Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos SER adicionales y claves administradas por el SASL/SCRAM cliente
<a name="msk-replicator-ser-additional-perms"></a>

La política `AWSMSKReplicatorExecutionRole` gestionada cubre los permisos de clústeres, temas y grupos de consumidores para la autenticación de IAM. Cuando realiza replicaciones hacia o desde un clúster que utiliza SASL/SCRAM autenticación (por ejemplo, al migrar desde un clúster autogestionado de Apache Kafka), o cuando su certificado de CA privado o secreto de SCRAM está cifrado con una clave gestionada por el cliente (CMK), debe adjuntar permisos adicionales integrados a la función de ejecución del servicio.

Utilice los siguientes fragmentos además de la política gestionada. Elija el escenario que se adapte a su configuración.

**SASL/SCRAM secreto (con o sin el secreto de la CA raíz de TLS)**  
Otorga al SER permiso para leer las credenciales de SCRAM y (opcionalmente) el certificado de CA privado desde. AWS Secrets Manager`<saslSecretArn>`Sustitúyalo por el ARN secreto de SCRAM `<privateCaCertSecretArn>` y por el secreto que contiene el certificado de CA (omita el segundo ARN si utiliza un certificado de confianza pública).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**El secreto de SCRAM o el certificado de CA están cifrados con una clave gestionada por el cliente**  
Si el secreto o el certificado se cifra con una CMK en lugar de con la clave AWS administrada, escríbalo también `kms:Decrypt` en la CMK. `<customerManagedKeyArn>`Sustitúyalo por el ARN CMK.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**nota**  
Si prefiere un ámbito más amplio y coherente con los [permisos del proveedor de configuración](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers) de MSK Connect, puede utilizarlos `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` como patrón de recursos en lugar de los ARN secretos individuales.