Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations IAM requises pour créer un réplicateur MSK
Le principal IAM (utilisateur ou rôle) qui appelle `CreateReplicator` a besoin des autorisations décrites dans cette section. Associez cette politique à l'identité IAM correspondant à votre client. Pour obtenir des conseils généraux sur la création de politiques d'autorisation, voir [Créer des politiques d'autorisation](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#create-iam-access-control-policies).
Commencez par la **politique de base** ci-dessous. Si vous configurez également la livraison du journal, ajoutez l'extrait pour chaque destination que vous utilisez (voir). [Autorisations supplémentaires pour la livraison des journaux](msk-replicator-create-iam-perms-logs.md) Pour les scénarios de migration autogérés d'Apache Kafka, consultez les instructions supplémentaires relatives aux rôles d'exécution de services dans. [Migrez des clusters Apache Kafka autres que MSK vers les courtiers Amazon MSK Express](msk-replicator-migrate-external.md)
## Politique IAM de base
Remplacez les espaces réservés par votre identifiant de compte Région AWS, le nom du rôle d'exécution du service et les ARN du cluster source et cible. L'action n'`kafka:TagResource`est nécessaire que si vous fournissez des balises lors de la création.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MSKReplicatorIAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": "kafka.amazonaws.com"
}
}
},
{
"Sid": "MSKReplicatorServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam:::role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
},
{
"Sid": "MSKReplicatorActions",
"Effect": "Allow",
"Action": [
"kafka:CreateReplicator",
"kafka:DescribeReplicator",
"kafka:DeleteReplicator",
"kafka:ListReplicators",
"kafka:ListTagsForResource",
"kafka:UpdateReplicationInfo",
"kafka:TagResource"
],
"Resource": [
"arn:aws:kafka:::replicator/*"
]
},
{
"Sid": "MSKReplicatorListActions",
"Effect": "Allow",
"Action": [
"kafka:ListReplicators"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2Actions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "MSKClusterActions",
"Effect": "Allow",
"Action": [
"kafka:GetBootstrapBrokers",
"kafka:DescribeClusterV2"
],
"Resource": [
"",
""
]
}
]
}
```
**Note**
Les `ec2:DescribeVpcs` actions `ec2:DescribeSubnets``ec2:DescribeSecurityGroups`, et ne prennent pas en charge les autorisations au niveau des ressources. Vous devez donc les spécifier. `"Resource": "*"` Consultez les [actions, les ressources et les clés de condition pour la référence Amazon EC2.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)