View a markdown version of this page

Kunci Confluent Cloud API - AWS Secrets Manager
Bidang Nilai RahasiaBidang Metadata RahasiaAliran Penggunaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci Confluent Cloud API

Bidang Nilai Rahasia

Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:

{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}
apiKey

ID Kunci Confluent Cloud API yang digunakan untuk otentikasi.

APISecret

Confluent Cloud API Secret digunakan untuk otentikasi.

serviceAccountId

ID dari prinsipal Akun Layanan yang diwakili oleh kunci API ini, misalnyasa-abc123. Logika rotasi menggunakan ini untuk membuat kunci baru untuk prinsipal yang benar.

resourceId

(Opsional) ID sumber daya untuk pelingkupan kunci API. Ini bisa berupa cluster Kafka (lkc-xxxxx), kSqlDB cluster (lksqlc-xxxxx), Schema Registry (), wilayah Flink (,,lsrc-xxxxx), atau. aws.us-west-2 azure.centralus gcp.us-central1 Tableflow Hilangkan bidang ini untuk kunci API manajemen sumber daya cloud.

lingkunganTid

(Opsional) Confluent Cloud Environment ID, misalnya. env-abcde Digunakan saat membuat kunci cakupan cluster.

Bidang Metadata Rahasia

Berikut ini adalah bidang metadata untuk Confluent Cloud API Key:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
adminSecretArn

(Opsional) Amazon Resource Name (ARN) untuk rahasia yang berisi kredenal Confluent Cloud API Key administratif yang digunakan untuk memutar rahasia ini. Kunci API admin harus memiliki CloudClusterAdmin atau OrganizationAdmin berperan untuk membuat dan menghapus kunci API untuk Akun Layanan. Jika dihilangkan, kredensi rahasia pengguna sendiri digunakan untuk rotasi sendiri.

Aliran Penggunaan

Rotasi mendukung dua mode. Dalam mode rotasi mandiri (default), rahasia pengguna apiKey milik/ apiSecret digunakan untuk mengautentikasi panggilan Confluent API untuk pembuatan dan penghapusan kunci. Kunci API rahasia pengguna harus memiliki izin yang cukup untuk mengelola kunci Akun Layanannya sendiri. Dalam mode admin-secret, rahasia admin terpisah yang berisiapiKey/apiSecretdengan izin admin digunakan sebagai gantinya.

Anda dapat membuat rahasia Anda menggunakan CreateSecretpanggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai ConfluentCloudApiKey. Konfigurasi rotasi dapat diatur menggunakan RotateSecretpanggilan. Jika Anda memilih rotasi sendiri, Anda dapat menghilangkan bidang opsionaladminSecretArn. Anda harus memberikan peran ARN dalam RotateSecretpanggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Untuk contoh kebijakan izin, lihat Keamanan dan Izin.

Untuk pelanggan yang memilih untuk memutar rahasia mereka menggunakan satu set kredensi admin yang terpisah, buat Rahasia Admin AWS Secrets Manager yang berisi admin dan. apiKey apiSecret Anda harus memberikan ARN Rahasia Admin ini dalam metadata rotasi dalam RotateSecretpanggilan untuk rahasia kunci API Anda.

Selama rotasi, driver membuat kunci API baru untuk Akun Layanan target melalui Confluent Cloud API, memverifikasi kunci baru, memperbarui rahasia dengan kredensi baru, dan menghapus kunci API lama.