本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Datadog 管理金鑰
## 秘密值欄位
以下是必須包含在 Secrets Manager 秘密中的欄位:
```
{
"adminApiKey": "{{32-character hex API key}}",
"adminApiKeyId": "{{API key UUID}}",
"adminAppKey": "{{Application key starting with ddapp_}}",
"adminAppKeyId": "{{Application key UUID}}",
"serviceAccountId": "{{Service Account UUID}}",
"site": "{{datadoghq.com}}"
}
```
adminApiKey
Datadog 管理員 API 金鑰 (32 個字元的十六進位字串)。
adminApiKeyId
管理員 API 金鑰的唯一識別符 (UUID)。
adminAppKey
Datadog 管理應用程式金鑰。必須由服務帳戶擁有,範圍為:`api_keys_write`、`api_keys_delete`、`org_app_keys_read`、`org_app_keys_write`、`service_account_write`。
adminAppKeyId
管理員應用程式金鑰的唯一識別符 (UUID)。
serviceAccountId
擁有管理員應用程式金鑰的 Datadog Service 帳戶 ID (UUID)。
site
您的 Datadog `datadoghq.com`網站 (例如,、`datadoghq.eu`、`us5.datadoghq.com`)。
## 秘密中繼資料欄位
以下是 Datadog Admin Key 的中繼資料欄位:
```
{
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{DatadogAdminKey}}"
}
```
adminSecretArn
(選用) 用於身分驗證之個別管理員秘密的 Amazon Resource Name (ARN)。如果未提供,此秘密會使用自己的登入資料自行輪換 (自我輪換)。
## 用量流程
此輪換類型會以配對的形式同時輪換 API 金鑰和應用程式金鑰。它支援自我輪換 (預設),其中秘密會使用自己的登入資料來建立替代項目,或使用個別的管理員秘密來管理輔助輪換。
您可以使用 [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 呼叫建立秘密,其中秘密值包含上述欄位,秘密類型為 DatadogAdminKey。您可以使用 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫來設定輪換組態。如果您選擇自行輪換,您可以省略選用`adminSecretArn`欄位。您必須在 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中提供角色 ARN,授予服務輪換秘密所需的許可。如需許可政策的範例,請參閱 [安全與許可](mes-security.md)。
在輪換期間,驅動程式會驗證目前的 API 金鑰、建立新的 API 金鑰和新的應用程式金鑰 (從目前金鑰繼承範圍)、驗證兩個新金鑰、使用新的登入資料刪除舊對,並將新的秘密版本提升為 AWSCURRENT。