View a markdown version of this page

Zugangsdaten für das MongoDB Atlas-Dienstkonto - AWS Secrets Manager
Geheime WertfelderGeheime MetadatenfelderAblauf der Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugangsdaten für das MongoDB Atlas-Dienstkonto

Geheime Wertfelder

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

Die OAuth Client-ID des MongoDB Atlas-Dienstkontos. Dies muss mit beginnen, mdb_sa_id_ gefolgt von einer 24-stelligen Hexadezimalzeichenfolge.

Geheimer Client

Das OAuth Client-Geheimnis des MongoDB Atlas-Dienstkontos, das für die Authentifizierung verwendet wird.

OrgiD

Die 24-stellige hexadezimale Atlas-Organisations-ID. Sie finden sie in Ihren Atlas-Organisationseinstellungen.

Geheime Metadatenfelder

Im Folgenden sind die Metadatenfelder für das MongoDB Atlas Service Account aufgeführt:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

(Optional) Der Amazon-Ressourcenname (ARN) für den geheimen Schlüssel, der die OAuth Anmeldeinformationen für das administrative Dienstkonto enthält, die für die Rotation dieses Dienstkontogeheimnisses verwendet wurden. Der geheime Administratorschlüssel sollte innerhalb der geheimen Struktur einen clientSecret Wert clientId und enthalten. Wenn dieser Wert nicht angegeben wird, verwendet das Dienstkonto seine eigenen Anmeldeinformationen für die Eigenrotation.

API-Version

(Optional) Das Versionsdatum der Atlas Admin API im yyyy-mm-dd Format. Dieser Wert wird im Accept Header als verwendetapplication/vnd.atlas.{apiVersion}+json. Es gilt der Standardwert 2025-03-12, wenn keine Angabe gemacht wird.

Ablauf der Nutzung

Die Rotation unterstützt zwei Authentifizierungsmodi. Im Selbstrotationsmodus (Standard) verwendet das Dienstkonto seine eigenen Anmeldeinformationen, um seine Geheimnisse zu erstellen und zu löschen. Dazu muss das Dienstkonto über Berechtigungen zur Verwaltung seiner eigenen Geheimnisse verfügen. Im vom Administrator unterstützten Rotationsmodus werden separate Anmeldeinformationen für das Administratordienstkonto verwendet, die in einem anderen Geheimnis gespeichert sind. Dies ist erforderlich, wenn das Dienstkonto keine Selbstverwaltungsberechtigungen besitzt.

Sie können Ihr Geheimnis mithilfe des CreateSecretAufrufs mit dem geheimen Wert, der die oben genannten Felder enthält, und dem Geheimtyp DBAtlas ServiceAccount Mongo erstellen. Die Rotationskonfigurationen können mithilfe eines RotateSecretAnrufs festgelegt werden. Wenn Sie sich für die Eigenrotation entscheiden, können Sie das optionale adminSecretArn Feld weglassen. Sie müssen in dem RotateSecretAnruf einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter Sicherheit und Berechtigungen.

Für Kunden, die sich dafür entscheiden, ihre Geheimnisse abwechselnd mit einem separaten Satz von Anmeldeinformationen (gespeichert in einem Admin-Secret) zu verwenden, erstellen Sie das Administratorgeheimnis, das die Daten clientId und clientSecret des Administrator-Dienstkontos AWS Secrets Manager enthält. Sie müssen den ARN dieses Admin-Secrets in den Rotationsmetadaten angeben, wenn Sie Ihr Dienstkontogeheimnis RotateSecretaufrufen.

Während der Rotation erstellt der Treiber über die Atlas-Admin-API ein neues Geheimnis für das Dienstkonto, verifiziert das neue Geheimnis durch Generierung eines OAuth Tokens, aktualisiert das Geheimnis mit neuen Anmeldeinformationen und löscht das alte Geheimnis.