View a markdown version of this page

Clave de API de Confluent Cloud - AWS Secrets Manager
Campos de valores secretosCampos de metadatos secretosFlujo de uso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Clave de API de Confluent Cloud

Campos de valores secretos

Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:

{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}
Clave API

El identificador clave de la API de Confluent Cloud que se utiliza para la autenticación.

ApiSecret

El secreto de la API de Confluent Cloud utilizado para la autenticación.

serviceAccountId

El ID del principal de la cuenta de servicio que representa esta clave de API, por ejemplosa-abc123. La lógica de rotación lo utiliza para crear nuevas claves para el principal correcto.

resourceId

(Opcional) El ID del recurso para determinar el alcance de la clave de API. Puede ser un clúster de Kafka (lkc-xxxxx), un clúster de KSQLdb (), un registro de esquemas (lksqlc-xxxxx), una región de Flink (,,lsrc-xxxxx) o. aws.us-west-2 azure.centralus gcp.us-central1 Tableflow Omita este campo para las claves de API de administración de recursos en la nube.

environmentId

(Opcional) El ID del entorno de nube de Confluent, por ejemplo. env-abcde Se usa al crear claves con alcance de clúster.

Campos de metadatos secretos

Los siguientes son los campos de metadatos de la clave de API de Confluent Cloud:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
adminSecretArn

(Opcional) El nombre del recurso de Amazon (ARN) del secreto que contiene las credenciales de la clave de API de Confluent Cloud administrativas utilizadas para rotar este secreto. La clave de API de administrador debe tener CloudClusterAdmin o tener una OrganizationAdmin función para crear y eliminar las claves de API para las cuentas de servicio. Si se omite, las propias credenciales del secreto de usuario se utilizan para la rotación automática.

Flujo de uso

La rotación admite dos modos. En el modo de rotación automática (predeterminado), los propiosapiKey/del secreto de usuario se apiSecret utilizan para autenticar las llamadas a la API de Confluent para la creación y eliminación de claves. La clave de API del secreto de usuario debe tener permisos suficientes para administrar las claves de su propia cuenta de servicio. En el modo de secreto de administrador, se utiliza en su lugar un secreto de administrador independiente que contieneapiKey/apiSecretcon permisos de administrador.

Puedes crear tu secreto mediante la CreateSecretllamada cuyo valor secreto contenga los campos mencionados anteriormente y cuyo tipo de secreto sea. ConfluentCloudApiKey Las configuraciones de rotación se pueden configurar mediante una RotateSecretllamada. Si opta por la rotación automática, puede omitir el campo opcionaladminSecretArn. Debe proporcionar un ARN de rol en la RotateSecretllamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta Seguridad y permisos.

Para los clientes que opten por rotar sus datos secretos mediante un conjunto independiente de credenciales de administrador, cree el secreto de administrador AWS Secrets Manager que contenga el nombre de administrador apiKey yapiSecret. Debes proporcionar el ARN de este secreto de administrador en los metadatos de rotación en una RotateSecretllamada a tu clave secreta de API.

Durante la rotación, el controlador crea una nueva clave de API para la cuenta de servicio de destino a través de la API de Confluent Cloud, verifica la nueva clave, actualiza el secreto con nuevas credenciales y elimina la clave de API anterior.