View a markdown version of this page

Clé d'API Confluent Cloud - AWS Secrets Manager
Champs de valeurs secretsChamps de métadonnées secretsFlux d'utilisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clé d'API Confluent Cloud

Champs de valeurs secrets

Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :

{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}
Clé API

L'ID de clé d'API Confluent Cloud utilisé pour l'authentification.

Secret de l'API

Le secret de l'API Confluent Cloud utilisé pour l'authentification.

serviceAccountId

L'ID du compte de service principal représenté par cette clé d'API, par exemplesa-abc123. La logique de rotation l'utilise pour créer de nouvelles clés pour le principal approprié.

resourceId

(Facultatif) L'ID de ressource pour définir la portée de la clé API. Il peut s'agir d'un cluster Kafka (lkc-xxxxx), d'un cluster KSQLdb (lksqlc-xxxxx), d'un registre de schéma (lsrc-xxxxx), d'une région Flink (,aws.us-west-2,azure.centralus) ou. gcp.us-central1 Tableflow Omettez ce champ pour les clés d'API de gestion des ressources cloud.

ID d'environnement

(Facultatif) L'identifiant de l'environnement cloud Confluent, par exempleenv-abcde. Utilisé lors de la création de clés étendues à un cluster.

Champs de métadonnées secrets

Les champs de métadonnées de la clé d'API Confluent Cloud sont les suivants :

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
adminSecretArn

(Facultatif) Le nom de ressource Amazon (ARN) du secret contenant les informations d'identification de la clé d'API Confluent Cloud administrative utilisées pour faire pivoter ce secret. La clé d'API d'administration doit avoir CloudClusterAdmin OrganizationAdmin un rôle pour créer et supprimer des clés d'API pour les comptes de service. En cas d'omission, les propres informations d'identification du secret utilisateur sont utilisées pour l'autorotation.

Flux d'utilisation

La rotation prend en charge deux modes. En mode autorotation (par défaut), le code secret utilisateurapiKey/est utilisé pour authentifier apiSecret les appels d'API Confluent pour la création et la suppression de clés. La clé API du secret utilisateur doit disposer d'autorisations suffisantes pour gérer les clés de son propre compte de service. En mode admin-secret, un secret d'administration distinct contenantapiKey/apiSecretavec des autorisations d'administrateur est utilisé à la place.

Vous pouvez créer votre secret à l'aide de l'CreateSecretappel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as ConfluentCloudApiKey. Les configurations de rotation peuvent être définies à l'aide d'un RotateSecretappel. Si vous optez pour la rotation automatique, vous pouvez omettre le champ facultatifadminSecretArn. Vous devez fournir un ARN de rôle dans l'RotateSecretappel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir Sécurité et autorisations.

Pour les clients qui choisissent de changer leurs secrets à l'aide d'un ensemble distinct d'informations d'identification d'administrateur, créez le secret d'administration en AWS Secrets Manager contenant l'administrateur apiKey etapiSecret. Vous devez fournir l'ARN de ce secret d'administration dans les métadonnées de rotation lors d'un RotateSecretappel à votre clé secrète d'API.

Pendant la rotation, le pilote crée une nouvelle clé d'API pour le compte de service cible via l'API Confluent Cloud, vérifie la nouvelle clé, met à jour le secret avec de nouvelles informations d'identification et supprime l'ancienne clé d'API.