Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Confluent Cloud-API-Schlüssel
<a name="mes-partner-ConfluentCloudApiKey"></a>

## Geheime Wertfelder
<a name="w2aac25c11c23b3"></a>

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

```
{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}
```

API-Schlüssel  
Die Confluent Cloud API-Schlüssel-ID, die für die Authentifizierung verwendet wird.

APISecret  
Das Confluent Cloud API Secret, das für die Authentifizierung verwendet wird.

serviceAccountId  
Die ID des Dienstkonto-Prinzipals, für den dieser API-Schlüssel steht, zum Beispiel. `sa-abc123` Die Rotationslogik verwendet dies, um neue Schlüssel für den richtigen Prinzipal zu erstellen.

resourceId  
(Optional) Die Ressourcen-ID für die Festlegung des Gültigkeitsbereichs des API-Schlüssels. Dies kann ein Kafka-Cluster (`lkc-xxxxx`), ein KSqlDB-Cluster (), eine Schemaregistry (`lksqlc-xxxxx`), eine Flink-Region (,,`lsrc-xxxxx`) oder sein. `aws.us-west-2` `azure.centralus` `gcp.us-central1` `Tableflow` Lassen Sie dieses Feld für API-Schlüssel zur Cloud-Ressourcenverwaltung weg.

Umgebungs-ID  
(Optional) Zum Beispiel die Confluent Cloud-Umgebungs-ID. `env-abcde` Wird beim Erstellen von Schlüsseln im Clusterbereich verwendet.

## Geheime Metadatenfelder
<a name="w2aac25c11c23b5"></a>

Im Folgenden sind die Metadatenfelder für Confluent Cloud API Key aufgeführt:

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
```

adminSecretArn  
(Optional) Der Amazon-Ressourcenname (ARN) für das Geheimnis, das die administrativen Confluent Cloud API-Schlüsselanmeldedaten enthält, die für die Rotation dieses Geheimnisses verwendet werden. Der Admin-API-Schlüssel muss über OrganizationAdmin eine Rolle verfügen CloudClusterAdmin , um API-Schlüssel für Servicekonten erstellen und löschen zu können. Wenn nicht angegeben, werden die eigenen Anmeldeinformationen des Benutzergeheimnisses für die Eigenrotation verwendet.

## Ablauf der Nutzung
<a name="w2aac25c11c23b7"></a>

Die Rotation unterstützt zwei Modi. Im Selbstrotationsmodus (Standard) `apiSecret` werden die eigenen`apiKey`/des Benutzergeheimnisses zur Authentifizierung von Confluent-API-Aufrufen zur Schlüsselerstellung und -löschung verwendet. Der API-Schlüssel des Benutzergeheimnisses muss über ausreichende Berechtigungen verfügen, um die Schlüssel seines eigenen Dienstkontos zu verwalten. Im Admin-Secret-Modus wird stattdessen ein separates Administratorgeheimnis verwendet, das`apiKey`/`apiSecret`mit Administratorberechtigungen enthält.

Sie können Ihr Geheimnis mithilfe des [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Aufrufs erstellen, wobei der geheime Wert die oben genannten Felder und den Geheimtyp als enthält. ConfluentCloudApiKey Die Rotationskonfigurationen können mithilfe eines [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anrufs festgelegt werden. Wenn Sie sich für die Eigenrotation entscheiden, können Sie das optionale `adminSecretArn` Feld weglassen. Sie müssen in dem [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anruf einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter [Sicherheit und Berechtigungen](mes-security.md).

Für Kunden, die sich dafür entscheiden, ihre geheimen Daten abwechselnd mit einem separaten Satz von Administratoranmeldedaten zu verwenden, erstellen Sie das Administratorgeheimnis, das den Administrator `apiKey` und AWS Secrets Manager `apiSecret` enthält. Sie müssen den ARN dieses Admin-Secrets in den Rotationsmetadaten angeben, wenn Sie Ihr API-Schlüsselgeheimnis [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)aufrufen.

Während der Rotation erstellt der Treiber über die Confluent Cloud API einen neuen API-Schlüssel für das Ziel-Servicekonto, verifiziert den neuen Schlüssel, aktualisiert den geheimen Schlüssel mit neuen Anmeldeinformationen und löscht den alten API-Schlüssel.