View a markdown version of this page

Datadog-Anwendungsschlüssel - AWS Secrets Manager
Geheime WertfelderGeheime MetadatenfelderAblauf der Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datadog-Anwendungsschlüssel

Geheime Wertfelder

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}
AppKey

Der Datadog-Anwendungsschlüssel, der einem Dienstkonto gehört. Beginnt mit, ddapp_ gefolgt von 34 alphanumerischen Zeichen.

App KeyId

Der eindeutige Bezeichner (UUID) für den Anwendungsschlüssel.

Dienst AccountId

Die Datadog Service Account ID (UUID), der dieser Anwendungsschlüssel gehört. Nur Anwendungsschlüssel, die dem Dienstkonto gehören, können rotiert werden.

Geheime Metadatenfelder

Im Folgenden sind die Metadatenfelder für Datadog Application Key aufgeführt:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}
admin SecretArn

Der Amazon-Ressourcenname (ARN) für ein Geheimnis des Typs DatadogAdminKey , das die administrativen Datadog-Anmeldeinformationen (API-Schlüssel und Anwendungsschlüssel) enthält, die für die Rotation dieses Geheimnisses verwendet werden. Der geheime Administratorschlüssel muss zu demselben Dienstkonto gehören wie dieser Anwendungsschlüssel.

Ablauf der Nutzung

Diese Rotation verwendet eine Architektur mit zwei Geheimnissen. Ein Administratorgeheimnis vom Typ DatadogAdminKey stellt Anmeldeinformationen zur Authentifizierung bereit. Die Administratorgeheimnisse serviceAccountId müssen mit den Benutzergeheimnissen übereinstimmen, serviceAccountId um eine Eskalation von Rechten zu verhindern.

Sie können Ihr Geheimnis mithilfe des CreateSecretAufrufs erstellen, wobei der geheime Wert die oben genannten Felder und den Geheimtyp als DatadogApplicationKey enthält. Die Rotationskonfigurationen können mithilfe eines RotateSecretAnrufs festgelegt werden. Sie müssen die adminSecretArn in den Rotationsmetadaten angeben. Sie müssen in dem RotateSecretAnruf auch einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter Sicherheit und Berechtigungen.

Während der Rotation bestätigt der Treiber den Besitz des aktuellen Schlüssels, erstellt einen neuen Anwendungsschlüssel über die Datadog Service Account API, verifiziert den neuen Schlüssel, stuft ihn auf AWSCURRENT hoch und löscht den alten Schlüssel.