View a markdown version of this page

了解參數類型 - AWS Systems Manager
參數類型:String參數類型:StringList參數類型:SecureString

• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解參數類型

參數是存放在 中的任何資料片段Parameter Store,例如文字區塊、名稱清單、AMIID、授權金鑰等。您可以集中、安全地在您的指令碼、命令和 SSM 文件中參考這項資料。

當您參考參數時,您可以使用下列慣例指定參數名稱。

{{ssm:parameter-name}}

注意

不能在其他參數的值中參考或巢套參數。參數值中不能包含 {{}}{{ssm:parameter-name}}

Parameter Store支援三種參數:StringStringListSecureString

除了一個例外狀況,當您建立或更新參數時,將參數值輸入為純文字,並且 Parameter Store 不對輸入的文字執行驗證。但是,對於 String 參數,您可以將資料類型指定為 aws:ec2:image,而 Parameter Store 便會驗證您輸入的數值是否為 Amazon EC2 AMI 的正確格式;例如:ami-12345abcdeEXAMPLE

參數類型:String

依預設,String 參數的值由您輸入的任何文字區塊組成。例如:

  • abc123

  • Example Corp

  • <img src="images/bannerImage1.png"/>

參數類型:StringList

StringList 參數的值包含以逗號分隔的值清單,如下列範例所示。

Monday,Wednesday,Friday

CSV,TSV,CLF,ELF,JSON

參數類型:SecureString

SecureString 參數的值是需要以安全方式存放和參考的任何敏感資料。如果您有不希望使用者以純文字更改或參考的資料,例如輕量型秘密或授權金鑰,請使用 SecureString資料類型建立這些參數。

在以下情況中,我們建議使用 SecureString 參數。

  • 您想要跨 使用資料/參數, AWS 服務 而不在命令、函數、代理程式日誌或 CloudTrail 日誌中將值公開為純文字。

  • 您希望控制哪些使用者可以存取敏感資料。

  • 您希望能夠在敏感資料被存取時進行稽核 (CloudTrail)。

  • 您希望將敏感資料加密,而且您希望使用自己的加密金鑰來管理存取。

您可以針對想要加密的文字資料使用 SecureString 參數類型,例如不需要輪換的輕量型秘密、機密組態資料,或您想要保護的任何其他資料類型。 SecureString 資料會使用 AWS KMS 金鑰加密和解密。您可以使用 提供的預設 KMS 金鑰, AWS 或建立和使用您自己的金鑰 AWS KMS key。(如果想限制使用者對 SecureString 參數的存取,請使用您自己的 AWS KMS key 。如需詳細資訊,請參閱 使用 AWS 預設金鑰和客戶受管金鑰的 IAM 許可。)

重要

記下以下重要資訊。

  • 如果您管理需要自動輪換、跨帳戶存取或精細稽核記錄的登入資料,建議您使用 AWS Secrets Manager。Secrets Manager 專為管理秘密而打造,例如資料庫登入資料、API 金鑰和支援的第三方軟體提供的秘密。如需詳細資訊,請參閱什麼是 AWS Secrets Manager? AWS Secrets Manager 《 使用者指南》中的 。

  • 請勿在 StringStringList 參數中存放敏感資料。對於所有必須保持加密的敏感資料,請僅使用 SecureString 參數類型。

  • 僅加密 SecureString 參數的。參數名稱、說明和其他屬性不會加密。

您也可以將SecureString參數與其他 參數搭配使用 AWS 服務。在下列範例中,Lambda 函數使用 GetParameters API 擷取 SecureString 參數。

import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
AWS KMS 加密和定價

如果您在建立SecureString參數時選擇 參數類型,Systems Manager 會使用 AWS KMS 來加密參數值。

重要

Parameter Store 只支援對稱加密 KMS 金鑰。您無法使用非對稱加密 KMS 金鑰來加密您的參數。如需判斷 KMS 金鑰為對稱或非對稱的說明,請參閱《AWS Key Management Service 開發人員指南》中的識別對稱鍵和非對稱金鑰

Parameter Store 建立SecureString參數無需支付 的費用,但使用 AWS KMS 加密的費用確實適用。如需相關資訊,請參閱 AWS Key Management Service 定價

如需 AWS 受管金鑰 和客戶受管金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的AWS Key Management Service 概念。如需 Parameter Store和 AWS KMS 加密的詳細資訊,請參閱 AWS Systems Manager Parameter Store如何使用 AWS KMS

注意

若要檢視 AWS 受管金鑰,請使用 AWS KMS DescribeKey操作。此 AWS Command Line Interface (AWS CLI) 範例使用 DescribeKey 來檢視 AWS 受管金鑰。

aws kms describe-key --key-id alias/aws/ssm