Confluent 雲端 API 金鑰

秘密值欄位

以下是必須包含在 Secrets Manager 秘密中的欄位：

{
  "apiKey": "API Key ID",
  "apiSecret": "API Secret",
  "serviceAccountId": "Service Account ID",
  "resourceId": "Resource ID",
  "environmentId": "Environment ID"
}

apiKey

用於身分驗證的 Confluent Cloud API 金鑰 ID。

apiSecret

用於身分驗證的 Confluent Cloud API 秘密。

serviceAccountId

此 API 金鑰代表的服務帳戶主體 ID，例如 sa-abc123。輪換邏輯會使用此邏輯來為正確的委託人建立新的金鑰。

resourceId

（選用） 定義 API 金鑰範圍的資源 ID。這可以是 Kafka 叢集 (lkc-xxxxx)、ksqlDB 叢集 (lksqlc-xxxxx)、結構描述登錄檔 (lsrc-xxxxx)、Flink 區域 (aws.us-west-2、azure.centralus、gcp.us-central1) 或 Tableflow。省略雲端資源管理 API 金鑰的此欄位。

environmentId

（選用） Confluent Cloud Environment ID，例如 env-abcde。建立叢集範圍金鑰時使用。

秘密中繼資料欄位

以下是 Confluent Cloud API 金鑰的中繼資料欄位：

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey"
}

adminSecretArn

（選用） 秘密的 Amazon Resource Name (ARN)，其中包含用來輪換此秘密的管理 Confluent Cloud API 金鑰憑證。管理員 API 金鑰必須具有 CloudClusterAdmin 或 OrganizationAdmin 角色，才能建立和刪除服務帳戶的 API 金鑰。如果省略，則會使用使用者秘密自己的登入資料進行自我輪換。

用量流程

輪換支援兩種模式。在自我輪換模式中 （預設），使用者秘密自己的 apiKey/apiSecret 用於驗證用於建立和刪除金鑰的 Confluent API 呼叫。使用者秘密的 API 金鑰必須具有足夠的許可，才能管理其自己的服務帳戶的金鑰。在 admin-secret 模式中，會改用包含具有管理員許可之 apiKey/apiSecret 的個別管理員秘密。

您可以使用 CreateSecret 呼叫建立秘密，其中秘密值包含上述欄位，且秘密類型為 ConfluentCloudApiKey。您可以使用 RotateSecret 呼叫來設定輪換組態。如果您選擇自行輪換，您可以省略選用adminSecretArn欄位。您必須在 RotateSecret 呼叫中提供角色 ARN，授予服務輪換秘密所需的許可。如需許可政策的範例，請參閱 安全與許可。

對於選擇使用另一組管理員登入資料來輪換秘密的客戶，請在 中建立 AWS Secrets Manager 包含管理員apiKey和 的管理員秘密apiSecret。您必須針對 API 金鑰秘密，在 RotateSecret 呼叫中的輪換中繼資料中提供此 Admin Secret 的 ARN。

在輪換期間，驅動程式會透過 Confluent Cloud API 為目標服務帳戶建立新的 API 金鑰、驗證新金鑰、使用新登入資料更新秘密，以及刪除舊的 API 金鑰。