View a markdown version of this page

Informations d'identification du compte MongoDB Atlas Service - AWS Secrets Manager
Champs de valeurs secretsChamps de métadonnées secretsFlux d'utilisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Informations d'identification du compte MongoDB Atlas Service

Champs de valeurs secrets

Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

L'ID OAuth client du compte de service MongoDB Atlas. Cela doit commencer mdb_sa_id_ par une chaîne hexadécimale de 24 caractères.

Secret du client

Le secret OAuth client du compte de service MongoDB Atlas utilisé pour l'authentification.

OrgID

L'ID d'organisation de l'Atlas hexadécimal à 24 caractères. Vous pouvez le trouver dans les paramètres d'organisation de votre Atlas.

Champs de métadonnées secrets

Les champs de métadonnées du compte de service MongoDB Atlas sont les suivants :

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

(Facultatif) Le nom de ressource Amazon (ARN) pour le secret qui contient les OAuth informations d'identification du compte de service administratif utilisées pour alterner ce secret de compte de service. Le secret d'administration doit contenir une clientSecret valeur clientId et dans la structure secrète. En cas d'omission, le compte de service utilisera ses propres informations d'identification pour l'autorotation.

Version de l'API

(Facultatif) La date de version de l'API Atlas Admin au yyyy-mm-dd format. Cette valeur est utilisée dans l'Accepten-tête en tant queapplication/vnd.atlas.{apiVersion}+json. La valeur par défaut est 2025-03-12 si elle n'est pas précisée.

Flux d'utilisation

La rotation prend en charge deux modes d'authentification. En mode autorotation (par défaut), le compte de service utilise ses propres informations d'identification pour créer et supprimer ses secrets. Cela nécessite que le compte de service soit autorisé à gérer ses propres secrets. En mode rotation assistée par l'administrateur, un identifiant de compte de service d'administration distinct stocké dans un autre secret est utilisé. Cela est nécessaire lorsque le compte de service ne dispose pas d'autorisations d'autogestion.

Vous pouvez créer votre secret à l'aide de l'CreateSecretappel dont la valeur secrète contient les champs mentionnés ci-dessus et dont le type de secret est Mongo DBAtlasServiceAccount. Les configurations de rotation peuvent être définies à l'aide d'un RotateSecretappel. Si vous optez pour la rotation automatique, vous pouvez omettre le champ facultatifadminSecretArn. Vous devez fournir un ARN de rôle dans l'RotateSecretappel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir Sécurité et autorisations.

Pour les clients qui choisissent de changer leurs secrets à l'aide d'un ensemble d'informations d'identification distinct (stockées dans un secret d'administration), créez le secret d'administration en AWS Secrets Manager contenant les informations clientId et clientSecret du compte du service d'administration. Vous devez fournir l'ARN de ce secret d'administration dans les métadonnées de rotation lors d'un RotateSecretappel pour le secret de votre compte de service.

Pendant la rotation, le chauffeur crée un nouveau secret pour le compte de service via l'API Atlas Admin, vérifie le nouveau secret en générant un OAuth jeton, met à jour le secret avec de nouvelles informations d'identification et supprime l'ancien secret.