Administración de operaciones

Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifrado

Explicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.

約 3 分で読めます

Descripción general de Parameter Store

AWS Systems Manager Parameter Store proporciona almacenamiento seguro y jerárquico para datos de configuración y secretos. Los parámetros pueden ser cadenas de texto, listas de cadenas o cadenas seguras (cifradas con KMS). Parameter Store elimina la necesidad de codificar valores de configuración en el código fuente, centralizando la gestión de configuración para múltiples aplicaciones y entornos.

Estructura jerárquica y diferencias con Secrets Manager

Los parámetros se organizan en una estructura jerárquica usando rutas (por ejemplo, /app/prod/db/password). Esta jerarquía permite gestionar configuraciones por aplicación, entorno y componente, y aplicar políticas IAM a nivel de ruta. Secrets Manager es preferible cuando se necesita rotación automática de secretos, replicación entre regiones o gestión de credenciales de bases de datos RDS. Parameter Store es ideal para configuración general, feature flags y valores que no requieren rotación automática. Parameter Store Standard es gratuito, mientras que Secrets Manager cobra por secreto almacenado.

Integración con Lambda y ECS

Las funciones Lambda pueden recuperar parámetros en tiempo de ejecución usando el SDK de AWS o la extensión de Parameters and Secrets Lambda. La extensión cachea los valores localmente, reduciendo las llamadas API y la latencia. ECS puede inyectar parámetros como variables de entorno en las definiciones de tareas, referenciando ARNs de Parameter Store. La integración con CloudFormation permite referenciar parámetros dinámicos en las plantillas, facilitando la gestión de configuración como código. Para profundizar en la gestión de configuración en la nube, libros especializados (Amazon) son una referencia útil.

Precios de Parameter Store

Los parámetros Standard (hasta 4 KB) son gratuitos sin límite de cantidad. Los parámetros Advanced (hasta 8 KB) cuestan 0.05 USD por parámetro/mes y soportan políticas de parámetros (expiración, notificación). Las llamadas API de throughput estándar (hasta 40 TPS) son gratuitas; el throughput alto (hasta 1,000 TPS) cuesta 0.05 USD por 10,000 llamadas API. Para la mayoría de los casos de uso, el tier Standard es suficiente y completamente gratuito.

Resumen

AWS Systems Manager Parameter Store proporciona gestión centralizada de configuración y secretos con estructura jerárquica, cifrado con KMS e integración nativa con servicios AWS. La elección entre Parameter Store y Secrets Manager depende de los requisitos de rotación automática y replicación. El tier Standard gratuito lo convierte en la opción predeterminada para la gestión de configuración en AWS.

Servicios relacionados

AWS Systems Manager Parameter StoreAlmacén jerárquico para guardar y gestionar datos de configuración y secretos de forma seguraAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

AWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

AWS Systems ManagerServicio que centraliza la gestión operativa de instancias EC2 y servidores on-premises, permitiendo aplicar parches, ejecutar comandos, gestionar parámetros y conectarse por sesión sin SSHAWS Secrets ManagerServicio que almacena, recupera y rota automáticamente secretos como contraseñas de bases de datos y claves API de forma segura, eliminando credenciales hardcodeadasAWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Optimización de la gestión de operaciones de sistemas - Construcción de una plataforma operativa unificada con Systems ManagerExplicamos las técnicas de diseño para la gestión de operaciones de sistemas con AWS Systems Manager, incluyendo la gestión de parches, Parameter Store y la automatización operativa mediante Run Command.