AWS CDKでAWS Systems Manager パラメータストア及びAWS Secrets Managerからパラメータを取り込む方法 | DevelopersIO
valueFromLookup このメソッドを使うと生成するテンプレートにパラメータストアに格納されていたStringを転記します。テンプレートに転記する為、SecureStringに対して使用する事ができません。SecureStringに対して使用できてしまうと、CloudFormationに対する読み取り権限があれば誰でもテンプレートを閲覧する事で内容を確認できてしまいます。Stringに対してパラメータストアの階層構造などで権限管理している場合、その管理から外れて閲覧できるユーザーが発生しうるので注意が必要です。 パラメータのバージョンはlatestに強制されます。 実は、SecureStringに対して使用する事は出来ますが、暗号化されたままの文字列で取り出されるので使い道はありません。 import { Construct, RemovalPolicy, Stack, Stack
AWS Systems Manager パラメーターストアを利用してAWSサービス一覧を取得してみる | DevelopersIO
AWS Systems Manager パラメーターストアを利用してAWSのサービス一覧が取得できるのでは、と考え付いたのでやってみました。 こんにちは。サービスグループの武田です。 AWS Systems Manager パラメーターストアからリージョンやエンドポイントの情報を取得する方法について書きました。 AWS Systems Manager パラメーターストアに問い合わせてリージョンやエンドポイントの情報を取得する 書いている途中で、longName のパラメーターを使えばサービス一覧が作れるのでは?と考え付いたのでさっそくやってみました。 最初に思いついた愚直な方法 パラメーターストアのキーに使われるサービス名は、やはりパラメーターストア自身から取得できます。そのため、一覧取得をしたらあとは繰り返しlongNameを取得すればいいのかな。と考えました。つまり次のようなコマンドで
AWS Systems Manager パラメータストアは自動パラメータ階層の選択を可能にする intelligent-tiering を発表
本日、AWS Systems Manager パラメータストアは、自動パラメータ階層の選択を可能にする intelligent-tiering を発表しました。パラメータ数、値サイズ、パラメータポリシーのパターンが不明または変更がある場合、パラメータストアにスタンダードまたはアドバンスド階層の選択を許可するために intelligent-tiering 設定を使用することができます。この選択はリクエストの作成や更新に基づき、アプリケーションコードを変更する必要性を排除します。 パラメータストアは、アプリケーション設定および安全なデータ用に安全で一元化されたストレージを提供します。パラメータストアを使用することにより、設定データをアプリケーションコードから分離することができます。パラメータストアは、スタンダードおよびアドバンスドの、2 つのパラメータ階層を提供します。スタンダード階層では、最
ログコンテナのバージョン管理の為に、ecspresso v2のSSMパラメータストア参照を利用してみた - Qiita
ログコンテナのバージョン管理の為に、ecspresso v2のSSMパラメータストア参照を利用してみたECSSSMecspresso はじめに コンテナデプロイツールであるecspressoですが、ecspresso v2が昨年末にリリースされました! ecspresso handbookでも紹介されているecspresso v1とv2の変更点の中でも、今回はSSMパラメータストア参照を利用しました。 https://zenn.dev/fujiwara/books/ecspresso-handbook-v2/viewer/v1-v2 何のために利用したか? ECSのログコンテナ用fluent-bitのイメージですが、 検証環境でstableタグ指定で運用し、ログ転送に問題が無いかをテスト 具体的にはpublic.ecr.aws/aws-observability/aws-for-fluen
新機能 – AWS Systems Manager パラメータストアを使用した AWS リージョン、エンドポイントなどのクエリ | Amazon Web Services
Amazon Web Services ブログ 新機能 – AWS Systems Manager パラメータストアを使用した AWS リージョン、エンドポイントなどのクエリ 私たちは、AWS のお客様のご要望にお応えして、AWS のリージョンとサービスに関する情報をプログラム的に利用できるようにする方法を見つけるよう、以前からサービスチームに依頼していました。本日、この情報が AWS Systems Manager パラメータストアで利用可能になり、スクリプトとコードから簡単にアクセスできるようになったことをお知らせしたいと思います。アクティブリージョンの完全なリストを入手し、それらでどのサービスが使用できるかなどを知ることができます。 クエリの実行 この記事では、例の大半に AWS コマンドラインインターフェース (CLI) を使います。これには、AWS Tools for Windo
AWS Systems Manager パラメーターストアに問い合わせてリージョンやエンドポイントの情報を取得する | DevelopersIO
