As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões de SER adicionais SASL/SCRAM e chaves gerenciadas pelo cliente
<a name="msk-replicator-ser-additional-perms"></a>

A política `AWSMSKReplicatorExecutionRole` gerenciada abrange permissões de cluster, tópico e grupo de consumidores para autenticação do IAM. Quando você replica de ou para um cluster que usa SASL/SCRAM autenticação (por exemplo, ao migrar de um cluster autogerenciado do Apache Kafka) ou quando seu certificado de CA privado ou secreto do SCRAM é criptografado com uma chave gerenciada pelo cliente (CMK), você precisa anexar permissões embutidas adicionais à função de execução do serviço.

Use os trechos abaixo, além da política gerenciada. Escolha o cenário que corresponde à sua configuração.

**SASL/SCRAM segredo (com ou sem segredo de CA raiz TLS)**  
Concede ao SER permissão para ler as credenciais do SCRAM e (opcionalmente) o certificado CA privado de. AWS Secrets Manager`<saslSecretArn>`Substitua pelo ARN secreto do SCRAM `<privateCaCertSecretArn>` e pelo segredo que contém o certificado CA (omita o segundo ARN se você usar um certificado publicamente confiável).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**Segredo SCRAM ou certificado CA criptografado com uma chave gerenciada pelo cliente**  
Se o segredo ou certificado estiver criptografado com uma CMK em vez da chave AWS gerenciada, conceda também `kms:Decrypt` na CMK. `<customerManagedKeyArn>`Substitua pelo ARN da CMK.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**nota**  
Se você preferir um escopo mais amplo, consistente com as [permissões do provedor de configuração do](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers) MSK Connect, você pode usar `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` como padrão de recursos em vez de ARNs secretos individuais.