM dentro doConta da AWS. Se você quiser ter níveis de acesso diferentes ao`SecureString`Na conta, não recomendamos que você use a chave padrão.
Se você quiser que todas as operações de API que recuperam valores de parâmetro tenham o mesmo comportamento, então você pode usar um padrão como`GetParameter*`em uma política. O exemplo a seguir mostra como negar`GetParameter`,`GetParameters`,`GetParameterHistory`, e`GetParametersByPath`para todos os parâmetros que começam com`prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:GetParameter*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
O exemplo a seguir mostra como negar alguns comandos enquanto permite que o usuário execute outros comandos em todos os parâmetros que começam com `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:DeleteParameters",
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:GetParameterHistory"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**nota**
O histórico de parâmetros inclui todas as versões de parâmetros, incluindo a atual. Portanto, se um usuário tiver permissão negada para`GetParameter`,`GetParameters`, e`GetParameterByPath`mas é permitido permissão para`GetParameterHistory`, eles podem ver o parâmetro atual, incluindo`SecureString`Parâmetros, usando`GetParameterHistory`.
## Permitir que apenas parâmetros específicos sejam executados em nós
Você pode controlar o acesso para que os nós gerenciados só possam executar os parâmetros especificados.
Se você escolher o tipo de parâmetro `SecureString` ao criar o parâmetro, o Systems Manager usará o AWS KMS para criptografar o valor do parâmetro. O AWS KMS criptografa o valor usando uma Chave gerenciada pela AWS ou uma chave gerenciada pelo cliente. Para obter mais informações sobre o AWS KMS e o AWS KMS key, consulte o *[Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)*.
Você pode visualizar a Chave gerenciada pela AWS executando o comando a seguir na AWS CLI.
```
aws kms describe-key --key-id alias/aws/ssm
```
O exemplo a seguir permite que os nós obtenham um valor de parâmetro somente para parâmetros que começam com `prod-`. Se o parâmetro for um parâmetro `SecureString`, o nó descriptografará a string usando o AWS KMS.
**nota**
As políticas de instâncias, como no exemplo a seguir, são atribuídas à função de instância no IAM. Para obter mais informações sobre como configurar o acesso a recursos do Systems Manager, incluindo como atribuir políticas a usuários e instâncias, consulte [Gerenciar instâncias do EC2 com o Systems Manager](systems-manager-setting-up-ec2.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/4914ec06-e888-4ea5-a371-5b88eEXAMPLE"
]
}
]
}
```
------
## Permissões do IAM para usar chaves padrão da AWS e chaves gerenciadas pelo cliente
Os parâmetros Parameter Store `SecureString` são criptografados e descriptografados usando as chaves do AWS KMS. É possível optar por criptografar os parâmetros `SecureString` usando uma AWS KMS key ou a chave KMS padrão fornecida pela AWS.
Ao usar uma chave gerenciada pelo cliente, a política do IAM que concede a um usuário acesso a um parâmetro ou um caminho de parâmetro deve fornecer permissões `kms:Encrypt` explícitas para a chave. Por exemplo, a política a seguir permite que um usuário crie, atualize e visualize parâmetros `SecureString` que começam com `prod-` na Região da AWS e Conta da AWS especificadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:GetParameter",
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE"
]
}
]
}
```
------
**nota**
A permissão `kms:GenerateDataKey` é necessária para criar parâmetros avançados criptografados usando a chave específica gerenciada pelo cliente.
Por outro lado, todos os usuários da conta do cliente têm acesso à chave padrão gerenciada da AWS. Se você usar essa chave padrão para criptografar parâmetros `SecureString` e não quiser que os usuários trabalhem com parâmetros `SecureString`, suas políticas do IAM devem negar explicitamente o acesso à chave padrão, conforme demonstrado no exemplo de política a seguir.
**nota**
É possível localizar o nome do recurso da Amazon (ARN) da chave padrão no console do AWS KMS na página [AWS managed keys (chaves gerenciadas)](https://console.aws.amazon.com/kms/home#/kms/defaultKeys). A chave padrão é identificada com `aws/ssm` na coluna **Alias**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE"
]
}
]
}
```
------
Se você precisar de controle de acesso minucioso sobre os parâmetros `SecureString` em sua conta, será necessário usar uma CMK gerenciada pelo cliente para proteger e restringir o acesso a esses parâmetros. Também recomendamos o uso do AWS CloudTrail para monitorar atividades de parâmetros `SecureString`.
Para saber mais, consulte os seguintes tópicos:
+ [Lógica da avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*
+ [Usar políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*
+ [Visualizar eventos com o histórico de eventos do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) no *Guia do usuário do AWS CloudTrail*
# Gerenciar camadas de parâmetros
O Parameter Store, uma ferramenta do AWS Systems Manager, inclui *parâmetros padrão* e *parâmetros avançados*. Você configura parâmetros individualmente para usar o nível de parâmetros padrão (o padrão) ou o nível de parâmetros avançados.
Você pode transformar um parâmetro padrão em um parâmetro avançado a qualquer momento, mas não pode reverter um parâmetro avançado para um parâmetro padrão. Reverter um parâmetro avançado para um parâmetro padrão resultaria na perda de dados, pois o sistema truncaria o tamanho do parâmetro de 8 KB para 4 KB. A operação de reversão também removeria todas as políticas anexadas ao parâmetro. Além disso, parâmetros avançados usam um formato de criptografia diferente dos parâmetros padrão. Para obter mais informações, consulte [Como o AWS Systems Manager Parameter Store usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Se você não precisar mais de um parâmetro avançado, ou se não quiser mais ser cobrado por um parâmetro avançado, deverá excluí-lo e recriá-lo como um novo parâmetro padrão.
A tabela a seguir descreve as diferenças entre os níveis.
****
| | Standard | Advanced (Avançado) |
| --- | --- | --- |
| O número total de parâmetros permitidos (por Conta da AWS e Região da AWS) | 10.000 | 100.000 |
| Tamanho máximo de um valor de parâmetro. | 4 KB | 8 KB |
| Políticas de parâmetros disponíveis | Não | Sim Para obter mais informações, consulte [Atribuir políticas de parâmetros no Parameter Store](parameter-store-policies.md). |
| Custo | Sem custos adicionais | Cobranças são aplicáveis (Para obter mais informações, consulte [Preços do AWS Systems Manager para Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store).) |
**Topics**
+ [Especificar um nível de parâmetro padrão](#ps-default-tier)
+ [Alterar um parâmetro padrão para um parâmetro avançado](#parameter-store-advanced-parameters-enabling)
## Especificar um nível de parâmetro padrão
Em solicitações para criar ou atualizar um parâmetro (ou seja, a ação `[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)`), você pode especificar o nível de parâmetro a ser usado na solicitação. Veja a seguir um exemplo de como usar a AWS Command Line Interface (AWS CLI).
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "default-ami" \
--type "String" \
--value "t2.micro" \
--tier "Standard"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "default-ami" ^
--type "String" ^
--value "t2.micro" ^
--tier "Standard"
```
------
Sempre que você especifica um nível na solicitação, o Parameter Store cria ou atualiza o parâmetro de acordo com a solicitação. No entanto, se você não especificar explicitamente um nível em uma solicitação, a configuração do nível padrão do Parameter Store determinará o nível em que o parâmetro será criado.
O nível padrão quando você começa a usar o Parameter Store é o nível de parâmetro padrão. Se você usar o nível de parâmetro avançado, poderá especificar um dos seguintes como o padrão:
+ **Advanced (Avançado)**: com essa opção, o repositório de parâmetros avalia todas as solicitações como parâmetros avançados.
+ **Intelligent-Tiering**: com essa opção, o Parameter Store avalia cada solicitação para determinar se o parâmetro é padrão ou avançado.
Se a solicitação não incluir opções que exijam um parâmetro avançado, o parâmetro será criado no nível de parâmetro padrão. Se uma ou mais opções que exijam um parâmetro avançado forem incluídas na solicitação, o Parameter Store criará um parâmetro no nível de parâmetro avançado.
**Benefícios do nível Intelligent-Tiering**
Os seguintes motivos podem fazer você escolher o Intelligent-Tiering como o nível padrão.
**Controle de custos** - o Intelligent-Tiering ajuda a controlar os custos relacionados a parâmetros criando sempre parâmetros padrão, a menos que um parâmetro avançado seja absolutamente necessário.
**Atualização automática para o nível de parâmetro avançado** - quando você faz uma alteração no código que requer a atualização de um parâmetro padrão para um parâmetro avançado, o Intelligent-Tiering lida com a conversão para você. Você não precisa alterar o código para lidar com a atualização.
Veja alguns exemplos de atualização automática:
+ Os modelos do AWS CloudFormation provisionam vários parâmetros quando são executados. Quando esse processo faz com que você atinja a cota de 10.000 parâmetros no nível de parâmetro padrão, o Intelligent-Tiering atualiza automaticamente você para o nível de parâmetro avançado, e os processos do CloudFormation não são interrompidos.
+ Você armazena um valor de certificado em um parâmetro, alterna o valor do certificado regularmente, e o conteúdo é inferior à cota de 4 KB do nível de parâmetro padrão. Se o valor de um certificado de substituição exceder 4 KB, o Intelligent-Tiering atualizará automaticamente o parâmetro para o nível de parâmetro avançado.
+ Você deseja associar vários parâmetros padrão existentes a uma política de parâmetros, que requer o nível de parâmetro avançado. Em vez de você precisar incluir a opção `--tier Advanced` em todas as chamadas para atualizar os parâmetros, o Intelligent-Tiering atualiza automaticamente os parâmetros para o nível de parâmetro avançado. A opção Intelligent-Tiering atualiza os parâmetros de padrão para avançados sempre que os critérios do nível de parâmetro avançado forem introduzidos.
As opções que exigem um parâmetro avançado incluem as seguintes:
+ O tamanho do conteúdo do parâmetro é superior a 4 KB.
+ O parâmetro usa uma política de parâmetros.
+ Já existem mais de 10.000 parâmetros em sua Conta da AWS na Região da AWS atual.
**Opções de nível padrão**
As opções de nível que você pode especificar como padrão incluem o seguinte.
+ **Padrão**: o nível de parâmetro padrão é o nível padrão quando você começa a usar o Parameter Store. Usando o nível de parâmetro padrão, você pode criar 10.000 parâmetros para cada Região da AWS em uma Conta da AWS. O tamanho do conteúdo de cada parâmetro pode ser igual a um máximo de 4 KB. Os parâmetros padrão não são compatíveis com políticas de parâmetros. Não há custo adicional para usar o nível de parâmetro padrão. A escolha de **Standard (Padrão)** como o nível padrão significa que o Parameter Store sempre tentará criar um parâmetro padrão para solicitações que não especificam um nível.
+ **Advanced (Avançado)**: use o nível de parâmetro avançado para criar no máximo 100.000 parâmetros para cada Região da AWS em uma Conta da AWS. O tamanho do conteúdo de cada parâmetro pode ser igual a um máximo de 8 KB. Os parâmetros avançados oferecem suporte a políticas de parâmetros. Para compartilhar um parâmetro, ele deve estar no nível de parâmetros avançados. Há uma cobrança para o uso do nível de parâmetro avançado. (Para obter mais informações, consulte [Preços do AWS Systems Manager para Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store).) A escolha de **Advanced (Avançado)** como o nível padrão significa que o Parameter Store sempre tentará criar um parâmetro avançado para solicitações que não especificam um nível.
**nota**
Ao escolher o nível de parâmetro avançado, autorize explicitamente a AWS a cobrar sua conta por qualquer parâmetro avançado que você criar.
+ **Intelligent-Tiering** a opção Intelligent-Tiering permite que o Parameter Store determine se o nível de parâmetro padrão ou o nível de parâmetro avançado deve ser usado com base no conteúdo da solicitação. Por exemplo, se você executar um comando para criar um parâmetro com conteúdo inferior a 4 KB, houver menos de 10.000 parâmetros na Região da AWS atual em sua Conta da AWS, e você não especificar uma política de parâmetro, um parâmetro padrão será criado. Se você executar um comando para criar um parâmetro com mais de 4 KB de conteúdo, já tiver mais de 10.000 parâmetros na Região da AWS atual de sua Conta da AWS ou especificar uma política de parâmetro, um parâmetro avançado será criado.
**nota**
Ao escolher Intelligent-Tiering, você deve autorizar explicitamente a AWS a cobrar sua conta por todos os parâmetros avançados criados.
Você pode alterar a configuração de nível padrão do Parameter Store a qualquer momento.
### Configurar permissões para especificar um nível padrão do Parameter Store
Verifique se você tem permissão no AWS Identity and Access Management (IAM) para alterar o nível de parâmetro padrão no Parameter Store executando uma das seguintes ações:
+ Certifique-se de anexar a política `AdministratorAccess` à sua entidade do IAM (como usuário, grupo ou perfil).
+ Certifique-se de ter permissão para alterar a configuração de nível padrão usando as seguintes ações da API:
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)
Conceda as permissões a seguir à entidade do IAM para permitir que um usuário visualize e altere a configuração de nível padrão para parâmetros em uma Região da AWS específica em uma Conta da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/parameter-store/default-parameter-tier"
}
]
}
```
------
Os administradores poderão especificar a permissão de somente leitura ao atribuir as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "*"
}
]
}
```
------
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
### Especificar ou alterar o nível padrão do Parameter Store usando o console
O seguinte procedimento mostra como usar o console do Systems Manager para especificar ou alterar o nível de parâmetro padrão para a Conta da AWS e a Região da AWS atuais.
**dica**
Se você ainda não criou um parâmetro, será possível usar a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell para alterar a camada de parâmetro padrão. Para obter informações, consulte [Especificar ou alterar o nível padrão do Parameter Store usando a AWS CLI](#parameter-store-tier-changing-cli) e [Especificar ou alterar o nível padrão do Parameter Store (PowerShell)](#parameter-store-tier-changing-ps).
**Para especificar ou alterar o nível padrão do Parameter Store**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha a guia **Configurações**.
1. Selecione **Change default tier** (Alterar a camada padrão).
1. Escolha uma das seguintes opções.
+ **Standard**
+ **Advanced (Avançado**
+ **Intelligent-Tiering**
Para saber mais sobre essas opções, consulte [Especificar um nível de parâmetro padrão](#ps-default-tier).
1. Revise a mensagem e escolha **Confirm (Confirmar)**.
Se você quiser alterar a configuração de nível padrão posteriormente, repita esse procedimento e especifique outra opção de nível padrão.
### Especificar ou alterar o nível padrão do Parameter Store usando a AWS CLI
O seguinte procedimento mostra como usar a AWS CLI (Conta da AWS) para alterar a configuração do nível de parâmetro padrão para a conta e a região atuais da Região da AWS.
**Para especificar ou alterar o nível padrão do Parameter Store usando a AWS CLI**
1. Abra a AWS CLI e execute o seguinte comando para alterar a configuração do nível de parâmetro padrão para uma Região da AWS específica em uma Conta da AWS.
```
aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier --setting-value tier-option
```
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
Os valores de *tier-option* incluem `Standard`, `Advanced` e `Intelligent-Tiering`. Para saber mais sobre essas opções, consulte [Especificar um nível de parâmetro padrão](#ps-default-tier).
Não haverá saída se o comando for bem-sucedido.
1. Execute o seguinte comando para visualizar as configurações de serviço de nível de parâmetro padrão atual para o Parameter Store na Conta da AWS e Região da AWS atuais.
```
aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier
```
O sistema retorna informações semelhantes às seguintes.
```
{
"ServiceSetting": {
"SettingId": "/ssm/parameter-store/default-parameter-tier",
"SettingValue": "Advanced",
"LastModifiedDate": 1556551683.923,
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier",
"Status": "Customized"
}
}
```
Se você quiser alterar a configuração do nível padrão novamente, repita esse procedimento e especifique outra opção de `SettingValue`.
### Especificar ou alterar o nível padrão do Parameter Store (PowerShell)
O seguinte procedimento mostra como usar o Tools for Windows PowerShell para alterar a configuração do nível de parâmetro padrão para uma Região da AWS específica em uma conta da Amazon Web Services.
**Para especificar ou alterar o nível padrão do Parameter Store usando o PowerShell**
1. Altere a camada padrão do Parameter Store na Conta da AWS e Região da AWS usando o Ferramentas da AWS para PowerShell (Tools for PowerShell).
```
Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -SettingValue "tier-option" -Region region
```
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
Os valores de *tier-option* incluem `Standard`, `Advanced` e `Intelligent-Tiering`. Para saber mais sobre essas opções, consulte [Especificar um nível de parâmetro padrão](#ps-default-tier).
Não haverá saída se o comando for bem-sucedido.
1. Execute o seguinte comando para visualizar as configurações de serviço de nível de parâmetro padrão atual para o Parameter Store na Conta da AWS e Região da AWS atuais.
```
Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/default-parameter-tier" -Region region
```
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
O sistema retorna informações semelhantes às seguintes.
```
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/default-parameter-tier
LastModifiedDate : 4/29/2019 3:35:44 PM
LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper
SettingId : /ssm/parameter-store/default-parameter-tier
SettingValue : Advanced
Status : Customized
```
Se você quiser alterar a configuração do nível padrão novamente, repita esse procedimento e especifique outra opção de `SettingValue`.
## Alterar um parâmetro padrão para um parâmetro avançado
Use o procedimento a seguir para transformar um parâmetro padrão em um parâmetro avançado. Para obter informações sobre como criar um novo parâmetro avançado, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).
**Para transformar um parâmetro padrão em um parâmetro avançado**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha um parâmetro e depois **Edit (Editar)**.
1. Em **Description (Descrição)**, insira informações sobre esse parâmetro.
1. Escolha **Advanced (Avançado)**.
1. Em **Value (Valor)**, insira o valor desse parâmetro. Parâmetros avançados têm um limite de valor máximo de 8 KB.
1. Escolha **Salvar alterações**.
# Aumentar ou redefinir o throughput do Parameter Store
Aumentar o throughput do Parameter Store aumenta o número máximo de transações por segundo (TPS) que o Parameter Store, uma ferramenta do AWS Systems Manager, pode processar. Uma throughput maior permite operar o Parameter Store em volumes mais altos para oferecer suporte a aplicações e cargas de trabalho que precisam de acesso simultâneo a vários parâmetros. Você pode aumentar a cota até a throughput máxima na guia **Settings** (Configurações).
A configuração de throughput do Parameter Store se aplica a todas as transações criadas por todos os usuários do (IAM) na Conta da AWS e na Região da AWS atuais. A configuração de throughput aplica-se a parâmetros padrão e avançados.
**nota**
Normalmente, as atualizações são imediatamente visíveis no Service Quotas. Em casos raros, pode levar até 24 horas para que uma atualização seja refletida.
Para obter mais informações sobre throughput máxim, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com//general/latest/gr/ssm.html#limits_ssm).
Aumentar a cota da throughput gera cobranças na sua Conta da AWS. Para saber mais, consulte [Preços do AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
**Topics**
+ [Configurar permissões para alterar o throughput do Parameter Store](#parameter-store-throughput-permissions)
+ [Aumentar ou redefinir o throughput usando o console](#parameter-store-throughput-increasing)
+ [Aumentar ou redefinir o throughput usando o AWS CLI](#parameter-store-throughput-increasing-cli)
+ [Aumentar ou redefinir o throughput (PowerShell)](#parameter-store-throughput-increasing-ps)
## Configurar permissões para alterar o throughput do Parameter Store
Verifique se você tem permissão no IAM para alterar o throughput do Parameter Store de uma das seguintes maneiras:
+ Certifique-se de que a política `AdministratorAccess` esteja anexada à sua entidade do IAM (usuário, grupo ou perfil).
+ Certifique-se de ter permissão para alterar a configuração do serviço de throughput usando as seguintes ações de API:
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)
Conceda as permissões a seguir à entidade do IAM para permitir que um usuário visualize e altere a configuração de throughput para parâmetros em uma Região da AWS específica em uma Conta da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/parameter-store/high-throughput-enabled"
}
]
}
```
------
Os administradores poderão especificar a permissão de somente leitura ao atribuir as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "*"
}
]
}
```
------
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Aumentar ou redefinir o throughput usando o console
O seguinte procedimento mostra como usar o console do Systems Manager para aumentar o número de transações por segundo que o Parameter Store pode processar para a Conta da AWS e a Região da AWS atuais. Ele também mostra como reverter para as configurações padrão se o throughput aumentado não for mais necessário ou se você não quiser mais incorrer em cobranças.
**Aumentar ou redefinir o Parameter Store de throughput usando o console**
**dica**
Se você ainda não criou um parâmetro, será possível usar a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell para aumentar a throughput. Para obter informações, consulte [Aumentar ou redefinir o throughput usando o AWS CLI](#parameter-store-throughput-increasing-cli) e [Aumentar ou redefinir o throughput (PowerShell)](#parameter-store-throughput-increasing-ps).
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha a guia **Configurações**.
1. Para aumentar o throughput, escolha **Definir limite**.
- ou -
Para reverter para o limite padrão, escolha **Redefinir limite**.
1. Se você estiver aumentando o limite, faça o seguinte:
+ Marque a caixa de seleção **Aceito que a alteração dessa configuração incorra em cobranças em minha Conta da AWS**.
+ Escolha **Set limit (Definir limite)**.
- ou -
Se você estiver redefinindo o limite para o padrão, faça o seguinte:
+ Marque a caixa de seleção **Aceito que a redefinição para o limite de throughput padrão faça com que o Parameter Store processe menos transações por segundo**.
+ Escolha **Redefinir limite**.
## Aumentar ou redefinir o throughput usando o AWS CLI
O seguinte procedimento mostra como usar o AWS CLI para aumentar o número de transações por segundo que o Parameter Store pode processar para a Conta da AWS e a Região da AWS atuais. Você também pode reverter para o limite padrão.
**Para aumentar a throughput do Parameter Store usando a AWS CLI**
1. Abra a AWS CLI e execute o seguinte comando para aumentar as transações por segundo que o Parameter Store pode processar na Conta da AWS e Região da AWS atuais.
```
aws ssm update-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled --setting-value true
```
Não haverá saída se o comando for bem-sucedido.
1. Execute o seguinte comando para visualizar as configurações de serviço de throughput atual para o Parameter Store na Conta da AWS e Região da AWS atuais.
```
aws ssm get-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled
```
O sistema retorna informações semelhantes às seguintes:
```
{
"ServiceSetting": {
"SettingId": "/ssm/parameter-store/high-throughput-enabled",
"SettingValue": "true",
"LastModifiedDate": 1556551683.923,
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/Jasper",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled",
"Status": "Customized"
}
}
```
Se não precisar mais da throughput maior, ou se não quiser mais acumular cobranças, você poderá reverter para as configurações padrão. Para reverter as configurações, execute o comando a seguir.
