本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MSK 的服務連結角色許可
<a name="slr-permissions"></a>

Amazon MSK 會使用名為 **AWSServiceRoleForKafka** 的服務連結角色。Amazon MSK 會使用此角色存取您的資源並執行以下操作：
+ `*NetworkInterface`：在客戶帳戶中建立和管理網路介面，讓客戶 VPC 中的用戶端可以存取叢集代理程式。
+ `*VpcEndpoints` – 管理客戶帳戶中的 VPC 端點，這些端點可讓客戶 VPC 中的用戶端使用 存取叢集代理程式 AWS PrivateLink。Amazon MSK 會使用 `DescribeVpcEndpoints`、`ModifyVpcEndpoint` 和 `DeleteVpcEndpoints` 許可。
+ `secretsmanager` – 使用 管理用戶端登入資料 AWS Secrets Manager。
+ `GetCertificateAuthorityCertificate`：擷取私有憑證授權機構的憑證。
+ `*Ipv6Addresses` – 將 IPv6 地址指派和取消指派至客戶帳戶中的網路介面，以啟用 MSK 叢集的 IPv6 連線。
+ `ModifyNetworkInterfaceAttribute` – 修改客戶帳戶中的網路介面屬性，以設定 MSK 叢集連線的 IPv6 設定。

此服務連結角色連接至下列受管政策：`KafkaServiceRolePolicy`。如需此政策的更新，請參閱 [KafkaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KafkaServiceRolePolicy.html)。

AWSServiceRoleForKafka 服務連結角色信任下列服務以擔任角色：
+ `kafka.amazonaws.com`

角色許可政策允許 Amazon MSK 對資源完成下列動作。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。