View a markdown version of this page

Chave do aplicativo Datadog - AWS Secrets Manager
Campos de valor secretoCampos de metadados secretosFluxo de uso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chave do aplicativo Datadog

Campos de valor secreto

A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:

{
  "appKey": "Application key starting with ddapp_",
  "appKeyId": "Application key UUID",
  "serviceAccountId": "Service Account UUID"
}
AppKey

A chave do aplicativo Datadog de propriedade de uma conta de serviço. Começa com ddapp_ seguido por 34 caracteres alfanuméricos.

aplicativo KeyId

O identificador exclusivo (UUID) da chave do aplicativo.

serviço AccountId

O ID da conta de serviço do Datadog (UUID) que possui essa chave de aplicativo. Somente as chaves de aplicativo de propriedade da conta de serviço podem ser alternadas.

Campos de metadados secretos

A seguir estão os campos de metadados da chave do aplicativo Datadog:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:DatadogAdminKey"
}
administrador SecretArn

O Amazon Resource Name (ARN) de um segredo do tipo DatadogAdminKey que contém as credenciais administrativas do Datadog (chave de API e chave de aplicativo) usadas para alternar esse segredo. O segredo do administrador deve pertencer à mesma conta de serviço dessa chave de aplicativo.

Fluxo de uso

Essa rotação usa uma arquitetura de dois segredos. Um segredo administrativo desse tipo DatadogAdminKey fornece credenciais de autenticação. O segredo do administrador serviceAccountId deve corresponder ao segredo do usuário serviceAccountId para evitar o aumento de privilégios.

Você pode criar seu segredo usando a CreateSecretchamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como DatadogApplicationKey. As configurações de rotação podem ser definidas usando uma RotateSecretchamada. Você deve fornecer os metadados adminSecretArn na rotação. Você também deve fornecer um ARN de função na RotateSecretchamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte Segurança e permissões.

Durante a rotação, o driver valida a propriedade da chave atual, cria uma nova chave de aplicativo por meio da API de conta de serviço do Datadog, verifica a nova chave, a promove para AWSCURRENT e exclui a chave antiga.