As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Chave de API do Confluent Cloud
## Campos de valor secreto
A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:
```
{
"apiKey": "{{API Key ID}}",
"apiSecret": "{{API Secret}}",
"serviceAccountId": "{{Service Account ID}}",
"resourceId": "{{Resource ID}}",
"environmentId": "{{Environment ID}}"
}
```
Chave de API
O ID da chave da API Confluent Cloud usado para autenticação.
Segredo da API
O segredo da API Confluent Cloud usado para autenticação.
serviço AccountId
O ID do principal da conta de serviço que essa chave de API representa, por exemplo`sa-abc123`. A lógica de rotação usa isso para criar novas chaves para o principal correto.
resourceId
(Opcional) O ID do recurso para definir o escopo da chave de API. Isso pode ser um cluster Kafka (`lkc-xxxxx`), cluster KSQLdb (`lksqlc-xxxxx`), Schema Registry (), região Flink (,,`lsrc-xxxxx`) ou. `aws.us-west-2` `azure.centralus` `gcp.us-central1` `Tableflow` Omita esse campo para as chaves da API de gerenciamento de recursos em nuvem.
environmentId
(Opcional) O Confluent Cloud Environment ID, por exemplo. `env-abcde` Usado ao criar chaves com escopo de cluster.
## Campos de metadados secretos
A seguir estão os campos de metadados da chave de API do Confluent Cloud:
```
{
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{ConfluentCloudApiKey}}"
}
```
administrador SecretArn
(Opcional) O nome de recurso da Amazon (ARN) do segredo que contém as credenciais administrativas da chave de API do Confluent Cloud usadas para alternar esse segredo. A chave de API do administrador deve ter CloudClusterAdmin nossa OrganizationAdmin função para criar e excluir chaves de API para contas de serviço. Se omitidas, as próprias credenciais do segredo do usuário são usadas para rotação automática.
## Fluxo de uso
A rotação suporta dois modos. No modo de rotação automática (padrão), os próprios`apiKey`/do segredo do usuário `apiSecret` são usados para autenticar chamadas da API Confluent para criação e exclusão de chaves. A chave de API do segredo do usuário deve ter permissões suficientes para gerenciar as chaves da própria conta de serviço. No modo admin-secret, um segredo de administrador separado contendo`apiKey`/`apiSecret`com permissões de administrador é usado em vez disso.
Você pode criar seu segredo usando a [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como ConfluentCloudApiKey. As configurações de rotação podem ser definidas usando uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada. Se você optar pela rotação automática, poderá omitir o campo opcional`adminSecretArn`. Você deve fornecer um ARN de função na [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte [Segurança e permissões](mes-security.md).
Para clientes que optam por alternar seus segredos usando um conjunto separado de credenciais de administrador, crie o segredo do administrador AWS Secrets Manager contendo o administrador e. `apiKey` `apiSecret` Você deve fornecer o ARN desse segredo do administrador nos metadados de rotação em uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada para o segredo da sua chave de API.
Durante a rotação, o driver cria uma nova chave de API para a conta de serviço de destino por meio da API Confluent Cloud, verifica a nova chave, atualiza a chave secreta com novas credenciais e exclui a chave de API antiga.