AWS Systems Manager パラメーターストアを利用してリージョンやエンドポイントの情報が取得できるようになったので紹介します。 こんにちは。サービスグループの武田です。 これまでAWSで提供されているリージョンや、各リージョンのエンドポイントを確認するためにはドキュメントを参照するしかありませんでした。これらの情報がAWS Systems Manager パラメーターストアから取得できるようになり、プログラムなどからも利用しやすくなりました。 AWS News Blogに次のようなポストがありましたので、これを参考にして取得方法などを確認してみました。 New – Query for AWS Regions, Endpoints, and More Using AWS Systems Manager Parameter Store | AWS News Blog 環境 次のよ
「このパラメータストア、誰が使ってるん?」の疑問を解消するための CloudTrail とAthena の使い方 | DevelopersIO
「あれ。。このパラメータストア、誰が使ってるんだっけ。」 (なんか最近読んだような入り方ですが…) 今回、SSM パラメータストアを整理する機会がありましたが、使ってるのか、使ってないのか判断に迷うところがあったので、CloudTrail と Athena を使って調査した方法をまとめます。 まず CloudTrail だけでやってみる CloudTrail のイベント履歴を開き、[イベント名] [GetParameters] で検索してやると、パラメータストアを取得した履歴が表示されます。 ただ、これだとどのパラメータを GetParameters したのか判りません。ここから [イベントの表示] をクリックすると、以下のような詳細が表示され、はじめてパラメータストアの名前が判別できます。 正直、これを1件、1件やっていくのは無理ですよね。そうなると、Athena でサクッと検索したくな
Serverless Framework で生成した API キーをデプロイ時に SSM パラメータストアに登録する - michimani.net
Serverless Framework で生成した API キーをデプロイ時に SSM パラメータストアに登録する Posted on 12 March, 2020 Serverless Framework を使用すると API Gateway の API キーも簡単に生成することができます。今回は、生成した API キーを デプロイ時に SSM のパラメータストアに登録するようにしてみた話です。 目次 概要 前提 やること 1. sls info から API キーの値を取得する 2. 取得した API キーを SSM パラメータストアに登録する 最終的な buildspec.yml まとめ 概要 Serverless Framework で API Gateway の API キーを生成し、その値を AWS Systems Manager (SSM) のパラメータストアに登録します。
[アップデート] AWS App Runner の環境変数ソースで Secrets Manager と SSM パラメータストアがサポートされました | DevelopersIO
[アップデート] AWS App Runner の環境変数ソースで Secrets Manager と SSM パラメータストアがサポートされました いわさです。 App Runner にはサービスの環境変数を設定する機能があります。 これまではプレーンテキストのみがサポートされており、機密性の低いデータのみに利用が限られていました。 今回のアップデートで App Runner 環境変数のソースとして AWS Secrets Manager と AWS System Manager (SSM) パラメータストアを指定することが出来るようになりました。 これによって API キーやデータベースの認証情報など機密性の高いデータを環境変数としてアプリケーションから参照することが出来るようになりました。 本日はこちらの利用方法や更新タイミングなどを確認してみました。 ベースサービスを作成 まずは環
![[アップデート] AWS App Runner の環境変数ソースで Secrets Manager と SSM パラメータストアがサポートされました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d3a30c3ca9a79b5ea4969268e100ec74830a231f/height=288;version=1;width=512/https%3A%2F%2Fd1tlzifd8jdoy4.cloudfront.net%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-app-runner.png)
[AWS CDK] SSMのパラメータストアにあるStringとSecure StringをLambdaで使ってみた | DevelopersIO
SSMのパラメータストアにStringとSecure Stringを追加する あらかじめ追加しておきます。 $ aws ssm put-parameter \ --type 'String' \ --name '/CDK/Sample/NormalParam1' \ --value 'this is normal param1.' { "Version": 1 } $ aws ssm put-parameter \ --type 'SecureString' \ --name '/CDK/Sample/SecureParam1' \ --value 'this is secure param1.' { "Version": 1 } AWS CDKプロジェクトの構築 $ mkdir AWSCDK-SSM-SecureStringSample $ cd AWSCDK-SSM-SecureStr
