SSM Parameter Store読み取りアクセスのIAMポリシー
AWS Systems Manager Parameter Storeからパラメータを読み取るIAMポリシーを作成します。最小権限のために特定のパス階層にスコープされています。
Operations
詳細な説明
SSM Parameter Store読み取りポリシー
AWS Systems Manager Parameter StoreはSecrets Managerの代替として設定値、フィーチャーフラグ、非機密シークレットの保存に人気があります。このポリシーは特定のパスプレフィックス配下のパラメータへの読み取りアクセスを付与します。
ポリシーJSON
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSMParameterRead",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:us-east-1:123456789012:parameter/myapp/*"
},
{
"Sid": "AllowDescribeParameters",
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
階層パス
Parameter Storeは/myapp/production/database/hostのようなパス階層をサポートします。GetParametersByPathアクションはパスプレフィックス配下のすべてのパラメータを取得するため、起動時にすべての設定を効率的にロードできます。
Parameter Store vs. Secrets Manager
| 機能 | Parameter Store | Secrets Manager |
|---|---|---|
| コスト | 無料(スタンダード層) | $0.40/シークレット/月 |
| ローテーション | 手動 | 自動 |
| サイズ制限 | 8 KB | 64 KB |
| 最適な用途 | 設定値、フラグ | パスワード、APIキー |
ユースケース
起動時に設定をロードするアプリケーション、フィーチャーフラグシステム、環境固有の設定管理、Secrets Managerの自動ローテーション機能が不要な非機密設定値。