```
aws ssm reset-service-setting --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled
```
```
{
"ServiceSetting": {
"SettingId": "/ssm/parameter-store/high-throughput-enabled",
"SettingValue": "false",
"LastModifiedDate": 1555532818.578,
"LastModifiedUser": "System",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled",
"Status": "Default"
}
}
```
## Aumentar ou redefinir o throughput (PowerShell)
O seguinte procedimento mostra como usar o Tools for Windows PowerShell para aumentar o número de transações por segundo que o Parameter Store pode processar para a Conta da AWS e Região da AWS atuais. Você também pode reverter para o limite padrão.
**Para aumentar a throughput do Parameter Store usando o PowerShell**
1. Aumentar throughput do Parameter Store na Conta da AWS e Região da AWS atuais usando o Ferramentas da AWS para PowerShell (Tools for PowerShell).
```
Update-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -SettingValue "true" -Region region
```
Não haverá saída se o comando for bem-sucedido.
1. Execute o seguinte comando para visualizar as configurações de serviço de throughput atual para o Parameter Store na Conta da AWS e Região da AWS atuais.
```
Get-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -Region region
```
O sistema retorna informações semelhantes às seguintes:
```
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled
LastModifiedDate : 4/29/2019 3:35:44 PM
LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/Jasper
SettingId : /ssm/parameter-store/high-throughput-enabled
SettingValue : true
Status : Customized
```
Se não precisar mais da throughput maior, ou se não quiser mais acumular cobranças, você poderá reverter para as configurações padrão. Para reverter as configurações, execute o comando a seguir.
```
Reset-SSMServiceSetting -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/parameter-store/high-throughput-enabled" -Region region
```
O sistema retorna informações semelhantes às seguintes:
```
ARN : arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/parameter-store/high-throughput-enabled
LastModifiedDate : 4/17/2019 8:26:58 PM
LastModifiedUser : System
SettingId : /ssm/parameter-store/high-throughput-enabled
SettingValue : false
Status : Default
```
# Configurar notificações ou acionar ações com base nos eventos do Parameter Store
Os tópicos desta seção explicam como usar o Amazon EventBridge e o Amazon Simple Notification Service (Amazon SNS) para notificá-lo sobre alterações nos parâmetros do AWS Systems Manager. Você pode criar uma regra do EventBridge para receber notificações em caso de criação, atualização ou exclusão de um parâmetro ou uma versão de rótulo de parâmetro. Os eventos são emitidos com base no melhor esforço. Você pode ser notificado sobre alterações ou status relacionados às políticas do parâmetro, como quando um parâmetro expirar, a data de expiração dele ou se ele não tiver sido alterado por um período especificado.
**nota**
Políticas de parâmetros estão disponíveis apenas para parâmetros que usam o nível avançado de parâmetros. Há cobranças aplicáveis. Para obter mais informações, consulte [Atribuir políticas de parâmetros no Parameter Store](parameter-store-policies.md) e [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md).
Os tópicos a seguir também explicam como acionar outras ações em um destino para eventos específicos do parâmetros. Por exemplo, você pode executar uma função AWS Lambda para recriar um parâmetro automaticamente quando ele expira ou é excluído. Você também pode configurar uma notificação para chamar uma função do Lambda quando a senha do banco de dados for atualizada. A função do Lambda pode forçar a redefinição das conexões do banco de dados ou a reconexão com a nova senha. O EventBridge também oferece suporte ao comandos Run Command, execuções do Automation e ações em muitos outros Serviços da AWS. O Run Command e o Automation são ambos ferramentas do AWS Systems Manager. Para obter mais informações, consulte o *[Guia do usuário do Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
**Antes de começar**
Crie todos os recursos necessários para especificar a ação de destino para a regra que você criar. Por exemplo, se a regra criada tiver como objetivo enviar uma notificação, crie primeiro um tópico do Amazon SNS. Para obter mais informações, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.htmlGettingStarted.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## Configurar regras do EventBridge para parâmetros e políticas de parâmetros
Este tópico explica o seguinte:
+ Como criar uma regra do EventBridge que invoca um destino com base em eventos que ocorrem em um ou mais parâmetros em sua Conta da AWS.
+ Como criar regras do EventBridge que invocam destinos com base em eventos que ocorrem em uma ou mais políticas de parâmetro na sua Conta da AWS. Ao criar um parâmetro avançado, você especifica quando um parâmetro expira, quando você recebe uma notificação antes de um parâmetro expirar e o tempo de espera antes de uma notificação ser enviada informando que um parâmetro não foi alterado. Configure uma notificação para esses eventos usando o procedimento a seguir. Configure a notificação para esses eventos usando o procedimento a seguir. Para obter mais informações, consulte [Atribuir políticas de parâmetros no Parameter Store](parameter-store-policies.md) e [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md).
**Para configurar o EventBridge para um parâmetro ou uma política de parâmetro do Systems Manager**
1. Abra o console do Amazon EventBridge em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, escolha **Rules** (Regras) e **Create rule** (Criar regras).
- ou -
Se a página inicial do EventBridge abrir primeiro, escolha **Create rule** (Criar regra).
1. Insira um nome e uma descrição para a regra.
Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.
1. Em **Event bus** (Barramento de eventos), escolha o barramento de eventos que deseja associar a essa regra. Se desejar que essa regra seja iniciada em eventos correspondentes provenientes da sua Conta da AWS, selecione **default** (padrão). Quando um AWS service (Serviço da AWS) na sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.
1. Em **Rule type** (Tipo de regra), mantenha o valor padrão **Rule with an event pattern** (Regra com um padrão de evento selecionado).
1. Escolha **Próximo**.
1. Em **Origem do evento**, mantenha o valor padrão **Eventos da AWS ou eventos de parceiros do EventBridge** selecionado. Você pode ignorar a seção **Sample event** (Evento de exemplo).
1. Em **Event pattern** (Padrão de evento), faça o seguinte:
+ Escolha **Custom patterns (JSON editor)** (Padrões personalizados (editor JSON)).
+ Em **Event pattern** (Padrão de evento), cole um dos seguintes conteúdos na caixa, dependendo se você está criando uma regra para um parâmetro ou uma política de parâmetros:
------
#### [ Parameter ]
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Change"
],
"detail": {
"name": [
"parameter-1-name",
"/parameter-2-name/level-2",
"/parameter-3-name/level-2/level-3"
],
"operation": [
"Create",
"Update",
"Delete",
"LabelParameterVersion"
]
}
}
```
------
#### [ Parameter policy ]
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Policy Action"
],
"detail": {
"parameter-name": [
"parameter-1-name",
"/parameter-2-name/level-2",
"/parameter-3-name/level-2/level-3"
],
"policy-type": [
"Expiration",
"ExpirationNotification",
"NoChangeNotification"
]
}
}
```
------
+ Modifique o conteúdo dos parâmetros e operações nos quais deseja executar uma ação, conforme mostrado nos exemplos a seguir.
------
#### [ Parameter ]
Neste exemplo, uma ação é executada quando qualquer um dos parâmetros chamados /`Oncall` ou `/Project/Teamlead` é atualizado:
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Change"
],
"detail": {
"name": [
"/Oncall",
"/Project/Teamlead"
],
"operation": [
"Update"
]
}
}
```
------
#### [ Parameter policy ]
Neste exemplo, uma ação é executada sempre que o parâmetro chamado /`OncallDuties` expira e é excluído:
```
{
"source": [
"aws.ssm"
],
"detail-type": [
"Parameter Store Policy Action"
],
"detail": {
"parameter-name": [
"/OncallDuties"
],
"policy-type": [
"Expiration"
]
}
}
```
------
1. Escolha **Próximo**.
1. Para **Target 1** (Destino 1), escolha um tipo de destino e um recurso com suporte. Por exemplo, se você escolher **SNS topic** (Tópico do SNS), faça uma seleção para o **Topic** (Tópico). Se você escolher **CodePipeline**, insira um ARN de pipeline para **Pipeline ARN** (ARN do pipeline). Forneça valores de configuração adicionais conforme necessário.
**dica**
Selecione **Add another target** (Adicionar outro destino) se houver necessidade de destinos adicionais para a regra.
1. Escolha **Próximo**.
1. (Opcional) Insira uma ou mais tags para a regra. Para mais informações, consulte [Tags Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) em *Guia de Usuário Amazon EventBridge*.
1. Escolha **Próximo**.
1. Selecione **Criar regra**.
**Mais informações**
+ [Use parameter labels for easy configuration update across environments](https://aws.amazon.com/blogs/mt/use-parameter-labels-for-easy-configuration-update-across-environments/)
+ [Tutorial: Usar o EventBridge para retransmitir eventos para AWS Systems ManagerRun Command](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ec2-run-command.html), no *Guia do usuário do Amazon EventBridge*
+ [Tutorial: Definir automação do AWS Systems Manager com um destino do EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-ssm-automation-as-target.html) no *Guia do usuário do Amazon EventBridge*
# Trabalhar com o Parameter Store
Esta seção descreve como organizar e criar parâmetros de tag e como criar diferentes versões de parâmetros.
É possível usar o console do AWS Systems Manager, a AWS Command Line Interface (AWS CLI), o Ferramentas da AWS para PowerShell e os AWS SDKs para criar e trabalhar com parâmetros. Para obter mais informações sobre parâmetros, consulte [O que é um parâmetro ?](systems-manager-parameter-store.md#what-is-a-parameter).
**Topics**
+ [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md)
+ [Pesquisar parâmetros do Parameter Store no Systems Manager](parameter-search.md)
+ [Atribuir políticas de parâmetros no Parameter Store](parameter-store-policies.md)
+ [Trabalhar com hierarquias de parâmetros no Parameter Store](sysman-paramstore-hierarchies.md)
+ [Impedir o acesso às operações da API Parameter Store](parameter-store-policy-conditions.md)
+ [Trabalhar com rótulos de parâmetros no Parameter Store](sysman-paramstore-labels.md)
+ [Como trabalhar com versões de parâmetros no Parameter Store](sysman-paramstore-versions.md)
+ [Trabalhar com parâmetros compartilhados no Parameter Store](parameter-store-shared-parameters.md)
+ [Trabalhar com parâmetros no Parameter Store usando comandos do Run Command](sysman-param-runcommand.md)
+ [Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon](parameter-store-ec2-aliases.md)
+ [Excluir parâmetros do Parameter Store](deleting-parameters.md)
# Criar parâmetros do Parameter Store no Systems Manager
Use as informações nos tópicos a seguir para ajudar você a criar parâmetros do Systems Manager usando o console do AWS Systems Manager, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell(Tools for Windows PowerShell).
As demonstrações nesta seção mostram como criar, armazenar e executar parâmetros com o Parameter Store em um ambiente de teste. Ela também demonstra como usar o Parameter Store com outras ferramentas do Systems Manager em Serviços da AWS. Para obter mais informações, consulte . [O que é um parâmetro ?](systems-manager-parameter-store.md#what-is-a-parameter)
## Entender requisitos e restrições para nomes de parâmetros
Use as informações contidas neste tópico para ajudar você a especificar os valores válidos para os nomes de parâmetro quando você cria um parâmetro.
Essas informações complementam os detalhes no tópico [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html) na *Referência da API do AWS Systems Manager*, que também fornece informações sobre os valores **AllowedPattern**, **Description**, **KeyId**, **Overwrite**, **Type** e **Value**.
Os requisitos e restrições para nomes de parâmetros incluem os seguintes:
+ **Diferenciação de letras maiúsculas e minúsculas**: os nomes de parâmetro diferenciam maiúsculas de minúsculas.
+ **Espaços**: nomes de parâmetro não podem incluir espaços.
+ **Caracteres válidos**: nomes de parâmetro podem conter somente os seguintes símbolos e letras: `a-zA-Z0-9_.-`
Além disso, o caractere de barra (/) é usado para delinear hierarquias em nomes de parâmetros. Por exemplo: `/Dev/Production/East/Project-ABC/MyParameter`
+ **Formato válido da AMI**: quando você escolhe `aws:ec2:image` como o tipo de dados para um parâmetro `String`, o ID inserido deve ser validado para o formato de ID da AMI `ami-12345abcdeEXAMPLE`.
+ **Totalmente qualificado**: quando você cria ou faz referência a um parâmetro em uma hierarquia, é necessário incluir um caractere de barra (/) inicial. Quando você faz referência a um parâmetro que faz parte de uma hierarquia, é necessário especificar todo o caminho da hierarquia, inclusive a barra (/) inicial.
+ Nomes de parâmetros totalmente qualificados: `MyParameter1`, `/MyParameter2`, `/Dev/Production/East/Project-ABC/MyParameter`
+ Nome do parâmetro não totalmente qualificado: `MyParameter3/L1`
+ **Comprimento**: o comprimento máximo de um nome de parâmetro que você especifica é 1.011 caracteres. Esse número de 1.011 caracteres inclui os caracteres no ARN que precedem o nome especificado, como os 45 caracteres no `arn:aws:ssm:us-east-2:111122223333:parameter/`.
+ **Prefixos**: um nome de parâmetro não pode ser prefixado com "`aws`" ou "`ssm`" (sem distinção entre maiúsculas e minúsculas). Por exemplo, as tentativas de criar parâmetros com os seguintes nomes falaharão sem exceção:
+ `awsTestParameter`
+ `SSM-testparameter`
+ `/aws/testparam1`
**nota**
Quando você especifica um parâmetro em um documento, comando ou script do SSM, deve incluir `ssm` como parte da sintaxe, conforme mostrado nos exemplos a seguir. Válido: \$1\$1ssm:*parameter-name*\$1\$1 e \$1\$1 ssm:*parameter-name* \$1\$1, como `{{ssm:MyParameter}}` e `{{ ssm:MyParameter }}.`
+ **Exclusividade**: um nome de parâmetro deve ser exclusivo em uma região da Região da AWS. Por exemplo, o Systems Manager trata os seguintes parâmetros como parâmetros separados, se eles existirem na mesma região:
+ `/Test/TestParam1`
+ `/TestParam1`
Os exemplos a seguir também são exclusivos:
+ `/Test/TestParam1/Logpath1`
+ `/Test/TestParam1`
No entanto, se estiverem na mesma região, os seguintes exemplos não serão considerados como exclusivos:
+ `/TestParam1`
+ `TestParam1`
+ **Profundidade da hierarquia**: se você especificar uma hierarquia de parâmetros, ela poderá ter uma profundidade máxima de quinze níveis. É possível definir um parâmetro em qualquer nível da hierarquia. Ambos os exemplos a seguir são estruturalmente válidos:
+ `/Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/parameter-name`
+ `parameter-name`
A tentativa de criar o seguinte parâmetro falharia com uma exceção `HierarchyLevelLimitExceededException`:
+ `/Level-1/L2/L3/L4/L5/L6/L7/L8/L9/L10/L11/L12/L13/L14/L15/L16/parameter-name`
**Importante**
Se um usuário tiver acesso a um caminho, o usuário poderá acessar todos os níveis desse caminho. Por exemplo, se um usuário tiver permissão para acessar um caminho `/a`, ele também pode acessar `/a/b`. Mesmo se o acesso de um usuário tiver sido explicitamente negado no AWS Identity and Access Management (IAM) para o parâmetro `/a/b`, ele ainda poderá chamar a operação de API [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html) recursivamente para `/a` e visualizar o `/a/b`.
**Topics**
+ [Entender requisitos e restrições para nomes de parâmetros](#sysman-parameter-name-constraints)
+ [Criar um parâmetro do Parameter Store usando o console](parameter-create-console.md)
+ [Criar um parâmetro do Parameter Store usando a AWS CLI](param-create-cli.md)
+ [Criar um parâmetro do Parameter Store usando as Ferramentas para Windows PowerShell](param-create-ps.md)
# Criar um parâmetro do Parameter Store usando o console
Você pode usar o console do AWS Systems Manager para criar e executar tipos de parâmetros `String`, `StringList` e `SecureString`. Depois de excluir um parâmetro, aguarde pelo menos 30 segundos para criar um parâmetro com o mesmo nome.
**nota**
Parâmetros só estão disponíveis na região da Região da AWS em que foram criados.
O procedimento a seguir demonstra o processo de criação e armazenamento de um parâmetro usando o console do Parameter Store. É possível criar tipos de parâmetro `String`, `StringList` e `SecureString` a partir do console.
**Para criar um parâmetro**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha **Criar Parâmetro**.
1. Na caixa **Name (Nome)**, insira uma hierarquia e um nome. Por exemplo, digite **/Test/helloWorld**.
Para obter mais informações sobre hierarquias de parâmetros, consulte [Trabalhar com hierarquias de parâmetros no Parameter Store](sysman-paramstore-hierarchies.md).
1. Na caixa **Description**, digite uma descrição que identifique esse parâmetro como um parâmetro de teste.
1. Para **Parameter tier (Nível do parâmetro)**, escolha **Standard (Padrão)** ou **Advanced (Avançado)**. Para obter mais informações sobre parâmetros avançados, consulte [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md).
1. Para **Tipo**, escolha **String**, **StringList** ou **SecureString**.
+ Se você escolher **String**, o campo **Data type (Tipo de dados)** será exibido. Se você estiver criando um parâmetro para manter o ID do recurso para uma Amazon Machine Image (AMI), selecione `aws:ec2:image`. Caso contrário, deixe o `text` padrão selecionado.
+ Se escolher **SecureString,** o campo **KMS Key ID** será exibido. Se você não fornecer um ID AWS Key Management Service AWS KMS key, um AWS KMS key nome do recurso da Amazon (ARN), um nome de alias ou um ARN de alias, o sistema usará `alias/aws/ssm`, que é oChave gerenciada pela AWS para o Systems Manager. Se não quiser usar essa chave, você poderá usar uma CMK gerenciada pelo cliente. Para obter mais informações sobre Chaves gerenciadas pela AWS e chaves gerenciadas pelo cliente, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), no *Guia do desenvolvedor do AWS Key Management Service*. Para obter mais informações sobre a criptografia do Parameter Store e do AWS KMS, consulte [Como o AWS Systems ManagerParameter Store usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html).
**Importante**
O Parameter Store só oferece suporte a [chaves de criptografia simétricas KMS](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Não é possível usar uma [chave de criptografia KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) para criptografar os parâmetros. Para obter ajuda para determinar se uma KMS é simétrica ou assimétrica, consulte [Identificar KMSs simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) no *Manual do desenvolvedor do AWS Key Management Service*.
+ Ao criar um parâmetro `SecureString` no console usando o parâmetro `key-id` com um nome de alias de CMK gerenciada pelo cliente ou com um ARN de alias, especifique o prefixo `alias/` antes desse alias. Veja um exemplo de ARN a seguir.
```
arn:aws:kms:us-east-2:123456789012:alias/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE
```
Veja a seguir um exemplo de nome de alias.
```
alias/MyAliasName
```
1. Na caixa **Value**, digite um valor. Por exemplo, digite **This is my first parameter** ou **ami-0dbf5ea29aEXAMPLE**.
**nota**
Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir `{{}}` ou `{{ssm:parameter-name}}` em um valor de parâmetro.
Se você escolheu **SecureString**, o valor do parâmetro será mascarado por padrão (“\$1\$1\$1\$1\$1\$1”) quando você visualizá-lo posteriormente na guia **Visão geral** do parâmetro, conforme mostrado na ilustração a seguir. Selecione **Show** (Mostrar) para exibir o valor do parâmetro.
![\[O valor de um parâmetro SecureString é mascarado com a opção de exibir o valor.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/ps-overview-show-secstring.png)
1. (Opcional) Na área **Tags**, aplique um ou mais pares de chave-valor de tag ao parâmetro.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode marcar um parâmetro do Systems Manager para identificar o tipo de recurso ao qual ele se aplica, o ambiente ou o tipo de dados de configuração referenciado pelo parâmetro. Nesse caso, você pode especificar os seguintes pares de chave-valor:
+ `Key=Resource,Value=S3bucket`
+ `Key=OS,Value=Windows`
+ `Key=ParameterType,Value=LicenseKey`
1. Escolha **Criar Parâmetro**.
1. Na lista de parâmetros, escolha o nome do parâmetro que você acabou de criar. Verifique os detalhes na guia **Overview**. Se tiver criado um parâmetro `SecureString`, escolha **Show** para visualizar o valor não criptografado.
**nota**
Não é possível transformar um parâmetro avançado em um parâmetro padrão. Se você não precisar mais de um parâmetro avançado, ou se não quiser mais ser cobrado por um parâmetro avançado, deverá excluí-lo e recriá-lo como um novo parâmetro padrão.
**nota**
Não é possível alterar o tipo de um parâmetro existente (por exemplo, de `String` para `SecureString`) usando o console. Para alterar o tipo de um parâmetro, use a AWS CLI ou s com a opção `--overwrite`. Para obter mais informações, consulte [Criar um parâmetro do Parameter Store usando a AWS CLI](param-create-cli.md).
# Criar um parâmetro do Parameter Store usando a AWS CLI
Você pode usar a AWS Command Line Interface (AWS CLI) para criar tipos de parâmetro `String`, `StringList` e `SecureString`. Depois de excluir um parâmetro, aguarde pelo menos 30 segundos para criar um parâmetro com o mesmo nome.
Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir `{{}}` ou `{{ssm:parameter-name}}` em um valor de parâmetro.
**nota**
Parâmetros só estão disponíveis na região da Região da AWS em que foram criados.
**Topics**
+ [Criar um parâmetro do `String` usando a AWS CLI](#param-create-cli-string)
+ [Criar um parâmetro StringList usando a AWS CLI](#param-create-cli-stringlist)
+ [Criar um parâmetro SecureString usando a AWS CLI](#param-create-cli-securestring)
+ [Criar um parâmetro de várias linhas usando a AWS CLI](#param-create-cli-multiline)
## Criar um parâmetro do `String` usando a AWS CLI
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o comando a seguir para criar um parâmetro do tipo `String`. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "parameter-value" \
--type String \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "parameter-value" ^
--type String ^
--tags "Key=tag-key,Value=tag-value"
```
------
- ou -
Execute o comando a seguir para criar um parâmetro que contenha um ID da Amazon Machine Image (AMI) como o valor do parâmetro.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "an-AMI-id" \
--type String \
--data-type "aws:ec2:image" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "an-AMI-id" ^
--type String ^
--data-type "aws:ec2:image" ^
--tags "Key=tag-key,Value=tag-value"
```
------
A opção `--name` oferece suporte a hierarquias. Para obter informações sobre hierarquias, consulte [Trabalhar com hierarquias de parâmetros no Parameter Store](sysman-paramstore-hierarchies.md).
A opção `--data-type` deverá ser especificada somente se você estiver criando um parâmetro que contenha um ID de AMI. Ele valida se o valor do parâmetro inserido é um ID AMI Amazon Elastic Compute Cloud (Amazon EC2) formatado corretamente. Para todos os outros parâmetros, o tipo de dados padrão é `text` e é opcional especificar um valor. Para obter mais informações, consulte [Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon](parameter-store-ec2-aliases.md).
