View a markdown version of this page

Credenziali dell'account del servizio MongoDB Atlas - Gestione dei segreti AWS
Campi con valori segretiCampi di metadati segretiFlusso di utilizzo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Credenziali dell'account del servizio MongoDB Atlas

Campi con valori segreti

Di seguito sono riportati i campi che devono essere contenuti nel segreto di Secrets Manager:

{
  "clientId": "service account OAuth client ID",
  "clientSecret": "service account OAuth client secret",
  "orgId": "Atlas Organization ID"
}
clientId

L'ID client dell'account di servizio OAuth MongoDB Atlas. Deve iniziare con mdb_sa_id_ seguito da una stringa esadecimale di 24 caratteri.

Client Secret

Il segreto del client dell' OAuth account del servizio MongoDB Atlas utilizzato per l'autenticazione.

OrgID

L'ID esadecimale dell'organizzazione Atlas a 24 caratteri. Puoi trovarlo nelle impostazioni dell'organizzazione Atlas.

Campi di metadati segreti

Di seguito sono riportati i campi di metadati per MongoDB Atlas Service Account:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

(Facoltativo) L'Amazon Resource Name (ARN) per il segreto che contiene le OAuth credenziali dell'account del servizio amministrativo utilizzate per ruotare questo segreto dell'account di servizio. Il segreto di amministrazione deve contenere un clientSecret valore clientId and all'interno della struttura segreta. Se omesso, l'account del servizio utilizzerà le proprie credenziali per l'autorotazione.

Versione API

(Facoltativo) La data della versione dell'API Atlas Admin nel yyyy-mm-dd formato. Questo valore viene utilizzato nell'Acceptintestazione comeapplication/vnd.atlas.{apiVersion}+json. Se non specificato, viene usato il valore predefinito 2025-03-12.

Flusso di utilizzo

La rotazione supporta due modalità di autenticazione. In modalità di rotazione automatica (impostazione predefinita), l'account del servizio utilizza le proprie credenziali per creare ed eliminare i propri segreti. Ciò richiede che l'account del servizio disponga delle autorizzazioni necessarie per gestire i propri segreti. Nella modalità di rotazione assistita dall'amministratore, viene utilizzata una credenziale separata dell'account del servizio di amministrazione memorizzata in un altro segreto. Questa operazione è necessaria quando l'account di servizio non dispone delle autorizzazioni di autogestione.

Puoi creare il tuo segreto usando la CreateSecretchiamata con il valore segreto contenente i campi sopra menzionati e il tipo segreto come Mongo. DBAtlas ServiceAccount Le configurazioni di rotazione possono essere impostate utilizzando una RotateSecretchiamata. Se si opta per l'autorotazione, è possibile omettere il campo opzionale. adminSecretArn È necessario fornire un ruolo ARN nella RotateSecretchiamata che conceda al servizio le autorizzazioni necessarie per ruotare il segreto. Per un esempio di politica di autorizzazioni, vedi Sicurezza e autorizzazioni.

Per i clienti che scelgono di ruotare i propri segreti utilizzando un set separato di credenziali (archiviate in un Admin Secret), create l'Admin Secret Gestione dei segreti AWS contenente l'account del servizio di amministrazione e. clientId clientSecret È necessario fornire l'ARN di questo segreto amministrativo nei metadati di rotazione in una RotateSecretchiamata per il segreto dell'account di servizio.

Durante la rotazione, il driver crea un nuovo segreto per l'account di servizio tramite l'API Atlas Admin, verifica il nuovo segreto generando un OAuth token, aggiorna il segreto con nuove credenziali ed elimina il vecchio segreto.