![[AWS CDK] SSMのパラメータストアにあるStringとSecure StringをLambdaで使ってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/92a069de3c7b583973daaf530883535d2e2b3e5a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F08%2Faws-cloud-development-kit.png)
AWS Systems Manager パラメータストア で階層構造で登録したパラメータをEC2で利用する方法のメモです 前提 EC2インスタンスのtagにName=MyApp, Env=Devが設定されている roleにパラメータストアの権限が付与されている roleにEC2のreadonly権限が付与されている aws cli設定済み jqがインストール済み パラメータストアに登録 aws ssm put-parameter --name "/MyApp/Dev/S3_BUCKET_NAME" --value "MyAppBucket" --type String aws ssm put-parameter --name "/MyApp/Dev/AWS_ACCESS_KEY_ID" --value "dummy_s3_access_key" --type String aws ssm
[アップデート] 検証された AMI ID のみを保管できる AWS Systems Manager パラメータストア aws:ec2:image データタイプが追加されました | DevelopersIO
2020.05.06 追記 アップデートリリースありました。私が見逃しておりました!! ・ Amazon EC2 now supports aliases for Amazon Machine Images (AMIs) ドキュメント更新から見つけたのでシェアします。(まだ、アップデートリリースは見てない、、はず) AWS Systems Manager の文字列パラメータストアに data-type という新しい属性が追加され、有効な AMI ID のみを格納できるようになりました。 何がうれしいのか? 最初にこのリリースを見たとき「パラメータストアに AMI ID を渡して、SDK などで参照するだけでは?」と思いましたが、よくよく読んでみると便利な機能でした。 イメージ ID の指定にパラメータストアが指定できる 例えば ec2 run-instances でイメージ ID を渡す場
![[アップデート] 検証された AMI ID のみを保管できる AWS Systems Manager パラメータストア aws:ec2:image データタイプが追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0987f6942a4a25556aa1b3403fee67b4c279a1e3/height=288;version=1;width=512/https%3A%2F%2Fd1tlzifd8jdoy4.cloudfront.net%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-systems-manager-ssm.png)
SSMのパラメータストアを活用して Lambda で機密情報 (SecureString) を扱う with AWS SAM | DevelopersIO
AWS SAMのサーバーレスアプリケーションを用意する 下記のサーバーレスアプリケーションを流用します。 電車の運行情報(遅延・運転見合・運休など)を毎朝Slackに通知してみた | Developers.IO Slackで「今の電車の運行情報」を自分だけに教えてくれるSlash commandsを作った | Developers.IO 今のWebhook URLの扱い template.yamlでLambdaの環境変数として定義しています。 template.yaml(一部抜粋) Parameters: SlackWebhookUrl: Type: String Default: hoge Resources: NotifyPeriodicFunction: Type: AWS::Serverless::Function Properties: CodeUri: hello_world/
Lambda@EdgeでAWS Systems Managerのパラメータストアを使う | DevelopersIO
Lambda@Edgeでは環境変数が使えません。Lambdaのコード内に直接書くのを避けるためAWS Systems Managerのパラメータストアを使ってみました。ポイントは「どのリージョンのパラメータストアを使うのか」です! 前回の記事でLambda@Edge(Python)を使って、IPアドレスによるCloudFrontへのアクセス制限を紹介しました。(Pythonで書いたことを紹介するのが趣旨でしたが) Lambda@Edgeでパラーメーターをベタ書きする課題 前回の記事のスクリプトでは、許可対象のIPアドレスをコード内に直接記述したものでした。 個人で利用するような場合やテスト利用のようなケースだとあまり問題にはならないかもしれませんが、次のような課題があります。 頻繁にIPアドレスを変える場合や、関連付けているビヘイビアなどが多い場合、更新作業がめんどくさい。 更新したLam
