本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
融合云 API 密钥
秘密值字段
以下是 Secrets Manager 密钥中必须包含的字段:
{
"apiKey": "API Key ID",
"apiSecret": "API Secret",
"serviceAccountId": "Service Account ID",
"resourceId": "Resource ID",
"environmentId": "Environment ID"
}- apiKey
-
用于身份验证的 Confluent Cloud API 密钥 ID。
- apiSecret
-
用于身份验证的 Confluent Cloud API 密钥。
- 服务 AccountId
-
例如,此 API 密钥所代表的服务账户委托人的 ID
sa-abc123。轮换逻辑使用它为正确的主体创建新密钥。 - resourceId
-
(可选)用于界定 API 密钥范围的资源 ID。这可以是 Kafka 集群 (
lkc-xxxxx)、ksqlDB 集群 (lksqlc-xxxxx)、架构注册表 (lsrc-xxxxx)、Flink 区域 (、aws.us-west-2、azure.centralus) 或。gcp.us-central1Tableflow对于云资源管理 API 密钥,请省略此字段。 - environmentId
-
(可选)例如 Confluent 云环境 ID。
env-abcde在创建集群范围的密钥时使用。
机密元数据字段
以下是 Confluent Cloud API 密钥的元数据字段:
{ "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:ConfluentCloudApiKey" }
- 管理员 SecretArn
-
(可选)密钥的亚马逊资源名称 (ARN),其中包含用于轮换此密钥的管理 Confluent Cloud API 密钥凭证。管理员 API 密钥必须具有 CloudClusterAdmin 或 OrganizationAdmin 角色才能为服务帐号创建和删除 API 密钥。如果省略,则使用用户密钥自己的凭据进行自我轮换。
使用流程
旋转支持两种模式。在自轮换模式(默认)中,用户密钥自己的 apiKey /用于对创建和删除密钥apiSecret的 Confluent API 调用进行身份验证。用户密钥的 API 密钥必须具有足够的权限才能管理其自己的服务账户的密钥。在管理员密钥模式下,将使用单独的管理员密钥,其中包含apiSecret具有管理员权限的apiKey/。
您可以使用CreateSecret调用来创建您的密钥,其密钥值包含上述字段,密钥类型为 ConfluentCloudApiKey。可以使用RotateSecret呼叫来设置轮换配置。如果您选择自旋转,则可以省略可选adminSecretArn字段。您必须在RotateSecret调用中提供角色 ARN,以向服务授予轮换密钥所需的权限。有关权限策略的示例,请参阅安全和权限。
对于选择使用一组单独的管理员凭据轮换其密钥的客户,请在 AWS Secrets Manager 包含管理员apiKey和apiSecret的中创建管理员密钥。在调RotateSecret用 API 密钥时,您必须在轮换元数据中提供此管理密钥的 ARN。
轮换期间,驱动程序通过 Confluent Cloud API 为目标服务账户创建新的 API 密钥,验证新密钥,使用新凭据更新密钥,然后删除旧的 API 密钥。
