Systems Manager Parameter Store とは?設定値・機密値の階層管理
Parameter Store は AWS Systems Manager の機能で、設定値・機密値を階層的に保存・取得する。Secrets Manager と違い 無料(Standard ティア) で、設定値の中央管理に最適。SecureString で暗号化保管も可能だ...
設定値・機密値を階層管理する Systems Manager の機能。Secrets Manager より安価でシンプル。
1. 概要(端的に)
Parameter Store は AWS Systems Manager の機能で、設定値・機密値を階層的に保存・取得する。Secrets Manager と違い 無料(Standard ティア) で、設定値の中央管理に最適。SecureString で暗号化保管も可能だが、自動ローテーション機能はない。
2. 何ができるか
- 設定値・機密値の保管:String / StringList / SecureString
- 階層構造:
/myapp/prod/db-hostのようなパス管理 - 暗号化:SecureString は KMS で暗号化
- バージョン管理:変更履歴
- CloudFormation / CDK 統合:IaC からの参照
- EC2 / Lambda / ECS から取得
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | Standard:無料 / Advanced:$0.05/月/パラメータ |
| タイプ | String / StringList / SecureString |
| 最大サイズ | Standard 4 KB / Advanced 8 KB |
| 数の上限 | Standard 10,000 / Advanced 100,000 |
| TTL | Advanced のみ |
| 通知 | EventBridge 連携 |
vs Secrets Manager
| 観点 | Parameter Store | Secrets Manager |
|---|---|---|
| 料金 | 無料(Standard) | $0.40/月 |
| 自動ローテ | × | ○ |
| クロスリージョン | × | ○ |
| 用途 | 設定値・軽量機密 | 本番 DB パスワード等 |
4. 仕組み
Parameter Store は キー(パス)と値のシンプルな KVS。SecureString は KMS で透過暗号化される。
階層管理
/myapp/
/prod/
/db-host = prod-db.xxx.rds.amazonaws.com
/db-password = SecureString(KMS 暗号化)
/staging/
/db-host = staging-db.xxx.rds.amazonaws.com
/db-password = SecureString動作の流れ
- パラメータ作成:パス + 値 + タイプ
- アクセス制御:IAM ポリシーでパス単位
- アプリから取得:
aws ssm get-parameter - SecureString 自動復号:取得時に平文取得
- 変更時はバージョン更新
5. ユースケース
ユースケース 1:環境別設定値
dev / staging / prod の設定を Parameter Store で管理。
ユースケース 2:Lambda の環境変数代替
コードから取得することで暗号化と動的更新を両立。
ユースケース 3:軽量シークレット
API キー等で「自動ローテ不要」の機密値。
ユースケース 4:CloudFormation パラメータ
スタック作成時に Parameter Store から値を取得。
ユースケース 5:マイクロサービス共通設定
複数サービスで共有する設定の中央管理。
6. 関連用語
- SSM — Parameter Store の親サービス
- KMS — SecureString 暗号化
- Secrets-Manager — 高機能版
- Lambda — 主な利用元
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | 出題稀 |
| SAA | 中 | 設定値管理シナリオ |
| DVA | 高 | アプリからの利用、Secrets Manager との使い分け |
| SOA | 中 | 設定運用 |