本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Datadog 應用程式金鑰
<a name="mes-partner-DatadogApplicationKey"></a>

## 秘密值欄位
<a name="w2aac25c11c27b3"></a>

以下是必須包含在 Secrets Manager 秘密中的欄位：

```
{
  "appKey": "{{Application key starting with ddapp_}}",
  "appKeyId": "{{Application key UUID}}",
  "serviceAccountId": "{{Service Account UUID}}"
}
```

appKey  
服務帳戶擁有的 Datadog 應用程式金鑰。開頭為 ，`ddapp_`後面接著 34 個英數字元。

appKeyId  
應用程式金鑰的唯一識別符 (UUID)。

serviceAccountId  
擁有此應用程式金鑰的 Datadog Service 帳戶 ID (UUID)。只能輪換服務帳戶擁有的應用程式金鑰。

## 秘密中繼資料欄位
<a name="w2aac25c11c27b5"></a>

以下是 Datadog 應用程式金鑰的中繼資料欄位：

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{DatadogAdminKey}}"
}
```

adminSecretArn  
DatadogAdminKey 類型的秘密的 Amazon Resource Name (ARN)，其中包含用來輪換此秘密的管理 Datadog 登入資料 (API 金鑰和應用程式金鑰）。管理員秘密必須屬於與此應用程式金鑰相同的服務帳戶。

## 用量流程
<a name="w2aac25c11c27b7"></a>

此輪換使用雙秘密架構。DatadogAdminKey 類型的管理員秘密提供身分驗證憑證。管理員秘密的 `serviceAccountId` 必須符合使用者秘密的 `serviceAccountId`，以防止權限提升。

您可以使用 [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 呼叫建立秘密，其中秘密值包含上述欄位，秘密類型為 DatadogApplicationKey。您可以使用 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫來設定輪換組態。您必須在輪換中繼資料`adminSecretArn`中提供 。您也必須在 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中提供角色 ARN，授予服務輪換秘密所需的許可。如需許可政策的範例，請參閱 [安全與許可](mes-security.md)。

在輪換期間，驅動程式會驗證目前金鑰的擁有權、透過 Datadog Service 帳戶 API 建立新的應用程式金鑰、驗證新金鑰、將其提升為 AWSCURRENT，以及刪除舊金鑰。