**Importante**
Se for bem-sucedido, o comando retornará o número da versão do parâmetro. **Exceção**: se você tiver especificado `aws:ec2:image` como o tipo de dados, um novo número de versão na resposta não significa que o valor do parâmetro já tenha sido validado. Para obter mais informações, consulte [Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon](parameter-store-ec2-aliases.md).
O exemplo a seguir adiciona duas tags de par de chave-valor a um parâmetro.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name parameter-name \
--value "parameter-value" \
--type "String" \
--tags '[{"Key":"Region","Value":"East"},{"Key":"Environment", "Value":"Production"}]'
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name parameter-name ^
--value "parameter-value" ^
--type "String" ^
--tags [{\"Key\":\"Region1\",\"Value\":\"East1\"},{\"Key\":\"Environment1\",\"Value\":\"Production1\"}]
```
------
O exemplo a seguir usa uma hierarquia de parâmetros no nome para criar um texto sem formatação`String`parâmetro . O comando retornará o número da versão do parâmetro. Para obter mais informações sobre hierarquias de parâmetros, consulte [Trabalhar com hierarquias de parâmetros no Parameter Store](sysman-paramstore-hierarchies.md).
------
#### [ Linux & macOS ]
**Parâmetro não em uma hierarquia**
```
aws ssm put-parameter \
--name "golden-ami" \
--type "String" \
--value "ami-12345abcdeEXAMPLE"
```
**Parâmetro em uma hierarquia**
```
aws ssm put-parameter \
--name "/amis/linux/golden-ami" \
--type "String" \
--value "ami-12345abcdeEXAMPLE"
```
------
#### [ Windows ]
**Parâmetro não em uma hierarquia**
```
aws ssm put-parameter ^
--name "golden-ami" ^
--type "String" ^
--value "ami-12345abcdeEXAMPLE"
```
**Parâmetro em uma hierarquia**
```
aws ssm put-parameter ^
--name "/amis/windows/golden-ami" ^
--type "String" ^
--value "ami-12345abcdeEXAMPLE"
```
------
1. Execute o comando a seguir para visualizar o valor do parâmetro mais recente e verificar os detalhes do novo parâmetro.
```
aws ssm get-parameters --names "/Test/IAD/helloWorld"
```
O sistema retorna informações como estas.
```
{
"InvalidParameters": [],
"Parameters": [
{
"Name": "/Test/IAD/helloWorld",
"Type": "String",
"Value": "My updated parameter value",
"Version": 2,
"LastModifiedDate": "2020-02-25T15:55:33.677000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Test/IAD/helloWorld"
}
]
}
```
Execute o seguinte comando para alterar o valor do parâmetro. O comando retornará o número da versão do parâmetro.
```
aws ssm put-parameter --name "/Test/IAD/helloWorld" --value "My updated 1st parameter" --type String --overwrite
```
Execute o seguinte comando para visualizar o histórico de valores de parâmetros.
```
aws ssm get-parameter-history --name "/Test/IAD/helloWorld"
```
Execute o seguinte comando para usar esse parâmetro em um comando do
```
aws ssm send-command --document-name "AWS-RunShellScript" --parameters '{"commands":["echo {{ssm:/Test/IAD/helloWorld}}"]}' --targets "Key=instanceids,Values=instance-ids"
```
Execute o seguinte comando se você quiser recuperar apenas o parâmetro Value.
```
aws ssm get-parameter --name testDataTypeParameter --query "Parameter.Value"
```
Execute o seguinte comando se você quiser somente recuperar o parâmetro Value usando `get-parameters`.
```
aws ssm get-parameters --names "testDataTypeParameter" --query "Parameters[*].Value"
```
Execute o seguinte comando para visualizar os metadados de parâmetros.
```
aws ssm describe-parameters --filters "Key=Name,Values=/Test/IAD/helloWorld"
```
**nota**
*Name* deve estar em maiúscula.
O sistema retorna informações como estas.
```
{
"Parameters": [
{
"Name": "helloworld",
"Type": "String",
"LastModifiedUser": "arn:aws:iam::123456789012:user/JohnDoe",
"LastModifiedDate": 1494529763.156,
"Version": 1,
"Tier": "Standard",
"Policies": []
}
]
}
```
## Criar um parâmetro StringList usando a AWS CLI
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o seguinte comando para criar um parâmetro. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-comma-separated-list-of-values" \
--type StringList \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-comma-separated-list-of-values" ^
--type StringList ^
--tags "Key=tag-key,Value=tag-value"
```
------
**nota**
Se for bem-sucedido, o comando retornará o número da versão do parâmetro.
Este exemplo adiciona duas tags de par de chave-valor a um parâmetro. (Dependendo do tipo de sistema operacional na sua máquina local, execute um dos comandos a seguir. A versão a ser executada em uma máquina local do Windows inclui os caracteres de escape ("\$1") dos quais o comando deve serr executado na sua ferramenta da linha de comando).
Veja um `StringList` de exemplo que usa uma hierarquia de parâmetros.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name /IAD/ERP/Oracle/addUsers \
--value "Milana,Mariana,Mark,Miguel" \
--type StringList
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name /IAD/ERP/Oracle/addUsers ^
--value "Milana,Mariana,Mark,Miguel" ^
--type StringList
```
------
**nota**
Os itens em uma `StringList` devem ser separados por uma vírgula (,). Não é possível usar outros sinais de pontuação ou caracteres especiais para inserir um caractere de escape para os itens da lista. Se você tiver um valor de parâmetro que requer uma vírgula, use o tipo `String`.
1. Execute o comando `get-parameters` para verificar os detalhes do parâmetro. Por exemplo:
```
aws ssm get-parameters --name "/IAD/ERP/Oracle/addUsers"
```
## Criar um parâmetro SecureString usando a AWS CLI
Use o procedimento a seguir para criar um parâmetro `SecureString`. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
**Importante**
Somente o *valor* de um parâmetro `SecureString` é criptografado. O nome do parâmetro, a descrição e outras propriedades não são criptografados.
**Importante**
O Parameter Store só oferece suporte a [chaves de criptografia simétricas KMS](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Não é possível usar uma [chave de criptografia KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) para criptografar os parâmetros. Para obter ajuda para determinar se uma KMS é simétrica ou assimétrica, consulte [Identificar KMSs simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) no *Manual do desenvolvedor do AWS Key Management Service*.
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute **um** dos seguintes comandos para criar um parâmetro que use o tipo de dados `SecureString`.
------
#### [ Linux & macOS ]
**Criar um parâmetro `SecureString` usando a Chave gerenciada pela AWS padrão**
```
aws ssm put-parameter \
--name "parameter-name" \
--value "parameter-value" \
--type "SecureString"
```
**Crie um parâmetro `SecureString` que use uma chave gerenciada personalizada**
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-parameter-value, for example P@ssW%rd#1" \
--type "SecureString"
--tags "Key=tag-key,Value=tag-value"
```
**Criar um parâmetro `SecureString` que usa uma chave personalizada do AWS KMS**
```
aws ssm put-parameter \
--name "parameter-name" \
--value "a-parameter-value, for example P@ssW%rd#1" \
--type "SecureString" \
--key-id "your-account-ID/the-custom-AWS KMS-key" \
--tags "Key=tag-key,Value=tag-value"
```
------
#### [ Windows ]
**Criar um parâmetro `SecureString` usando a Chave gerenciada pela AWS padrão**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "parameter-value" ^
--type "SecureString"
```
**Crie um parâmetro `SecureString` que use uma chave gerenciada personalizada**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-parameter-value, for example P@ssW%rd#1" ^
--type "SecureString" ^
--tags "Key=tag-key,Value=tag-value"
```
**Criar um parâmetro `SecureString` que usa uma chave personalizada do AWS KMS**
```
aws ssm put-parameter ^
--name "parameter-name" ^
--value "a-parameter-value, for example P@ssW%rd#1" ^
--type "SecureString" ^
--key-id " ^
--tags "Key=tag-key,Value=tag-value"account-ID/the-custom-AWS KMS-key"
```
------
Se você criar um parâmetro `SecureString` usando a chave do Chave gerenciada pela AWS na sua conta e região, *não* será necessário fornecer um valor para o parâmetro `--key-id`.
**nota**
Para usar a AWS KMS key atribuída à sua Conta da AWS e Região da AWS, remova o parâmetro `key-id` do comando. Para obter mais informações sobre AWS KMS keys, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) no *Guia do desenvolvedor do AWS Key Management Service*.
Para usar uma CMK gerenciada pelo cliente, em vez da CMK gerenciada pela Chave gerenciada pela AWS atribuída à sua conta, você deve especificar a chave usando o parâmetro `--key-id`. O parâmetro oferece suporte aos formatos de parâmetros do KMS a seguir.
+ Exemplo de nome do recurso da Amazon (ARN):
`arn:aws:kms:us-east-2:123456789012:key/key-id`
+ Exemplo de ARN alias:
`arn:aws:kms:us-east-2:123456789012:alias/alias-name`
+ Exemplo de ID de chave:
`12345678-1234-1234-1234-123456789012`
+ Exemplo de nome de alias:
`alias/MyAliasName`
Você pode criar uma chave gerenciada pelo cliente usando o Console de gerenciamento da AWS ou a API do AWS KMS. Os seguintes comandos da AWS CLI criam uma chave gerenciada pelo cliente na Região da AWS atual da sua Conta da AWS.
```
aws kms [create-key](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
```
Use um comando no seguinte formato para criar um parâmetro `SecureString` usando a chave que você acabou de criar.
O exemplo a seguir usa um nome ofuscado (`3l3vat3131`) para um parâmetro de senha e uma AWS KMS key.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name /Finance/Payroll/3l3vat3131 \
--value "P@sSwW)rd" \
--type SecureString \
--key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name /Finance/Payroll/3l3vat3131 ^
--value "P@sSwW)rd" ^
--type SecureString ^
--key-id arn:aws:kms:us-east-2:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e
```
------
1. Execute o seguinte comando para verificar os detalhes do parâmetro.
Se você não especificar o parâmetro `with-decryption` ou se especificar o parâmetro `no-with-decryption`, o comando retornará um GUID criptografado.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--name "the-parameter-name-you-specified" \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--name "the-parameter-name-you-specified" ^
--with-decryption
```
------
1. Execute o seguinte comando para visualizar os metadados de parâmetros.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--filters "Key=Name,Values=the-name-that-you-specified"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--filters "Key=Name,Values=the-name-that-you-specified"
```
------
1. Execute o comando a seguir para alterar o valor do parâmetro se você **não** estiver usando uma AWS KMS key gerenciada pelo cliente.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--overwrite
```
------
- ou -
Execute um dos comandos a seguir para alterar o valor do parâmetro se você **estiver** usando uma AWS KMS key gerenciada pelo cliente.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--key-id "the-KMSkey-ID" \
--overwrite
```
```
aws ssm put-parameter \
--name "the-name-that-you-specified" \
--value "a-new-parameter-value" \
--type "SecureString" \
--key-id "account-alias/the-KMSkey-ID" \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--key-id "the-KMSkey-ID" ^
--overwrite
```
```
aws ssm put-parameter ^
--name "the-name-that-you-specified" ^
--value "a-new-parameter-value" ^
--type "SecureString" ^
--key-id "account-alias/the-KMSkey-ID" ^
--overwrite
```
------
1. Execute o seguinte comando para visualizar o valor do parâmetro mais recente.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--name "the-name-that-you-specified" \
--with-decryption
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--name "the-name-that-you-specified" ^
--with-decryption
```
------
1. Execute o seguinte comando para visualizar o histórico de valores de parâmetros.
------
#### [ Linux & macOS ]
```
aws ssm get-parameter-history \
--name "the-name-that-you-specified"
```
------
#### [ Windows ]
```
aws ssm get-parameter-history ^
--name "the-name-that-you-specified"
```
------
**nota**
Você pode criar manualmente um parâmetro com um valor criptografado. Nesse caso, como o valor já está criptografado, não é necessário escolher o tipo de parâmetro `SecureString`. Se você escolher `SecureString`, seu parâmetro será duplamente criptografado.
Por padrão, todos os valores de `SecureString` são exibidos como texto cifrado. Para descriptografar um valor de `SecureString`, um usuário deve ter permissão para chamar a operação da API [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) do AWS KMS. Para obter informações sobre como configurar o controle de acesso do AWS KMS, consulte [Autenticação e controle de acesso para o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Manual de desenvolvedor do AWS Key Management Service*.
**Importante**
Se você alterar o alias da chave KMS para a chave KMS usada para criptografar um parâmetro, também será necessário atualizar o alias de chave que o parâmetro usa para referenciar a AWS KMS. Isso se aplica somente ao alias da chave KMS; o ID da chave que um alias anexa permanece o mesmo, a menos que você exclua a chave inteira.
## Criar um parâmetro de várias linhas usando a AWS CLI
Você pode usar a AWS CLI para criar um parâmetro com quebras de linha. Use quebras de linha para dividir o texto em valores de parâmetro mais longos para melhor legibilidade ou, por exemplo, atualizar o conteúdo de parâmetro de vários parágrafos para uma página da Web. Você pode incluir o conteúdo em um arquivo JSON e usar o`--cli-input-json`, usando caracteres de quebra de linha como`\n`, conforme mostrado no exemplo a seguir.
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o seguinte comando para criar um parâmetro do tipo String.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "MultiLineParameter" \
--type String \
--cli-input-json file://MultiLineParameter.json
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "MultiLineParameter" ^
--type String ^
--cli-input-json file://MultiLineParameter.json
```
------
O exemplo a seguir mostra o conteúdo de um arquivo `MultiLineParameter.json`.
```
{
"Value": "Paragraph One\nParagraph Two\nParagraph Three"
}
```
O valor do parâmetro salvo é armazenado da seguinte forma.
```
Paragraph One
Paragraph Two
Paragraph Three
```
# Criar um parâmetro do Parameter Store usando as Ferramentas para Windows PowerShell
Você pode usar AWS Tools for Windows PowerShell para criar os tipos de parâmetro `String`, `StringList` e `SecureString`. Depois de excluir um parâmetro, aguarde pelo menos 30 segundos para criar um parâmetro com o mesmo nome.
Os parâmetros não podem ser referenciados ou aninhados nos valores de outros parâmetros. Não é possível incluir `{{}}` ou `{{ssm:parameter-name}}` em um valor de parâmetro.
**nota**
Parâmetros só estão disponíveis na região da Região da AWS em que foram criados.
**Topics**
+ [Criar um parâmetro string (Ferramentas para Windows PowerShell)](#param-create-ps-string)
+ [Criar um parâmetro StringList (Ferramentas para Windows PowerShell)](#param-create-ps-stringlist)
+ [Criar um parâmetro SecureString (Ferramentas para Windows PowerShell)](#param-create-ps-securestring)
## Criar um parâmetro string (Ferramentas para Windows PowerShell)
1. Instale e configure o Ferramentas da AWS para PowerShell (Ferramentas para Windows PowerShell), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar o Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Execute o seguinte comando para criar um parâmetro que contenha um valor de texto sem formatação. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "parameter-value" `
-Type "String"
```
- ou -
Execute o comando a seguir para criar um parâmetro que contenha um ID da Amazon Machine Image (AMI) como o valor do parâmetro.
**nota**
Para criar um parâmetro com uma tag, crie o service.model.tag antes da mão como uma variável. Aqui está um exemplo.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "an-AMI-id" `
-Type "String" `
-DataType "aws:ec2:image" `
-Tags $tag
```
A opção `-DataType` deverá ser especificada somente se você estiver criando um parâmetro que contenha um ID de AMI. Para todos os outros parâmetros, o tipo de dados padrão é `text`. Para obter mais informações, consulte [Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon](parameter-store-ec2-aliases.md).
Veja um de exemplo que usa uma hierarquia de parâmetros.
```
Write-SSMParameter `
-Name "/IAD/Web/SQL/IPaddress" `
-Value "99.99.99.999" `
-Type "String" `
-Tags $tag
```
1. Execute o seguinte comando para verificar os detalhes do parâmetro.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified").Parameters
```
## Criar um parâmetro StringList (Ferramentas para Windows PowerShell)
1. Instale e configure o Ferramentas da AWS para PowerShell (Ferramentas para Windows PowerShell), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar o Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Execute o seguinte comando para criar um parâmetro StringList. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
**nota**
Para criar um parâmetro com uma tag, crie o service.model.tag antes da mão como uma variável. Aqui está um exemplo.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "a-comma-separated-list-of-values" `
-Type "StringList" `
-Tags $tag
```
Se for bem-sucedido, o comando retornará o número da versão do parâmetro.
Aqui está um exemplo.
```
Write-SSMParameter `
-Name "stringlist-parameter" `
-Value "Milana,Mariana,Mark,Miguel" `
-Type "StringList" `
-Tags $tag
```
**nota**
Os itens em uma `StringList` devem ser separados por uma vírgula (,). Não é possível usar outros sinais de pontuação ou caracteres especiais para inserir um caractere de escape para os itens da lista. Se você tiver um valor de parâmetro que requer uma vírgula, use o tipo `String`.
1. Execute o seguinte comando para verificar os detalhes do parâmetro.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified").Parameters
```
## Criar um parâmetro SecureString (Ferramentas para Windows PowerShell)
Para criar um parâmetro `SecureString`, primeiro leia a respeito dos requisitos para esse tipo de parâmetro. Para obter mais informações, consulte [Criar um parâmetro SecureString usando a AWS CLI](param-create-cli.md#param-create-cli-securestring).
**Importante**
Somente o *valor* de um parâmetro `SecureString` é criptografado. O nome do parâmetro, a descrição e outras propriedades não são criptografados.
**Importante**
O Parameter Store só oferece suporte a [chaves de criptografia simétricas KMS](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks). Não é possível usar uma [chave de criptografia KMS assimétrica](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) para criptografar os parâmetros. Para obter ajuda para determinar se uma KMS é simétrica ou assimétrica, consulte [Identificar KMSs simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) no *Manual do desenvolvedor do AWS Key Management Service*.
1. Instale e configure o Ferramentas da AWS para PowerShell (Ferramentas para Windows PowerShell), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar o Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
1. Execute o seguinte comando para criar um parâmetro. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
**nota**
Para criar um parâmetro com uma tag, primeiro crie o service.model.tag como uma variável. Aqui está um exemplo.
```
$tag = New-Object Amazon.SimpleSystemsManagement.Model.Tag
$tag.Key = "tag-key"
$tag.Value = "tag-value"
```
```
Write-SSMParameter `
-Name "parameter-name" `
-Value "parameter-value" `
-Type "SecureString" `
-KeyId "an AWS KMS key ID, an AWS KMS key ARN, an alias name, or an alias ARN" `
-Tags $tag
```
Se for bem-sucedido, o comando retornará o número da versão do parâmetro.
**nota**
Para usar a Chave gerenciada pela AWS atribuída à sua conta, remova o parâmetro `-KeyId` do comando.
Veja a seguir um exemplo que usa um nome ofuscado (3l3vat3131) para um parâmetro de senha e uma Chave gerenciada pela AWS.
```
Write-SSMParameter `
-Name "/Finance/Payroll/3l3vat3131" `
-Value "P@sSwW)rd" `
-Type "SecureString"`
-Tags $tag
```
1. Execute o seguinte comando para verificar os detalhes do parâmetro.
```
(Get-SSMParameterValue -Name "the-parameter-name-you-specified" –WithDecryption $true).Parameters
```
Por padrão, todos os valores de `SecureString` são exibidos como texto cifrado. Para descriptografar um valor de `SecureString`, um usuário deve ter permissão para chamar a operação da API [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) do AWS KMS. Para obter informações sobre como configurar o controle de acesso do AWS KMS, consulte [Autenticação e controle de acesso para o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Manual de desenvolvedor do AWS Key Management Service*.
**Importante**
Se você alterar o alias da chave KMS para a chave KMS usada para criptografar um parâmetro, também será necessário atualizar o alias de chave que o parâmetro usa para referenciar a AWS KMS. Isso se aplica somente ao alias da chave KMS; o ID da chave que um alias anexa permanece o mesmo, a menos que você exclua a chave inteira.
# Pesquisar parâmetros do Parameter Store no Systems Manager
Quando você tem um grande número de parâmetros em sua conta, pode ser difícil encontrar informações sobre apenas um ou alguns parâmetros de cada vez. Nesse caso, use ferramentas de filtro para procurar aqueles sobre os quais você precisa de informações, de acordo com os critérios de pesquisa especificados. Você pode usar o console do AWS Systems Manager, a AWS Command Line Interface (AWS CLI), o Ferramentas da AWS para PowerShell ou a API [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html) para pesquisar parâmetros.
**Topics**
+ [Procurar um parâmetro usando o console](#parameter-search-console)
+ [Procurar um parâmetro usando a AWS CLI](#parameter-search-cli)
## Procurar um parâmetro usando o console
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Clique na caixa de pesquisa e escolha como você deseja pesquisar. Por exemplo, o `Type` ou o `Name`.
1. Forneça informações para o tipo de pesquisa selecionado. Por exemplo:
+ Se estiver pesquisando por `Type`, escolha entre `String`, `StringList` ou `SecureString`.
+ Se você estiver pesquisando por `Name`, escolha `contains`, `equals` ou `begins-with` e insira todo ou parte do nome de um parâmetro.
**nota**
No console, o tipo de pesquisa padrão para `Name` é `contains`.
1. Pressione **Enter**.
A lista de parâmetros é atualizada com os resultados da sua pesquisa.
**nota**
Sua pesquisa pode conter mais resultados do que os exibidos na primeira página de resultados. Use a seta para a direita (**>**) no tópico da lista de parâmetros (se disponível) para visualizar o próximo conjunto de resultados.
## Procurar um parâmetro usando a AWS CLI
Use o comando `describe-parameters` para exibir informações sobre um ou mais parâmetros na AWS CLI.
Os exemplos a seguir demonstram várias opções que você pode usar para visualizar informações sobre os parâmetros em sua Conta da AWS. Para obter mais informações sobre essas opções, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html) no *Guia do usuário da AWS Command Line Interface*.
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Substitua os valores dos exemplos nos comandos a seguir por valores que refletem parâmetros que foram criados em sua conta.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Values=MyParameterName"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--parameter-filters "Key=Name,Values=MyParameterName"
```
------
**nota**
Em `describe-parameters`, o tipo de pesquisa padrão para `Name` é `Equals`. Nos filtros de parâmetros, especificar `"Key=Name,Values=MyParameterName"` é o mesmo que especificar `"Key=Name,Option=Equals,Values=MyParameterName"`.
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Option=Contains,Values=Product"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Type,Values=String"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Path,Values=/Production/West"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=Tier,Values=Standard"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=tag:tag-key,Values=tag-value"
```
```
aws ssm describe-parameters \
--parameter-filters "Key=KeyId,Values=key-id"
```
**nota**
No último exemplo, *key-id* representa o ID de uma chave do AWS Key Management Service (AWS KMS) usada para criptografar um parâmetro `SecureString` criado na sua conta. Como alternativa, você pode inserir **alias/aws/ssm** para usar a chave padrão do AWS KMS para sua conta. Para obter mais informações, consulte [Criar um parâmetro SecureString usando a AWS CLI](param-create-cli.md#param-create-cli-securestring).
