View a markdown version of this page

Zugangsdaten für das MongoDB Atlas-Dienstkonto - AWS Secrets Manager
Geheime WertfelderGeheime MetadatenfelderAblauf der Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugangsdaten für das MongoDB Atlas-Dienstkonto

Geheime Wertfelder

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

Die OAuth-Client-ID des MongoDB Atlas-Dienstkontos. Dies muss mit beginnen, mdb_sa_id_ gefolgt von einer 24-stelligen Hexadezimalzeichenfolge.

Geheimer Client

Das OAuth-Clientgeheimnis des MongoDB Atlas-Dienstkontos, das für die Authentifizierung verwendet wird.

OrgiD

Die 24-stellige hexadezimale Atlas-Organisations-ID. Sie finden sie in Ihren Atlas-Organisationseinstellungen.

Geheime Metadatenfelder

Im Folgenden sind die Metadatenfelder für das MongoDB Atlas Service Account aufgeführt:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
admin SecretArn

(Optional) Der Amazon-Ressourcenname (ARN) für den geheimen Schlüssel, der die OAuth-Anmeldeinformationen für das administrative Dienstkonto enthält, die für die Rotation dieses Dienstkontogeheimnisses verwendet werden. Der geheime Administratorschlüssel sollte innerhalb der geheimen clientId Struktur einen clientSecret Wert und enthalten. Wenn dieser Wert nicht angegeben wird, verwendet das Dienstkonto seine eigenen Anmeldeinformationen für die Eigenrotation.

API-Version

(Optional) Das Versionsdatum der Atlas Admin API im yyyy-mm-dd Format. Dieser Wert wird im Accept Header als verwendetapplication/vnd.atlas.{apiVersion}+json. Es gilt der Standardwert 2025-03-12, wenn keine Angabe gemacht wird.

Ablauf der Nutzung

Die Rotation unterstützt zwei Authentifizierungsmodi. Im Selbstrotationsmodus (Standard) verwendet das Dienstkonto seine eigenen Anmeldeinformationen, um seine Geheimnisse zu erstellen und zu löschen. Dies setzt voraus, dass das Dienstkonto über Berechtigungen zur Verwaltung seiner eigenen Geheimnisse verfügt. Im vom Administrator unterstützten Rotationsmodus werden separate Anmeldeinformationen für das Administratordienstkonto verwendet, die in einem anderen Geheimnis gespeichert sind. Dies ist erforderlich, wenn das Dienstkonto keine Selbstverwaltungsberechtigungen besitzt.

Sie können Ihr Geheimnis mithilfe des CreateSecretAufrufs mit dem geheimen Wert erstellen, der die oben genannten Felder und den Geheimtyp als MongoDBAtlasServiceAccount enthält. Die Rotationskonfigurationen können mithilfe eines RotateSecretAnrufs festgelegt werden. Wenn Sie sich für die Eigenrotation entscheiden, können Sie das optionale adminSecretArn Feld weglassen. Sie müssen in dem RotateSecretAnruf einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter Sicherheit und Berechtigungen.

Für Kunden, die sich dafür entscheiden, ihre Geheimnisse abwechselnd mit einem separaten Satz von Anmeldeinformationen (gespeichert in einem Admin-Secret) zu verwenden, erstellen Sie das Administratorgeheimnis, das die Daten clientId und clientSecret des Administrator-Dienstkontos AWS Secrets Manager enthält. Sie müssen den ARN dieses Administratorgeheimnisses in den Rotationsmetadaten angeben, wenn Sie Ihr Dienstkontogeheimnis RotateSecretaufrufen.

Während der Rotation erstellt der Treiber über die Atlas-Admin-API ein neues Geheimnis für das Dienstkonto, verifiziert das neue Geheimnis durch Generierung eines OAuth-Tokens, aktualisiert das Geheimnis mit neuen Anmeldeinformationen und löscht das alte Geheimnis.