本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

其他 SER 权限 SASL/SCRAM 和客户托管密钥

AWSMSKReplicatorExecutionRole托管策略涵盖了 IAM 身份验证的集群、主题和使用者组权限。当您向使用 SASL/SCRAM 身份验证的集群进行复制或复制时（例如，从自行管理的 Apache Kafka 集群迁移时），或者当您的 SCRAM 密钥或私有 CA 证书使用客户托管密钥 (CMK) 加密时，您需要为服务执行角色附加额外的内联权限。

除了托管策略外，还可以使用以下片段。选择与您的设置相匹配的场景。

SASL/SCRAM 密钥（带或不带 TLS 根 CA 密钥）

授予 SER 读取 SCRAM 凭据和（可选）私有 CA 证书的 AWS Secrets Manager权限。<saslSecretArn>替换为您的 SCRAM 密钥 ARN <privateCaCertSecretArn> 和持有 CA 证书的密钥（如果您使用公开信任的证书，请省略第二个 ARN）。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}

使用客户托管密钥加密的 SCRAM 密钥或 CA 证书

如果密钥或证书是使用 CMK 而不是 AWS托管密钥加密的，则还要对 CMK kms:Decrypt 进行授权。替换<customerManagedKeyArn>为 CMK ARN。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}