本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Datadog API 金鑰
秘密值欄位
以下是必須包含在 Secrets Manager 秘密中的欄位:
{
"apiKey": "32-character hex API key",
"apiKeyId": "API key UUID"
}- apiKey
-
目前的 Datadog API 金鑰。用於將指標、日誌和追蹤提交至 Datadog 的 32 個字元十六進位字串。
- apiKeyId
-
API 金鑰的唯一識別符 (UUID)。透過 Datadog API 或 Organization Settings 找到。
秘密中繼資料欄位
以下是 Datadog API 金鑰的中繼資料欄位:
{ "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey" }
- adminSecretArn
-
DatadogAdminKey 類型的秘密的 Amazon Resource Name (ARN),其中包含用來輪換此秘密的管理 Datadog 登入資料 (API 金鑰和應用程式金鑰)。應用程式金鑰必須具有範圍:
api_keys_write、api_keys_delete。
用量流程
此輪換使用雙秘密架構。DatadogAdminKey 類型的管理員秘密提供驗證 Datadog Key Management API 呼叫所需的 API 金鑰和應用程式金鑰。
您可以使用 CreateSecret 呼叫建立秘密,其中秘密值包含上述欄位,且秘密類型為 DatadogApiKey。您可以使用 RotateSecret 呼叫來設定輪換組態。您必須在輪換中繼資料adminSecretArn中提供 。您還必須在 RotateSecret 呼叫中提供角色 ARN,授予服務輪換秘密所需的許可。如需許可政策的範例,請參閱 安全與許可。
在輪換期間,驅動程式會透過 Datadog Key Management API v2 建立新的 API 金鑰、使用驗證端點驗證新金鑰、將新金鑰提升為 AWSCURRENT,以及從 Datadog 刪除置換的金鑰 (兩個舊輪換)。這可維持 2 鍵交替模式,確保零停機時間輪換。
