本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Datadog 應用程式金鑰
秘密值欄位
以下是必須包含在 Secrets Manager 秘密中的欄位:
{
"appKey": "Application key starting with ddapp_",
"appKeyId": "Application key UUID",
"serviceAccountId": "Service Account UUID"
}
- appKey
-
服務帳戶擁有的 Datadog 應用程式金鑰。開頭為 ,
ddapp_後面接著 34 個英數字元。 - appKeyId
-
應用程式金鑰的唯一識別符 (UUID)。
- serviceAccountId
-
擁有此應用程式金鑰的 Datadog Service 帳戶 ID (UUID)。只能輪換服務帳戶擁有的應用程式金鑰。
秘密中繼資料欄位
以下是 Datadog 應用程式金鑰的中繼資料欄位:
{ "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey" }
- adminSecretArn
-
DatadogAdminKey 類型的秘密的 Amazon Resource Name (ARN),其中包含用來輪換此秘密的管理 Datadog 憑證 (API 金鑰和應用程式金鑰)。管理員秘密必須屬於與此應用程式金鑰相同的服務帳戶。
用量流程
此輪換使用兩個秘密架構。DatadogAdminKey 類型的管理員秘密會提供身分驗證憑證。管理員秘密的 serviceAccountId 必須符合使用者秘密的 serviceAccountId,以防止權限提升。
您可以使用 CreateSecret 呼叫建立秘密,其中秘密值包含上述欄位,秘密類型為 DatadogApplicationKey。您可以使用 RotateSecret 呼叫來設定輪換組態。您必須在輪換中繼資料adminSecretArn中提供 。您還必須在 RotateSecret 呼叫中提供角色 ARN,授予服務輪換秘密所需的許可。如需許可政策的範例,請參閱 安全與許可。
管理員秘密類型 (DatadogAdminKey) 與使用者秘密類型 () 不同DatadogApplicationKey。由於此差異, 範圍的預設輪換角色政策secretsmanager:resource/Type不會授予管理員秘密的存取權。您必須明確提供 管理員秘密的輪換角色存取權。您可以新增範圍為 DatadogAdminKey類型的陳述式來執行此操作。或者,直接在角色政策ARN中指定管理員秘密。
在輪換期間,驅動程式會驗證目前金鑰的擁有權、透過 Datadog Service 帳戶 API 建立新的應用程式金鑰、驗證新金鑰、將其提升為 AWSCURRENT,以及刪除舊金鑰。