本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Confluent 雲端 API 金鑰
<a name="mes-partner-ConfluentCloudApiKey"></a>

## 秘密值欄位
<a name="w2aac25c11c23b3"></a>

以下是必須包含在 Secrets Manager 秘密中的欄位：

```
{
  "apiKey": "{{API Key ID}}",
  "apiSecret": "{{API Secret}}",
  "serviceAccountId": "{{Service Account ID}}",
  "resourceId": "{{Resource ID}}",
  "environmentId": "{{Environment ID}}"
}
```

apiKey  
用於身分驗證的 Confluent Cloud API 金鑰 ID。

apiSecret  
用於身分驗證的 Confluent Cloud API 秘密。

serviceAccountId  
此 API 金鑰代表的服務帳戶主體 ID，例如 `sa-abc123`。輪換邏輯會使用此邏輯來為正確的主體建立新的金鑰。

resourceId  
（選用） 界定 API 金鑰的資源 ID。這可以是 Kafka 叢集 (`lkc-xxxxx`)、ksqlDB 叢集 (`lksqlc-xxxxx`)、結構描述登錄檔 (`lsrc-xxxxx`)、Flink 區域 (`aws.us-west-2`、`azure.centralus`、`gcp.us-central1`) 或 `Tableflow`。省略雲端資源管理 API 金鑰的此欄位。

environmentId  
（選用） Confluent Cloud Environment ID，例如 `env-abcde`。建立叢集範圍金鑰時使用。

## 秘密中繼資料欄位
<a name="w2aac25c11c23b5"></a>

以下是 Confluent Cloud API 金鑰的中繼資料欄位：

```
{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{ConfluentCloudApiKey}}"
}
```

adminSecretArn  
（選用） 秘密的 Amazon Resource Name (ARN)，其中包含用來輪換此秘密的管理 Confluent Cloud API 金鑰憑證。管理員 API 金鑰必須具有 CloudClusterAdmin 或 OrganizationAdmin 角色，才能建立和刪除服務帳戶的 API 金鑰。如果省略，則會使用使用者秘密自己的登入資料進行自我輪換。

## 用量流程
<a name="w2aac25c11c23b7"></a>

輪換支援兩種模式。在自我輪換模式中 （預設），使用者秘密自己的 `apiKey`/`apiSecret` 用於驗證用於建立和刪除金鑰的 Confluent API 呼叫。使用者的秘密 API 金鑰必須具有足夠的許可，才能管理自己的服務帳戶的金鑰。在 admin-secret 模式中，會改用包含具有管理員許可之 `apiKey`/`apiSecret` 的個別管理員秘密。

您可以使用 [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 呼叫建立秘密，其中秘密值包含上述欄位，且秘密類型為 ConfluentCloudApiKey。您可以使用 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫來設定輪換組態。如果您選擇自行輪換，您可以省略選用`adminSecretArn`欄位。您必須在 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中提供角色 ARN，授予服務輪換秘密所需的許可。如需許可政策的範例，請參閱[安全和許可](mes-security.md)。

對於選擇使用另一組管理員登入資料來輪換秘密的客戶，請在 中建立 AWS Secrets Manager 包含管理員`apiKey`和 的管理員秘密`apiSecret`。您必須針對 API 金鑰秘密，在 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 呼叫中的輪換中繼資料中提供此 Admin Secret 的 ARN。

在輪換期間，驅動程式會透過 Confluent Cloud API 為目標服務帳戶建立新的 API 金鑰、驗證新金鑰、使用新登入資料更新秘密，以及刪除舊的 API 金鑰。