本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# MongoDB Atlas 服務帳戶登入資料
## 秘密值欄位
以下是必須包含在 Secrets Manager 秘密中的欄位:
```
{
"clientId": "{{service account OAuth client ID}}",
"clientSecret": "{{service account OAuth client secret}}",
"orgId": "{{Atlas Organization ID}}"
}
```
clientId
MongoDB Atlas 服務帳戶 OAuth 用戶端 ID。這必須以 開頭,`mdb_sa_id_`後面接著 24 個字元的十六進位字串。
clientSecret
用於身分驗證的 MongoDB Atlas 服務帳戶 OAuth 用戶端秘密。
orgId
24 個字元的十六進位 Atlas Organization ID。您可以在 Atlas Organization Settings 中找到此項目。
## 秘密中繼資料欄位
以下是 MongoDB Atlas 服務帳戶的中繼資料欄位:
```
{
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{MongoDBAtlasServiceAccount}}",
"apiVersion": "{{2025-03-12}}"
}
```
adminSecretArn
(選用) 秘密的 Amazon Resource Name (ARN),其中包含用來輪換此服務帳戶秘密的管理服務帳戶 OAuth 登入資料。管理員秘密應在秘密結構中包含 `clientId`和 `clientSecret`值。如果省略,服務帳戶將使用自己的登入資料進行自我輪換。
apiVersion
(選用) `yyyy-mm-dd` 格式的 Atlas Admin API 版本日期。此值在 `Accept` 標頭中用作 `application/vnd.atlas.{apiVersion}+json`。如果未指定,則預設為 `2025-03-12`。
## 用量流程
輪換支援兩種身分驗證模式。在自我輪換模式中 (預設),服務帳戶會使用自己的登入資料來建立和刪除其秘密。這需要服務帳戶具有管理其秘密的許可。在管理員輔助輪換模式中,會使用存放在另一個秘密中的個別管理員服務帳戶登入資料。當服務帳戶缺乏自我管理許可時,這是必要的。
您可以使用 [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 呼叫建立秘密,其中秘密值包含上述欄位,秘密類型為 MongoDBAtlasServiceAccount。您可以使用 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫來設定輪換組態。如果您選擇自行輪換,您可以省略選用`adminSecretArn`欄位。您必須在 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中提供角色 ARN,授予服務輪換秘密所需的許可。如需許可政策的範例,請參閱 [安全與許可](mes-security.md)。
對於選擇使用另一組登入資料 (存放在 Admin Secret 中) 輪換秘密的客戶,請在 中建立 AWS Secrets Manager 包含管理員服務帳戶 `clientId`和 的 Admin Secret`clientSecret`。您必須在服務帳戶秘密的 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中的輪換中繼資料中提供此 Admin Secret 的 ARN。
在輪換期間,驅動程式會透過 Atlas Admin API 為服務帳戶建立新的秘密、產生 OAuth 權杖來驗證新秘密、使用新登入資料更新秘密,以及刪除舊秘密。