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
```
{
"Parameters": [
{
"Name": "/Production/West/Manager",
"Type": "String",
"LastModifiedDate": 1573438580.703,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
},
{
"Name": "/Production/West/TeamLead",
"Type": "String",
"LastModifiedDate": 1572363610.175,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
},
{
"Name": "/Production/West/HR",
"Type": "String",
"LastModifiedDate": 1572363680.503,
"LastModifiedUser": "arn:aws:iam::111122223333:user/Mateo.Jackson",
"Version": 1,
"Tier": "Standard",
"Policies": []
}
]
}
```
# Atribuir políticas de parâmetros no Parameter Store
Políticas de parâmetros ajudam a gerenciar um conjunto crescente de parâmetros, permitindo atribuir critérios específicos a um parâmetro, como uma data de expiração ou *tempo de vida*. Elas são especialmente úteis para forçar você a atualizar ou excluir senhas e dados de configuração armazenados no Parameter Store, uma ferramenta do AWS Systems Manager. O Parameter Store oferece os seguintes tipos de políticas: `Expiration`, `ExpirationNotification` e `NoChangeNotification`.
**nota**
Para implementar ciclos de vida de rotação de senha, use AWS Secrets Manager. Você pode alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida, usando o Secrets Manager. Para obter mais informações, consulte [O que é o AWS Secrets Manager?](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) no * Guia do usuário do AWS Secrets Manager*.
Parameter StoreO impõe políticas de parâmetros usando verificações periódicas assíncronas. Depois de criar uma política, você não precisa realizar ações adicionais para impor essa política. O Parameter Store realiza independentemente a ação definida pela política, de acordo com os critérios que você especificou.
**nota**
Políticas de parâmetros estão disponíveis apenas para parâmetros que usam o nível avançado de parâmetros. Para obter mais informações, consulte [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md).
Uma política de parâmetro é uma matriz JSON, como mostra a tabela a seguir. Você pode atribuir uma política ao criar um novo parâmetro avançado ou pode aplicar uma política atualizando um parâmetro. O Parameter Store é compatível com os seguintes tipos de políticas de parâmetros.
| Política | Detalhes | Exemplos |
| --- | --- | --- |
| **Expiração** | Essa política exclui o parâmetro. Você pode especificar uma data e hora específicas usando o formato `ISO_INSTANT` ou o formato `ISO_OFFSET_DATE_TIME`. Para alterar quando deseja que o parâmetro seja excluído, você deve atualizar a política. Atualizar um *parâmetro* não afeta a data ou hora de expiração da política anexada a ele. Quando a data e hora de expiração forem atingidas, o Parameter Store excluirá o parâmetro. Esse exemplo usa o formato `ISO_INSTANT`. Você também pode especificar uma data e hora usando o formato `ISO_OFFSET_DATE_TIME`. Exemplo: `2019-11-01T22:13:48.87+10:30:00` . | {
"Type": "Expiration",
"Version": "1.0",
"Attributes": {
"Timestamp": "2018-12-02T21:34:33.000Z"
}
} |
| **ExpirationNotification** | Essa política inicia um evento no Amazon EventBridge (EventBridge) que notifica você sobre a expiração. Ao usar essa política, você pode receber notificações antes que o tempo de expiração seja atingido, em unidades de dias ou horas. | {
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "15",
"Unit": "Days"
}
} |
| **NoChangeNotification** | Essa política inicia um evento no EventBridge quando um parâmetro *não* foi modificado por um período especificado. Esse tipo de política é útil, por exemplo, quando uma senha precisa ser alterada em um determinado período de tempo. Essa política determina quando enviar uma notificação, lendo o atributo `LastModifiedTime` do parâmetro. Se você alterar ou editar um parâmetro, o sistema redefinirá o período de notificação com base no novo valor de `LastModifiedTime`. | {
"Type": "NoChangeNotification",
"Version": "1.0",
"Attributes": {
"After": "20",
"Unit": "Days"
}
} |
É possível atribuir várias políticas a um parâmetro. Por exemplo, você pode atribuir as políticas `Expiration` e `ExpirationNotification` para que o sistema acione um evento do EventBridge para notificá-lo sobre a exclusão iminente de um parâmetro. É possível atribuir um máximo de dez (10) políticas a um parâmetro.
O exemplo a seguir mostra a sintaxe da solicitação para uma solicitação da API [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html) que atribui quatro políticas a um novo parâmetro `SecureString` chamado `ProdDB3`.
```
{
"Name": "ProdDB3",
"Description": "Parameter with policies",
"Value": "P@ssW*rd21",
"Type": "SecureString",
"Overwrite": "True",
"Policies": [
{
"Type": "Expiration",
"Version": "1.0",
"Attributes": {
"Timestamp": "2018-12-02T21:34:33.000Z"
}
},
{
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "30",
"Unit": "Days"
}
},
{
"Type": "ExpirationNotification",
"Version": "1.0",
"Attributes": {
"Before": "15",
"Unit": "Days"
}
},
{
"Type": "NoChangeNotification",
"Version": "1.0",
"Attributes": {
"After": "20",
"Unit": "Days"
}
}
]
}
```
## Adicionar políticas a um parâmetro existente
Esta seção inclui informações sobre como adicionar políticas a um parâmetro usando o console do AWS Systems Manager, a AWS Command Line Interface (AWS CLI) e o AWS Tools for Windows PowerShell. Para obter informações sobre como criar um novo parâmetro que inclua políticas, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).
**Topics**
+ [Adicionar políticas a um parâmetro existente usando o console](#sysman-paramstore-policy-create-console)
+ [Adicionar políticas a um parâmetro existente usando a AWS CLI](#sysman-paramstore-policy-create-cli)
+ [Adicionar políticas a um parâmetro existente (Ferramentas para Windows PowerShell)](#sysman-paramstore-policy-create-ps)
### Adicionar políticas a um parâmetro existente usando o console
Use o procedimento a seguir para adicionar políticas a um parâmetro existente usando o console do Systems Manager.
**Para adicionar políticas a um parâmetro existente**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha a opção ao lado do parâmetro que você deseja atualizar para incluir políticas e depois escolha **Edit (Editar)**.
1. Escolha **Advanced (Avançado)**.
1. (Opcional) Na seção **Parameter policies (Políticas de parâmetro)**, escolha **Enabled (Habilitado)**. Você pode especificar uma data de expiração e uma ou mais políticas de notificação para esse parâmetro.
1. Escolha **Salvar alterações**.
**Importante**
Parameter StoreO manterá as políticas em um parâmetro até que você queira removê-las ou substituí-las por novas políticas.
Para remover todas as políticas de um parâmetro existente, edite esse parâmetro e aplique uma política vazia usando colchetes e chaves, da seguinte maneira: `[{}]`
Se você adicionar uma nova política a um parâmetro que já tiver políticas, o Systems Manager substituirá as políticas anexadas a esse parâmetro. As políticas existentes são excluídas. Se quiser adicionar uma nova política a um parâmetro que já tenha uma ou mais políticas, copie e cole as políticas originais, digite a nova política e depois salve as alterações.
### Adicionar políticas a um parâmetro existente usando a AWS CLI
Use o procedimento a seguir para adicionar políticas a um parâmetro usando a AWS CLI.
**Para adicionar políticas a um parâmetro existente**
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o comando a seguir para adicionar políticas a um parâmetro existente. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter
--name "parameter name" \
--value 'parameter value' \
--type parameter type \
--overwrite \
--policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
```
------
#### [ Windows ]
```
aws ssm put-parameter
--name "parameter name" ^
--value 'parameter value' ^
--type parameter type ^
--overwrite ^
--policies "[{policies-enclosed-in-brackets-and-curly-braces}]"
```
------
Veja a seguir um exemplo que inclui uma política de expiração que exclui o parâmetro após 15 dias. O exemplo também inclui uma política de notificação que gera um evento do EventBridge 5 (cinco) dias antes de o parâmetro ser excluído. Por último, ele incluirá uma política `NoChangeNotification` se não forem feitas alterações nesse parâmetro após 60 dias. O exemplo usa um nome ofuscado (`3l3vat3131`) para uma senha e uma AWS KMS key do AWS Key Management Service. Para obter mais informações sobre AWS KMS keys, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) no *Guia do desenvolvedor do AWS Key Management Service*.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/Finance/Payroll/3l3vat3131" \
--value "P@sSwW)rd" \
--type "SecureString" \
--overwrite \
--policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/Finance/Payroll/3l3vat3131" ^
--value "P@sSwW)rd" ^
--type "SecureString" ^
--overwrite ^
--policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2020-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]"
```
------
1. Execute o seguinte comando para verificar os detalhes do parâmetro. Substitua *nome do parâmetro* pelas suas próprias informações.
------
#### [ Linux & macOS ]
```
aws ssm describe-parameters \
--parameter-filters "Key=Name,Values=parameter name"
```
------
#### [ Windows ]
```
aws ssm describe-parameters ^
--parameter-filters "Key=Name,Values=parameter name"
```
------
**Importante**
Parameter StoreO manterá as políticas de um parâmetro até que você queira removê-las ou substituí-las por novas políticas.
Para remover todas as políticas de um parâmetro existente, edite esse parâmetro e aplique uma política vazia de colchetes e chaves. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações. Por exemplo:
```
aws ssm put-parameter \
--name parameter name \
--type parameter type \
--value 'parameter value' \
--policies "[{}]"
```
```
aws ssm put-parameter ^
--name parameter name ^
--type parameter type ^
--value 'parameter value' ^
--policies "[{}]"
```
Se você adicionar uma nova política a um parâmetro que já tiver políticas, o Systems Manager substituirá as políticas anexadas a esse parâmetro. As políticas existentes são excluídas. Se quiser adicionar uma nova política a um parâmetro que já tenha uma ou mais políticas, copie e cole as políticas originais, digite a nova política e depois salve as alterações.
### Adicionar políticas a um parâmetro existente (Ferramentas para Windows PowerShell)
Use o procedimento a seguir para adicionar políticas a um parâmetro usando o console do Tools for Windows PowerShell. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
**Para adicionar políticas a um parâmetro existente**
1. Abra o Tools for Windows PowerShell e execute o seguinte comando para especificar suas credenciais. Você deve ter permissões de administrador no Amazon Elastic Compute Cloud (Amazon EC2) ou deve ter recebido a permissão apropriada no AWS Identity and Access Management (IAM).
```
Set-AWSCredentials `
–AccessKey access-key-name `
–SecretKey secret-key-name
```
1. Execute o seguinte comando para configurar a região da sua sessão do PowerShell. O exemplo usa a região Leste dos EUA (Ohio) (us-east-2).
```
Set-DefaultAWSRegion `
-Region us-east-2
```
1. Execute o comando a seguir para adicionar políticas a um parâmetro existente. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
Write-SSMParameter `
-Name "parameter name" `
-Value "parameter value" `
-Type "parameter type" `
-Policies "[{policies-enclosed-in-brackets-and-curly-braces}]" `
-Overwrite
```
Veja a seguir um exemplo que inclui uma política de expiração que exclui o parâmetro à meia-noite (GMT) do dia 13 de maio de 2020. O exemplo também inclui uma política de notificação que gera um evento do EventBridge 5 (cinco) dias antes de o parâmetro ser excluído. Por último, ele incluirá uma política `NoChangeNotification` se não forem feitas alterações nesse parâmetro após 60 dias. O exemplo usa um nome ofuscado (`3l3vat3131`) para uma senha e uma Chave gerenciada pela AWS.
```
Write-SSMParameter `
-Name "/Finance/Payroll/3l3vat3131" `
-Value "P@sSwW)rd" `
-Type "SecureString" `
-Policies "[{\"Type\":\"Expiration\",\"Version\":\"1.0\",\"Attributes\":{\"Timestamp\":\"2018-05-13T00:00:00.000Z\"}},{\"Type\":\"ExpirationNotification\",\"Version\":\"1.0\",\"Attributes\":{\"Before\":\"5\",\"Unit\":\"Days\"}},{\"Type\":\"NoChangeNotification\",\"Version\":\"1.0\",\"Attributes\":{\"After\":\"60\",\"Unit\":\"Days\"}}]" `
-Overwrite
```
1. Execute o seguinte comando para verificar os detalhes do parâmetro. Substitua *nome do parâmetro* pelas suas próprias informações.
```
(Get-SSMParameterValue -Name "parameter name").Parameters
```
**Importante**
Parameter StoreO manterá as políticas em um parâmetro até que você queira removê-las ou substituí-las por novas políticas.
Para remover todas as políticas de um parâmetro existente, edite esse parâmetro e aplique uma política vazia de colchetes e chaves. Por exemplo:
```
Write-SSMParameter `
-Name "parameter name" `
-Value "parameter value" `
-Type "parameter type" `
-Policies "[{}]"
```
Se você adicionar uma nova política a um parâmetro que já tiver políticas, o Systems Manager substituirá as políticas anexadas a esse parâmetro. As políticas existentes são excluídas. Se quiser adicionar uma nova política a um parâmetro que já tenha uma ou mais políticas, copie e cole as políticas originais, digite a nova política e depois salve as alterações.
# Trabalhar com hierarquias de parâmetros no Parameter Store
Gerenciar dezenas ou centenas de parâmetros como uma lista simples é um processo demorado e propenso a erros. Também pode ser difícil identificar o parâmetro correto para uma tarefa. Isso significa que você pode usar acidentalmente o parâmetro errado ou pode criar vários parâmetros que usam os mesmos dados de configuração.
Você pode usar hierarquias de parâmetros para ajudar você a organizar e gerenciar parâmetros. Uma hierarquia é um nome de parâmetro que inclui um caminho definido usando barras (/).
**Topics**
+ [Entender a hierarquia de parâmetros por meio de exemplos](#ps-hierarchy-examples)
+ [Consultar parâmetros em uma hierarquia](#ps-hierarchy-queries)
+ [Gerenciar parâmetros com hierarquias usando a AWS CLI](#sysman-paramstore-walk-hierarchy)
## Entender a hierarquia de parâmetros por meio de exemplos
O exemplo a seguir usa três níveis de hierarquia no nome para identificar o seguinte:
`/Environment/Type of computer/Application/Data`
`/Dev/DBServer/MySQL/db-string13`
É possível criar uma hierarquia com um máximo de 15 níveis. Sugerimos que você crie hierarquias que reflitam uma estrutura hierárquica existente no seu ambiente, conforme indicado nos exemplos a seguir:
+ Seu ambiente de [integração contínua](https://aws.amazon.com/devops/continuous-integration/) e [entrega contínua](https://aws.amazon.com/devops/continuous-delivery/) (fluxos de trabalho de CI/CD)
`/Dev/DBServer/MySQL/db-string`
`/Staging/DBServer/MySQL/db-string`
`/Prod/DBServer/MySQL/db-string`
+ Seus aplicativos que utilizam contêineres
```
/MyApp/.NET/Libraries/my-password
```
+ Sua organização empresarial
`/Finance/Accountants/UserList`
`/Finance/Analysts/UserList`
`/HR/Employees/EU/UserList`
As hierarquias de parâmetros padronizam a maneira de criar parâmetros e facilitam o gerenciamento de parâmetros ao longo do tempo. Uma hierarquia de parâmetros também pode ajudar você a identificar o parâmetro correto para uma tarefa de configuração. Isso ajuda você a evitar a criação de vários parâmetros com os mesmos dados de configuração.
Você pode criar uma hierarquia que permite compartilhar parâmetros em diferentes ambientes, como mostram os exemplos a seguir, que usam senhas em ambientes de desenvolvimento e teste.
`/DevTest/MyApp/database/my-password`
Você poderia então criar uma senha exclusiva para o seu ambiente de produção, conforme mostrado no exemplo a seguir:
`/prod/MyApp/database/my-password`
Não é necessário especificar uma hierarquia de parâmetros. Você pode criar parâmetros no nível um. Estes são chamados de parâmetros *raiz*. Por motivo de compatibilidade com versões anteriores, todos os parâmetros criados no Parameter Store antes do lançamento de hierarquias são parâmetros raiz. Os sistemas tratam ambos os parâmetros a seguir como parâmetros raiz.
`/parameter-name`
`parameter-name`
## Consultar parâmetros em uma hierarquia
Outro benefício de usar hierarquias é a capacidade de consultar todos os parâmetros *sob* um determinado nível em uma hierarquia usando a operação da API [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html). Por exemplo, se você executar o seguinte comando na AWS Command Line Interface (AWS CLI), o sistema retornará todos os parâmetros no nível do `Oncall`.
```
aws ssm get-parameters-by-path --path /Dev/Web/Oncall
```
Exemplo de resultado:
```
{
"Parameters": [
{
"Name": "/Dev/Web/Oncall/Week1",
"Type": "String",
"Value": "John Doe",
"Version": 1,
"LastModifiedDate": "2024-11-22T07:18:53.510000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Dev/Web/Oncall/Week1",
"DataType": "text"
},
{
"Name": "/Dev/Web/Oncall/Week2",
"Type": "String",
"Value": "Mary Major",
"Version": 1,
"LastModifiedDate": "2024-11-22T07:21:25.325000-08:00",
"ARN": "arn:aws:ssm:us-east-2:123456789012:parameter/Dev/Web/Oncall/Week2",
"DataType": "text"
}
]
}
```
Para visualizar os parâmetros de `SecureString` descriptografados em uma hierarquia, você especifica o caminho e o parâmetro `--with-decryption`, como mostra o exemplo a seguir.
```
aws ssm get-parameters-by-path --path /Prod/ERP/SAP --with-decryption
```
## Gerenciar parâmetros com hierarquias usando a AWS CLI
Esta demonstração explica como trabalhar com parâmetros e hierarquias de parâmetros usando a AWS CLI.
**Para gerenciar parâmetros usando hierarquias**
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o seguinte comando para criar um parâmetro que usa o parâmetro `allowedPattern` e o tipo de parâmetro `String`. O padrão permitido neste exemplo significa que o valor para o parâmetro deve ter entre 1 e 4 dígitos.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/MaxConnections" \
--value 100 --allowed-pattern "\d{1,4}" \
--type String
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/MaxConnections" ^
--value 100 --allowed-pattern "\d{1,4}" ^
--type String
```
------
O comando retornará o número da versão do parâmetro.
1. Execute o seguinte comando para *tentar* substituir o parâmetro que você acabou de criar por um novo valor.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/MaxConnections" \
--value 10,000 \
--type String \
--overwrite
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/MaxConnections" ^
--value 10,000 ^
--type String ^
--overwrite
```
------
O sistema lança o seguinte erro porque o novo valor não atende aos requisitos do padrão permitido que você especificou na etapa anterior.
```
An error occurred (ParameterPatternMismatchException) when calling the PutParameter operation: Parameter value, cannot be validated against allowedPattern: \d{1,4}
```
1. Execute o comando a seguir para criar um parâmetro `SecureString` que usa uma Chave gerenciada pela AWS. O padrão permitido neste exemplo significa que o usuário pode especificar qualquer caractere, e o valor deve estar entre 8 e 20 caracteres.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/my-password" \
--value "p#sW*rd33" \
--allowed-pattern ".{8,20}" \
--type SecureString
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/my-password" ^
--value "p#sW*rd33" ^
--allowed-pattern ".{8,20}" ^
--type SecureString
```
------
1. Execute os seguintes comandos para criar mais parâmetros que usam a estrutura hierárquica da etapa anterior.
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/MyService/Test/DBname" \
--value "SQLDevDb" \
--type String
```
```
aws ssm put-parameter \
--name "/MyService/Test/user" \
--value "SA" \
--type String
```
```
aws ssm put-parameter \
--name "/MyService/Test/userType" \
--value "SQLuser" \
--type String
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/MyService/Test/DBname" ^
--value "SQLDevDb" ^
--type String
```
```
aws ssm put-parameter ^
--name "/MyService/Test/user" ^
--value "SA" ^
--type String
```
```
aws ssm put-parameter ^
--name "/MyService/Test/userType" ^
--value "SQLuser" ^
--type String
```
------
1. Execute o seguinte comando para obter o valor de dois parâmetros.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names "/MyService/Test/user" "/MyService/Test/userType"
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names "/MyService/Test/user" "/MyService/Test/userType"
```
------
1. Execute o comando a seguir para consultar todos os parâmetros sob um único nível.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/MyService/Test"
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/MyService/Test"
```
------
1. Execute o seguinte comando para excluir dois parâmetros
------
#### [ Linux & macOS ]
```
aws ssm delete-parameters \
--names "/IADRegion/Dev/user" "/IADRegion/Dev/userType"
```
------
#### [ Windows ]
```
aws ssm delete-parameters ^
--names "/IADRegion/Dev/user" "/IADRegion/Dev/userType"
```
------
# Impedir o acesso às operações da API Parameter Store
Usando *[condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)* específicas do serviço compatíveis com as políticas do Systems Manager para AWS Identity and Access Management (IAM), você pode permitir ou negar explicitamente o acesso às operações e ao conteúdo da API Parameter Store. Ao usar essas condições, você pode permitir que somente determinadas entidades do IAM (usuários e perfis) na sua organização chamem determinadas ações de API ou impedir que determinadas entidades do IAM as executem. Isso inclui ações executadas por meio do console do Parameter Store, da AWS Command Line Interface (AWS CLI) e dos SDKs.
No momento, o Systems Manager oferece suporte a três condições que são específicas do Parameter Store.
**Topics**
+ [Impedir alterações nos parâmetros existentes usando o `ssm:Overwrite`](#overwrite-condition)
+ [Impedir a criação ou a atualização de parâmetros que usam uma política de parâmetros usando `ssm:Policies`](#parameter-policies-condition)
+ [Impedir o acesso a níveis em um parâmetro hierárquico usando `ssm:Recursive`](#recursive-condition)
## Impedir alterações nos parâmetros existentes usando o `ssm:Overwrite`
Use a condição `ssm:Overwrite` para controlar se as entidades do IAM podem atualizar os parâmetros existentes.
No exemplo de política a seguir, a declaração `"Allow"` concede permissão para criar parâmetros ao executar a operação da API `PutParameter` na Conta da AWS 123456789012 na região Leste dos EUA (Ohio) (us-east-2).
Contudo, a declaração `"Deny"` impede que entidades alterem valores de parâmetros *existentes* porque a opção `Overwrite` é explicitamente negada para a operação `PutParameter`. Assim, as entidades que recebem essa política podem criar parâmetros, mas não fazer alterações nos parâmetros existentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Overwrite": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
}
]
}
```
------
## Impedir a criação ou a atualização de parâmetros que usam uma política de parâmetros usando `ssm:Policies`
Use a condição `ssm:Policies` para controlar se as Entidades podem criar parâmetros que incluam uma política de parâmetros, e atualizar os parâmetros existentes que incluam uma política de parâmetros.
