

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos de SER adicionales para las claves SASL/SCRAM administradas por el cliente y las MTL
<a name="msk-replicator-ser-additional-perms"></a>

La política `AWSMSKReplicatorExecutionRole` gestionada cubre los permisos de clústeres, temas y grupos de consumidores para la autenticación de IAM. Al replicar hacia o desde un clúster que utiliza SASL/SCRAM la autenticación mTLS (por ejemplo, al migrar desde un clúster de Apache Kafka autogestionado), o cuando el secreto se cifra con una clave gestionada por el cliente (CMK), es necesario adjuntar permisos adicionales en línea a la función de ejecución del servicio.

Utilice los siguientes fragmentos además de la política gestionada. Elija el escenario que se adapte a su configuración.

**SASL/SCRAM secreto (con o sin el secreto de la CA raíz de TLS)**  
Otorga al SER permiso para leer las credenciales de SCRAM y (opcionalmente) el certificado de CA privado desde. AWS Secrets Manager`<saslSecretArn>`Sustitúyalo por el ARN secreto de SCRAM `<privateCaCertSecretArn>` y por el secreto que contiene el certificado de CA (omita el segundo ARN si utiliza un certificado de confianza pública).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**El secreto mTLS (con o sin el secreto de la CA raíz de TLS)**  
Otorga al SER permiso para leer el certificado del cliente y la clave privada del mismo. AWS Secrets Manager`<mtlsSecretArn>`Sustitúyalo por el ARN del secreto mTLS y `<privateCaCertSecretArn>` por el secreto que contiene el certificado de CA del servidor (omita el segundo ARN si utiliza un certificado de confianza pública).

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<mtlsSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
```

**El secreto se cifra con una clave gestionada por el cliente**  
Si el secreto se cifra con una CMK en lugar de con la clave AWS gestionada, concédalo también con `kms:Decrypt` la CMK. `<customerManagedKeyArn>`Sustitúyalo por el ARN CMK.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<secretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
```

**nota**  
Si prefiere un ámbito más amplio y coherente con los [permisos del proveedor de configuración](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-config-provider.html#msk-connect-config-providers) de MSK Connect, puede utilizarlo `arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*` como patrón de recursos en lugar de los ARN secretos individuales.