Voraussetzungen für die Freigabe von Parametern Freigabe eines Parameters Beenden der Freigabe eines Parameters Identifizieren freigegebenen Parametern Zugreifen auf freigegebene Parameter Berechtigungssätze für die gemeinsame Nutzung von Parametern Maximaler Durchsatz für freigegebene Parameter Preisgestaltung für freigegebene Parameter Kontoübergreifender Zugriff für geschlossene AWS-Konten

Arbeiten mit gemeinsam genutzten Parametern in Parameter Store

Die gemeinsame Nutzung erweiterter Parameter vereinfacht die Verwaltung von Konfigurationsdaten in einer Umgebung mit mehreren Konten. Sie können Ihre Parameter zentral speichern und verwalten und sie mit anderen AWS-Konten teilen, die sie referenzieren müssen.

Parameter Store lässt sich in AWS Resource Access Manager (AWS RAM) integrieren, um die erweiterte gemeinsame Nutzung von Parametern zu ermöglichen. AWS RAM ist ein Service, der es Ihnen ermöglicht, Ressourcen mit anderen AWS-Konten oder über andere AWS Organizations zu teilen.

Mit AWS RAM geben Sie Ressourcen in Ihrem Besitz frei, indem Sie eine Ressourcenfreigabe erstellen. Eine Ressourcenfreigabe gibt die freizugebenden Ressourcen, die zu erteilenden Berechtigungen und die Verbraucher an, mit denen die Freigabe erfolgen soll. Zu den Verbrauchern können folgende Angaben zählen:

Spezifische AWS-Konten innerhalb oder außerhalb seiner AWS Organizations-Organisation
Eine Organisationseinheit innerhalb seiner Organisation in AWS Organizations
Seine gesamte Organisation in AWS Organizations

Weitere Informationen zu AWS RAM finden Sie im AWS RAM-Benutzerhandbuch.

In diesem Thema wird erklärt, wie Sie Parameter teilen, deren Eigentümer Sie sind, und wie Sie Parameter verwenden, die mit Ihnen gemeinsam genutzt werden.

Inhalt

Voraussetzungen für die Freigabe von Parametern
Freigabe eines Parameters
Beenden der Freigabe eines Parameters
Identifizieren freigegebenen Parametern
Zugreifen auf freigegebene Parameter
Berechtigungssätze für die gemeinsame Nutzung von Parametern
Maximaler Durchsatz für freigegebene Parameter
Preisgestaltung für freigegebene Parameter
Kontoübergreifender Zugriff für geschlossene AWS-Konten

Voraussetzungen für die Freigabe von Parametern

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie die Parameter von Ihrem Konto freigegebenen:

Um einen Parameter freigeben zu können, müssen Sie diesen in Ihrem AWS-Konto besitzen. Sie können keinen Parameter freigeben, der für Sie freigegeben wurde.
Um einen Parameter gemeinsam nutzen zu können, muss er sich in der erweiterten Parameterebene befinden. Weitere Informationen zu den Parameterebenen finden Sie unter Verwalten von Parameterstufen. Hinweise zum Ändern eines vorhandenen Standardparameters in einen erweiterten Parameter finden Sie unter Ändern eines Standardparameters in einen fortgeschrittenen Parameter.
Um einen SecureString-Parameter gemeinsam zu nutzen, muss er mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden und Sie müssen den Schlüssel separat durch AWS Key Management Service weitergeben. Von AWS verwaltete Schlüssel kann nicht geteilt werden. Mit dem Standard verschlüsselte Parameter Von AWS verwalteter Schlüssel können aktualisiert werden, sodass sie stattdessen einen kundenverwalteten Schlüssel verwenden. AWS KMS-Schlüsseldefinitionen finden Sie unter AWS KMS-Konzepte im AWS Key Management Service-Entwicklerhandbuch.
Um einen Parameter für Ihre Organisation oder eine Organisationseinheit in AWS Organizations freigeben zu können, müssen Sie die Freigabe mit AWS Organizations aktivieren. Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM-Benutzerhandbuch.

