• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# パラメータタイプを理解する
<a name="what-is-a-parameter"></a>

*パラメータ*とは、テキストのブロック、名前のリスト、パスワード、AMI ID、ライセンスキーなど、Parameter Store に保存されるデータのことです。スクリプト、コマンド、SSM ドキュメントで、このデータを一元的かつ安全に参照できます。

パラメータを参照するときは、以下の規則を使用してパラメータ名を指定します。

{{`ssm:{{parameter-name}}`}}

**注記**  
パラメータは、他のパラメータの値で参照またはネストすることはできません。パラメータ値に `{{}}` または `{{ssm:{{parameter-name}}}}` を含めることはできません。

Parameter Store では、`String`、`StringList`、`SecureString` という 3 タイプのパラメータがサポートされています。

1 つの例外を除いて、パラメータを作成または更新するときは、パラメータ値をプレーンテキストとして入力します。入力したテキストは Parameter Store によって検証されません。ただし、`String` パラメータの場合、データ型を `aws:ec2:image` として指定できます。Parameter Store によって、入力した値が Amazon EC2 AMI の適切な形式 (`ami-12345abcdeEXAMPLE` など) であることが検証されます。

## パラメータタイプ: 文字列
<a name="parameter-type-string"></a>

デフォルトでは、`String` パラメータの値はユーザーが入力したテキストのブロックで構成されます。以下に例を示します。
+ `abc123`
+ `Example Corp`
+ `<img src="images/bannerImage1.png"/>`

## パラメータタイプ: StringList
<a name="parameter-type-stringlist"></a>

`StringList` パラメータの値には、以下の例に示すように、値のカンマ区切りリストを含めます。

`Monday,Wednesday,Friday`

`CSV,TSV,CLF,ELF,JSON`

## パラメータタイプ: SecureString
<a name="parameter-type-securestring"></a>

`SecureString` パラメータの値は、セキュアな方法で保存および参照する必要がある機密データです。軽量シークレットやライセンスキーなど、ユーザーがプレーンテキストで変更または参照しないデータがある場合は、`SecureString` データ型を使用してこれらのパラメータを作成します。

次のシナリオでは `SecureString` パラメータを使用することをお勧めします。
+ コマンド、関数、エージェントログ、または CloudTrail ログに値をプレーンテキストとして公開せずに、すべての AWS のサービスでデータ/パラメータを使用する。
+ 機密データへのユーザーのアクセスを制御する。
+ 機密データへのアクセスを監査する (CloudTrail)。
+ 機密データの暗号化と独自の暗号化キーがアクセスの管理に必要である。

`SecureString` パラメータタイプは、ローテーションを必要としない軽量シークレット、機密設定データ、保護するその他のタイプのデータなど、暗号化するテキストデータに使用できます。`SecureString` データは、AWS KMS キーを使用して暗号化および復号されます。AWS が提供するデフォルトの KMS キーを使用するか、独自の AWS KMS key を作成して使用することができます。(`SecureString` パラメータへのユーザーアクセスを制限する場合は自分の AWS KMS key を使用してください。 詳細については、「[AWS のデフォルトキーとカスタマーマネージドキーを使用するための IAM アクセス権限](sysman-paramstore-access.md#ps-kms-permissions)」を参照してください。）

**重要**  
次の重要な情報に注意してください。  
自動ローテーション、クロスアカウントアクセス、または詳細な監査ログ記録を必要とする認証情報を管理する場合は、[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) を使用することをお勧めします。Secrets Manager は、データベース認証情報、API キー、サポートされているサードパーティ製ソフトウェア提供シークレットなどのシークレットを管理するために構築されています。詳細については、*AWS Secrets Manager ユーザーガイド* の「[What is AWS Secrets Manager? ( とは？)](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html)」 を参照してください。
`String` または `StringList` パラメータに機密データを保存しないでください。機密データを暗号化したままにする場合は、`SecureString` パラメータタイプのみを使用します。
`SecureString` パラメータの*値*のみが暗号化されます。パラメータ名、説明などのプロパティは暗号化されません。

他の AWS のサービスと `SecureString` パラメータを使用することもできます。次の例では、[GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) API を使用して Lambda 関数で `SecureString` パラメータを取得します。

```
import json
import boto3
ssm = boto3.client('ssm', 'us-east-2')
def get_parameters():
    response = ssm.get_parameters(
        Names=['LambdaSecureString'],WithDecryption=True
    )
    for parameter in response['Parameters']:
        return parameter['Value']
        
def lambda_handler(event, context):
    value = get_parameters()
    print("value1 = " + value)
    return value  # Echo back the first key value
```

**AWS KMS の暗号化と料金**  
パラメータを作成するときに `SecureString` パラメータ型を選択すると、Systems Manager は AWS KMS を使用してパラメータ値を暗号化します。

**重要**  
Parameter Store では、[対称暗号化 KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)のみをサポートしています。[非対称暗号化 KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)を使用してパラメータを暗号化することはできません。KMS キーが対称か非対称かを判断する方法については、「*AWS Key Management Service デベロッパーガイド*」の「[対称キーと非対称 KMS キーの識別](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)」を参照してください。

Parameter Store では、`SecureString` パラメータの作成には料金はかかりませんが、AWS KMS 暗号化の使用には料金がかかります。詳細については、「[AWS Key Management Service の料金表](https://aws.amazon.com/kms/pricing)」を参照してください。

AWS マネージドキー およびカスタマーマネージドキーの詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS Key Management Service の概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。Parameter Store および AWS KMS の暗号化の詳細については、「[AWS KMS で AWS Systems ManagerParameter Store を使用する方法](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)」を参照してください。

**注記**  
AWS マネージドキー を表示するには、AWS KMS `DescribeKey` オペレーションを使用します。この AWS Command Line Interface (AWS CLI) の例では、`DescribeKey` を使用して AWS マネージドキー を表示します。  

```
aws kms describe-key --key-id alias/aws/ssm
```