本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon MSK 的服务相关角色权限
<a name="slr-permissions"></a>

Amazon MSK 使用名为 **AWSServiceRoleForKafka** 的服务相关角色。Amazon MSK 使用此角色来访问您的资源并执行以下操作：
+ `*NetworkInterface` – 在客户账户中创建和管理网络接口，使客户 VPC 中的客户端可以访问集群代理。
+ `*VpcEndpoints`— 管理客户账户中的 VPC 终端节点，这些终端节点允许客户 VPC 中的客户使用集群代理 AWS PrivateLink。Amazon MSK 对 `DescribeVpcEndpoints`、`ModifyVpcEndpoint` 和 `DeleteVpcEndpoints` 使用权限。
+ `secretsmanager`— 使用管理客户凭证 AWS Secrets Manager。
+ `GetCertificateAuthorityCertificate` – 检索私有证书颁发机构的证书。
+ `*Ipv6Addresses`— 为客户账户中的网络接口分配和取消分配 IPv6 地址，以启用 MSK IPv6 群集的连接。
+ `ModifyNetworkInterfaceAttribute`— 修改客户帐户中的网络接口属性以配置 MSK 集群连接的 IPv6 设置。

此服务相关角色附加到以下托管策略：`KafkaServiceRolePolicy`。有关此策略的更新，请参阅[KafkaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KafkaServiceRolePolicy.html)。

AWSServiceRoleForKafka 服务相关角色信任以下服务代入该角色：
+ `kafka.amazonaws.com`

角色权限策略允许 Amazon MSK 对资源完成以下操作。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。