Amazon ECSでFluentdを動かすときの設定をSystems Managerパラメータストアに込める | DevelopersIO
ども、ゲストのNTT東日本の大瀧です。 OSSのログコレクタFluentdを動かすときに、外部から設定を取得したいときはありませんか。Amazon ECSのコンテナ環境で外部から設定を取得する方法はいくつかありますが、今回は設定をSystems Managerパラメータストアから読み込む構成をご紹介します。ちなみに、別のブログ記事でADOT Collectorの設定をSystems Managerパラメータストアから読み込む様子を見てFluentdでもやりたいなぁと思った次第でした。 構成のポイント Fluentdの設定はfluentd.confファイルに書き、それを読み込むのが一般的です。一方でDockerコンテナでのファイル読み込みは、ホストのボリュームをマウントするかdocker buildでカスタムイメージをビルドする際にコピーすることになり、コンテナイメージのポータビリティに課題
Systems Managerのパラメータストアを更新したあと、Lambdaを再デプロイしないと内容が反映されなかった話 | DevelopersIO
AWS SAMやCloudFormationでsAWS Systems Managerのパラメータストアを使っている方は多いと思います。 何らかの値をLambdaの環境変数として渡せば、templateファイル自体に内容が記載されないため、GitHub等でPublicなリポジトリにできたりします。 そんなパラメータストアですが、内容を変更したあと、Lambdaを再デプロイしないと値が反映されませんでした。という話です。 パラメータストアに値を追加 下記コマンドでSSM(AWS Systems Manager)のパラメータストアに適当な値を追加します。 $ aws ssm put-parameter \ --type 'String' \ --name '/Hoge/Message' \ --value 'This is a pen.' { "Version": 1, "Tier": "St
AWSパラメータストアにSSHの鍵を保存する
パスワードや API のキー情報などを保存するときに利用することが多い AWS Systems Manager パラメータストア 。ここには、改行を含む複数行の文字列も保存することもできます。今回、SSH の秘密鍵をパラメータストアに保存して、EC2 の起動時にユーザデータから取り出す機会がありましたので、設定方法を残しておきます。 目次 パラメータストアに SSH の鍵を保存する IAM ポリシーを作成する EC2 インスタンスの中でパラメータストアから SSH の鍵を取り出す パラメータストアに SSH の鍵を保存する パラメータストアに SSH の鍵を登録します。以下は AWS マネジメントコンソールから登録しているところです。タイプは「文字列」を選択し、SSH の秘密鍵の情報をコピーして貼り付けます。文字列を暗号化して保存したい場合はタイプを「安全な文字列」KMS キー ID を「
こんにちは。@canon1kyです。 AWS Advent Calendar 2019 20日目を担当させていただきます。 はじめに 皆さんはRDSのインスタンスを立てた際、下記の情報はどこで管理していますか? DBホスト名 DBユーザー名 DBパスワード などなど。 Laravelなど、Webフレームワークなどを使ったアプリケーションでこのような情報を使用するとき、DBパスワードなど機密情報の扱いに困る方は多いのではないでしょうか。 アプリケーションコード内に直接記述する? .envファイルに環境変数として書いておく? プラットフォーム側で外部から環境変数として注入する? 様々な管理方法があるかと思います。 しかし、DBパスワードは秘匿情報であるため、gitに載せるなどのことはなるべく避けたいですよね。 今回は、業務でTerraformを使う中で知見として得た、「gitやドキュメントなど
.env などにある環境変数を[一括で|まとめて] パラメーターストアに登録するスクリプトを書いたよ - Qiita
環境変数を追加するのが面倒 パラメーターストアに環境変数をぽちぽち登録するのが苦行で仕方がありませんでした。 12個ぐらい一気に追加されると、それをポチポチすると5-10分かかってしまいます。 そこで、慣れないシェルスクリプトをつかって一括登録できるようにスクリプトを書きました。 慣れないので2時間ぐらいかかりました。笑 前提 AWS CLI が必要です。 シェルスクリプト #!/bin/bash ## Default値 profile='default' data_type='String' desc='from post_envs.sh' prefix='' ## function usage { cat <<EOM Usage: $(basename "$0") [OPTION]... filename -h Help Display usage. -a Prefix Prefix
