Datadog 管理员密钥

秘密值字段

以下是 Secrets Manager 密钥中必须包含的字段：

{
  "adminApiKey": "32-character hex API key",
  "adminApiKeyId": "API key UUID",
  "adminAppKey": "Application key starting with ddapp_",
  "adminAppKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID",
  "site": "datadoghq.com"
}

管理员 ApiKey

Datadog 管理员 API 密钥（32 个字符的十六进制字符串）。

管理员 ApiKeyId

管理员 API 密钥的唯一标识符 (UUID)。

管理员 AppKey

Datadog 管理员应用程序密钥。必须归服务帐号所有且范围为：api_keys_write、api_keys_delete、org_app_keys_read、org_app_keys_write、service_account_write。

管理员 AppKeyId

管理员应用程序密钥的唯一标识符 (UUID)。

服务 AccountId

拥有管理员应用程序密钥的 Datadog 服务账户 ID (UUID)。

site

您的 Datadog 网站（例如、datadoghq.comdatadoghq.eu、us5.datadoghq.com）。

机密元数据字段

以下是 Datadog 管理员密钥的元数据字段：

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}

管理员 SecretArn

（可选）用于身份验证的单独管理员密钥的 Amazon 资源名称 (ARN)。如果未提供，则此密钥将使用自己的凭据自行轮换（自轮换）。

使用流程

这种轮换类型将 API 密钥和应用程序密钥成对轮换。它支持自轮换（默认），即密钥使用自己的凭据来创建替换，或者使用单独的管理员密钥进行管理员辅助轮换。

您可以使用CreateSecret调用来创建您的密钥，其密钥值包含上述字段，密钥类型为 DatadogAdminKey。可以使用RotateSecret呼叫来设置轮换配置。如果您选择自旋转，则可以省略可选adminSecretArn字段。您必须在RotateSecret调用中提供角色 ARN，以向服务授予轮换密钥所需的权限。有关权限策略的示例，请参阅安全和权限。

在轮换期间，驱动程序会验证当前 API 密钥，创建新的 API 密钥和新的应用程序密钥（继承当前密钥的作用域），验证两个新密钥，使用新证书删除旧密钥，并将新的密钥版本升级到 AWSCURRENT。