No exemplo de política a seguir, a instrução `"Allow"` concede permissão geral para criar parâmetros, mas a instrução `"Deny"` impede que Entidades criem ou atualizem parâmetros que incluam uma política de parâmetros na Conta da AWS 123456789012 na região Leste dos EUA (Ohio) (us-east-2). As Entidades ainda podem criar ou atualizar parâmetros que não tenham sido atribuídos a uma política de parâmetros.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Policies": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
}
]
}
```
------
## Impedir o acesso a níveis em um parâmetro hierárquico usando `ssm:Recursive`
Use a condição `ssm:Recursive` para controlar se as entidades do IAM podem visualizar ou referenciar níveis em um parâmetro hierárquico. Você pode fornecer ou restringir o acesso a todos os parâmetros além de um nível específico de uma hierarquia.
No exemplo de política a seguir, a declaração `"Allow"` fornece acesso às operações do Parameter Store em todos os parâmetros no caminho `/Code/Departments/Finance/*` para a Conta da AWS 123456789012 na região Leste dos EUA (Ohio) (us-east-2).
Depois disso, a instrução `"Deny"` impede que as Entidades do IAM visualizem ou recuperem dados de parâmetros no nível de`/Code/Departments/*` ou abaixo dele. Contudo, as Entidades ainda podem criar ou atualizar parâmetros no caminho. O exemplo foi construído para ilustrar que negar recursivamente o acesso abaixo de um determinado nível em uma hierarquia de parâmetros tem precedência sobre o acesso mais permissivo na mesma política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:GetParametersByPath"
],
"Condition": {
"StringEquals": {
"ssm:Recursive": [
"true"
]
}
},
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/Code/Departments/*"
}
]
}
```
------
**Importante**
Se um usuário tiver acesso a um caminho, o usuário poderá acessar todos os níveis desse caminho. Por exemplo, se um usuário tiver permissão para acessar um caminho `/a`, ele também pode acessar `/a/b`. Isso é verdadeiro, a menos que o acesso para o parâmetro `/b` no IAM tenha sido explicitamente negado ao usuário, conforme ilustrado acima.
# Trabalhar com rótulos de parâmetros no Parameter Store
Um rótulo de parâmetro é um alias definido pelo usuário para ajudar você a gerenciar diferentes versões de um parâmetro. Quando você modifica um parâmetro, o AWS Systems Manager salva automaticamente uma nova versão e incrementa o número da versão em um. Um rótulo pode ajudar você a lembrar-se do objetivo de uma versão de parâmetro quando houver várias versões.
Por exemplo, digamos que você tenha um parâmetro chamado `/MyApp/DB/ConnectionString`. O valor do parâmetro é uma string de conexão a um servidor MySQL em um banco de dados local em um ambiente de teste. Depois de concluir a atualização do aplicativo, você deseja que o parâmetro use uma string de conexão para um banco de dados de produção. Você altera o valor de `/MyApp/DB/ConnectionString`. O Systems Manager cria automaticamente a versão dois com a nova string de conexão. Para ajudar você a lembrar-se do objetivo de cada versão, anexe um rótulo a cada parâmetro. Para a versão um, você anexa o rótulo *Test* e para a versão dois você anexa o rótulo *Production*.
Você pode mover rótulos de uma versão de um parâmetro para outra versão. Por exemplo, se você criar a versão 3 do parâmetro `/MyApp/DB/ConnectionString` com uma string de conexão para um novo banco de dados de produção, poderá mover o rótulo *Production* da versão 2 para a versão 3 do parâmetro.
Os rótulos de parâmetros são uma alternativa leve para tags de parâmetros. Sua organização pode ter diretrizes estritas para tags que devem ser aplicadas a diferentes recursos da AWS. Por outro lado, um rótulo é simplesmente uma associação de texto para uma versão de um parâmetro.
De forma semelhante a tags, você pode consultar parâmetros usando rótulos. Você pode visualizar uma lista de todas as versões de parâmetros específicos que usam o mesmo rótulo, se consultar o conjunto de parâmetros usando a ação da API [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html), conforme descrito mais adiante nesta seção.
**nota**
Se você executar um comando que especifica uma versão de um parâmetro que não existe, o comando falhará. Ele não retornará ao valor mais recente ou padrão do parâmetro.
**Requisitos e restrições de rótulos**
Os rótulos de parâmetros têm os seguintes requisitos e restrições:
+ Uma versão de um parâmetro pode ter no máximo 10 rótulos.
+ Você não pode anexar o mesmo rótulo a diferentes versões do mesmo parâmetro. Por exemplo, se a versão 1 do parâmetro tiver o rótulo *Production* (Produção), você não poderá anexar *Production* à versão 2.
+ Você pode mover um rótulo de uma versão de um parâmetro para outra.
+ Você não pode criar um rótulo ao criar um parâmetro. Você deve anexar um rótulo a uma versão específica de um parâmetro.
+ Se você não quiser mais usar um rótulo de parâmetro, deverá movê-lo para uma versão diferente de um parâmetro.
+ Um rótulo pode ter no máximo 100 caracteres.
+ Os rótulos podem conter letras (diferenciando maiúsculas de minúsculas), números, pontos (.), hifens (-) ou sublinhados (\$1).
+ Os rótulos não podem começar com um número, "aws", ou "ssm" (sem diferenciação de maiúsculas de minúsculas). Se um rótulo não atender a esses requisitos, ele não será anexado à versão do parâmetro, e o sistema o exibirá na lista de `InvalidLabels`.
**Topics**
+ [Trabalhar com rótulos de parâmetros usando o console](#sysman-paramstore-labels-console)
+ [Trabalhar com rótulos de parâmetros usando a AWS CLI](#sysman-paramstore-labels-cli)
## Trabalhar com rótulos de parâmetros usando o console
Esta seção descreve como executar as seguintes tarefas usando o console do Systems Manager.
+ [Criar um rótulo de parâmetro usando o console](#sysman-paramstore-labels-console-create)
+ [Visualizar rótulos anexados a um parâmetro usando o console](#sysman-paramstore-labels-console-view)
+ [Mover um rótulo de parâmetro usando o console](#sysman-paramstore-labels-console-move)
+ [Excluir rótulos de parâmetros usando o console](#systems-manager-parameter-store-labels-console-delete)
### Criar um rótulo de parâmetro usando o console
O procedimento a seguir descreve como anexar um rótulo a uma versão específica de um parâmetro *existente* usando o console do Systems Manager. Você não pode anexar um rótulo ao criar um parâmetro.
**Anexar um rótulo à versão mais recente de um parâmetro**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.
1. Escolha a guia **History (Histórico)**.
1. Escolha a versão do parâmetro à qual você deseja anexar um rótulo.
1. Selecione **Manage labels** (Gerenciar rótulos).
1. Selecione **Add new label** (Adicionar novo rótulo).
1. Na caixa de texto, insira o nome do rótulo. Para adicionar mais rótulos, escolha **Add another label (Adicionar outro rótulo)**. Você pode anexar um máximo de dez rótulos.
1. Ao concluir, escolha **Salvar alterações**.
### Visualizar rótulos anexados a um parâmetro usando o console
Uma versão de um parâmetro pode ter um máximo de 10 rótulos. O procedimento a seguir descreve como visualizar todos os rótulos anexados a uma versão de um parâmetro usando o console do Systems Manager.
**Para visualizar rótulos anexados a uma versão do parâmetro**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.
1. Escolha a guia **History (Histórico)**.
1. Localize a versão ao parâmetro do qual você deseja visualizar todos os rótulos anexados. A coluna **Labels (Rótulos)** mostra todos os rótulos anexados à versão do parâmetro.
### Mover um rótulo de parâmetro usando o console
O procedimento a seguir descreve como mover um rótulo de um parâmetro para outra versão do mesmo parâmetro usando o console do Systems Manager.
**Para mover um rótulo para outra versão de um parâmetro usando o console**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.
1. Escolha a guia **History (Histórico)**.
1. Escolha a versão do parâmetro para o qual você deseja mover o rótulo.
1. Selecione **Manage labels** (Gerenciar rótulos).
1. Selecione **Add new label** (Adicionar novo rótulo).
1. Na caixa de texto, insira o nome do rótulo.
1. Ao concluir, escolha **Salvar alterações**.
### Excluir rótulos de parâmetros usando o console
O procedimento a seguir descreve como excluir um ou vários rótulos de parâmetros usando o console do Systems Manager.
**Para excluir rótulos de um parâmetro**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha o nome de um parâmetro para abrir a página de detalhes desse parâmetro.
1. Escolha a guia **History (Histórico)**.
1. Escolha a versão do parâmetro para o qual você deseja excluir os rótulos.
1. Selecione **Manage labels** (Gerenciar rótulos).
1. Selecione **Remove** (Remover) ao lado de cada rótulo que você quiser excluir.
1. Ao concluir, escolha **Salvar alterações**.
1. Confirme se as alterações estão corretas, digite `Confirm` na caixa de texto e escolha **Confirm** (Confirmar).
## Trabalhar com rótulos de parâmetros usando a AWS CLI
Esta seção descreve como executar as seguintes tarefas usando a AWS Command Line Interface (AWS CLI).
+ [Criar um novo rótulo de parâmetro usando o AWS CLI](#sysman-paramstore-labels-cli-create)
+ [Visualizar rótulos de um parâmetro usando a AWS CLI](#sysman-paramstore-labels-cli-view)
+ [Visualizar uma lista de parâmetros atribuídos a um rótulo usando a AWS CLI](#sysman-paramstore-labels-cli-view-param)
+ [Mover um rótulo de parâmetro usando a AWS CLI](#sysman-paramstore-labels-cli-move)
+ [Excluir rótulos de parâmetros usando a AWS CLI](#systems-manager-parameter-store-labels-cli-delete)
### Criar um novo rótulo de parâmetro usando o AWS CLI
O procedimento a seguir descreve como anexar um rótulo a uma versão específica de um parâmetro *existente* usando a AWS CLI. Você não pode anexar um rótulo ao criar um parâmetro.
**Para criar um novo rótulo de parâmetro**
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito.
Para obter informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Execute o seguinte comando para visualizar uma lista de parâmetros para os quais você tem permissão para anexar um rótulo.
**nota**
Parâmetros só estão disponíveis na região da Região da AWS em que foram criados. Se não vir um parâmetro ao qual você deseja anexar um rótulo, verifique sua região.
```
aws ssm describe-parameters
```
Anote o nome de um parâmetro ao qual você quer anexar um rótulo.
1. Execute o comando a seguir para visualizar todas as versões do parâmetro.
```
aws ssm get-parameter-history --name "parameter-name"
```
Anote a versão do parâmetro à qual você deseja anexar um rótulo.
1. Execute o comando a seguir para recuperar informações sobre um parâmetro pelo número da versão.
```
aws ssm get-parameters --names "parameter-name:version-number"
```
Aqui está um exemplo.
```
aws ssm get-parameters --names "/Production/SQLConnectionString:3"
```
1. Execute um dos seguintes comandos para anexar um rótulo a uma versão de um parâmetro. Se você anexar vários rótulos, deverá separar os nomes dos rótulos com um espaço.
**Anexar um rótulo à versão mais recente de um parâmetro**
```
aws ssm label-parameter-version --name parameter-name --labels label-name
```
**Anexar um rótulo a uma versão específica de um parâmetro**
```
aws ssm label-parameter-version --name parameter-name --parameter-version version-number --labels label-name
```
Aqui estão alguns exemplos.
```
aws ssm label-parameter-version --name /config/endpoint --labels production east-region finance
```
```
aws ssm label-parameter-version --name /config/endpoint --parameter-version 3 --labels MySQL-test
```
**nota**
Se a saída mostrar o rótulo que você criou na lista `InvalidLabels`, o rótulo não atenderá aos requisitos descritos anteriormente neste tópico. Verifique os requisitos e tente novamente. Se a lista `InvalidLabels` estiver vazia, seu rótulo terá sido aplicado com êxito para a versão do parâmetro.
1. Você pode visualizar os detalhes do parâmetro usando um número de versão ou um nome de rótulo. Execute o seguinte comando e especifique o rótulo que você criou na etapa anterior.
```
aws ssm get-parameter --name parameter-name:label-name --with-decryption
```
O comando retorna informações como as seguintes.
```
{
"Parameter": {
"Version": version-number,
"Type": "parameter-type",
"Name": "parameter-name",
"Value": "parameter-value",
"Selector": ":label-name"
}
}
```
**nota**
O *seletor* na saída é o número da versão ou o rótulo que você especificou no campo de entrada `Name`.
### Visualizar rótulos de um parâmetro usando a AWS CLI
Você pode usar a operação da API [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html) para visualizar todo o histórico e todos os rótulos anexados a um parâmetro específico. Ou, você pode usar a ação da API [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html) para visualizar uma lista de todos os parâmetros atribuídos a um rótulo específico.
**Para visualizar os rótulos de um parâmetro usando a operação da API GetParameterHistory**
1. Execute o seguinte comando para visualizar uma lista dos parâmetros dos quais você pode visualizar rótulos.
**nota**
Parâmetros só estão disponíveis na região em que foram criados. Se não vir um parâmetro para o qual você deseja mover um rótulo, verifique sua região.
```
aws ssm describe-parameters
```
Anote o nome do parâmetro que contém os rótulos que você deseja exibir.
1. Execute o comando a seguir para visualizar todas as versões do parâmetro.
```
aws ssm get-parameter-history --name parameter-name --with-decryption
```
O sistema retorna informações como estas.
```
{
"Parameters": [
{
"Name": "/Config/endpoint",
"LastModifiedDate": 1528932105.382,
"Labels": [
"Deprecated"
],
"Value": "MyTestService-June-Release.example.com",
"Version": 1,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Type": "String"
},
{
"Name": "/Config/endpoint",
"LastModifiedDate": 1528932111.222,
"Labels": [
"Current"
],
"Value": "MyTestService-July-Release.example.com",
"Version": 2,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Type": "String"
}
]
}
```
### Visualizar uma lista de parâmetros atribuídos a um rótulo usando a AWS CLI
Você pode usar a operação da API [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html) para visualizar uma lista de todos os parâmetros em um caminho, que estiverem atribuídos a um rótulo específico.
Execute o seguinte comando para visualizar uma lista de parâmetros em um caminho atribuídos a um rótulo específico. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
aws ssm get-parameters-by-path \
--path parameter-path \
--parameter-filters Key=Label,Values=label-name,Option=Equals \
--max-results a-number \
--with-decryption --recursive
```
O sistema retorna informações como estas. Para este exemplo, o usuário pesquisou no caminho `/Config`.
```
{
"Parameters": [
{
"Version": 3,
"Type": "SecureString",
"Name": "/Config/DBpwd",
"Value": "MyS@perGr&pass33"
},
{
"Version": 2,
"Type": "String",
"Name": "/Config/DBusername",
"Value": "TestUserDB"
},
{
"Version": 2,
"Type": "String",
"Name": "/Config/endpoint",
"Value": "MyTestService-July-Release.example.com"
}
]
}
```
### Mover um rótulo de parâmetro usando a AWS CLI
O procedimento a seguir descreve como mover um rótulo de um parâmetro para outra versão do mesmo parâmetro.
**Para mover um rótulo de um parâmetro**
1. Execute o comando a seguir para visualizar todas as versões do parâmetro. Substitua *nome do parâmetro* pelas suas próprias informações.
```
aws ssm get-parameter-history \
--name "parameter name"
```
Observe as versões do parâmetro para o qual você deseja mover o rótulo do e do.
1. Execute o seguinte comando para atribuir um rótulo existente para uma versão diferente de um parâmetro. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
aws ssm label-parameter-version \
--name parameter name \
--parameter-version version number \
--labels name-of-existing-label
```
**nota**
Se você desejar mover um rótulo existente para a versão mais recente de um parâmetro, remova `--parameter-version` do comando.
### Excluir rótulos de parâmetros usando a AWS CLI
O procedimento a seguir descreve como excluir rótulos de parâmetros usando a AWS CLI.
**Para excluir um parameter group**
1. Execute o comando a seguir para visualizar todas as versões do parâmetro. Substitua *nome do parâmetro* pelas suas próprias informações.
```
aws ssm get-parameter-history \
--name "parameter name"
```
O sistema retorna informações como estas.
```
{
"Parameters": [
{
"Name": "foo",
"DataType": "text",
"LastModifiedDate": 1607380761.11,
"Labels": [
"l3",
"l2"
],
"Value": "test",
"Version": 1,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Policies": [],
"Tier": "Standard",
"Type": "String"
},
{
"Name": "foo",
"DataType": "text",
"LastModifiedDate": 1607380763.11,
"Labels": [
"l1"
],
"Value": "test",
"Version": 2,
"LastModifiedUser": "arn:aws:iam::123456789012:user/test",
"Policies": [],
"Tier": "Standard",
"Type": "String"
}
]
}
```
Anote a versão do parâmetro à qual você deseja anexar um rótulo.
1. Execute o comando a seguir para excluir os rótulos escolhidos desse parâmetro. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
aws ssm unlabel-parameter-version \
--name parameter name \
--parameter-version version \
--labels label 1,label 2,label 3
```
O sistema retorna informações como estas.
```
{
"InvalidLabels": ["invalid"],
"DeletedLabels" : ["Prod"]
}
```
# Como trabalhar com versões de parâmetros no Parameter Store
Toda vez que você edita o valor de um parâmetro, o Parameter Store, uma ferramenta do AWS Systems Manager, cria uma nova *versão* do parâmetro e retém as versões anteriores. Quando você cria um parâmetro, o Parameter Store atribui a versão `1` a esse parâmetro. Quando você altera o valor do parâmetro, o Parameter Store incrementa automaticamente em um o número da versão. Você pode visualizar os detalhes, incluindo os valores, de todas as versões no histórico de um parâmetro.
Você também pode especificar a versão de um parâmetro a ser usado em comandos da API e documentos do SSM; por exemplo: `ssm:MyParameter:3`. Você pode especificar o nome de um parâmetro e um número de versão específico em chamadas de API e em documentos do SSM. Se não especificar um número de versão, o sistema usará automaticamente a versão mais recente. Se você especificar o número para uma versão que não existe, o sistema retornará um erro em vez de retornar para a versão mais recente ou padrão do parâmetro.
Também é possível usar versões de parâmetros para ver quantas vezes um parâmetro mudou ao longo de um período. As versões de parâmetros também fornecem uma camada de proteção quando o valor de um parâmetro é alterado acidentalmente.
Você pode criar e manter um máximo de 100 versões de um parâmetro. Depois de criar 100 versões de um parâmetro, cada vez que você criar uma nova versão, a versão mais antiga do parâmetro será removida do histórico para abrir espaço para a nova versão.
Uma exceção a isso é quando já existem 100 versões de parâmetro no histórico e um rótulo de parâmetro é atribuído à versão mais antiga de um parâmetro. Nesse caso, essa versão não é removida do histórico e a solicitação para criar uma nova versão do parâmetro falha. Essa proteção é para evitar que versões de parâmetros com rótulos de missão crítica atribuídos a eles sejam excluídas. Para continuar criando novos parâmetros, primeiro mova o rótulo da versão mais antiga do parâmetro para um mais recente para uso em suas operações. Para obter informações sobre como mover rótulos de parâmetros, consulte [Mover um rótulo de parâmetro usando o console](sysman-paramstore-labels.md#sysman-paramstore-labels-console-move) e [Mover um rótulo de parâmetro usando a AWS CLI](sysman-paramstore-labels.md#sysman-paramstore-labels-cli-move).
Os procedimentos a seguir mostram como editar um parâmetro e, em seguida, verificar se uma nova versão foi criada. Você pode usar o`get-parameter`e`get-parameters`para visualizar versões de parâmetros. Para obter exemplos sobre como usar esses comandos, consulte [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html#API_GetParameter_Examples) e [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html#API_GetParameters_Examples) na *Referência da API do AWS Systems Manager*
**Topics**
+ [Criar uma nova versão de um parâmetro usando o console](#sysman-paramstore-version-console)
+ [Fazer referência à versão de um parâmetro](#reference-parameter-version)
## Criar uma nova versão de um parâmetro usando o console
É possível usar o console do Systems Manager para criar uma versão de um parâmetro e visualizar o histórico de versões de um parâmetro.
**Para criar uma versão de uma parâmetro**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Escolha o nome do parâmetro que você criou anteriormente. Para obter mais informações sobre como criar um novo parâmetro, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).
1. Escolha **Editar**.
1. Na caixa **Value** (Valor), digite um novo valor e escolha **Save changes** (Salvar alterações).
1. Escolha o nome do parâmetro que você acabou de atualizar. Na guia **Overview (Visão geral)**, verifique se o número da versão aumentou com um incremento de 1 e examine o novo valor.
1. Para exibir o histórico de todas as versões de um parâmetro, escolha a guia **History (Histórico)**.
## Fazer referência à versão de um parâmetro
É possível fazer referência a versões de parâmetros específicos em comandos, chamadas de API e documentos do SSM usando o seguinte formato: ssm:`parameter-name:version-number`.
No exemplo a seguir, o Amazon Elastic Compute Cloud (Amazon EC2)`run-instances command`O usa a versão 3 do parâmetro`golden-ami`.
------
#### [ Linux & macOS ]
```
aws ec2 run-instances \
--image-id resolve:ssm:/golden-ami:3 \
--count 1 \
--instance-type t2.micro \
--key-name my-key-pair \
--security-groups my-security-group
```
------
#### [ Windows ]
```
aws ec2 run-instances ^
--image-id resolve:ssm:/golden-ami:3 ^
--count 1 ^
--instance-type t2.micro ^
--key-name my-key-pair ^
--security-groups my-security-group
```
------
**nota**
O uso de `resolve` e um valor de parâmetro funciona somente com a opção `--image-id` e um parâmetro que contém uma Amazon Machine Image (AMI) como seu valor. Para obter mais informações, consulte [Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon](parameter-store-ec2-aliases.md).
Veja a seguir um exemplo para especificar a versão 2 de um parâmetro nomeado `MyRunCommandParameter` em um documento SSM.
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: Run a shell script or specify the commands to run.
parameters:
commands:
type: String
description: "(Required) Specify a shell script or a command to run."
displayType: textarea
default: "{{ssm:MyRunCommandParameter:2}}"
mainSteps:
- action: aws:runShellScript
name: RunScript
inputs:
runCommand:
- "{{commands}}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Run a shell script or specify the commands to run.",
"parameters": {
"commands": {
"type": "String",
"description": "(Required) Specify a shell script or a command to run.",
"displayType": "textarea",
"default": "{{ssm:MyRunCommandParameter:2}}"
}
},
"mainSteps": [
{
"action": "aws:runShellScript",
"name": "RunScript",
"inputs": {
"runCommand": [
"{{commands}}"
]
}
}
]
}
```
------
# Trabalhar com parâmetros compartilhados no Parameter Store
O compartilhamento de parâmetros avançados simplifica o gerenciamento de dados de configuração em um ambiente com várias contas. É possível armazenar e gerenciar os parâmetros da AMI de forma centralizada e compartilhá-los com outras Contas da AWS que precisam referenciá-los.
