View a markdown version of this page

MongoDB Atlas 服務帳戶登入資料 - AWS Secrets Manager
秘密值欄位秘密中繼資料欄位用量流程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

MongoDB Atlas 服務帳戶登入資料

秘密值欄位

以下是必須包含在 Secrets Manager 秘密中的欄位:

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

MongoDB Atlas 服務帳戶 OAuth 用戶端 ID。這必須以 開頭,mdb_sa_id_後面接著 24 個字元的十六進位字串。

clientSecret

用於身分驗證的 MongoDB Atlas 服務帳戶 OAuth 用戶端秘密。

orgId

24 個字元的十六進位 Atlas Organization ID。您可以在 Atlas Organization Settings 中找到此項目。

秘密中繼資料欄位

以下是 MongoDB Atlas 服務帳戶的中繼資料欄位:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

(選用) 秘密的 Amazon Resource Name (ARN),其中包含用來輪換此服務帳戶秘密的管理服務帳戶 OAuth 憑證。管理員秘密應在秘密結構中包含 clientIdclientSecret值。如果省略,服務帳戶將使用自己的登入資料進行自我輪換。

apiVersion

(選用) yyyy-mm-dd 格式的 Atlas Admin API 版本日期。此值在 Accept 標頭中用作 application/vnd.atlas.{apiVersion}+json。如果未指定,則預設為 2025-03-12

用量流程

輪換支援兩種身分驗證模式。在自我輪換模式中 (預設),服務帳戶會使用自己的登入資料來建立和刪除其秘密。這需要服務帳戶具有管理其秘密的許可。在管理員輔助輪換模式中,會使用存放在另一個秘密中的個別管理員服務帳戶登入資料。當服務帳戶缺乏自我管理許可時,這是必要的。

您可以使用 CreateSecret 呼叫建立秘密,其中秘密值包含上述欄位,秘密類型為 MongoDBAtlasServiceAccount。您可以使用 RotateSecret 呼叫來設定輪換組態。如果您選擇自行輪換,您可以省略選用adminSecretArn欄位。您必須在 RotateSecret 呼叫中提供角色 ARN,授予服務輪換秘密所需的許可。如需許可政策的範例,請參閱 安全與許可

對於選擇使用另一組登入資料 (存放在 Admin Secret 中) 輪換秘密的客戶,請在 中建立 AWS Secrets Manager 包含管理員服務帳戶 clientId和 的 Admin SecretclientSecret。您必須在服務帳戶秘密的 RotateSecret 呼叫中的輪換中繼資料中提供此 Admin Secret 的 ARN。

在輪換期間,驅動程式會透過 Atlas Admin API 為服務帳戶建立新的秘密、產生 OAuth 權杖來驗證新秘密、使用新登入資料更新秘密,以及刪除舊秘密。