Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zusätzliche SER-Berechtigungen für SASL/SCRAM und vom Kunden verwaltete Schlüssel
<a name="msk-replicator-ser-additional-perms"></a>

Die `AWSMSKReplicatorExecutionRole` verwaltete Richtlinie deckt Cluster-, Themen- und Nutzergruppenberechtigungen für die IAM-Authentifizierung ab. Wenn Sie zu oder von einem Cluster replizieren, der SASL/SCRAM Authentifizierung verwendet (z. B. bei der Migration von einem selbstverwalteten Apache Kafka-Cluster), oder wenn Ihr geheimes SCRAM-Zertifikat oder Ihr privates CA-Zertifikat mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt ist, müssen Sie der Dienstausführungsrolle zusätzliche Inline-Berechtigungen zuweisen.

Verwenden Sie zusätzlich zur verwalteten Richtlinie die folgenden Codefragmente. Wählen Sie das Szenario aus, das zu Ihrem Setup passt.

**SASL/SCRAM geheim (mit oder ohne TLS Root-CA-Geheimnis)**  
Erteilt dem SER die Berechtigung, die SCRAM-Anmeldeinformationen und (optional) das private CA-Zertifikat von AWS Secrets Manager zu lesen. `<saslSecretArn>`Ersetzen Sie es durch Ihren geheimen SCRAM-ARN und `<privateCaCertSecretArn>` durch das Geheimnis, das das CA-Zertifikat enthält (lassen Sie den zweiten ARN weg, wenn Sie ein öffentlich vertrauenswürdiges Zertifikat verwenden).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**SCRAM-Secret oder CA-Zertifikat, verschlüsselt mit einem vom Kunden verwalteten Schlüssel**  
Wenn der geheime Schlüssel oder das Zertifikat nicht mit dem AWS verwalteten Schlüssel, sondern mit einem CMK verschlüsselt ist, gewähren Sie dies auch `kms:Decrypt` auf dem CMK. Durch `<customerManagedKeyArn>` den CMK ARN ersetzen.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**Anmerkung**  
Wenn Sie einen breiteren Geltungsbereich bevorzugen, der den [Berechtigungen des MSK Connect-Konfigurationsanbieters](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers) entspricht, können Sie anstelle einzelner geheimer `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` ARNs das Ressourcenmuster verwenden.