Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Clave de API de Confluent Cloud
## Campos de valores secretos
Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:
```
{
"apiKey": "API Key ID",
"apiSecret": "API Secret",
"serviceAccountId": "Service Account ID",
"resourceId": "Resource ID",
"environmentId": "Environment ID"
}
```
Clave API
El identificador clave de la API de Confluent Cloud que se utiliza para la autenticación.
ApiSecret
El secreto de la API de Confluent Cloud utilizado para la autenticación.
serviceAccountId
El ID del principal de la cuenta de servicio que representa esta clave de API, por ejemplo`sa-abc123`. La lógica de rotación lo utiliza para crear nuevas claves para el principal correcto.
resourceId
(Opcional) El ID del recurso para determinar el alcance de la clave de API. Puede ser un clúster de Kafka (`lkc-xxxxx`), un clúster de KSQLdb (), un registro de esquemas (`lksqlc-xxxxx`), una región de Flink (,,`lsrc-xxxxx`) o. `aws.us-west-2` `azure.centralus` `gcp.us-central1` `Tableflow` Omita este campo para las claves de API de administración de recursos en la nube.
environmentId
(Opcional) El ID del entorno de nube de Confluent, por ejemplo. `env-abcde` Se usa al crear claves con alcance de clúster.
## Campos de metadatos secretos
Los siguientes son los campos de metadatos de la clave de API de Confluent Cloud:
```
{
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
```
adminSecretArn
(Opcional) El nombre del recurso de Amazon (ARN) del secreto que contiene las credenciales de la clave de API de Confluent Cloud administrativas utilizadas para rotar este secreto. La clave de API de administrador debe tener CloudClusterAdmin o tener una OrganizationAdmin función para crear y eliminar las claves de API para las cuentas de servicio. Si se omite, las propias credenciales del secreto de usuario se utilizan para la rotación automática.
## Flujo de uso
La rotación admite dos modos. En el modo de rotación automática (predeterminado), los propios`apiKey`/del secreto de usuario se `apiSecret` utilizan para autenticar las llamadas a la API de Confluent para la creación y eliminación de claves. La clave de API del secreto de usuario debe tener permisos suficientes para administrar las claves de su propia cuenta de servicio. En el modo de secreto de administrador, se utiliza en su lugar un secreto de administrador independiente que contiene`apiKey`/`apiSecret`con permisos de administrador.
Puedes crear tu secreto mediante la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)llamada cuyo valor secreto contenga los campos mencionados anteriormente y cuyo tipo de secreto sea. ConfluentCloudApiKey Las configuraciones de rotación se pueden configurar mediante una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada. Si opta por la rotación automática, puede omitir el campo opcional`adminSecretArn`. Debe proporcionar un ARN de rol en la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta [Seguridad y permisos](mes-security.md).
Para los clientes que opten por rotar sus datos secretos mediante un conjunto independiente de credenciales de administrador, cree el secreto de administrador AWS Secrets Manager que contenga el nombre de administrador `apiKey` y`apiSecret`. Debes proporcionar el ARN de este secreto de administrador en los metadatos de rotación en una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada a tu clave secreta de API.
Durante la rotación, el controlador crea una nueva clave de API para la cuenta de servicio de destino a través de la API de Confluent Cloud, verifica la nueva clave, actualiza el secreto con nuevas credenciales y elimina la clave de API anterior.