Um einen Parameter freigeben zu können, müssen Sie ihn einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM-Ressource, mit der Sie Ihre Ressourcen in mehreren AWS-Konten gemeinsam nutzen können. Eine Ressourcenfreigabe gibt die freizugebenden Ressourcen und die Konsumenten an, für die sie freigegeben werden.

Wenn Sie einen Parameter, dessen Eigentümer Sie sind, mit anderen AWS-Konten teilen, können Sie zwischen zwei von AWS verwalteten Berechtigungen wählen, die Sie den Verbrauchern gewähren möchten. Weitere Informationen finden Sie unter Berechtigungssätze für die gemeinsame Nutzung von Parametern.

Wenn Sie Teil einer Organisation in AWS Organizations sind und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, können Sie Konsumenten in Ihrer Organisation von der AWS RAM-Konsole aus Zugriff auf den gemeinsamen Parameter gewähren. Andernfalls erhalten Konsumenten eine Einladung zur Teilnahme an der Ressourcenfreigabe und nach Annahme der Einladung wird ihnen Zugriff auf den freigegebenen Parameter gewährt.

Sie können einen Parameter, den Sie besitzen, über die AWS RAM oder die AWS CLI freigeben.

Anmerkung

Sie können einen Parameter zwar mithilfe des PutResourcePolicy-API-Vorgangs von Systems Manager gemeinsam nutzen, wir empfehlen jedoch, stattdessen AWS Resource Access Manager (AWS RAM) zu verwenden. Das liegt daran, dass die Verwendung des Parameters den zusätzlichen Schritt PutResourcePolicy erfordert, den Parameter mithilfe des API-Vorgangs AWS RAM PromoteResourceShareCreatedFromPolicy auf eine standardmäßige Resource Share hochzustufen. Andernfalls wird der Parameter nicht vom DescribeParametern-API-Vorgang von Systems Manager zurückgegeben, der die --shared-Option verwendet.

So geben Sie einen Parameter in Ihrem Besitz mithilfe der AWS RAM-Konsole frei

Siehe Erstellen einer Ressourcenfreigabe in AWS RAM im AWS RAM-Benutzerhandbuch.

Treffen Sie die folgenden Auswahlen, während Sie das Verfahren abschließen:

Wählen Sie auf der Seite Schritt 1 unter Ressourcen Parameter Store Advanced Parameter „aus und aktivieren Sie dann das Kontrollkästchen jedes Parameters in der erweiterten Parameterebene, den Sie freigeben möchten.
Wählen Sie auf der Seite Schritt 2 für Verwaltete Berechtigungen die Berechtigung aus, die Verbrauchern gewährt werden soll, wie weiter unten unter Berechtigungssätze für die gemeinsame Nutzung von Parametern in diesem Thema beschrieben.

Wählen Sie andere Optionen auf der Grundlage Ihrer Ziele für die gemeinsame Nutzung von Parametern aus.

So geben Sie einen Parameter in Ihrem Besitz mithilfe der AWS CLI frei

Verwenden Sie den create-resource-share-Befehl, um Parameter zu einer neuen Ressourcenfreigabe hinzuzufügen.

Verwenden Sie den associate-resource-share-Befehl, um einer vorhandenen Ressourcenfreigabe Parameter hinzuzufügen.

Im folgenden Beispiel wird eine neue Ressourcenfreigabe erstellt, um Parameter mit Verbrauchern in einer Organisation und in einem Einzelkonto gemeinsam zu nutzen.


aws ram create-resource-share \
    --name "MyParameter" \
    --resource-arns "arn:aws:ssm:us-east-2:123456789012:parameter/MyParameter" \
    --principals "arn:aws:organizations::123456789012:ou/o-63bEXAMPLE/ou-46xi-rEXAMPLE" "987654321098"

Beenden der Freigabe eines Parameters

Wenn Sie die gemeinsame Nutzung eines gemeinsam genutzten Parameters beenden, kann das Verbraucherkonto nicht mehr auf den Parameter zugreifen.

Um die Freigabe eines Parameters in Ihrem Besitz zu beenden, müssen Sie diesen aus der Ressourcenfreigabe entfernen. Hierzu können Sie die Systems Manager-Konsole, die AWS RAM-Konsole oder die AWS CLI verwenden.

