本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Datadog API 密钥
秘密值字段
以下是 Secrets Manager 密钥中必须包含的字段:
{
"apiKey": "32-character hex API key",
"apiKeyId": "API key UUID"
}- apiKey
-
当前的 Datadog API 密钥。一个 32 个字符的十六进制字符串,用于向 Datadog 提交指标、日志和跟踪。
- api KeyId
-
API 密钥的唯一标识符 (UUID)。通过 Datadog API 或组织设置找到。
机密元数据字段
以下是 Datadog API 密钥的元数据字段:
{ "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey" }
- 管理员 SecretArn
-
包含用于轮换此密钥的管理 Datadog 凭证(API 密钥和应用程序密钥)类型的 DatadogAdminKey 机密的 Amazon 资源名称 (ARN)。应用程序密钥的作用域必须为:
api_keys_write,api_keys_delete。
使用流程
此轮换使用双重秘密架构。管理员密钥类型 DatadogAdminKey 提供对 Datadog 密钥管理 API 调用进行身份验证所需的 API 密钥和应用程序密钥。
您可以使用CreateSecret调用来创建您的密钥,其密钥值包含上述字段,密钥类型为 DatadogApiKey。可以使用RotateSecret呼叫来设置轮换配置。您必须在轮换adminSecretArn中提供元数据。您还必须在RotateSecret调用中提供角色 ARN,该角色向服务授予轮换密钥所需的权限。有关权限策略的示例,请参阅安全和权限。
在轮换期间,驱动程序通过 Datadog 密钥管理 API v2 创建新的 API 密钥,使用验证端点验证新密钥,将新密钥升级为 AWSCURRENT,然后从 Datadog 中删除替换的密钥(两次轮换旧的)。这样可以保持双键交替模式,确保零停机时间轮换。
