Datadog API キー

シークレット値フィールド

Secrets Manager シークレットに含める必要があるフィールドは次のとおりです。

{
  "apiKey": "32-character hex API key",
  "apiKeyId": "API key UUID"
}

apiKey

現在の Datadog API キー。Datadog にメトリクス、ログ、トレースを送信するために使用される 32 文字の 16 進文字列。

apiKeyId

API キーの一意の識別子 (UUID)。Datadog API または組織設定を介して見つかります。

シークレットメタデータフィールド

Datadog API キーのメタデータフィールドは次のとおりです。

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}

adminSecretArn

このシークレットのローテーションに使用される管理 Datadog 認証情報 (API キーとアプリケーションキー) を含む DatadogAdminKey タイプのシークレットの Amazon リソースネーム (ARN)。アプリケーションキーには、スコープ api_keys_write、 が必要ですapi_keys_delete。

使用フロー

このローテーションでは、2 つのシークレットアーキテクチャを使用します。DatadogAdminKey タイプの管理者シークレットは、Datadog キー管理 API コールを認証するために必要な API キーとアプリケーションキーを提供します。

上記のフィールドと DatadogApiKey としてのシークレットタイプを含むシークレット値を使用してCreateSecret 呼び出しを使用してシークレットを作成できます。ローテーション設定は、RotateSecret 呼び出しを使用して設定できます。ローテーションメタデータadminSecretArnで を指定する必要があります。また、RotateSecret 呼び出しでロール ARN を指定する必要があります。これにより、シークレットをローテーションするために必要なアクセス許可がサービスに付与されます。アクセス許可ポリシーの例については、「セキュリティとアクセス許可」を参照してください。

ローテーション中、ドライバーは Datadog Key Management API v2 を介して新しい API キーを作成し、検証エンドポイントを使用して新しいキーを検証し、新しいキーを AWSCURRENT に昇格させ、置き換えられたキー (2 つのローテーションが古い) を Datadog から削除します。これにより、2 キーの交代パターンが維持され、ダウンタイムのないローテーションが保証されます。