• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解參數類型
*參數*是存放在 中的任何資料片段Parameter Store,例如文字區塊、名稱清單、AMIID、授權金鑰等。您可以集中、安全地在您的指令碼、命令和 SSM 文件中參考這項資料。
當您參考參數時,您可以使用下列慣例指定參數名稱。
{{`ssm:{{parameter-name}}`}}
**注意**
不能在其他參數的值中參考或巢套參數。參數值中不能包含 `{{}}` 或 `{{ssm:{{parameter-name}}}}`。
Parameter Store支援三種參數:`String`、`StringList` 和 `SecureString`。
除了一個例外狀況,當您建立或更新參數時,將參數值輸入為純文字,並且 Parameter Store 不對輸入的文字執行驗證。但是,對於 `String` 參數,您可以將資料類型指定為 `aws:ec2:image`,而 Parameter Store 便會驗證您輸入的數值是否為 Amazon EC2 AMI 的正確格式;例如:`ami-12345abcdeEXAMPLE`。
## 參數類型:String
依預設,`String` 參數的值由您輸入的任何文字區塊組成。例如:
+ `abc123`
+ `Example Corp`
+ `
`
## 參數類型:StringList
`StringList` 參數的值包含以逗號分隔的值清單,如下列範例所示。
`Monday,Wednesday,Friday`
`CSV,TSV,CLF,ELF,JSON`
## 參數類型:SecureString
`SecureString` 參數的值是需要以安全方式存放和參考的任何敏感資料。如果您有不希望使用者以純文字更改或參考的資料,例如輕量型秘密或授權金鑰,請使用 `SecureString`資料類型建立這些參數。
在以下情況中,我們建議使用 `SecureString` 參數。
+ 您想要跨 使用資料/參數, AWS 服務 而不在命令、函數、代理程式日誌或 CloudTrail 日誌中將值公開為純文字。
+ 您希望控制哪些使用者可以存取敏感資料。
+ 您希望能夠在敏感資料被存取時進行稽核 (CloudTrail)。
+ 您希望將敏感資料加密,而且您希望使用自己的加密金鑰來管理存取。
您可以針對想要加密的文字資料使用 `SecureString` 參數類型,例如不需要輪換的輕量型秘密、機密組態資料,或您想要保護的任何其他資料類型。 `SecureString` 資料會使用 AWS KMS 金鑰加密和解密。您可以使用 提供的預設 KMS 金鑰, AWS 或建立和使用您自己的金鑰 AWS KMS key。(如果想限制使用者對 `SecureString` 參數的存取,請使用您自己的 AWS KMS key 。如需詳細資訊,請參閱 [使用 AWS 預設金鑰和客戶受管金鑰的 IAM 許可](sysman-paramstore-access.md#ps-kms-permissions)。)
**重要**
記下以下重要資訊。
如果您管理需要自動輪換、跨帳戶存取或精細稽核記錄的登入資料,建議您使用 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)。Secrets Manager 專為管理秘密而打造,例如資料庫登入資料、API 金鑰和支援的第三方軟體提供的秘密。如需詳細資訊,請參閱[什麼是 AWS Secrets Manager?](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html) *AWS Secrets Manager 《 使用者指南*》中的 。
請勿在 `String` 或 `StringList` 參數中存放敏感資料。對於所有必須保持加密的敏感資料,請僅使用 `SecureString` 參數類型。
僅加密 `SecureString` 參數的*值*。參數名稱、說明和其他屬性不會加密。
您也可以將`SecureString`參數與其他 參數搭配使用 AWS 服務。在下列範例中,Lambda 函數使用 [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) API 擷取 `SecureString` 參數。
```
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
response = ssm.get_parameters(
Names=['LambdaSecureString'],WithDecryption=True
)
for parameter in response['Parameters']:
return parameter['Value']
def lambda_handler(event, context):
value = get_parameters()
print("value1 = " + value)
return value # Echo back the first key value
```
**AWS KMS 加密和定價**
如果您在建立`SecureString`參數時選擇 參數類型,Systems Manager 會使用 AWS KMS 來加密參數值。
**重要**
Parameter Store 只支援[對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)。您無法使用[非對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)來加密您的參數。如需判斷 KMS 金鑰為對稱或非對稱的說明,請參閱《*AWS Key Management Service 開發人員指南*》中的[識別對稱鍵和非對稱金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)。
Parameter Store 建立`SecureString`參數無需支付 的費用,但使用 AWS KMS 加密的費用確實適用。如需相關資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing)。
如需 AWS 受管金鑰 和客戶受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)。如需 Parameter Store和 AWS KMS 加密的詳細資訊,請參閱 [AWS Systems Manager Parameter Store如何使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)。
**注意**
若要檢視 AWS 受管金鑰,請使用 AWS KMS `DescribeKey`操作。此 AWS Command Line Interface (AWS CLI) 範例使用 `DescribeKey` 來檢視 AWS 受管金鑰。
```
aws kms describe-key --key-id alias/aws/ssm
```