View a markdown version of this page

Clé d'application Datadog - AWS Secrets Manager
Champs de valeurs secretsChamps de métadonnées secretsFlux d'utilisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clé d'application Datadog

Champs de valeurs secrets

Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}
Clé d'application

La clé d'application Datadog détenue par un compte de service. Commence par ddapp_ suivi de 34 caractères alphanumériques.

appli KeyId

Identifiant unique (UUID) de la clé d'application.

service AccountId

L'ID du compte de service Datadog (UUID) auquel appartient cette clé d'application. Seules les clés d'application appartenant à un compte de service peuvent être pivotées.

Champs de métadonnées secrets

Les champs de métadonnées de la clé d'application Datadog sont les suivants :

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}
administrateur SecretArn

Le nom de ressource Amazon (ARN) d'un secret DatadogAdminKey contenant les informations d'identification administratives de Datadog (clé d'API et clé d'application) utilisées pour faire pivoter ce secret. Le secret d'administration doit appartenir au même compte de service que cette clé d'application.

Flux d'utilisation

Cette rotation utilise une architecture à deux secrets. Un secret d'administration de type DatadogAdminKey fournit des informations d'authentification. Le secret d'administration serviceAccountId doit correspondre au secret de l'utilisateur serviceAccountId pour empêcher l'augmentation des privilèges.

Vous pouvez créer votre secret à l'aide de l'CreateSecretappel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as DatadogApplicationKey. Les configurations de rotation peuvent être définies à l'aide d'un RotateSecretappel. Vous devez fournir les métadonnées adminSecretArn dans les métadonnées de rotation. Vous devez également fournir un ARN de rôle dans l'RotateSecretappel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir Sécurité et autorisations.

Pendant la rotation, le pilote valide la propriété de la clé actuelle, crée une nouvelle clé d'application via l'API du compte de service Datadog, vérifie la nouvelle clé, la promeut sur AWSCURRENT et supprime l'ancienne clé.