本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 融合云 API 密钥
<a name="mes-partner-ConfluentCloudApiKey"></a>

## 秘密值字段
<a name="w2aac25c11c23b3"></a>

以下是 Secrets Manager 密钥中必须包含的字段：

```
{
  "apiKey": "{{API Key ID}}",
  "apiSecret": "{{API Secret}}",
  "serviceAccountId": "{{Service Account ID}}",
  "resourceId": "{{Resource ID}}",
  "environmentId": "{{Environment ID}}"
}
```

apiKey  
用于身份验证的 Confluent Cloud API 密钥 ID。

apiSecret  
用于身份验证的 Confluent Cloud API 密钥。

服务 AccountId  
例如，此 API 密钥所代表的服务账户委托人的 ID `sa-abc123`。轮换逻辑使用它为正确的主体创建新密钥。

resourceId  
（可选）用于界定 API 密钥范围的资源 ID。这可以是 Kafka 集群 (`lkc-xxxxx`)、ksqlDB 集群 (`lksqlc-xxxxx`)、架构注册表 (`lsrc-xxxxx`)、Flink 区域 (、`aws.us-west-2`、`azure.centralus`) 或。`gcp.us-central1` `Tableflow`对于云资源管理 API 密钥，请省略此字段。

environmentId  
（可选）例如 Confluent 云环境 ID。`env-abcde`在创建集群范围的密钥时使用。

## 机密元数据字段
<a name="w2aac25c11c23b5"></a>

以下是 Confluent Cloud API 密钥的元数据字段：

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{ConfluentCloudApiKey}}"
}
```

管理员 SecretArn  
（可选）密钥的亚马逊资源名称 (ARN)，其中包含用于轮换此密钥的管理 Confluent Cloud API 密钥凭证。管理员 API 密钥必须具有 CloudClusterAdmin 或 OrganizationAdmin 角色才能为服务帐号创建和删除 API 密钥。如果省略，则使用用户密钥自己的凭据进行自我轮换。

## 使用流程
<a name="w2aac25c11c23b7"></a>

旋转支持两种模式。在自轮换模式（默认）中，用户密钥自己的 `apiKey` /用于对创建和删除密钥`apiSecret`的 Confluent API 调用进行身份验证。用户密钥的 API 密钥必须具有足够的权限才能管理其自己的服务账户的密钥。在管理员密钥模式下，将使用单独的管理员密钥，其中包含`apiSecret`具有管理员权限的`apiKey`/。

您可以使用[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)调用来创建您的密钥，其密钥值包含上述字段，密钥类型为 ConfluentCloudApiKey。可以使用[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)呼叫来设置轮换配置。如果您选择自旋转，则可以省略可选`adminSecretArn`字段。您必须在[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)调用中提供角色 ARN，以向服务授予轮换密钥所需的权限。有关权限策略的示例，请参阅[安全和权限](mes-security.md)。

对于选择使用一组单独的管理员凭据轮换其密钥的客户，请在 AWS Secrets Manager 包含管理员`apiKey`和`apiSecret`的中创建管理员密钥。在调[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)用 API 密钥时，您必须在轮换元数据中提供此管理密钥的 ARN。

轮换期间，驱动程序通过 Confluent Cloud API 为目标服务账户创建新的 API 密钥，验证新密钥，使用新凭据更新密钥，然后删除旧的 API 密钥。