View a markdown version of this page

Chave de API do Confluent Cloud - AWS Secrets Manager
Campos de valor secretoCampos de metadados secretosFluxo de uso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chave de API do Confluent Cloud

Campos de valor secreto

A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:

{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}
Chave de API

O ID da chave da API Confluent Cloud usado para autenticação.

Segredo da API

O segredo da API Confluent Cloud usado para autenticação.

serviceAccountId

O ID do principal da conta de serviço que essa chave de API representa, por exemplosa-abc123. A lógica de rotação usa isso para criar novas chaves para o principal correto.

resourceId

(Opcional) O ID do recurso para definir o escopo da chave de API. Isso pode ser um cluster Kafka (lkc-xxxxx), cluster KSQLdb (lksqlc-xxxxx), Schema Registry (), região Flink (,,lsrc-xxxxx) ou. aws.us-west-2 azure.centralus gcp.us-central1 Tableflow Omita esse campo para as chaves da API de gerenciamento de recursos em nuvem.

environmentId

(Opcional) O Confluent Cloud Environment ID, por exemplo. env-abcde Usado ao criar chaves com escopo de cluster.

Campos de metadados secretos

A seguir estão os campos de metadados da chave de API do Confluent Cloud:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
adminSecretArn

(Opcional) O nome de recurso da Amazon (ARN) do segredo que contém as credenciais administrativas da chave de API do Confluent Cloud usadas para alternar esse segredo. A chave de API do administrador deve ter CloudClusterAdmin nossa OrganizationAdmin função para criar e excluir chaves de API para contas de serviço. Se omitidas, as próprias credenciais do segredo do usuário são usadas para rotação automática.

Fluxo de uso

A rotação suporta dois modos. No modo de rotação automática (padrão), os própriosapiKey/do segredo do usuário apiSecret são usados para autenticar chamadas da API Confluent para criação e exclusão de chaves. A chave de API do segredo do usuário deve ter permissões suficientes para gerenciar as chaves da própria conta de serviço. No modo admin-secret, um segredo de administrador separado contendoapiKey/apiSecretcom permissões de administrador é usado em vez disso.

Você pode criar seu segredo usando a CreateSecretchamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como ConfluentCloudApiKey. As configurações de rotação podem ser definidas usando uma RotateSecretchamada. Se você optar pela rotação automática, poderá omitir o campo opcionaladminSecretArn. Você deve fornecer um ARN de função na RotateSecretchamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte Segurança e permissões.

Para clientes que optam por alternar seus segredos usando um conjunto separado de credenciais de administrador, crie o segredo do administrador AWS Secrets Manager contendo o administrador e. apiKey apiSecret Você deve fornecer o ARN desse segredo do administrador nos metadados de rotação em uma RotateSecretchamada para o segredo da sua chave de API.

Durante a rotação, o driver cria uma nova chave de API para a conta de serviço de destino por meio da API Confluent Cloud, verifica a nova chave, atualiza a chave secreta com novas credenciais e exclui a chave de API antiga.