Campos de valor secreto Campos de metadados secretos Fluxo de uso

Credenciais da conta de serviço MongoDB Atlas

Campos de valor secreto

A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:


{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}

clientId: O ID do cliente da conta de serviço MongoDB Atlas. OAuth Isso deve começar com mdb_sa_id_ seguido por uma string hexadecimal de 24 caracteres.
Segredo do cliente: O segredo do cliente da OAuth conta de serviço MongoDB Atlas usado para autenticação.
ID ou Rígido: O ID hexadecimal da organização Atlas de 24 caracteres. Você pode encontrar isso nas configurações da organização do Atlas.

Campos de metadados secretos

A seguir estão os campos de metadados da conta de serviço MongoDB Atlas:


{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}

adminSecretArn: (Opcional) O nome de recurso da Amazon (ARN) do segredo que contém as OAuth credenciais da conta de serviço administrativo usadas para alternar esse segredo da conta de serviço. O segredo do administrador deve conter um clientSecret valor clientId e dentro da estrutura secreta. Se omitida, a conta de serviço usará suas próprias credenciais para rotação automática.
apiVersion: (Opcional) A data da versão da API Atlas Admin em yyyy-mm-dd formato. Esse valor é usado no Accept cabeçalho comoapplication/vnd.atlas.{apiVersion}+json. O padrão é 2025-03-12, se não for especificado.

Fluxo de uso

A rotação suporta dois modos de autenticação. No modo de rotação automática (padrão), a conta de serviço usa suas próprias credenciais para criar e excluir seus segredos. Isso exige que a conta de serviço tenha permissões para gerenciar seus próprios segredos. No modo de rotação assistida por administrador, uma credencial separada da conta de serviço administrativo armazenada em outro segredo é usada. Isso é necessário quando a conta de serviço não tem permissões de autogerenciamento.

Você pode criar seu segredo usando a CreateSecretchamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como Mongo DBAtlasServiceAccount. As configurações de rotação podem ser definidas usando uma RotateSecretchamada. Se você optar pela rotação automática, poderá omitir o campo opcionaladminSecretArn. Você deve fornecer um ARN de função na RotateSecretchamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte Segurança e permissões.

Para clientes que optam por alternar seus segredos usando um conjunto separado de credenciais (armazenado em um segredo administrativo), crie o segredo administrativo AWS Secrets Manager contendo a conta do serviço administrativo e. clientId clientSecret Você deve fornecer o ARN desse segredo administrativo nos metadados de rotação em uma RotateSecretchamada para o segredo da sua conta de serviço.

Durante a rotação, o motorista cria um novo segredo para a conta de serviço por meio da API Atlas Admin, verifica o novo segredo gerando um OAuth token, atualiza o segredo com novas credenciais e exclui o segredo antigo.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Par de chaves Snowflake

Usuário do banco de dados MongoDB Atlas