AWS Systems Manager Parameter Store: Quản lý cấu hình và secrets an toàn trên AWS
Giới thiệu
AWS Systems Manager Parameter Store là một dịch vụ quản lý cấu hình và secrets (bí mật) miễn phí, giúp bạn lưu trữ dữ liệu cấu hình, chuỗi kết nối, mật khẩu, license key, v.v. một cách an toàn, tập trung và dễ dàng truy xuất từ các ứng dụng hoặc dịch vụ AWS khác.
Những tính năng nổi bật
- Lưu trữ an toàn: Hỗ trợ lưu trữ cả plain text và secrets (dữ liệu được mã hóa bằng KMS).
- Quản lý version: Mỗi lần cập nhật tham số sẽ tạo ra một version mới, dễ dàng rollback.
- Phân quyền truy cập: Tích hợp với IAM để kiểm soát ai có thể đọc/ghi từng tham số.
- Audit & Logging: Kết hợp với CloudTrail để theo dõi truy cập và thay đổi tham số.
- Tích hợp với AWS services: EC2, Lambda, ECS, CodeBuild, v.v. có thể truy xuất tham số trực tiếp.
Cách hoạt động của Parameter Store
Parameter Store lưu trữ các tham số dưới dạng key-value. Có hai loại chính:
- String: Dữ liệu dạng text thông thường.
- SecureString: Dữ liệu nhạy cảm, được mã hóa bằng AWS KMS.
Bạn có thể truy xuất tham số qua AWS Console, AWS CLI, SDK hoặc trực tiếp từ các dịch vụ AWS.
Ví dụ tạo và truy xuất tham số bằng AWS CLI
# Tạo tham số dạng plain text
aws ssm put-parameter \
--name "/myapp/db_username" \
--value "admin" \
--type "String"
# Tạo tham số dạng SecureString
aws ssm put-parameter \
--name "/myapp/db_password" \
--value "SuperSecretPassword" \
--type "SecureString"
# Lấy giá trị tham số
aws ssm get-parameter \
--name "/myapp/db_username" \
--with-decryption
Use Cases phổ biến
- Lưu trữ secrets: Mật khẩu database, API keys, token truy cập.
- Quản lý cấu hình động: Thay đổi cấu hình ứng dụng mà không cần deploy lại code.
- Chia sẻ cấu hình giữa nhiều môi trường: Dùng prefix để phân biệt dev, staging, production.
- Tích hợp CI/CD: Lưu trữ thông tin cấu hình cho pipeline build/deploy.
Hướng dẫn sử dụng cơ bản
- Truy cập AWS Console > Systems Manager > Parameter Store.
- Tạo tham số mới, chọn loại (String/SecureString), đặt tên và giá trị.
- Phân quyền truy cập bằng IAM policy.
- Truy xuất tham số từ ứng dụng hoặc dịch vụ AWS.
Ví dụ truy xuất tham số trong Python
import boto3
ssm = boto3.client('ssm')
response = ssm.get_parameter(
Name='/myapp/db_password',
WithDecryption=True
)
print(response['Parameter']['Value'])
Best Practices
- Đặt tên có cấu trúc: Sử dụng prefix theo môi trường, ứng dụng, ví dụ:
/prod/myapp/db_password - Giới hạn quyền truy cập: Chỉ cấp quyền cần thiết cho từng ứng dụng/service.
- Không hardcode secrets: Luôn lấy secrets từ Parameter Store thay vì lưu trong code.
- Giám sát và audit: Kích hoạt CloudTrail để theo dõi truy cập/thay đổi.
- Quản lý version: Sử dụng version để rollback khi cần thiết.
Kết luận
AWS Systems Manager Parameter Store là giải pháp đơn giản, an toàn và hiệu quả để quản lý cấu hình và secrets trên AWS. Việc sử dụng đúng cách sẽ giúp bạn tăng cường bảo mật, giảm rủi ro và dễ dàng vận hành hệ thống cloud.
Ngày đăng: July 25, 2025
9 total views