本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# SASL/SCRAM 和客戶受管金鑰的其他 SER 許可
`AWSMSKReplicatorExecutionRole` 受管政策涵蓋 IAM 驗證的叢集、主題和取用者群組許可。當您複寫至使用 SASL/SCRAM 身分驗證的叢集或從中複寫時 (例如,從自我管理的 Apache Kafka 叢集遷移時),或當您的 SCRAM 秘密或私有 CA 憑證使用客戶受管金鑰 (CMK) 加密時,您需要將額外的內嵌許可附加至服務執行角色。
除了 受管政策之外,請使用下列程式碼片段。選擇符合您設定的案例。
**SASL/SCRAM 秘密 (有或沒有 TLS 根 CA 秘密)**
授予 SER 讀取 SCRAM 憑證和 (選擇性) 私有 CA 憑證的許可 AWS Secrets Manager。`` 將 取代為您的 SCRAM 秘密 ARN,並將 ``取代為持有 CA 憑證的秘密 (如果您使用公開信任的憑證,請省略第二個 ARN)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"",
""
]
}
]
}
```
**使用客戶受管金鑰加密的 SCRAM 秘密或 CA 憑證**
如果秘密或憑證是使用 CMK 而非 AWS受管金鑰加密,也請在 CMK `kms:Decrypt`上授予 。`` 將 取代為 CMK ARN。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"",
""
]
},
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": [
""
]
}
]
}
```
**注意**
如果您偏好與 MSK Connect [組態提供者許可](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers)一致的更寬廣範圍,則可以使用 `arn:aws:secretsmanager:::secret:AmazonMSK_*`作為資源模式,而不是個別秘密 ARNs。