Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Clé d'API Confluent Cloud
## Champs de valeurs secrets
Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :
```
{
"apiKey": "API Key ID",
"apiSecret": "API Secret",
"serviceAccountId": "Service Account ID",
"resourceId": "Resource ID",
"environmentId": "Environment ID"
}
```
Clé API
L'ID de clé d'API Confluent Cloud utilisé pour l'authentification.
Secret de l'API
Le secret de l'API Confluent Cloud utilisé pour l'authentification.
serviceAccountId
L'ID du compte de service principal représenté par cette clé d'API, par exemple`sa-abc123`. La logique de rotation l'utilise pour créer de nouvelles clés pour le principal approprié.
resourceId
(Facultatif) L'ID de ressource pour définir la portée de la clé API. Il peut s'agir d'un cluster Kafka (`lkc-xxxxx`), d'un cluster KSQLdb (`lksqlc-xxxxx`), d'un registre de schéma (`lsrc-xxxxx`), d'une région Flink (,`aws.us-west-2`,`azure.centralus`) ou. `gcp.us-central1` `Tableflow` Omettez ce champ pour les clés d'API de gestion des ressources cloud.
ID d'environnement
(Facultatif) L'identifiant de l'environnement cloud Confluent, par exemple`env-abcde`. Utilisé lors de la création de clés étendues à un cluster.
## Champs de métadonnées secrets
Les champs de métadonnées de la clé d'API Confluent Cloud sont les suivants :
```
{
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}
```
adminSecretArn
(Facultatif) Le nom de ressource Amazon (ARN) du secret contenant les informations d'identification de la clé d'API Confluent Cloud administrative utilisées pour faire pivoter ce secret. La clé d'API d'administration doit avoir CloudClusterAdmin OrganizationAdmin un rôle pour créer et supprimer des clés d'API pour les comptes de service. En cas d'omission, les propres informations d'identification du secret utilisateur sont utilisées pour l'autorotation.
## Flux d'utilisation
La rotation prend en charge deux modes. En mode autorotation (par défaut), le code secret utilisateur`apiKey`/est utilisé pour authentifier `apiSecret` les appels d'API Confluent pour la création et la suppression de clés. La clé API du secret utilisateur doit disposer d'autorisations suffisantes pour gérer les clés de son propre compte de service. En mode admin-secret, un secret d'administration distinct contenant`apiKey`/`apiSecret`avec des autorisations d'administrateur est utilisé à la place.
Vous pouvez créer votre secret à l'aide de l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)appel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as ConfluentCloudApiKey. Les configurations de rotation peuvent être définies à l'aide d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel. Si vous optez pour la rotation automatique, vous pouvez omettre le champ facultatif`adminSecretArn`. Vous devez fournir un ARN de rôle dans l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir [Sécurité et autorisations](mes-security.md).
Pour les clients qui choisissent de changer leurs secrets à l'aide d'un ensemble distinct d'informations d'identification d'administrateur, créez le secret d'administration en AWS Secrets Manager contenant l'administrateur `apiKey` et`apiSecret`. Vous devez fournir l'ARN de ce secret d'administration dans les métadonnées de rotation lors d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel à votre clé secrète d'API.
Pendant la rotation, le pilote crée une nouvelle clé d'API pour le compte de service cible via l'API Confluent Cloud, vérifie la nouvelle clé, met à jour le secret avec de nouvelles informations d'identification et supprime l'ancienne clé d'API.