本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

SASL/SCRAM 和客戶受管金鑰的其他 SER 許可

AWSMSKReplicatorExecutionRole 受管政策涵蓋 IAM 驗證的叢集、主題和取用者群組許可。當您複寫至使用 SASL/SCRAM 身分驗證的叢集或從中複寫時 （例如，從自我管理的 Apache Kafka 叢集遷移時），或當您的 SCRAM 秘密或私有 CA 憑證使用客戶受管金鑰 (CMK) 加密時，您需要將額外的內嵌許可附加至服務執行角色。

除了 受管政策之外，請使用下列程式碼片段。選擇符合您設定的案例。

SASL/SCRAM 秘密 （有或沒有 TLS 根 CA 秘密）

授予 SER 讀取 SCRAM 憑證和 （選擇性） 私有 CA 憑證的許可 AWS Secrets Manager。<saslSecretArn> 將 取代為您的 SCRAM 秘密 ARN，並將 <privateCaCertSecretArn>取代為持有 CA 憑證的秘密 （如果您使用公開信任的憑證，請省略第二個 ARN)。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}

使用客戶受管金鑰加密的 SCRAM 秘密或 CA 憑證

如果秘密或憑證是使用 CMK 而非 AWS受管金鑰加密，也請在 CMK kms:Decrypt上授予 。<customerManagedKeyArn> 將 取代為 CMK ARN。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}