本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定將 新增至金鑰空間所需的 IAM AWS 區域 許可
<a name="howitworks_replication_permissions_addReplica"></a>

若要將區域新增至金鑰空間，IAM 主體需要下列許可：
+ `cassandra:Alter`
+ `cassandra:AlterMultiRegionResource`
+ `cassandra:Create`
+ `cassandra:CreateMultiRegionResource`
+ `cassandra:Select`
+ `cassandra:SelectMultiRegionResource`
+ `cassandra:Modify`
+ `cassandra:ModifyMultiRegionResource`

如果資料表是在佈建模式中設定並啟用自動擴展，則需要下列額外許可。
+ `application-autoscaling:RegisterScalableTarget`
+ `application-autoscaling:DeregisterScalableTarget`
+ `application-autoscaling:DescribeScalableTargets`
+ `application-autoscaling:PutScalingPolicy`
+ `application-autoscaling:DescribeScalingPolicies`

若要成功將區域新增至單一區域金鑰空間，IAM 主體也需要能夠建立服務連結角色。此服務連結角色是 Amazon Keyspaces 預先定義的唯一 IAM 角色類型。它包含 Amazon Keyspaces 代表您執行動作所需的所有許可。如需服務連結角色的詳細資訊，請參閱[使用 Amazon Keyspaces 多區域複寫的角色](using-service-linked-roles-multi-region-replication.md)。

若要建立多區域複寫所需的服務連結角色，IAM 主體的政策需要下列元素：
+ `iam:CreateServiceLinkedRole` – 委託人可執行**的動作**。
+ `arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication` – 可以對其執行動作**的資源**。
+ `iam:AWSServiceName": "replication.cassandra.amazonaws.com` – 此角色可連接的唯一 AWS 服務是 Amazon Keyspaces。

以下是將最低必要許可授予委託人，以將區域新增至金鑰空間的政策範例。

```
{
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/replication.cassandra.amazonaws.com/AWSServiceRoleForKeyspacesReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "replication.cassandra.amazonaws.com"}}
}
```