SSM Parameter Store, Secrets Manager

Question 1

Как хранить конфигурации в SSM?
А как - секреты?

Answer 1

• конфигурации plain text
• секреты шифровать, указав конкретный KMS ключ для каждого параметра

Question 2

Чтобы Лямбда функция смогла прочитать зашифрованный параметр из SSM в НЕ зашифрованном виде, то IAM роль Лямбды должна разрешать … и …

Answer 2

• чтение параметра по указанному path’у из SSM
• использование KMS ключа, который использовался для шифрования этого параметра

Question 3

Какие 2 API операции чтения предоставляет SSM?

Answer 3

• прочитать параметр по path’у (в зашифрованном виде)
• прочитать параметр по path’у и расшифровать его

Question 4

На сколько гранулярны IAM права на SSM?

Answer 4

Можно указывать IAM права для отдельных path’ов в KMS структуре.
”Granular Access”

Question 5

Какие тарифы есть в SSM?

Answer 5

• STANDARD: 10_000 параметров, 4 KB размер параметра, хранение бесплатно
• ADVANCED: 100_000 параметров, 8 KB размер параметра, хранение стоит $0.05

Question 6

Что делает фича Parameter Policies в SSM?
В каких тарифах она доступна в SSM?
Как она называется в Secrets Manager?

Answer 6

Фича Parameter Policies позволяет дать TTL (expiration date) параметру.

Чтобы зафорсить удаление/обновление sensitive данных (например, пароль).

Аналогичная фича в Secrets Manger называется Rotation of Secrets

Question 7

SSM хранит старые версии параметров?

Answer 7

History, Versioning
SSM Parameter Store поддерживает историю изменений каждого параметра.
Можно вернуться к прошлой версии параметра.

Question 8

Как SSM интегрирован с RDS?
А как Secrets Manager интегрирован с RDS?

Answer 8

Secrets Manager и SSM Parameter Store нативно интегрированы в RDS.
RDS умеет сразу после создания хранить DB_USERNAME, DB_PASSWORD в обоих сервисах.

Secrets Manager - в отличие от SSM - дополнительно поддерживает Auto Rotation

Question 9

Что делает фича Force Rotation в SecretsManager?
Как она называется в SSM?

Answer 9

Фича Force Rotation позволяет зафорсить удаление/обновление sensitive данных (например, пароль).

ℹ️ Аналогичная фича в SSM Parameter Store называется Parameter Policies

Question 10

Что делает фича Multi-Region Secrets в Secrets Manager?

Answer 10

Фича Multi-Region Secrets позволяет автоматически реплицировать секреты между разными регионами.

Question 11

Что делает фича Auto Generation в Secrets Manager?

Answer 11

Фича Auto Generation позволяет настроить автоматическую генерацию секретов (использует Лямбду).

Question 12

Сравни SSM и Secrets Manager по:
1) Цене
2) Автоматической ротации параметров

Answer 12

Secrets Manager
1) Более дорогой $$$
2) Автоматическая ротация секретов реализована из коробки через готовые Лямбда функции

SSM
1) Менее дорогой $
2) Автоматическая ротация НЕ реализована. Но можно сделать самому через Lambda + EventBridge Schedulled Event

Question 13

Фича … позволяет в рамках CloudFormation template файла
сделать ссылку на значение в SSM или Secrets Manager.
Синтаксис фичи такой …

Answer 13

Dynamic References
Ключевое слово RESOLVE
{{resolve:ssm:parameter-name:version}}