翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# MSK レプリケーターの作成に必要な IAM アクセス許可
<a name="msk-replicator-create-iam-perms"></a>

を呼び出す IAM プリンシパル (ユーザーまたはロール) には、このセクションで説明されているアクセス許可`CreateReplicator`が必要です。このポリシーをクライアントに対応する IAM ID にアタッチします。認可ポリシーの作成に関する一般的なガイダンスについては、[「認可ポリシーの作成](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#create-iam-access-control-policies)」を参照してください。

以下の**基本ポリシー**から始めます。ログ配信も設定する場合は、使用する送信先ごとにスニペットを追加します (「」を参照[ログ配信の追加アクセス許可](msk-replicator-create-iam-perms-logs.md))。セルフマネージド Apache Kafka 移行シナリオについては、「」の「追加のサービス実行ロールガイダンス」を参照してください[非 MSK Apache Kafka クラスターから Amazon MSK Express ブローカーに移行する](msk-replicator-migrate-external.md)。

## 基本 IAM ポリシー
<a name="msk-replicator-create-iam-perms-base"></a>

プレースホルダーをアカウント ID、 AWS リージョンサービス実行ロール名、ソースクラスターとターゲットクラスターARNs。アクション`kafka:TagResource`は、作成時にタグを指定する場合にのみ必要です。

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
```

**注記**  
`ec2:DescribeSubnets`、`ec2:DescribeSecurityGroups`、および `ec2:DescribeVpcs`アクションはリソースレベルのアクセス許可をサポートしていないため、 を指定する必要があります`"Resource": "*"`。[Amazon EC2 リファレンスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)を参照してください。