So beenden Sie die Freigabe eines Parameters in Ihrem Besitz mithilfe der AWS RAM-Konsole

Siehe Aktualisieren einer Ressourcenfreigabe in AWS RAM im AWS RAM-Benutzerhandbuch.

So beenden Sie die Freigabe eines Parameters in Ihrem Besitz mithilfe der AWS CLI

Verwenden Sie den Befehl disassociate-resource-share.

Identifizieren freigegebenen Parametern

Besitzer und Konsumenten können freigegebene Parameter mithilfe der AWS CLI identifizieren.

So identifizieren Sie freigegebene Parameter mithilfe der AWS CLI

Um freigegebene Parameter mit der AWS CLI zu identifizieren, können Sie zwischen dem Systems-Manager-describe-parameters-Befehl und dem AWS RAM-list-resources-Befehl wählen.

Wenn Sie die --shared-Option mit describe-parameters verwenden, gibt der Befehl die Parameter zurück, die mit Ihnen gemeinsam genutzt werden.

Im Folgenden wird ein Beispiel gezeigt:


aws ssm describe-parameters --shared

Zugreifen auf freigegebene Parameter

Verbraucher können mithilfe der AWS-Befehlszeilentools und AWS-SDKs auf gemeinsam genutzte Parameter zugreifen. Bei Verbraucherkonten sind Parameter, die mit diesem Konto gemeinsam genutzt werden, nicht auf der Seite Meine Parameter enthalten.

CLI-Beispiel: Zugreifen auf gemeinsam genutzte Parameterdetails mit dem AWS CLI

Um mit dem AWS CLI auf Details gemeinsam genutzter Parameter zuzugreifen, können Sie die Befehle get-parameters oder get-parameter verwenden. Sie müssen den vollständigen Parameter-ARN als angeben, um den --name-Parameter von einem anderen Konto abzurufen.

Im Folgenden wird ein Beispiel gezeigt.


aws ssm get-parameter \
    --name arn:aws:ssm:us-east-2:123456789012:parameter/MySharedParameter

Unterstützte und nicht unterstützte Integrationen für gemeinsam genutzte Parameter

Derzeit können Sie gemeinsam genutzte Parameter in den folgenden Integrationsszenarien verwenden:

AWS CloudFormation-Vorlagenparameter
Die AWS-Parameter und Secrets-Lambda-Erweiterung
Amazon Elastic Compute Cloud (EC2)-Startvorlagen
Werte für ImageID mit dem EC2-Befehl RunInstances zum Erstellen von Instances aus einem Amazon Machine Image (AMI)
Abrufen von Parameterwerten in Runbooks für Automation, ein Tool in Systems Manager

Die folgenden Szenarien und integrierten Services unterstützen derzeit nicht die Verwendung von freigegebenen Parametern:

Parameter in Befehlen in Run Command, einem Tool in Systems Manager
AWS CloudFormation dynamische Verweise
Der Wert der Umgebungsvariable in AWS CodeBuild
Der Wert der Umgebungsvariable in AWS App Runner
Der Wert eines Secrets in Amazon Elastic Container Service

Verbraucherkonten erhalten schreibgeschützten Zugriff auf die Parameter, die Sie mit ihnen teilen. Der Verbraucher kann den Parameter nicht aktualisieren oder löschen. Der Verbraucher kann den Parameter nicht mit einem dritten Konto teilen.

Wenn Sie eine Ressourcenfreigabe AWS Resource Access Manager für die gemeinsame Nutzung Ihrer Parameter erstellen, können Sie aus zwei von AWS verwalteten Berechtigungssätzen wählen, um diesen schreibgeschützten Zugriff zu gewähren:

AWSRAMDefaultPermissionSSMParameterReadOnly: Erlaubte Aktionen: DescribeParameters, GetParameter, GetParameters
AWSRAMPermissionSSMParameterReadOnlyWithHistory: Erlaubte Aktionen: DescribeParameters, GetParameter, GetParameters, GetParameterHistory

Wenn Sie die Schritte unter Erstellen einer gemeinsamen Ressource in AWS RAM im AWS RAM-Benutzerhandbuch ausführen, wählen Sie Parameter Store Advanced Parameters als Ressourcentyp und eine dieser verwalteten Berechtigungen aus, je nachdem, ob Benutzer den Parameterverlauf anzeigen sollen oder nicht.

