Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autorizzazioni SER aggiuntive e chiavi gestite dal cliente SASL/SCRAM
<a name="msk-replicator-ser-additional-perms"></a>

La policy `AWSMSKReplicatorExecutionRole` gestita copre le autorizzazioni di cluster, argomenti e gruppi di consumatori per l'autenticazione IAM. Quando si esegue la replica da o verso un cluster che utilizza SASL/SCRAM l'autenticazione (ad esempio, durante la migrazione da un cluster Apache Kafka autogestito) o quando il certificato CA privato o segreto SCRAM è crittografato con una chiave gestita dal cliente (CMK), è necessario assegnare ulteriori autorizzazioni in linea al ruolo di esecuzione del servizio.

Utilizza gli snippet riportati di seguito oltre alla policy gestita. Scegli lo scenario che corrisponde alla tua configurazione.

**SASL/SCRAM segreto (con o senza segreto TLS root CA)**  
Concede al SER l'autorizzazione a leggere le credenziali SCRAM e (facoltativamente) il certificato CA privato da. Gestione dei segreti AWS Sostituiscilo `<saslSecretArn>` con il tuo ARN segreto SCRAM `<privateCaCertSecretArn>` e con il segreto contenente il certificato CA (ometti il secondo ARN se usi un certificato pubblicamente affidabile).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**Certificato segreto SCRAM o CA crittografato con una chiave gestita dal cliente**  
Se il segreto o il certificato è crittografato con una CMK anziché con la chiave AWS gestita, `kms:Decrypt` concedi anche la CMK. Sostituire `<customerManagedKeyArn>` con CMK ARN.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**Nota**  
Se si preferisce un ambito più ampio coerente con le [autorizzazioni del provider di configurazione](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers) MSK Connect, è possibile utilizzare `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` come modello di risorsa anziché singoli ARN segreti.