Datadog 应用程序密钥

秘密值字段

以下是 Secrets Manager 密钥中必须包含的字段：

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}

AppKey

服务帐号拥有的 Datadog 应用程序密钥。以 ddapp_ 34 个字母数字字符开头。

应用程序 KeyId

应用程序密钥的唯一标识符 (UUID)。

服务 AccountId

拥有此应用程序密钥的 Datadog 服务账户 ID (UUID)。只有服务帐号拥有的应用程序密钥可以轮换。

机密元数据字段

以下是 Datadog 应用程序密钥的元数据字段：

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}

管理员 SecretArn

包含用于轮换此密钥的管理 Datadog 凭证（API 密钥和应用程序密钥）类型的 DatadogAdminKey 机密的 Amazon 资源名称 (ARN)。管理员密钥必须与该应用程序密钥属于同一个服务帐号。

使用流程

此轮换使用双重秘密架构。管理员密钥类型 DatadogAdminKey 提供身份验证凭据。管理员密钥serviceAccountId必须与用户密钥相匹配serviceAccountId才能防止权限升级。

您可以使用CreateSecret调用来创建您的密钥，其密钥值包含上述字段，密钥类型为 DatadogApplicationKey。可以使用RotateSecret呼叫来设置轮换配置。您必须在轮换adminSecretArn中提供元数据。您还必须在RotateSecret调用中提供角色 ARN，该角色向服务授予轮换密钥所需的权限。有关权限策略的示例，请参阅安全和权限。

轮换期间，驱动程序会验证当前密钥的所有权，通过 Datadog 服务账户 API 创建新的应用程序密钥，验证新密钥，将其提升为 AWSCURRENT，然后删除旧密钥。