Anmerkung

Wenn Sie gemeinsam genutzte Parameter programmgesteuert abrufen (z. B. mithilfe von AWS Lambda), müssen Sie möglicherweise allen IAM-Rollen, die API-Aktionen AWS Resource Access Manager aufrufen, die ssm:GetResourcePolicies- und ssm:PutResourcePolicy-Berechtigungen und hinzufügen.

Maximaler Durchsatz für freigegebene Parameter

Systems Manager begrenzt den maximalen Durchsatz (Transaktionen pro Sekunde) für die Operationen GetParameter und GetParameters. Der Durchsatz wird auf der Ebene der einzelnen Konten durchgesetzt. Daher kann jedes Konto, das einen gemeinsamen Parameter verwendet, seinen maximal zulässigen Durchsatz nutzen, ohne von anderen Konten beeinflusst zu werden. Weitere Informationen zum maximalen Durchsatz für Parameter finden Sie in den folgenden Themen:

Erhöhen des Parameter Store-Durchsatzes
Systems-Manager-Service Quotas im Allgemeine Amazon Web Services-Referenz.

Preisgestaltung für freigegebene Parameter

Kontoübergreifendes Teilen ist nur in der erweiterten Parameterstufe verfügbar. Für erweiterte Parameter fallen Gebühren zum aktuellen Preis für den Speicher und die API-Nutzung für jeden erweiterten Parameter an. Die Kosten für die Speicherung der erweiterten Parameter werden dem Eigentümerkonto angerechnet. Für jedes nutzende Konto, das einen API-Aufruf an einen gemeinsam genutzten erweiterten Parameter tätigt, wird die Nutzung des Parameters in Rechnung gestellt.

Wenn Konto A beispielsweise einen erweiterten Parameter, MyAdvancedParameter, erstellt, werden diesem Konto 0,05 USD pro Monat für die Speicherung des Parameters berechnet.

Konto A teilt dann MyAdvancedParameter mit Konto B und Konto C. Während eines Monats tätigen die drei Konten Anrufe an MyAdvancedParameter. In der folgenden Tabelle sind die Gebühren aufgeführt, die für sie je nach Anzahl der von ihnen getätigten Anrufe anfallen würden.

Anmerkung

Die Gebühren in der folgenden Tabelle dienen nur zur Veranschaulichung. Informationen zur Überprüfung der aktuellen Preise finden Sie unter AWS Systems Manager-Preise für Parameter Store.

Account	Anzahl der Aufrufe	Gebühren
Konto A (Besitzkonto)	10 000 Anrufe	Erweiterter Parameterspeicher für einen Monat: 0,05 USD 10 000 Anrufe zu `MyAdvancedParameter`: 0,05 USD Insgesamt: 0,10 USD
Konto B (Verbraucherkonto)	20 000 Anrufe	20 000 Anrufe zu `MyAdvancedParameter`: 0,10 USD Insgesamt: 0,10 USD
Konto C (Verbraucherkonto)	30 000 Anrufe	30 000 Anrufe zu `MyAdvancedParameter`: 0,15 USD Insgesamt: 0,15 USD

Kontoübergreifender Zugriff für geschlossene AWS-Konten

Wenn das AWS-Konto, das einen gemeinsamen Parameter besitzt, geschlossen wird, verlieren alle Benutzerkonten den Zugriff auf den freigegebenen Parameter. Wenn das Konto, das Eigentümer ist, innerhalb von 90 Tagen nach der Schließung des Kontos wieder geöffnet wird, erhalten die verbrauchenden Konten wieder Zugriff auf die zuvor freigegebenen Parameter. Weitere Informationen zur Wiedereröffnung eines Kontos während der Zeit nach der Schließung finden Sie unter Zugriff auf Ihr AWS-Konto, nachdem Sie es geschlossen haben im AWS -Kontenverwaltung-Referenzhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Arbeiten mit Parameterversionen

Arbeiten mit Parametern unter Verwendung von Run Command-Befehlen