View a markdown version of this page

Kredensi Akun Layanan MongoDB Atlas - AWS Secrets Manager
Bidang Nilai RahasiaBidang Metadata RahasiaAliran Penggunaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kredensi Akun Layanan MongoDB Atlas

Bidang Nilai Rahasia

Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

ID klien akun layanan MongoDB Atlas. OAuth Ini harus dimulai dengan mdb_sa_id_ diikuti oleh string heksadesimal 24-karakter.

ClientSecret

Rahasia klien OAuth akun layanan MongoDB Atlas yang digunakan untuk otentikasi.

OrgID

ID Organisasi Atlas heksadesimal 24 karakter. Anda dapat menemukannya di Pengaturan Organisasi Atlas Anda.

Bidang Metadata Rahasia

Berikut ini adalah bidang metadata untuk MongoDB Atlas Service Account:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

(Opsional) Nama Sumber Daya Amazon (ARN) untuk rahasia yang berisi OAuth kredenal akun layanan administratif yang digunakan untuk memutar rahasia akun layanan ini. Rahasia admin harus berisi clientSecret nilai clientId dan dalam struktur rahasia. Jika dihilangkan, akun layanan akan menggunakan kredensialnya sendiri untuk rotasi sendiri.

apiVersion

(Opsional) Tanggal versi Atlas Admin API dalam yyyy-mm-dd format. Nilai ini digunakan di Accept header sebagaiapplication/vnd.atlas.{apiVersion}+json. Default hingga 2025-03-12 jika tidak ditentukan.

Aliran Penggunaan

Rotasi mendukung dua mode otentikasi. Dalam mode rotasi diri (default), akun layanan menggunakan kredensialnya sendiri untuk membuat dan menghapus rahasianya. Ini mengharuskan akun layanan memiliki izin untuk mengelola rahasianya sendiri. Dalam mode rotasi berbantuan admin, kredenal akun layanan admin terpisah yang disimpan dalam rahasia lain digunakan. Ini diperlukan ketika akun layanan tidak memiliki izin manajemen mandiri.

Anda dapat membuat rahasia Anda menggunakan CreateSecretpanggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai Mongo DBAtlasServiceAccount. Konfigurasi rotasi dapat diatur menggunakan RotateSecretpanggilan. Jika Anda memilih rotasi sendiri, Anda dapat menghilangkan bidang opsionaladminSecretArn. Anda harus memberikan peran ARN dalam RotateSecretpanggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Untuk contoh kebijakan izin, lihat Keamanan dan Izin.

Untuk pelanggan yang memilih untuk memutar rahasia mereka menggunakan kumpulan kredensil terpisah (disimpan dalam Rahasia Admin), buat Rahasia Admin AWS Secrets Manager yang berisi akun layanan admin dan. clientId clientSecret Anda harus memberikan ARN Rahasia Admin ini dalam metadata rotasi dalam RotateSecretpanggilan untuk rahasia akun layanan Anda.

Selama rotasi, driver membuat rahasia baru untuk akun layanan melalui Atlas Admin API, memverifikasi rahasia baru dengan menghasilkan OAuth token, memperbarui rahasia dengan kredensi baru, dan menghapus rahasia lama.