本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Datadog 管理员密钥
<a name="mes-partner-DatadogAdminKey"></a>

## 秘密值字段
<a name="w2aac25c11c29b3"></a>

以下是 Secrets Manager 密钥中必须包含的字段：

```
{
  "adminApiKey": "{{32-character hex API key}}",
  "adminApiKeyId": "{{API key UUID}}",
  "adminAppKey": "{{Application key starting with ddapp_}}",
  "adminAppKeyId": "{{Application key UUID}}",
  "serviceAccountId": "{{Service Account UUID}}",
  "site": "{{datadoghq.com}}"
}
```

管理员 ApiKey  
Datadog 管理员 API 密钥（32 个字符的十六进制字符串）。

管理员 ApiKeyId  
管理员 API 密钥的唯一标识符 (UUID)。

管理员 AppKey  
Datadog 管理员应用程序密钥。必须归服务帐号所有且范围为：`api_keys_write`、`api_keys_delete`、`org_app_keys_read`、`org_app_keys_write`、`service_account_write`。

管理员 AppKeyId  
管理员应用程序密钥的唯一标识符 (UUID)。

服务 AccountId  
拥有管理员应用程序密钥的 Datadog 服务账户 ID (UUID)。

site  
您的 Datadog 网站（例如、`datadoghq.com``datadoghq.eu`、`us5.datadoghq.com`）。

## 机密元数据字段
<a name="w2aac25c11c29b5"></a>

以下是 Datadog 管理员密钥的元数据字段：

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{DatadogAdminKey}}"
}
```

管理员 SecretArn  
（可选）用于身份验证的单独管理员密钥的 Amazon 资源名称 (ARN)。如果未提供，则此密钥将使用自己的凭据自行轮换（自轮换）。

## 使用流程
<a name="w2aac25c11c29b7"></a>

这种轮换类型将 API 密钥和应用程序密钥成对轮换。它支持自轮换（默认），即密钥使用自己的凭据来创建替换，或者使用单独的管理员密钥进行管理员辅助轮换。

您可以使用[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)调用来创建您的密钥，其密钥值包含上述字段，密钥类型为 DatadogAdminKey。可以使用[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)呼叫来设置轮换配置。如果您选择自旋转，则可以省略可选`adminSecretArn`字段。您必须在[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)调用中提供角色 ARN，以向服务授予轮换密钥所需的权限。有关权限策略的示例，请参阅[安全和权限](mes-security.md)。

在轮换期间，驱动程序会验证当前 API 密钥，创建新的 API 密钥和新的应用程序密钥（继承当前密钥的作用域），验证两个新密钥，使用新证书删除旧密钥，并将新的密钥版本升级到 AWSCURRENT。