Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin IAM diperlukan untuk membuat Replikator MSK
<a name="msk-replicator-create-iam-perms"></a>

Prinsipal IAM (pengguna atau peran) yang memanggil `CreateReplicator` memerlukan izin yang dijelaskan di bagian ini. Lampirkan kebijakan ini ke identitas IAM yang sesuai dengan klien Anda. Untuk panduan umum tentang membuat kebijakan otorisasi, lihat [Membuat kebijakan otorisasi](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#create-iam-access-control-policies).

Mulailah dengan **kebijakan dasar** di bawah ini. Jika Anda juga mengonfigurasi pengiriman log, tambahkan cuplikan untuk setiap tujuan yang Anda gunakan (lihat). [Izin tambahan untuk pengiriman log](msk-replicator-create-iam-perms-logs.md) Untuk skenario migrasi Apache Kafka yang dikelola sendiri, lihat panduan peran eksekusi layanan tambahan di. [Bermigrasi dari cluster Apache Kafka non-MSK ke broker Amazon MSK Express](msk-replicator-migrate-external.md)

## Kebijakan IAM dasar
<a name="msk-replicator-create-iam-perms-base"></a>

Ganti placeholder dengan ID akun Anda Wilayah AWS, nama peran eksekusi layanan, dan ARN cluster sumber dan target. Tindakan `kafka:TagResource` ini hanya diperlukan jika Anda memberikan tag selama pembuatan.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
```

**catatan**  
`ec2:DescribeVpcs`Tindakan`ec2:DescribeSubnets`,`ec2:DescribeSecurityGroups`, dan tidak mendukung izin tingkat sumber daya, jadi Anda harus menentukan. `"Resource": "*"` Lihat [tombol Tindakan, sumber daya, dan kondisi untuk referensi Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html).