O Parameter Store se integra ao AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento avançado de parâmetros. O AWS RAM é um serviço que permite compartilhar recursos com outras Contas da AWS ou via AWS Organizations.
Com o AWS RAM, você pode compartilhar recursos seus criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, as permissões a serem concedidas e os consumidores com quem o compartilhamento será feito. Os consumidores podem incluir:
+ Contas específicas da Contas da AWS dentro ou fora de sua organização no AWS Organizations
+ Uma unidade organizacional dentro da organização no AWS Organizations
+ Toda a organização no AWS Organizations
Para obter mais informações sobre o AWS RAM, consulte o *[Guia do usuário do AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Este tópico explica como compartilhar parâmetros que você possui e como usar os parâmetros que são compartilhados com você.
**Topics**
+ [Pré-requisitos para compartilhar parâmetros](#prereqs)
+ [Compartilhar um parâmetro](#share)
+ [Parar de compartilhar um parâmetro](#unshare)
+ [Identificar parâmetros compartilhados](#identify)
+ [Acessar parâmetros compartilhados](#accessing)
+ [Conjuntos de permissões para compartilhamento de parâmetros](#sharing-permissions)
+ [Throughput máximo para parâmetros compartilhados](#throughput)
+ [Preços para parâmetros compartilhados](#pricing)
+ [Acesso entre contas para Contas da AWS encerradas](#closed-accounts)
## Pré-requisitos para compartilhar parâmetros
Os pré-requisitos a seguir devem ser atendidos para que você possa compartilhar parâmetros da sua conta:
+ Para compartilhar um recurso, é necessário ser seu proprietário em sua Conta da AWS. Não é possível compartilhar um parâmetro que foi compartilhado com você.
+ Para compartilhar um parâmetro, ele deve estar no nível de parâmetros avançados. Para obter informações sobre níveis de parâmetros, consulte [Gerenciar camadas de parâmetros](parameter-store-advanced-parameters.md). Para obter informações sobre como alterar um parâmetro padrão existente para um parâmetro avançado, consulte [Alterar um parâmetro padrão para um parâmetro avançado](parameter-store-advanced-parameters.md#parameter-store-advanced-parameters-enabling).
+ Para compartilhar um parâmetro `SecureString`, ele deve ser criptografado com uma chave gerenciada pelo cliente e você deve compartilhar a chave separadamente via AWS Key Management Service. Não é possível compartilhar Chaves gerenciadas pela AWS. Parâmetros criptografados com a Chave gerenciada pela AWS padrão podem ser atualizados para usar uma chave gerenciada pelo cliente. Para obter as definições de chaves do AWS KMS, consulte [Conceitos do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) no *Guia do desenvolvedor do AWS Key Management Service*.
+ Para compartilhar um parâmetro com a sua organização ou com uma unidade organizacional no AWS Organizations, é necessário habilitar o compartilhamento com o AWS Organizations. Para obter mais informações, consulte [Habilitar o compartilhamento com o AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) no *Guia do usuário do AWS RAM*.
## Compartilhar um parâmetro
Para compartilhar um parâmetro, é necessário adicioná-lo a um compartilhamento de recursos. Um compartilhamento de recursos é um recurso do AWS RAM que permite que você compartilhe seus recursos entre Contas da AWS. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os clientes com os quais compartilhá-los.
Ao compartilhar um parâmetro pertencente a você com outra Contas da AWS, você pode escolher entre duas permissões gerenciadas pela AWS para conceder aos consumidores. Para obter mais informações, consulte [Conjuntos de permissões para compartilhamento de parâmetros](#sharing-permissions).
Se você fizer parte de uma organização no AWS Organizations e o compartilhamento estiver habilitado na organização, será possível conceder aos consumidores da organização o acesso a partir do console do AWS RAM para o parâmetro compartilhado. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e acesso ao parâmetro compartilhado depois de aceitar o convite.
É possível compartilhar um parâmetro pertencente a você usando o console do AWS RAM ou a AWS CLI.
**nota**
Embora você possa compartilhar um parâmetro usando a operação da API [PutResourcePolicy](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutResourcePolicy.html) do Systems Manager, recomendamos usar o AWS Resource Access Manager (AWS RAM). Isso ocorre porque o uso de `PutResourcePolicy` exige a etapa extra de promover o parâmetro para um compartilhamento de recursos padrão usando a operação da API [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) do AWS RAM. Caso contrário, o parâmetro não será retornado pela operação da API [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html) do Systems Manager usando a opção `--shared`.
**Para compartilhar um parâmetro pertencente a você usando o console do AWS RAM**
Consulte [Criar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) no *Guia do usuário do AWS RAM*.
Faça as seguintes seleções ao concluir o procedimento:
+ Na página Etapa 1, em **Recursos**, selecione `Parameter Store Advanced Parameter` e, em seguida, selecione a caixa de cada parâmetro na camada de parâmetros avançados que deseja compartilhar.
+ Na página Etapa 2, em **Permissões gerenciadas**, escolha a permissão a ser concedida aos consumidores, conforme descrito em [Conjuntos de permissões para compartilhamento de parâmetros](#sharing-permissions) mais adiante neste tópico.
Escolha outras opções com base em seus objetivos de compartilhamento de parâmetros.
**Para compartilhar um parâmetro pertencente a você usando o console do AWS CLI**
Use o comando [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) para adicionar parâmetros a um novo compartilhamento de recursos.
Use o comando [https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html) para adicionar parâmetros a um compartilhamento de recursos existente.
O exemplo a seguir cria um novo compartilhamento de recursos para compartilhar parâmetros com consumidores em uma organização e em uma conta individual.
```
aws ram create-resource-share \
--name "MyParameter" \
--resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
--principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"
```
## Parar de compartilhar um parâmetro
Quando você para de compartilhar um parâmetro, a conta do consumidor não pode mais acessar o parâmetro.
Para interromper o compartilhamento de um parâmetro pertencente a você, remova-o do compartilhamento de recursos. Isso pode ser feito usando o console do Systems Manager, o console do AWS RAM ou a AWS CLI.
**Para parar de compartilhar um parâmetro pertencente a você usando o console do AWS RAM**
Consulte [Atualizar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) no *Guia do usuário do AWS RAM*.
**Para parar de compartilhar um parâmetro pertencente a você usando a AWS CLI**
Use o comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identificar parâmetros compartilhados
Os proprietários e consumidores podem identificar parâmetros compartilhados usando a AWS CLI.
**Para identificar parâmetros compartilhados usando a AWS CLI**
Para identificar parâmetros compartilhados usando a AWS CLI, você pode escolher entre o comando `[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-parameters.html)` do Systems Manager e o comando `[list-resources](https://docs.aws.amazon.com/cli/latest/reference/ram/list-resources.html)` do AWS RAM.
Quando você usa a opção `--shared` com `describe-parameters`, o comando retorna os parâmetros que são compartilhados com você.
Este é um exemplo:
```
aws ssm describe-parameters --shared
```
## Acessar parâmetros compartilhados
Os consumidores podem acessar parâmetros compartilhados usando as ferramentas de linha de comando da AWS e os AWS SDKs. Para contas de consumidores, os parâmetros compartilhados com essa conta não são incluídos na página **Meus parâmetros**.
**Exemplo de CLI: acessar detalhes de parâmetros compartilhados usando a AWS CLI**
Para acessar detalhes de parâmetros compartilhados usando a AWS CLI, é possível usar os comandos [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html) ou [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters.html). É necessário especificar o ARN completo do parâmetro como `--name` para recuperar o parâmetro de outra conta.
Veja um exemplo a seguir.
```
aws ssm get-parameter \
--name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter
```
**Integrações com ou sem suporte para parâmetros compartilhados**
No momento, é possível usar parâmetros compartilhados nos seguintes cenários de integração:
+ AWS CloudFormation [Parâmetros de modelos do](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html#aws-ssm-parameter-types)
+ A [extensão do Lambda AWS Parameters and Secrets](ps-integration-lambda-extensions.md)
+ [Modelos de execução do Amazon Elastic Compute Cloud (EC2)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
+ Valores para `ImageID` com o [comando RunInstances do EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html) para criar instâncias com base em uma Amazon Machine Image (AMI).
+ [Recuperar valores de parâmetros em runbooks](https://repost.aws/knowledge-center/systems-manager-parameter-store) para o Automation, uma ferramenta do Systems Manager
No momento, os cenários e serviços integrados a seguir não oferecem suporte ao uso de parâmetros compartilhados:
+ [Parâmetros em comandos](sysman-param-runcommand.md) em Run Command, uma ferramenta do Systems Manager
+ AWS CloudFormation [Referências dinâmicas do](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)
+ Os [valores das variáveis de ambiente](https://docs.aws.amazon.com/codebuild/latest/userguide/build-spec-ref.html#build-spec.env.parameter-store) no AWS CodeBuild
+ Os [valores das variáveis de ambiente](https://docs.aws.amazon.com/apprunner/latest/dg/env-variable.html) no AWS App Runner
+ O [valor de um segredo](https://docs.aws.amazon.com/AmazonECS/latest/userguide/secrets-envvar-ssm-paramstore.html) no Amazon Elastic Continer Service
## Conjuntos de permissões para compartilhamento de parâmetros
As contas de consumidor recebem acesso somente leitura aos parâmetros que você compartilha com elas. O consumidor não pode atualizar nem excluir o parâmetro. O consumidor não pode compartilhar o parâmetro com uma terceira conta.
Ao criar um compartilhamento de recursos no AWS Resource Access Manager para compartilhar seus parâmetros, é possível escolher entre dois conjuntos de permissões gerenciados pela AWS para conceder esse acesso somente leitura:
**AWSRAMDefaultPermissionSSMParameterReadOnly**
Ações permitidas: `DescribeParameters`, `GetParameter`, `GetParameters`
**AWSRAMPermissionSSMParameterReadOnlyWithHistory**
Ações permitidas: `DescribeParameters`, `GetParameter`, `GetParameters`, `GetParameterHistory`
Ao seguir as etapas em [Criar um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) no *Guia do usuário do AWS RAM*, escolha `Parameter Store Advanced Parameters` como o tipo de recurso e qualquer uma dessas permissões gerenciadas, dependendo se você deseja que os usuários visualizem o histórico de parâmetros ou não.
**nota**
Se você estiver recuperando parâmetros compartilhados programaticamente (por exemplo, usando o AWS Lambda), talvez seja necessário adicionar as permissões `ssm:GetResourcePolicies` e `ssm:PutResourcePolicy` a qualquer perfil do IAM que chame ações de API do AWS Resource Access Manager.
## Throughput máximo para parâmetros compartilhados
O Systems Manager limita o throughput máximo (transações por segundo) para as operações [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) e [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html). O throughput é aplicado em nível de conta individual. Portanto, cada conta que consome um parâmetro compartilhado pode usar seu throughput máximo permitido sem ser afetada por outras contas. Para obter mais informações sobre o throughput máximo para parâmetros, consulte os tópicos a seguir:
+ [Aumentar o throughput do Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-throughput.html)
+ [Cotas do Systems Manager Service](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm) no *Referência geral da Amazon Web Services*.
## Preços para parâmetros compartilhados
O compartilhamento entre contas só está disponível no nível de parâmetros avançados. Para parâmetros avançados, as cobranças são cobradas de acordo com o preço atual do *armazenamento* e do *uso da API* para cada parâmetro avançado. A conta proprietária é cobrada pelo armazenamento do parâmetro avançado. Qualquer conta consumidora que faça uma chamada de API para um parâmetro avançado compartilhado será cobrada pelo uso do parâmetro.
Por exemplo, se a Conta A criar um parâmetro avançado, `MyAdvancedParameter`, ela será cobrada em USD 0,05 por mês para armazenar o parâmetro.
A Conta A então compartilha `MyAdvancedParameter` com a Conta B e a Conta C. Durante um mês, as três contas fazem chamadas para `MyAdvancedParameter`. A tabela a seguir ilustra as cobranças em que eles incorreriam pelo número de chamadas feitas por cada um.
**nota**
As cobranças na tabela a seguir são apenas para fins ilustrativos. Para verificar os preços atuais, consulte [Preços do AWS Systems Manager para Parameter Store](https://aws.amazon.com/systems-manager/pricing/#Parameter_Store).
| Conta | Número de chamadas | Cobranças |
| --- | --- | --- |
| Conta A (conta proprietária) | 10.000 chamadas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| Conta B (conta consumidora) | 20.000 chamadas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
| Conta C (conta consumidora) | 30.000 chamadas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/parameter-store-shared-parameters.html) |
## Acesso entre contas para Contas da AWS encerradas
Se a Conta da AWS proprietária de um parâmetro compartilhado for encerrada, todas as contas consumidoras perderão o acesso ao parâmetro compartilhado. Se a conta proprietária for reaberta dentro de 90 dias após seu encerramento, as contas consumidoras recuperarão o acesso aos parâmetros compartilhados anteriormente. Para obter mais informações sobre a reabertura de uma conta durante o período pós-encerramento, consulte [Acessar sua Conta da AWS após encerrá-la](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#accessing-after-closure) no *Guia de referência do AWS Gerenciamento de contas*.
# Trabalhar com parâmetros no Parameter Store usando comandos do Run Command
É possível trabalhar com parâmetros no Run Command, uma ferramenta do AWS Systems Manager. Para obter mais informações, consulte [AWS Systems Manager Run Command](run-command.md).
## Executar um parâmetro String usando o console
O procedimento a seguir explica o processo de criação de um parâmetro no `String` e, subsequentemente, a execução de um comando que usa esse parâmetro.
**Para criar um parâmetro String usando o Parameter Store**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command**.
1. Selecione **Run command**.
1. Na lista **Command document (Documento de comandos)**, escolha `AWS-RunPowerShellScript` (Windows) ou `AWS-RunShellScript` (Linux).
1. Em **Command parameters (Parâmetros de comando)**, insira **echo \$1\$1ssm:*parameter-name*\$1\$1**. Por exemplo: **echo \$1\$1ssm:/Test/helloWorld\$1\$1**.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as etiquetas, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Other parameters (Outros parâmetros)**:
+ Em **Comment** (Comentário), digite as informações sobre esse comando.
+ Em **Timeout (seconds) (Tempo limite [segundos])**, especifique o número de segundos para o sistema aguardar até a falha de execução do comando total.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
1. Na página **Command ID** (ID do comando), na área **Targets and outputs** (Destinos e saídas), selecione o botão ao lado do ID de um nó em que você executou o comando e escolha **View output** (Exibir saída). Verifique se a saída do comando é o valor fornecido para o parâmetro, como **This is my first parameter**.
## Executar um parâmetro usando a AWS CLI
**Exemplo 1: comando simples**
O comando de exemplo a seguir inclui um parâmetro do Systems Manager chamado `DNS-IP`. O valor desse parâmetro é simplesmente o endereço IP de um nó. Esse exemplo usa um comando da AWS Command Line Interface (AWS CLI) para fazer ecoar o valor do parâmetro.
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--document-name "AWS-RunShellScript" \
--document-version "1" \
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" \
--parameters "commands='echo {{ssm:DNS-IP}}'" \
--timeout-seconds 600 \
--max-concurrency "50" \
--max-errors "0" \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--document-version "1" ^
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" ^
--parameters "commands='echo {{ssm:DNS-IP}}'" ^
--timeout-seconds 600 ^
--max-concurrency "50" ^
--max-errors "0" ^
--region us-east-2
```
------
O comando retorna informações como as seguintes.
```
{
"Command": {
"CommandId": "c70a4671-8098-42da-b885-89716EXAMPLE",
"DocumentName": "AWS-RunShellScript",
"DocumentVersion": "1",
"Comment": "",
"ExpiresAfter": "2023-12-26T15:19:17.771000-05:00",
"Parameters": {
"commands": [
"echo {{ssm:DNS-IP}}"
]
},
"InstanceIds": [],
"Targets": [
{
"Key": "instanceids",
"Values": [
"i-02573cafcfEXAMPLE"
]
}
],
"RequestedDateTime": "2023-12-26T14:09:17.771000-05:00",
"Status": "Pending",
"StatusDetails": "Pending",
"OutputS3Region": "us-east-2",
"OutputS3BucketName": "",
"OutputS3KeyPrefix": "",
"MaxConcurrency": "50",
"MaxErrors": "0",
"TargetCount": 0,
"CompletedCount": 0,
"ErrorCount": 0,
"DeliveryTimedOutCount": 0,
"ServiceRole": "",
"NotificationConfig": {
"NotificationArn": "",
"NotificationEvents": [],
"NotificationType": ""
},
"CloudWatchOutputConfig": {
"CloudWatchLogGroupName": "",
"CloudWatchOutputEnabled": false
},
"TimeoutSeconds": 600,
"AlarmConfiguration": {
"IgnorePollAlarmFailure": false,
"Alarms": []
},
"TriggeredAlarms": []
}
}
```
Depois que a execução de um comando for concluída, você poderá ver mais informações sobre ele usando os seguintes comandos:
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/get-command-invocation.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-command-invocation.html) – visualize informações detalhadas sobre a execução do comando.
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-command-invocations.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-command-invocations.html) – visualize o status de execução do comando em um nó gerenciado específico.
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-commands.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/link-cli-ref-list-commands.html) – visualize o status de execução do comando nos nós gerenciados.
**Exemplo 2: descriptografar um valor de parâmetro `SecureString`**
O próximo comando de exemplo usa um parâmetro `SecureString` chamado **SecurePassword**. O comando usado no campo `parameters` recupera e descriptografa o valor do parâmetro `SecureString` e redefine a senha do administrador local sem a necessidade de transmitir a senha em texto simples.
------
#### [ Linux ]
```
aws ssm send-command \
--document-name "AWS-RunShellScript" \
--document-version "1" \
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" \
--parameters '{"commands":["secure=$(aws ssm get-parameters --names SecurePassword --with-decryption --query Parameters[0].Value --output text --region us-east-2)","echo $secure | passwd myuser --stdin"]}' \
--timeout-seconds 600 \
--max-concurrency "50" \
--max-errors "0" \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--document-version "1" ^
--targets "Key=instanceids,Values=i-02573cafcfEXAMPLE" ^
--parameters "commands=['$secure = (Get-SSMParameterValue -Names SecurePassword -WithDecryption $True).Parameters[0].Value','net user administrator $secure']" ^
--timeout-seconds 600 ^
--max-concurrency "50" ^
--max-errors "0" ^
--region us-east-2
```
------
**Exemplo 3: referenciar um parâmetro em um documento do SSM**
Você também pode fazer referência a parâmetros do Systems Manager na seção *Parameters* de um documento do SSM, conforme mostrado no exemplo a seguir.
```
{
"schemaVersion":"2.0",
"description":"Sample version 2.0 document v2",
"parameters":{
"commands" : {
"type": "StringList",
"default": ["{{ssm:parameter-name}}"]
}
},
"mainSteps":[
{
"action":"aws:runShellScript",
"name":"runShellScript",
"inputs":{
"runCommand": "{{commands}}"
}
}
]
}
```
Não confunda a sintaxe semelhante de *parâmetros locais* usada na seção `runtimeConfig` de documentos do SSM com parâmetros do Parameter Store. Um parâmetro local não é o mesmo que um parâmetro do Systems Manager. Você pode distinguir parâmetros locais de parâmetros do Systems Manager pela ausência do prefixo `ssm:`.
```
"runtimeConfig":{
"aws:runShellScript":{
"properties":[
{
"id":"0.aws:runShellScript",
"runCommand":"{{ commands }}",
"workingDirectory":"{{ workingDirectory }}",
"timeoutSeconds":"{{ executionTimeout }}"
```
**nota**
No momento, os documentos do SSM não são compatíveis com referências a parâmetros de `SecureString`. Isso significa que, para usar parâmetros de `SecureString` com, por exemplo, o Run Command, você precisa recuperar o valor do parâmetro antes de transmiti-lo para Run Command, como mostram os exemplos a seguir:
```
value=$(aws ssm get-parameters --names parameter-name --with-decryption)
```
```
aws ssm send-command \
--name AWS-JoinDomain \
--parameters password=$value \
--instance-id instance-id
```
```
aws ssm send-command ^
--name AWS-JoinDomain ^
--parameters password=$value ^
--instance-id instance-id
```
```
$secure = (Get-SSMParameterValue -Names parameter-name -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -AsPlainText -Force
```
```
$cred = New-Object System.Management.Automation.PSCredential -argumentlist user-name,$secure
```
# Como usar o suporte a parâmetros nativos no Parameter Store para IDs de imagem de máquina da Amazon
Ao criar um parâmetro `String`, você pode especificar um *tipo de dado*, como `aws:ec2:image`, para garantir que o valor do parâmetro inserido seja um formato válido de ID da Amazon Machine Image (AMI).
O suporte para formatos de ID de AMI permite que você evite atualizar todos os scripts e modelos com um novo ID sempre que a AMI que deseja usar em seus processos for alterada. Você pode criar um parâmetro com o tipo de dados `aws:ec2:image` e, em seu valor, inserir o ID de uma AMI. Esta é a AMI a partir da qual você deseja que novas instâncias sejam criadas. Depois, você faz referência a esse parâmetro em seus modelos, comandos e scripts.
Por exemplo, é possível especificar o parâmetro que contém o ID da AMI de sua preferência, quando você executar o comando `run-instances` do Amazon Elastic Compute Cloud (Amazon EC2).
**nota**
O usuário que executa esse comando deve ter permissões do AWS Identity and Access Management (IAM) que incluam a operação da API `ssm:GetParameters` para que o valor do parâmetro seja validado. Caso contrário, o processo de criação do parâmetro falhará.
------
#### [ Linux & macOS ]
```
aws ec2 run-instances \
--image-id resolve:ssm:/golden-ami \
--count 1 \
--instance-type t2.micro \
--key-name my-key-pair \
--security-groups my-security-group
```
------
#### [ Windows ]
```
aws ec2 run-instances ^
--image-id resolve:ssm:/golden-ami ^
--count 1 ^
--instance-type t2.micro ^
--key-name my-key-pair ^
--security-groups my-security-group
```
------
Você também pode escolher a AMI preferida ao criar uma instância usando o console do Amazon EC2. Para obter mais informações, consulte [Usar um parâmetro do Systems Manager para localizar uma AMI](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/finding-an-ami.html#using-systems-manager-parameter-to-find-AMI) no *Guia do usuário do Amazon EC2*.
Quando chegar a hora de usar uma AMI diferente em seu fluxo de trabalho de criação de instância, você só precisará atualizar o parâmetro com o novo valor da AMI, e o Parameter Store validará novamente que você inseriu um ID no formato adequado.
## Conceder permissões para criar um parâmetro do tipo de dados `aws:ec2:image`
Usando políticas do AWS Identity and Access Management (IAM), você pode fornecer ou restringir o acesso do usuário a operações e conteúdos da API do Parameter Store.
