翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Confluent Cloud API キー
<a name="mes-partner-ConfluentCloudApiKey"></a>

## シークレット値フィールド
<a name="w2aac25c11c23b3"></a>

以下は、Secrets Manager シークレットに含める必要があるフィールドです。

```
{
  "apiKey": "{{API Key ID}}",
  "apiSecret": "{{API Secret}}",
  "serviceAccountId": "{{Service Account ID}}",
  "resourceId": "{{Resource ID}}",
  "environmentId": "{{Environment ID}}"
}
```

apiKey  
認証に使用される Confluent Cloud API キー ID。

apiSecret  
認証に使用される Confluent Cloud API シークレット。

serviceAccountId  
この API キーが表すサービスアカウントプリンシパルの ID。例: `sa-abc123`。ローテーションロジックはこれを使用して、正しいプリンシパルの新しいキーを作成します。

resourceId  
(オプション) API キーをスコープするためのリソース ID。Kafka クラスター (`lkc-xxxxx`)、ksqlDB クラスター (`lksqlc-xxxxx`)、スキーマレジストリ (`lsrc-xxxxx`)、Flink リージョン (`aws.us-west-2`、`azure.centralus`、`gcp.us-central1`)、または を使用できます`Tableflow`。クラウドリソース管理 API キーの場合は、このフィールドを省略します。

environmentId  
(オプション) Confluent クラウド環境 ID。例: `env-abcde`。クラスタースコープのキーを作成するときに使用されます。

## シークレットメタデータフィールド
<a name="w2aac25c11c23b5"></a>

Confluent Cloud API キーのメタデータフィールドは次のとおりです。

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{ConfluentCloudApiKey}}"
}
```

adminSecretArn  
(オプション) このシークレットのローテーションに使用される管理 Confluent Cloud API キー認証情報を含むシークレットの Amazon リソースネーム (ARN)。サービスアカウントの API キーを作成および削除するには、管理者 API キーに CloudClusterAdmin または OrganizationAdmin ロールが必要です。省略すると、ユーザーシークレットの独自の認証情報が自己ローテーションに使用されます。

## 使用フロー
<a name="w2aac25c11c23b7"></a>

ローテーションは 2 つのモードをサポートしています。セルフローテーションモード (デフォルト) では、ユーザーシークレットの独自の `apiKey`/`apiSecret` を使用して、Confluent API コールを認証し、キーの作成と削除を行います。ユーザーシークレットの API キーには、独自のサービスアカウントのキーを管理するのに十分なアクセス許可が必要です。admin-secret モードでは、代わりに管理者権限を持つ `apiKey`/`apiSecret` を含む別の管理者シークレットが使用されます。

上記のフィールドと、ConfluentCloudApiKey としてシークレットタイプを含むシークレット値を使用して[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 呼び出しを使用してシークレットを作成できます。 ConfluentCloudApiKey ローテーション設定は、[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼び出しを使用して設定できます。セルフローテーションを選択した場合は、オプションの `adminSecretArn`フィールドを省略できます。[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼び出しでロール ARN を指定する必要があります。これにより、シークレットをローテーションするために必要なアクセス許可がサービスに付与されます。アクセス許可ポリシーの例については、[「セキュリティとアクセス許可](mes-security.md)」を参照してください。

別の管理者認証情報セットを使用してシークレットをローテーションすることを選択した場合は、管理者`apiKey`と AWS Secrets Manager を含む で管理者シークレットを作成します`apiSecret`。API キーシークレットの [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼び出しのローテーションメタデータで、この管理者シークレットの ARN を指定する必要があります。

ローテーション中、ドライバーは Confluent Cloud API を介してターゲットサービスアカウントの新しい API キーを作成し、新しいキーを検証し、新しい認証情報でシークレットを更新し、古い API キーを削除します。