本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Datadog 应用程序密钥
<a name="mes-partner-DatadogApplicationKey"></a>

## 秘密值字段
<a name="w2aac25c11c27b3"></a>

以下是 Secrets Manager 密钥中必须包含的字段：

```
{
  "appKey": "{{Application key starting with ddapp_}}",
  "appKeyId": "{{Application key UUID}}",
  "serviceAccountId": "{{Service Account UUID}}"
}
```

AppKey  
服务帐号拥有的 Datadog 应用程序密钥。以 `ddapp_` 34 个字母数字字符开头。

应用程序 KeyId  
应用程序密钥的唯一标识符 (UUID)。

服务 AccountId  
拥有此应用程序密钥的 Datadog 服务账户 ID (UUID)。只有服务帐号拥有的应用程序密钥可以轮换。

## 机密元数据字段
<a name="w2aac25c11c27b5"></a>

以下是 Datadog 应用程序密钥的元数据字段：

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{DatadogAdminKey}}"
}
```

管理员 SecretArn  
包含用于轮换此密钥的管理 Datadog 凭证（API 密钥和应用程序密钥）类型的 DatadogAdminKey 机密的 Amazon 资源名称 (ARN)。管理员密钥必须与该应用程序密钥属于同一个服务帐号。

## 使用流程
<a name="w2aac25c11c27b7"></a>

此轮换使用双重秘密架构。管理员密钥类型 DatadogAdminKey 提供身份验证凭据。管理员密钥`serviceAccountId`必须与用户密钥相匹配`serviceAccountId`才能防止权限升级。

您可以使用[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)调用来创建您的密钥，其密钥值包含上述字段，密钥类型为 DatadogApplicationKey。可以使用[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)呼叫来设置轮换配置。您必须在轮换`adminSecretArn`中提供元数据。您还必须在[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)调用中提供角色 ARN，该角色向服务授予轮换密钥所需的权限。有关权限策略的示例，请参阅[安全和权限](mes-security.md)。

轮换期间，驱动程序会验证当前密钥的所有权，通过 Datadog 服务账户 API 创建新的应用程序密钥，验证新密钥，将其提升为 AWSCURRENT，然后删除旧密钥。