View a markdown version of this page

Chiave applicativa Datadog - Gestione dei segreti AWS
Campi con valori segretiCampi di metadati segretiFlusso di utilizzo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiave applicativa Datadog

Campi con valori segreti

Di seguito sono riportati i campi che devono essere contenuti nel segreto di Secrets Manager:

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}
AppKey

La chiave dell'applicazione Datadog di proprietà di un account di servizio. Inizia con ddapp_ seguito da 34 caratteri alfanumerici.

app KeyId

L'identificatore univoco (UUID) per la chiave dell'applicazione.

servizio AccountId

Il Datadog Service Account ID (UUID) che possiede questa chiave dell'applicazione. È possibile ruotare solo le chiavi di applicazione di proprietà dell'account di servizio.

Campi di metadati segreti

Di seguito sono riportati i campi di metadati per Datadog Application Key:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}
amministratore SecretArn

L'Amazon Resource Name (ARN) per un segreto di tipo DatadogAdminKey che contiene le credenziali amministrative Datadog (chiave API e chiave di applicazione) utilizzate per ruotare questo segreto. Il segreto di amministrazione deve appartenere allo stesso account di servizio di questa chiave applicativa.

Flusso di utilizzo

Questa rotazione utilizza un'architettura a due segreti. Un segreto amministrativo di tipo DatadogAdminKey fornisce le credenziali di autenticazione. Il segreto dell'amministratore serviceAccountId deve corrispondere a quello dell'utente serviceAccountId per impedire l'aumento dei privilegi.

Puoi creare il tuo segreto usando la CreateSecretchiamata con il valore segreto contenente i campi sopra menzionati e il tipo di segreto as. DatadogApplicationKey Le configurazioni di rotazione possono essere impostate utilizzando una RotateSecretchiamata. È necessario fornire i adminSecretArn metadati di rotazione. È inoltre necessario fornire un ruolo ARN nella RotateSecretchiamata che conceda al servizio le autorizzazioni necessarie per ruotare il segreto. Per un esempio di politica di autorizzazioni, vedi Sicurezza e autorizzazioni.

Durante la rotazione, il driver convalida la proprietà della chiave corrente, crea una nuova chiave di applicazione tramite l'API Datadog Service Account, verifica la nuova chiave, la promuove su AWSCURRENT ed elimina la vecchia chiave.