Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin SER tambahan untuk SASL/SCRAM dan kunci yang dikelola pelanggan
<a name="msk-replicator-ser-additional-perms"></a>

Kebijakan `AWSMSKReplicatorExecutionRole` terkelola mencakup izin klaster, topik, dan grup konsumen untuk autentikasi IAM. Saat Anda mereplikasi ke atau dari klaster yang menggunakan SASL/SCRAM autentikasi (misalnya, saat bermigrasi dari kluster Apache Kafka yang dikelola sendiri), atau ketika rahasia SCRAM atau sertifikat CA pribadi dienkripsi dengan kunci terkelola pelanggan (CMK), Anda perlu melampirkan izin inline tambahan ke peran eksekusi layanan.

Gunakan cuplikan di bawah ini selain kebijakan terkelola. Pilih skenario yang cocok dengan pengaturan Anda.

**SASL/SCRAM rahasia (dengan atau tanpa rahasia CA root TLS)**  
Memberikan izin SER untuk membaca kredensyal SCRAM dan (opsional) sertifikat CA pribadi dari. AWS Secrets Manager Ganti `<saslSecretArn>` dengan ARN rahasia SCRAM Anda `<privateCaCertSecretArn>` dan dengan rahasia yang memegang sertifikat CA (hilangkan ARN kedua jika Anda menggunakan sertifikat tepercaya publik).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**Rahasia SCRAM atau sertifikat CA dienkripsi dengan kunci yang dikelola pelanggan**  
Jika rahasia atau sertifikat dienkripsi dengan CMK daripada kunci AWS-managed, berikan `kms:Decrypt` juga pada CMK. Ganti `<customerManagedKeyArn>` dengan CMK ARN.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**catatan**  
Jika Anda lebih suka pelingkupan yang lebih luas yang konsisten dengan izin [penyedia konfigurasi MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers), Anda dapat `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` menggunakannya sebagai pola sumber daya alih-alih ARN rahasia individual.