![.env などにある環境変数を[一括で|まとめて] パラメーターストアに登録するスクリプトを書いたよ - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/28a91c3ecfa7b1f90ee17f1deefabbaca41dd402/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwSXRzdWtpTjMyJTIwaW4lMjAlRTYlQTAlQUElRTUlQkMlOEYlRTQlQkMlOUElRTclQTQlQkVSZWxpYyZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTMyJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9OTIyZjY5YzM0Y2VlZWIwYjYxOWI4ZGU4MjdjMjg2NGI%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D7e3c75eb82926af5677723a3cd18a1ea)
まえがき 昨今AWSのアクセスキーをGitHubに誤って上げてしまいオギャーなことになるケースがあるそうです。 それを未然に防ぐ手段として、環境変数に値を埋め込みそれを読み込む手法などがあるそうですが、AWSのSystemManagerにパラメータストアと言った機能があることを知りました。 今回はこの機能を用い、Pythonからアクセスキーの取得を行ってみたいと思います。 追記 以下のようなコメントをいただきました。 アクセスキーを利用せずにIAMロールを利用したほうが、なおよいかと思いますがいかがでしょうか。 仰るとおりです。。。今回は、こちらの諸事情でアクセスキーが必要となるケースだったこともあり、当手法でアクセスキーの取得を行った次第です。 ですので、 そのような事情がない場合でしたら、IAMのロールを使用しましょう。 なお、このパラメータストアはECSなどで環境変数を設定する際には
今回は「AWS EC2起動時に パラメータストアの値 を 環境変数 に 設定する 方法」についてまとめます。 起動時にパラメータストアから値とってきて環境変数に設定なんてよく聞きますが…調べても自分が欲しい情報がストレートになかったので、今回まとめてみました。 目次 パラメータストア VPC タグ EC2 タグ IAMロール ユーザーデータ 概要 EC2起動時にパラメータストアの値を取りに行き、EC2の環境変数へマッピングしていくような仕組みを作っていきます(以下の図のイメージ)。 今回は「VPC」や「EC2」につけられたタグ名をキーに「パラメータストア」の値を探してくるようなものを作ります。 「VPC」のタグには「Project」「Env」を、「EC2」のタグには「Type」を定義しておきます。 これらタグを利用して、「パラメータストア」では「/{Project}/{Env}/{Type
AWS Systems Managerのパラメータストアの値を手動管理からCloudFormation管理に変えてみた | DevelopersIO
AWS Systems Managerにパラメータストアがあります。 この管理を手動でやっていたのですが、CloudFormationを使った管理に切り替える実験をしてみました。 変更前: パラメータストアの値を人間が手動で設定する 変更後: パラメータストアの値をCloudFormationで設定する おすすめの方 CloudFormationでSNSトピックを作りたい方 CloudFormationでパラメータストアを設定したい方 パラメータストアの管理を手動からCloudFormation管理に変えてみたい方 事前準備: パラメータストアに値を手動で追加する SNSトピックを追加する 適当にSNSトピックを作成し、このトピック名を手動でパラメータストアに設定します。 sns.yaml AWSTemplateFormatVersion: "2010-09-09" Description
はじめに EC2インスタンス上でgithubなどのリポジトリのSSH秘密鍵を管理する際に、パラメータストアを用いて管理する方法についてまとめた内容になります。 AWS parameter store パラメータストア(正式にはAWS Systems Manager パラメータストア)とはAWSのサービスで、設定データや機密情報を管理できるサービスです。 パラメータストアに保存したデータはAWS CLIなどから値を参照することができます。 またAWS Key Management Service (AWS KMS)を利用してパラメータを暗号・復号化することができます。 SSH鍵の管理 EC2インスタンス上でリポジトリのSSH秘密鍵を利用するという状況を想定します。鍵をパラメータストアに保存し利用するためにやらないといけないことは以下です。 SSH秘密鍵をパラメータストアに登録 パラメータへの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パラメータストアからEC2に環境変数を設定する - Qiita
SSM パラメータストアでクレデンシャル情報を管理する|AWS CDK×LINE BOTハンズオン~アプリとインフラをコード管理しよう~
Terraform × パラメータストアでRDSの機密情報をセキュアに扱う - Qiita
AWSのアクセスキーをパラメータストアを用い安全に取り出す - Qiita
AWS EC2起動時に パラメータストアの値 を 環境変数 に 設定する 方法
AWSパラメータストアでSSH鍵管理 - Qiita