Para criar um parâmetro de tipo de dados `aws:ec2:image`, o usuário deve ter ambas as permissões `ssm:PutParameter` e `ec2:DescribeImages`.
O exemplo de política a seguir concede permissão aos usuários para chamar o`PutParameter`Operação da API para`aws:ec2:image`. Isso significa que o usuário pode adicionar um parâmetro do tipo de dados`aws:ec2:image`Para o sistema.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:PutParameter",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
}
]
}
```
------
## Como funciona a validação de formato da AMI
Quando você especifica `aws:ec2:image` como o tipo de dados para um parâmetro, o Systems Manager não cria o parâmetro imediatamente. Em vez disso, ele executa uma operação de validação assíncrona para garantir que o valor do parâmetro atenda aos requisitos de formatação para um ID de AMI e que a AMI especificada esteja disponível em sua Conta da AWS.
Um número de versão de parâmetro pode ser gerado antes que a operação de validação seja concluída. A operação pode não estar concluída mesmo que um número de versão do parâmetro seja gerado.
Para monitorar se seus parâmetros foram criados com êxito, recomendamos usar o Amazon EventBridge para enviar notificações sobre as operações dos parâmetros `create` e `update`. Essas notificações relatam se uma operação de parâmetro foi bem-sucedida ou não. Se uma operação falhar, a notificação incluirá uma mensagem de erro que indica o motivo da falha.
```
{
"version": "0",
"id": "eed4a719-0fa4-6a49-80d8-8ac65EXAMPLE",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "111122223333",
"time": "2020-05-26T22:04:42Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:111122223333:parameter/golden-ami"
],
"detail": {
"exception": "Unable to Describe Resource",
"dataType": "aws:ec2:image",
"name": "golden-ami",
"type": "String",
"operation": "Create"
}
}
```
Para obter informações sobre como se inscrever em eventos do Parameter Store no EventBridge, consulte [Configurar notificações ou acionar ações com base nos eventos do Parameter Store](sysman-paramstore-cwe.md).
# Excluir parâmetros do Parameter Store
Este tópico descreve como excluir parâmetros que você criou no Parameter Store, uma ferramenta do AWS Systems Manager.
**Atenção**
A exclusão de um parâmetro remove todas as versões dele. Depois de excluído, o parâmetro e suas versões não poderão ser restaurados.
**Para excluir um parâmetro usando o console**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Na guia**My parameters** (Meus parâmetros), marque a caixa de seleção ao lado de cada parâmetro a ser excluído.
1. Escolha **Excluir**.
1. Na caixa de diálogo de confirmação, selecione **Delete parameters** (Excluir parâmetros).
**Para excluir um parâmetro usando a AWS CLI**
+ Execute o seguinte comando:
```
aws ssm delete-parameter --name "my-parameter"
```
Substitua *my-parameter* pelo nome do seu parâmetro a ser excluído.
Para obter informações sobre outras opções que podem ser usadas com o comando `delete-parameter`, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-parameter.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/delete-parameter.html) na *seção AWS Systems Manager da Referência de comandos da AWS CLI*.
# Trabalhar com parâmetros públicos no Parameter Store
Alguns Serviços da AWS publicam informações sobre artefatos comuns como parâmetros do AWS Systems Manager *públicos*. Por exemplo, o serviço Amazon Elastic Compute Cloud (Amazon EC2) publica informações sobre o Amazon Machine Images (AMIs) como parâmetros públicos.
**Topics**
+ [Descobrir parâmetros públicos no Parameter Store](parameter-store-finding-public-parameters.md)
+ [Chamar parâmetros públicos da AMI no Parameter Store](parameter-store-public-parameters-ami.md)
+ [Chamar o parâmetro público da AMI otimizada para ECS no Parameter Store](parameter-store-public-parameters-ecs.md)
+ [Chamar o parâmetro público da AMI otimizada para EKS no Parameter Store](parameter-store-public-parameters-eks.md)
+ [Chamar parâmetros públicos para Serviços da AWS, regiões, endpoints, zonas de disponibilidade, zonas locais e zonas do Wavelength no Parameter Store](parameter-store-public-parameters-global-infrastructure.md)
**Publicações relacionadas em blogs da AWS**
+ [Consultar regiões da Regiões da AWS, endpoints e muito mais usando o AWS Systems ManagerParameter Store](https://aws.amazon.com/blogs/aws/new-query-for-aws-regions-endpoints-and-more-using-aws-systems-manager-parameter-store/)
+ [Consultar os IDs de AMI do Amazon Linux mais recentes usando o AWS Systems Manager Parameter Store](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/)
+ [Consultar a AMI do Windows mais recente usando o Parameter Store do AWS Systems Manager](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/)
# Descobrir parâmetros públicos no Parameter Store
É possível pesquisar parâmetros públicos usando o console do Parameter Store ou a AWS Command Line Interface.
Um nome de parâmetro público começa com `aws/service/list`. A próxima parte do nome corresponde ao serviço que possui esse parâmetro.
A lista a seguir é uma lista parcial de Serviços da AWS e outras ferramentas que fornecem parâmetros públicos:
+ `ami-amazon-linux-latest`
+ `ami-windows-latest`
+ `ec2-macos`
+ `appmesh`
+ `aws-for-fluent-bit`
+ `aws-sdk-pandas`
+ `bottlerocket`
+ `canonical`
+ `cloud9`
+ `datasync`
+ `deeplearning`
+ `ecs`
+ `eks`
+ `fis`
+ `freebsd`
+ `global-infrastructure`
+ `marketplace`
+ `neuron`
+ `powertools`
+ `sagemaker-distribution`
+ `storagegateway`
Nem todos os parâmetros públicos são publicados em cada Região da AWS.
## Localizar parâmetros públicos usando o console do Parameter Store
Você deve ter pelo menos um parâmetro no Conta da AWS e Região da AWS antes que possa pesquisar parâmetros públicos usando o console.
**Como localizar parâmetros públicos usando o console**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Parameter Store**.
1. Selecione a guia **Public parameters** (Parâmetros públicos).
1. Selecione a lista suspensa **Select a service** (Selecionar um serviço). Escolha o serviço cujos parâmetros você deseja usar.
1. (Opcional) Filtre os parâmetros pertencentes ao serviço selecionado inserindo mais informações na barra de pesquisa.
1. Escolha o parâmetro público que você quiser usar.
## Localizar parâmetros públicos usando a AWS CLI
Use o `describe-parameters` para a descoberta de parâmetros públicos.
Usar o`get-parameters-by-path`para obter o caminho real para um serviço listado em`/aws/service/list`. Para obter o caminho do serviço, remova`/list`do caminho. Por exemplo, `/aws/service/list/ecs` torna-se `/aws/service/ecs`.
Para recuperar uma lista de parâmetros públicos de propriedade de diferentes serviços noParameter Store, execute o comando a seguir.
```
aws ssm get-parameters-by-path --path /aws/service/list
```
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/list/ami-al-latest",
"Type": "String",
"Value": "/aws/service/ami-al-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:10.902000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/ami-al-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/ami-windows-latest",
"Type": "String",
"Value": "/aws/service/ami-windows-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:12.567000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/ami-windows-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/aws-storage-gateway-latest",
"Type": "String",
"Value": "/aws/service/aws-storage-gateway-latest/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:09.903000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/aws-storage-gateway-latest",
"DataType": "text"
},
{
"Name": "/aws/service/list/global-infrastructure",
"Type": "String",
"Value": "/aws/service/global-infrastructure/",
"Version": 1,
"LastModifiedDate": "2021-01-29T10:25:11.901000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/list/global-infrastructure",
"DataType": "text"
}
]
}
```
Se você quiser exibir parâmetros de propriedade de um serviço específico, escolha o serviço na lista que foi produzido após a execução do comando anterior. Depois, crie uma chamada de `get-parameters-by-path` usando o nome do serviço desejado.
Por exemplo, `/aws/service/global-infrastructure`. O caminho pode ser de um nível (chama apenas parâmetros que correspondem aos valores exatos fornecidos) ou recursivo (contém elementos no caminho além do que você forneceu).
**nota**
O caminho `/aws/service/global-infrastructure` não é compatível com consultas em todas as regiões. Para mais informações, consulte [Chamar parâmetros públicos para Serviços da AWS, regiões, endpoints, zonas de disponibilidade, zonas locais e zonas do Wavelength no Parameter Store](parameter-store-public-parameters-global-infrastructure.md).
Se nenhum resultado for retornado para o serviço especificado, adicione um sinalizador `--recursive` e execute o comando novamente.
```
aws ssm get-parameters-by-path --path /aws/service/global-infrastructure
```
Isso retorna todos os parâmetros de propriedade de `global-infrastructure`. Veja um exemplo a seguir.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/current-region",
"Type": "String",
"LastModifiedDate": "2019-06-21T05:15:34.252000-07:00",
"Version": 1,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/version",
"Type": "String",
"LastModifiedDate": "2019-02-04T06:59:32.875000-08:00",
"Version": 1,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
}
]
}
```
Você também pode exibir parâmetros de propriedade de um serviço específico usando o`Option:BeginsWith`Filter.
```
aws ssm describe-parameters --parameter-filters "Key=Name, Option=BeginsWith, Values=/aws/service/ami-amazon-linux-latest"
```
O comando retorna informações como as seguintes. Este exemplo de saída foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-ebs",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.686000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-gp2",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.807000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-s3",
"Type": "String",
"LastModifiedDate": "2021-01-26T13:39:40.920000-08:00",
"Version": 25,
"Tier": "Standard",
"Policies": [],
"DataType": "text"
}
]
}
```
**nota**
Os parâmetros retornados podem ser diferentes quando você usa`Option=BeginsWith`porque ele usa um padrão de pesquisa diferente.
# Chamar parâmetros públicos da AMI no Parameter Store
Os parâmetros públicos da Amazon Machine Image (AMI) do Amazon Elastic Compute Cloud (Amazon EC2) estão disponíveis para Amazon Linux 2, Amazon Linux 2023 (AL2023), macOS e Windows Server nos seguintes caminhos:
+ Amazon Linux 2 e Amazon Linux 2023: `/aws/service/ami-amazon-linux-latest`
+ macOS: `/aws/service/ec2-macos`
+ Windows Server: `/aws/service/ami-windows-latest`
## Chamar parâmetros públicos da AMI para Amazon Linux 2 e Amazon Linux 2023
Você pode visualizar uma lista de todas as AMIs do Amazon Linux 2 e Amazon Linux 2023 (AL2023) na Região da AWS atual usando o comando a seguir na AWS Command Line Interface (AWS CLI).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-amazon-linux-latest \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ami-amazon-linux-latest ^
--query Parameters[].Name
```
------
O comando retorna informações como as seguintes.
```
[
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-default-arm64",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-s3",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64",
"/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-default-x86_64",
"/aws/service/ami-amazon-linux-latest/amzn-ami-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn-ami-minimal-hvm-x86_64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn-ami-minimal-hvm-x86_64-s3",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-arm64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-arm64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-kernel-5.10-hvm-x86_64-gp2",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-minimal-hvm-arm64-ebs",
"/aws/service/ami-amazon-linux-latest/amzn2-ami-minimal-hvm-x86_64-ebs"
]
```
Você pode visualizar detalhes sobre essas AMIs, incluindo os IDs da AMI e ARNs (nomes de recursos da Amazon), usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ami-amazon-linux-latest" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ami-amazon-linux-latest" ^
--region region
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
O comando retorna informações como as seguintes. Este exemplo de saída foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-0b1b8b24a6c8e5d8b",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.583000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"Type": "String",
"Value": "ami-0e0bf53f6def86294",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.890000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64",
"DataType": "text"
},
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-09951bb66f9e5b5a5",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:10.197000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-minimal-kernel-6.1-arm64",
"DataType": "text"
}
]
}
```
Você pode visualizar detalhes de uma AMI específica usando a ação da API [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) com o nome completo da AMI, incluindo o caminho. Veja a seguir um exemplo de comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 ^
--region us-east-2
```
------
O comando retorna as seguintes informações.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"Type": "String",
"Value": "ami-0b1b8b24a6c8e5d8b",
"Version": 69,
"LastModifiedDate": "2024-03-13T14:05:09.583000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
## Chamar parâmetros públicos da AMI para macOS
Você pode visualizar uma lista de todas as macOS da AMIs na Região da AWS atual,usando o seguinte comando na AWS CLI.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ec2-macos\
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ec2-macos ^
--query Parameters[].Name
```
------
O comando retorna informações como as seguintes.
```
[
"/aws/service/ec2-macos/sonoma/x86_64_mac/latest/image_id",
"/aws/service/ec2-macos/ventura/x86_64_mac/latest/image_id",
"/aws/service/ec2-macos/sonoma/arm64_mac/latest/image_id",
"/aws/service/ec2-macos/ventura/arm64_mac/latest/image_id"
]
```
Você pode visualizar detalhes sobre essas AMIs, incluindo os IDs da AMI e ARNs (nomes de recursos da Amazon), usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ec2-macos" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ec2-macos" ^
--region region
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
O comando retorna informações como as seguintes. Este exemplo de saída foi truncado por questões de espaço.
```
{
"Parameters": [
...sample results pending...
]
}
```
Você pode visualizar detalhes de uma AMI específica usando a ação da API [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) com o nome completo da AMI, incluindo o caminho. Veja a seguir um exemplo de comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ec2-macos/...pending... \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ec2-macos/...pending... ^
--region us-east-2
```
------
O comando retorna as seguintes informações.
```
{
"Parameters": [
...sample results pending...
],
"InvalidParameters": []
}
```
## Chamar parâmetros públicos da AMI para Windows Server
Você pode visualizar uma lista de todas as Windows Server da AMIs na Região da AWS atual,usando o seguinte comando na AWS CLI.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-windows-latest \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/ami-windows-latest ^
--query Parameters[].Name
```
------
O comando retorna informações como as seguintes. Este exemplo de saída foi truncado por questões de espaço.
```
[
"/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2016_SP3_Standard",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2017_Web",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-1.25",
"/aws/service/ami-windows-latest/Windows_Server-2019-Italian-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2022-Japanese-Full-SQL_2019_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2022-Portuguese_Brazil-Full-Base",
"/aws/service/ami-windows-latest/amzn2-ami-hvm-2.0.20191217.0-x86_64-gp2-mono",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Deep-Learning",
"/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-SQL_2016_SP3_Web",
"/aws/service/ami-windows-latest/Windows_Server-2016-Korean-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-STIG-Core",
"/aws/service/ami-windows-latest/Windows_Server-2019-French-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-Japanese-Full-SQL_2017_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2019-Korean-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-SQL_2022_Web",
"/aws/service/ami-windows-latest/Windows_Server-2022-Italian-Full-Base",
"/aws/service/ami-windows-latest/amzn2-x86_64-SQL_2019_Express",
"/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Core-Base",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2019_Enterprise",
"/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2019_Standard",
"/aws/service/ami-windows-latest/Windows_Server-2016-Portuguese_Portugal-Full-Base",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-1.24",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Deep-Learning",
"/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-SQL_2017_Web",
"/aws/service/ami-windows-latest/Windows_Server-2019-Hungarian-Full-Base
]
```
Você pode visualizar detalhes sobre essas AMIs, incluindo os IDs da AMI e ARNs (nomes de recursos da Amazon), usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/ami-windows-latest" \
--region region
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/ami-windows-latest" ^
--region region
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
O comando retorna informações como as seguintes. Este exemplo de saída foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"Type": "String",
"Value": "ami-0a30b2e65863e2d16",
"Version": 36,
"LastModifiedDate": "2024-03-15T15:58:37.976000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"DataType": "text"
},
{
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"Type": "String",
"Value": "ami-001f20c053dd120ce",
"Version": 69,
"LastModifiedDate": "2024-03-15T15:53:58.905000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-SQL_2014_SP3_Enterprise",
"DataType": "text"
},
{
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"Type": "String",
"Value": "ami-063be4935453e94e9",
"Version": 102,
"LastModifiedDate": "2024-03-15T15:51:12.003000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/Windows_Server-2016-German-Full-Base",
"DataType": "text"
}
]
}
```
Você pode visualizar detalhes de uma AMI específica usando a ação da API [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) com o nome completo da AMI, incluindo o caminho. Veja a seguir um exemplo de comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base \
--region us-east-2
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base ^
--region us-east-2
```
------
O comando retorna as seguintes informações.
```
{
"Parameters": [
{
"Name": "/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"Type": "String",
"Value": "ami-0a30b2e65863e2d16",
"Version": 36,
"LastModifiedDate": "2024-03-15T15:58:37.976000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ami-windows-latest/EC2LaunchV2-Windows_Server-2016-English-Full-Base",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Chamar o parâmetro público da AMI otimizada para ECS no Parameter Store
O serviço Amazon Elastic Container Service (Amazon ECS) publica o nome da versão mais recente da Amazon Machine Images (AMIs) otimizada para Amazon ECS, como parâmetros públicos. Os usuários são encorajados a usar esta AMI ao criar um novo cluster do Amazon Elastic Compute Cloud (Amazon EC2) para o Amazon ECS porque a AMIs otimizada inclui correções de bugs e atualizações de recursos.
Use o comando a seguir para visualizar o nome da AMI otimizada para Amazon ECS mais recente do Amazon Linux 2. Para ver comandos de outros sistemas operacionais, consulte [Recuperar metadados de AMIs otimizadas para o Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/retrieve-ecs-optimized_AMI.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/ecs/optimized-ami/amazon-linux-2/recommended
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/ecs/optimized-ami/amazon-linux-2/recommended
```
------
O comando retorna informações como as seguintes.
```
{
"Parameters": [
{
"Name": "/aws/service/ecs/optimized-ami/amazon-linux-2/recommended",
"Type": "String",
"Value": "{\"schema_version\":1,\"image_name\":\"amzn2-ami-ecs-hvm-2.0.20210929-x86_64-ebs\",\"image_id\":\"ami-0c38a2329ed4dae9a\",\"os\":\"Amazon Linux 2\",\"ecs_runtime_version\":\"Docker version 20.10.7\",\"ecs_agent_version\":\"1.55.4\"}",
"Version": 73,
"LastModifiedDate": "2021-10-06T16:35:10.004000-07:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/ecs/optimized-ami/amazon-linux-2/recommended",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Chamar o parâmetro público da AMI otimizada para EKS no Parameter Store
O serviço Amazon Elastic Kubernetes Service (Amazon EKS) publica o nome da nova Amazon Machine Image (AMI) otimizada para Amazon EKS como um parâmetro público. Recomendamos o uso dessa AMI ao adicionar nós a um cluster do Amazon EKS, já que as novas versões incluem patches do Kubernetes e atualizações de segurança. Antes, para garantir o uso da AMI mais recente, era necessário verificar a documentação do Amazon EKS e atualizar manualmente os modelos ou recursos de implantação com o novo ID da AMI.
Use o comando a seguir para visualizar o nome da AMI otimizada para Amazon EKS mais recente do Amazon Linux 2.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters \
--names /aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended
```
------
#### [ Windows ]
```
aws ssm get-parameters ^
--names /aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended
```
------
O comando retorna informações como as seguintes.
```
{
"Parameters": [
{
"Name": "/aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended",
"Type": "String",
"Value": "{\"schema_version\":\"2\",\"image_id\":\"ami-08984d8491de17ca0\",\"image_name\":\"amazon-eks-node-1.14-v20201007\",\"release_version\":\"1.14.9-20201007\"}",
"Version": 24,
"LastModifiedDate": "2020-11-17T10:16:09.971000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/eks/optimized-ami/1.14/amazon-linux-2/recommended",
"DataType": "text"
}
],
"InvalidParameters": []
}
```
# Chamar parâmetros públicos para Serviços da AWS, regiões, endpoints, zonas de disponibilidade, zonas locais e zonas do Wavelength no Parameter Store
Você pode chamar a Região da AWS, o serviço, o endpoint, a disponibilidade e as zonas do Wavelength de parâmetros públicos usando o caminho a seguir.
`/aws/service/global-infrastructure`
**nota**
Atualmente, o caminho `/aws/service/global-infrastructure` é compatível com consultas apenas nas seguintes Regiões da AWS:
Leste dos EUA (Norte da Virgínia) (us-east-1)
Leste dos EUA (Ohio) (us-east-2)
Oeste dos EUA (Norte da Califórnia) (us-west-1)
Oeste dos EUA (Oregon) (us-west-2)
Ásia-Pacífico (Hong Kong) (ap-east-1)
Ásia-Pacífico (Mumbai) (ap-south-1)
Ásia-Pacífico (Seul) (ap-northeast-2)
Ásia-Pacífico (Singapura) (ap-southeast-1)
Ásia-Pacífico (Sydney) (ap-southeast-2)
Ásia Pacific (Tóquio) (ap-northeast-1)
Canadá (Central) (ca-central-1)
Europa (Frankfurt) (eu-central-1)
Europa (Irlanda) (eu-west-1)
Europa (Londres) (eu-west-2)
Europa (Paris) (eu-west-3)
UE (Estocolmo) (eu-north-1)
América do Sul (São Paulo) (sa-east-1)
Se você estiver trabalhando em uma [região comercial](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#region) diferente, poderá especificar uma região compatível em sua consulta para ver os resultados. Por exemplo, se você estiver trabalhando na região Oeste do Canadá (Calgary) (ca-west-1), você pode especificar Canadá (Central) (ca-central-1) em sua consulta:
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions \
--region ca-central-1
```
**Visualizar as ativas Regiões da AWS**
É possível visualizar uma lista de todas as Regiões da AWS ativas usando o seguinte comando na AWS Command Line Interface (AWS CLI).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions \
--query 'Parameters[].Name'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/regions ^
--query Parameters[].Name
```
------
O comando retorna informações como as seguintes.
