Campos de valores secretos Campos de metadatos secretos Flujo de uso

Credenciales de la cuenta de servicio MongoDB Atlas

Campos de valores secretos

Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:


{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}

clientId: El ID de cliente de la cuenta de servicio MongoDB Atlas. OAuth Debe empezar mdb_sa_id_ seguido de una cadena hexadecimal de 24 caracteres.
Secreto del cliente: El secreto del cliente de la OAuth cuenta de servicio Atlas de MongoDB utilizado para la autenticación.
OrgID: El identificador hexadecimal de 24 caracteres de la organización Atlas. Puede encontrarlo en la configuración de su organización de Atlas.

Campos de metadatos secretos

Los siguientes son los campos de metadatos de la cuenta de servicio Atlas de MongodB:


{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}

adminSecretArn: (Opcional) El nombre de recurso de Amazon (ARN) del secreto que contiene las OAuth credenciales de la cuenta de servicio administrativo utilizadas para rotar este secreto de la cuenta de servicio. El secreto de administración debe contener un clientSecret valor clientId y dentro de la estructura secreta. Si se omite, la cuenta de servicio utilizará sus propias credenciales para la rotación automática.
apiVersion: (Opcional) La fecha de la versión de la API de administración de Atlas en yyyy-mm-dd formato. Este valor se utiliza en el Accept encabezado comoapplication/vnd.atlas.{apiVersion}+json. Toma 2025-03-12 como valor predeterminado si no se especifica.

Flujo de uso

La rotación admite dos modos de autenticación. En el modo de rotación automática (predeterminado), la cuenta de servicio usa sus propias credenciales para crear y eliminar sus secretos. Esto requiere que la cuenta de servicio tenga permisos para administrar sus propios secretos. En el modo de rotación asistido por el administrador, se utiliza una credencial de cuenta de servicio de administración independiente almacenada en otro secreto. Esto es necesario cuando la cuenta de servicio carece de permisos de autoadministración.

Puedes crear tu secreto mediante la CreateSecretllamada cuyo valor secreto contiene los campos mencionados anteriormente y cuyo tipo de secreto es DBAtlas ServiceAccount Mongo. Las configuraciones de rotación se pueden configurar mediante una RotateSecretllamada. Si opta por la rotación automática, puede omitir el campo opcionaladminSecretArn. Debe proporcionar un ARN de rol en la RotateSecretllamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta Seguridad y permisos.

En el caso de los clientes que opten por ocultar sus datos confidenciales mediante un conjunto independiente de credenciales (almacenadas en un secreto de administrador), deben crear el secreto de administrador para incluir los AWS Secrets Manager datos clientId y clientSecret de la cuenta del servicio de administración. Debe proporcionar el ARN de este secreto de administrador en los metadatos de rotación en una RotateSecretllamada para obtener el secreto de su cuenta de servicio.

Durante la rotación, el conductor crea un nuevo secreto para la cuenta de servicio mediante la API de administración de Atlas, lo verifica generando un OAuth token, lo actualiza con nuevas credenciales y elimina el secreto anterior.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Par de claves Snowflake

Usuario de la base de datos MongoDB Atlas