Datadog 應用程式金鑰

秘密值欄位

以下是必須包含在 Secrets Manager 秘密中的欄位：

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}

appKey

服務帳戶擁有的 Datadog 應用程式金鑰。開頭為 ，ddapp_後面接著 34 個英數字元。

appKeyId

應用程式金鑰的唯一識別符 (UUID)。

serviceAccountId

擁有此應用程式金鑰的 Datadog Service 帳戶 ID (UUID)。只能輪換服務帳戶擁有的應用程式金鑰。

秘密中繼資料欄位

以下是 Datadog 應用程式金鑰的中繼資料欄位：

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}

adminSecretArn

DatadogAdminKey 類型的秘密的 Amazon Resource Name (ARN)，其中包含用來輪換此秘密的管理 Datadog 登入資料 (API 金鑰和應用程式金鑰）。管理員秘密必須屬於與此應用程式金鑰相同的服務帳戶。

用量流程

此輪換使用雙秘密架構。DatadogAdminKey 類型的管理員秘密提供身分驗證憑證。管理員秘密的 serviceAccountId 必須符合使用者秘密的 serviceAccountId，以防止權限提升。

您可以使用 CreateSecret 呼叫建立秘密，其中秘密值包含上述欄位，秘密類型為 DatadogApplicationKey。您可以使用 RotateSecret 呼叫來設定輪換組態。您必須在輪換中繼資料adminSecretArn中提供 。您也必須在 RotateSecret 呼叫中提供角色 ARN，授予服務輪換秘密所需的許可。如需許可政策的範例，請參閱 安全與許可。

在輪換期間，驅動程式會驗證目前金鑰的擁有權、透過 Datadog Service 帳戶 API 建立新的應用程式金鑰、驗證新金鑰、將其提升為 AWSCURRENT，以及刪除舊金鑰。