本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置向密钥空间添加所需的 AWS 区域 IAM 权限
<a name="howitworks_replication_permissions_addReplica"></a>

要向密钥空间添加区域，IAM 委托人需要以下权限：
+ `cassandra:Alter`
+ `cassandra:AlterMultiRegionResource`
+ `cassandra:Create`
+ `cassandra:CreateMultiRegionResource`
+ `cassandra:Select`
+ `cassandra:SelectMultiRegionResource`
+ `cassandra:Modify`
+ `cassandra:ModifyMultiRegionResource`

如果在启用了 auto Scaling 的预配置模式下配置表，则需要以下额外权限。
+ `application-autoscaling:RegisterScalableTarget`
+ `application-autoscaling:DeregisterScalableTarget`
+ `application-autoscaling:DescribeScalableTargets`
+ `application-autoscaling:PutScalingPolicy`
+ `application-autoscaling:DescribeScalingPolicies`

要成功将区域添加到单区域密钥空间，IAM 委托人还需要能够创建服务相关角色。该服务相关角色是一种独特的 IAM 角色类型，由 Amazon Keyspaces 预定义。它包括 Amazon Keyspaces 代表您执行操作所需的所有权限。有关服务相关角色的更多信息，请参阅 [使用角色进行 Amazon Keyspaces 多区域复制](using-service-linked-roles-multi-region-replication.md)。

要创建多区域复制所需的服务相关角色，IAM 委托人的策略需要以下元素：
+ `iam:CreateServiceLinkedRole`：主体可以执行的**操作**。
+ `arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication`：可对其执行操作的**资源**。
+ `iam:AWSServiceName": "replication.cassandra.amazonaws.com`— 此角色可以附加到的唯一 AWS 服务是 Amazon Keyspaces。

以下是向委托人授予向密钥空间添加区域所需的最低权限的策略示例。

```
{
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "replication.cassandra.amazonaws.com"}}
}
```