```
[
"/aws/service/global-infrastructure/regions/af-south-1",
"/aws/service/global-infrastructure/regions/ap-east-1",
"/aws/service/global-infrastructure/regions/ap-northeast-3",
"/aws/service/global-infrastructure/regions/ap-south-2",
"/aws/service/global-infrastructure/regions/ca-central-1",
"/aws/service/global-infrastructure/regions/eu-central-2",
"/aws/service/global-infrastructure/regions/eu-west-2",
"/aws/service/global-infrastructure/regions/eu-west-3",
"/aws/service/global-infrastructure/regions/us-east-1",
"/aws/service/global-infrastructure/regions/us-gov-west-1",
"/aws/service/global-infrastructure/regions/ap-northeast-2",
"/aws/service/global-infrastructure/regions/ap-southeast-1",
"/aws/service/global-infrastructure/regions/ap-southeast-2",
"/aws/service/global-infrastructure/regions/ap-southeast-3",
"/aws/service/global-infrastructure/regions/cn-north-1",
"/aws/service/global-infrastructure/regions/cn-northwest-1",
"/aws/service/global-infrastructure/regions/eu-south-1",
"/aws/service/global-infrastructure/regions/eu-south-2",
"/aws/service/global-infrastructure/regions/us-east-2",
"/aws/service/global-infrastructure/regions/us-west-1",
"/aws/service/global-infrastructure/regions/ap-northeast-1",
"/aws/service/global-infrastructure/regions/ap-south-1",
"/aws/service/global-infrastructure/regions/ap-southeast-4",
"/aws/service/global-infrastructure/regions/ca-west-1",
"/aws/service/global-infrastructure/regions/eu-central-1",
"/aws/service/global-infrastructure/regions/il-central-1",
"/aws/service/global-infrastructure/regions/me-central-1",
"/aws/service/global-infrastructure/regions/me-south-1",
"/aws/service/global-infrastructure/regions/sa-east-1",
"/aws/service/global-infrastructure/regions/us-gov-east-1",
"/aws/service/global-infrastructure/regions/eu-north-1",
"/aws/service/global-infrastructure/regions/eu-west-1",
"/aws/service/global-infrastructure/regions/us-west-2"
]
```
**Visualizar Serviços da AWS disponíveis**
É possível visualizar uma lista completa de todos os Serviços da AWS disponíveis e classificá-los em ordem alfabética usando o comando a seguir. Este exemplo de saída foi truncado por questões de espaço.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/services \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/services ^
--query "Parameters[].Name | sort(@)"
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
[
"/aws/service/global-infrastructure/services/accessanalyzer",
"/aws/service/global-infrastructure/services/account",
"/aws/service/global-infrastructure/services/acm",
"/aws/service/global-infrastructure/services/acm-pca",
"/aws/service/global-infrastructure/services/ahl",
"/aws/service/global-infrastructure/services/aiq",
"/aws/service/global-infrastructure/services/amazonlocationservice",
"/aws/service/global-infrastructure/services/amplify",
"/aws/service/global-infrastructure/services/amplifybackend",
"/aws/service/global-infrastructure/services/apigateway",
"/aws/service/global-infrastructure/services/apigatewaymanagementapi",
"/aws/service/global-infrastructure/services/apigatewayv2",
"/aws/service/global-infrastructure/services/appconfig",
"/aws/service/global-infrastructure/services/appconfigdata",
"/aws/service/global-infrastructure/services/appflow",
"/aws/service/global-infrastructure/services/appintegrations",
"/aws/service/global-infrastructure/services/application-autoscaling",
"/aws/service/global-infrastructure/services/application-insights",
"/aws/service/global-infrastructure/services/applicationcostprofiler",
"/aws/service/global-infrastructure/services/appmesh",
"/aws/service/global-infrastructure/services/apprunner",
"/aws/service/global-infrastructure/services/appstream",
"/aws/service/global-infrastructure/services/appsync",
"/aws/service/global-infrastructure/services/aps",
"/aws/service/global-infrastructure/services/arc-zonal-shift",
"/aws/service/global-infrastructure/services/artifact",
"/aws/service/global-infrastructure/services/athena",
"/aws/service/global-infrastructure/services/auditmanager",
"/aws/service/global-infrastructure/services/augmentedairuntime",
"/aws/service/global-infrastructure/services/aurora",
"/aws/service/global-infrastructure/services/autoscaling",
"/aws/service/global-infrastructure/services/aws-appfabric",
"/aws/service/global-infrastructure/services/awshealthdashboard",
```
**Visualizar regiões compatíveis para um AWS service (Serviço da AWS)**
É possível visualizar uma lista de Regiões da AWS em que um serviço está disponível. Este exemplo usa o AWS Systems Manager (`ssm`).
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/services/ssm/regions \
--query 'Parameters[].Value'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/services/ssm/regions ^
--query Parameters[].Value
```
------
O comando retorna informações como as seguintes.
```
[
"ap-south-1",
"eu-central-1",
"eu-central-2",
"eu-west-1",
"eu-west-2",
"eu-west-3",
"il-central-1",
"me-south-1",
"us-east-2",
"us-gov-west-1",
"af-south-1",
"ap-northeast-3",
"ap-southeast-1",
"ap-southeast-4",
"ca-central-1",
"ca-west-1",
"cn-north-1",
"eu-north-1",
"eu-south-2",
"us-west-1",
"ap-east-1",
"ap-northeast-1",
"ap-northeast-2",
"ap-southeast-2",
"ap-southeast-3",
"cn-northwest-1",
"eu-south-1",
"me-central-1",
"us-gov-east-1",
"us-west-2",
"ap-south-2",
"sa-east-1",
"us-east-1"
]
```
**Visualizar o endpoint regional de um serviço**
É possível visualizar um endpoint regional para um serviço usando o comando a seguir. Esse comando consulta a região Leste dos EUA (Ohio) (us-east-2).
------
#### [ Linux & macOS ]
```
aws ssm get-parameter \
--name /aws/service/global-infrastructure/regions/us-east-2/services/ssm/endpoint \
--query 'Parameter.Value'
```
------
#### [ Windows ]
```
aws ssm get-parameter ^
--name /aws/service/global-infrastructure/regions/us-east-2/services/ssm/endpoint ^
--query Parameter.Value
```
------
O comando retorna informações como as seguintes.
```
"ssm.us-east-2.amazonaws.com"
```
**Visualizar detalhes completos da zona de disponibilidade**
Você pode visualizar zonas de disponibilidade usando o seguinte comando:
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones/
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones/
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/availability-zones/afs1-az3",
"Type": "String",
"Value": "afs1-az3",
"Version": 1,
"LastModifiedDate": "2020-04-21T12:05:35.375000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az3",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/availability-zones/aps1-az2",
"Type": "String",
"Value": "aps1-az2",
"Version": 1,
"LastModifiedDate": "2020-04-03T16:13:57.351000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/aps1-az2",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/availability-zones/apse3-az1",
"Type": "String",
"Value": "apse3-az1",
"Version": 1,
"LastModifiedDate": "2021-12-13T08:51:38.983000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/apse3-az1",
"DataType": "text"
}
]
}
```
**Visualizar somente nomes da zona de disponibilidade**
Você só pode visualizar os nomes das zonas de disponibilidade usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones ^
--query "Parameters[].Name | sort(@)"
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
[
"/aws/service/global-infrastructure/availability-zones/afs1-az1",
"/aws/service/global-infrastructure/availability-zones/afs1-az2",
"/aws/service/global-infrastructure/availability-zones/afs1-az3",
"/aws/service/global-infrastructure/availability-zones/ape1-az1",
"/aws/service/global-infrastructure/availability-zones/ape1-az2",
"/aws/service/global-infrastructure/availability-zones/ape1-az3",
"/aws/service/global-infrastructure/availability-zones/apne1-az1",
"/aws/service/global-infrastructure/availability-zones/apne1-az2",
"/aws/service/global-infrastructure/availability-zones/apne1-az3",
"/aws/service/global-infrastructure/availability-zones/apne1-az4"
```
**Visualizar nomes de zonas de disponibilidade em uma única região**
Você pode visualizar os nomes das zonas de disponibilidade em uma região (`us-east-2`, neste exemplo) usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/regions/us-east-2/availability-zones \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/regions/us-east-2/availability-zones ^
--query "Parameters[].Name | sort(@)"
```
------
O comando retorna informações como as seguintes.
```
[
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az1",
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az2",
"/aws/service/global-infrastructure/regions/us-east-2/availability-zones/use2-az3"
```
**Visualizar somente ARNs da zona de disponibilidade**
Você só pode visualizar os nomes do recurso da Amazon (ARNs) das zonas de disponibilidade, usando o comando a seguir.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/availability-zones \
--query 'Parameters[].ARN | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/availability-zones ^
--query "Parameters[].ARN | sort(@)"
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
[
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az1",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az2",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/afs1-az3",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az1",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az2",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/ape1-az3",
"arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/availability-zones/apne1-az1",
```
**Visualizar detalhes da zona local**
Você pode visualizar zonas locais usando o seguinte comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/local-zones
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/local-zones
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/local-zones/afs1-los1-az1",
"Type": "String",
"Value": "afs1-los1-az1",
"Version": 1,
"LastModifiedDate": "2023-01-25T11:53:11.690000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/afs1-los1-az1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/apne1-tpe1-az1",
"Type": "String",
"Value": "apne1-tpe1-az1",
"Version": 1,
"LastModifiedDate": "2024-03-15T12:35:41.076000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/apne1-tpe1-az1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/aps1-ccu1-az1",
"Type": "String",
"Value": "aps1-ccu1-az1",
"Version": 1,
"LastModifiedDate": "2022-12-19T11:34:43.351000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/aps1-ccu1-az1",
"DataType": "text"
}
]
}
```
**Visualizar os detalhes da zona de Wavelength**
Você pode visualizar zonas do Wavelength usando o seguinte comando:
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/wavelength-zones
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/wavelength-zones
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/apne1-wl1-nrt-wlz1",
"Type": "String",
"Value": "apne1-wl1-nrt-wlz1",
"Version": 3,
"LastModifiedDate": "2020-12-15T17:16:04.715000-05:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/apne1-wl1-nrt-wlz1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/apne2-wl1-sel-wlz1",
"Type": "String",
"Value": "apne2-wl1-sel-wlz1",
"Version": 1,
"LastModifiedDate": "2022-05-25T12:29:13.862000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/apne2-wl1-sel-wlz1",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/wavelength-zones/cac1-wl1-yto-wlz1",
"Type": "String",
"Value": "cac1-wl1-yto-wlz1",
"Version": 1,
"LastModifiedDate": "2022-04-26T09:57:44.495000-04:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/wavelength-zones/cac1-wl1-yto-wlz1",
"DataType": "text"
}
]
}
```
**Visualizar todos os parâmetros e valores em uma região local**
Você pode visualizar todos os dados de parâmetros de uma região local usando o seguinte comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path "/aws/service/global-infrastructure/local-zones/usw2-lax1-az1/"
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path "/aws/service/global-infrastructure/local-zones/use1-bos1-az1"
```
------
O comando retorna informações como as seguintes. Este exemplo foi truncado por questões de espaço.
```
{
"Parameters": [
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"Type": "String",
"Value": "US",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.641000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"Type": "String",
"Value": "US-MA",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.794000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"Type": "String",
"Value": "US East (Boston)",
"Version": 1,
"LastModifiedDate": "2021-01-11T10:53:24.634000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"Type": "String",
"Value": "us-east-1-bos-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.641000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"Type": "String",
"Value": "use1-az4",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.834000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"Type": "String",
"Value": "us-east-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:20.721000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"DataType": "text"
},
{
"Name": "/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group",
"Type": "String",
"Value": "us-east-1-bos-1",
"Version": 3,
"LastModifiedDate": "2020-12-15T14:16:17.983000-08:00",
"ARN": "arn:aws:ssm:us-east-2::parameter/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group",
"DataType": "text"
}
]
}
```
**Visualizar somente nomes de parâmetros de zona local**
Você pode visualizar somente os nomes dos parâmetros de região local usando o seguinte comando.
------
#### [ Linux & macOS ]
```
aws ssm get-parameters-by-path \
--path /aws/service/global-infrastructure/local-zones/usw2-lax1-az1 \
--query 'Parameters[].Name | sort(@)'
```
------
#### [ Windows ]
```
aws ssm get-parameters-by-path ^
--path /aws/service/global-infrastructure/local-zones/use1-bos1-az1 ^
--query "Parameters[].Name | sort(@)"
```
------
O comando retorna informações como as seguintes.
```
[
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationCountry",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/geolocationRegion",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/location",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/network-border-group",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-availability-zone",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/parent-region",
"/aws/service/global-infrastructure/local-zones/use1-bos1-az1/zone-group"
]
```
# Demonstrações do Parameter Store
A demonstração nesta seção mostra como criar, armazenar e executar parâmetros com o Parameter Store, uma ferramenta do AWS Systems Manager, em um ambiente de teste. Essas demonstrações mostram como usar o Parameter Store com outras ferramentas do Systems Manager. Você pode usar o Parameter Store também com outros Serviços da AWS. Para obter mais informações, consulte [O que é um parâmetro ?](systems-manager-parameter-store.md#what-is-a-parameter).
**Topics**
+ [Criar um parâmetro SecureString no Parameter Store e integrar um nó a um domínio (PowerShell)](sysman-param-securestring-walkthrough.md)
# Criar um parâmetro SecureString no Parameter Store e integrar um nó a um domínio (PowerShell)
Esta demonstração mostra como associar um nó do Windows Server a um domínio usando os parâmetros AWS Systems Manager `SecureString` e Run Command. A demonstração usa parâmetros de domínio típicos, como o nome do domínio e um nome do usuário do domínio. Esses valores são transmitidos como valores de string não criptografados. A senha do domínio é criptografada usando uma chave mestra de cliente (CMK) gerenciada pela Chave gerenciada pela AWS e transmitida como uma string criptografada.
**Pré-requisitos**
Esta demonstração pressupõe que você já tenha especificado seu nome de domínio e o endereço IP do servidor DNS no conjunto de opções de DHCP associado à sua Amazon VPC. Para obter mais informações, consulte [Working with DHCP Options](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSet) no *Guia do usuário da Amazon VPC*.
**Para criar um parâmetro `SecureString` e ingressar um nó em um domínio**
1. Insira parâmetros no sistema usando o AWS Tools for Windows PowerShell.
Nos comandos a seguir, substitua cada *espaço reservado para entrada do usuário* por suas próprias informações.
```
Write-SSMParameter -Name "domainName" -Value "DOMAIN-NAME" -Type String
Write-SSMParameter -Name "domainJoinUserName" -Value "DOMAIN\USERNAME" -Type String
Write-SSMParameter -Name "domainJoinPassword" -Value "PASSWORD" -Type SecureString
```
**Importante**
Somente o *valor* de um parâmetro `SecureString` é criptografado. O nome do parâmetro, a descrição e outras propriedades não são criptografados.
1. Anexe as seguintes políticas do AWS Identity and Access Management (IAM) às permissões de função do IAM para o nó:
+ **AmazonSSMManagedInstanceCore** – necessário. Essa política gerenciada da AWS permite que um nó gerenciado use a funcionalidade básica do serviço Systems Manager.
+ **AmazonSSMDirectoryServiceAccess** – necessário. Essa política gerenciada da AWS permite que o SSM Agent acesse o AWS Directory Service em seu nome para solicitações para ingressar no domínio pelo nó gerenciado.
+ **Uma política personalizada para acesso ao bucket do S3**: obrigatória. O SSM Agent, localizado em um nó, executa tarefas do Systems Manager e requer acesso a buckets do Amazon Simple Storage Service (Amazon S3) específicos, de propriedade da Amazon. Na política de bucket do S3 personalizada que você cria, também é possível fornecer acesso aos buckets do S3 de sua propriedade que sejam necessários para as operações do Systems Manager.
Exemplos: você pode gravar a saída para comandos do Run Command ou sessões do Session Manager para um bucket do S3 e usar essa saída posteriormente para a auditoria ou para solução de problemas. Você armazena scripts de acesso ou listas de linha de base de patches personalizados em um bucket do S3 e faz referência ao script ou à lista quando executa um comando, ou quando uma linha de base de patch é aplicada.
Para obter informações sobre como criar uma política personalizada para acesso ao bucket do Amazon S3, consulte [Criar uma política personalizada de bucket do S3 para um perfil de instância](setup-instance-permissions.md#instance-profile-custom-s3-policy)
**nota**
Salvar os dados de log de saída em um bucket do S3 é opcional, mas recomendamos configurá-lo no início do seu processo de configuração do Systems Manager caso tenha decidido usá-lo. Para obter mais informações, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) no *Guia do usuário do Amazon Simple Storage Service*.
+ **CloudWatchAgentServerPolicy** – opcional. Essa política gerenciada da AWS permite que você execute o agente do CloudWatch em nós gerenciados. Essa política possibilita ler informações sobre um nó e gravá-las no Amazon CloudWatch. Seu perfil de instância precisará dessa política somente se você pretende usar recursos do Amazon EventBridge ou o CloudWatch Logs.
**nota**
Usar recursos do CloudWatch e do EventBridge é opcional, mas recomendamos configurá-los no início do seu processo de configuração do Systems Manager se você decidiu usá-los. Para obter mais informações, consulte o *[Manual do usuário do Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* e o *[Manual do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
1. Edite a função do IAM anexada ao nó e adicione a seguinte política: Essa política fornece as permissões do nó para chamar o `kms:Decrypt` e a API `ssm:CreateDocument`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"ssm:CreateDocument"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
]
}
]
}
```
------
1. Copie e cole o seguinte texto do json em um editor de texto e salve o arquivo como `JoinInstanceToDomain.json` no seguinte local: `c:\temp\JoinInstanceToDomain.json`.
```
{
"schemaVersion": "2.2",
"description": "Run a PowerShell script to securely join a Windows Server instance to a domain",
"mainSteps": [
{
"action": "aws:runPowerShellScript",
"name": "runPowerShellWithSecureString",
"precondition": {
"StringEquals": [
"platformType",
"Windows"
]
},
"inputs": {
"runCommand": [
"$domain = (Get-SSMParameterValue -Name domainName).Parameters[0].Value",
"if ((gwmi Win32_ComputerSystem).domain -eq $domain){write-host \"Computer is part of $domain, exiting\"; exit 0}",
"$username = (Get-SSMParameterValue -Name domainJoinUserName).Parameters[0].Value",
"$password = (Get-SSMParameterValue -Name domainJoinPassword -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -asPlainText -Force",
"$credential = New-Object System.Management.Automation.PSCredential($username,$password)",
"Add-Computer -DomainName $domain -Credential $credential -ErrorAction SilentlyContinue -ErrorVariable domainjoinerror",
"if($?){Write-Host \"Instance joined to domain successfully. Restarting\"; exit 3010}else{Write-Host \"Instance failed to join domain with error:\" $domainjoinerror; exit 1 }"
]
}
}
]
}
```
1. Execute o comando a seguir no Tools for Windows PowerShell para criar um novo documento do SSM.
```
$json = Get-Content C:\temp\JoinInstanceToDomain | Out-String
New-SSMDocument -Name JoinInstanceToDomain -Content $json -DocumentType Command
```
1. Execute o comando a seguir no Tools for Windows PowerShell para associar o nó ao domínio.
```
Send-SSMCommand -InstanceId instance-id -DocumentName JoinInstanceToDomain
```
Se houver êxito, o comando retornará informações semelhantes às seguintes:
```
WARNING: The changes will take effect after you restart the computer EC2ABCD-EXAMPLE.
Domain join succeeded, restarting
Computer is part of example.local, exiting
```
Se houver êxito, o comando retornará informações semelhantes às seguintes:
```
Failed to join domain with error:
Computer 'EC2ABCD-EXAMPLE' failed to join domain 'example.local'
from its current workgroup 'WORKGROUP' with following error message:
The specified domain either does not exist or could not be contacted.
```
# Auditar e registrar atividades do Parameter Store em log
O AWS CloudTrail captura chamadas à API feitas no console do AWS Systems Manager, na AWS Command Line Interface (AWS CLI) e no SDK do Systems Manager. Você pode visualizar as informações no console do CloudTrail ou em um bucket do Amazon Simple Storage Service (Amazon S3). Todos os logs do CloudTrail para sua conta usam um bucket. Para obter mais informações sobre como visualizar e utilizar os logs do CloudTrail de atividades do Systems Manager, consulte [Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail](monitoring-cloudtrail-logs.md). Para obter mais informações sobre opções de auditoria e registro para o Systems Manager, consulte [Registrar em log e monitorar no AWS Systems Manager](monitoring.md).
# Solução de problemas do Parameter Store
Use as informações a seguir para obter ajuda para solucionar problemas com o Parameter Store, uma ferramenta do AWS Systems Manager.
## Solução de problemas de criação de parâmetros `aws:ec2:image`
Use as seguintes informações para ajudar a solucionar problemas com a criação de parâmetros de tipo de dados `aws:ec2:image`.
### Sem permissão para criar uma instância
**Problema**: você tenta criar uma instância usando um parâmetro `aws:ec2:image`, mas recebe uma mensagem de erro semelhante a "Você não está autorizado a executar esta operação".
+ **Solução**: você não tem todas as permissões necessárias para criar uma instância do EC2 usando um valor de parâmetro, como permissões para `ec2:RunInstances`, `ec2:DescribeImages` e `ssm:GetParameter`, entre outras. Entre em contato com um usuário com permissões de administrador em sua organização para solicitar as permissões necessárias.
### O EventBridge relata a mensagem de falha “Não é possível descrever o recurso”
**Problema**: você executou um comando para criar um parâmetro `aws:ec2:image`, mas a criação do parâmetro falhou. Você recebe uma notificação do Amazon EventBridge que relata a exceção "Unable to Describe Resource" (“Não é possível descrever o recurso”).
**Solução**: essa mensagem pode indicar o seguinte:
+ Você não tem todas as permissões necessárias para a operação de API `ec2:DescribeImages` ou não tem permissões para acessar a imagem específica referenciada no parâmetro. Entre em contato com um usuário que tem permissões de administrador em sua organização para solicitar as permissões necessárias.
+ O ID da Amazon Machine Image (AMI) que você inseriu como um valor de parâmetro não é válido. Insira o ID de uma AMI que esteja disponível na Região da AWS e conta atuais em que você está trabalhando.
### O novo parâmetro `aws:ec2:image` não está disponível
**Problema**: você acabou de executar um comando para criar um parâmetro `aws:ec2:image` e um número de versão foi relatado, mas o parâmetro não está disponível.
+ **Solução**: quando você executa o comando para criar um parâmetro que usa o tipo de dados `aws:ec2:image`, um número de versão é gerado para o parâmetro imediatamente, mas o formato do parâmetro deve ser validado antes que o parâmetro esteja disponível. Esse processo pode levar até alguns minutos. Para monitorar o processo de criação e validação de parâmetros, você pode fazer o seguinte:
+ Use o EventBridge para enviar notificações sobre as operações dos parâmetros `create` e `update`. Essas notificações relatam se uma operação de parâmetro foi bem-sucedida ou não. Para obter informações sobre como se inscrever em eventos do Parameter Store no EventBridge, consulte [Configurar notificações ou acionar ações com base nos eventos do Parameter Store](sysman-paramstore-cwe.md).
+ Na seção Parameter Store do console do Systems Manager, atualize a lista de parâmetros periodicamente para verificar os detalhes do parâmetro novo ou atualizado.
+ Use o comando **GetParameter** para verificar o parâmetro novo ou atualizado. Por exemplo, usando a AWS Command Line Interface (AWS CLI):
```
aws ssm get-parameter name MyParameter
```
Para um novo parâmetro, uma mensagem `ParameterNotFound` é retornada até que o parâmetro seja validado. Para um parâmetro existente que você estiver atualizando, as informações sobre a nova versão não serão incluídas até que o parâmetro seja validado.
Se você tentar criar ou atualizar o parâmetro novamente antes que o processo de validação seja concluído, o sistema informará que a validação ainda está em andamento. Se o parâmetro não for criado ou atualizado com êxito, você poderá tentar novamente após cinco minutos da tentativa original.