翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチリージョンキー AWS KMS の同期を許可する
<a name="multi-region-auth-slr"></a>

[マルチリージョンキー](multi-region-keys-auth.md)をサポートするには、マルチリージョンプライマリキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)をレプリカキーと同期するアクセス許可 AWS KMS が必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。マルチリージョンキーを作成するユーザーには、サービスにリンクされたロールの作成を許可するための `iam:CreateServiceLinkedRole` アクセス許可が必要です。

 AWS CloudTrail ログの共有プロパティの同期を記録する [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail AWS KMS イベントを表示できます。

**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**Topics**
+ [マルチリージョンキーのサービスリンクロールについて](#about-multi-region-slr)
+ [サービスにリンクされたロールの作成](#create-mrk-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-mrk-slr)
+ [サービスにリンクされたロールを削除する](#delete-mrk-slr)

## マルチリージョンキーのサービスリンクロールについて
<a name="about-multi-region-slr"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。

マルチリージョンキーの場合、 は、AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 管理ポリシーを使用して **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** サービスにリンクされたロール AWS KMS を作成します。このポリシーは、ロールに `kms:SynchronizeMultiRegionKey` アクセス許可を付与します。これにより、マルチリージョンキーの共有プロパティを同期できます。

**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールは のみを信頼するため`mrk.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、マルチリージョン共有プロパティを同期 AWS KMS する必要があるオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には KMS キーを作成、レプリケート、削除するアクセス許可はありません。

 AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## サービスにリンクされたロールの作成
<a name="create-mrk-slr"></a>

AWS KMS ロールがまだ存在しない場合、マルチリージョンキーを作成する AWS アカウント と、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。

## サービスにリンクされたロールの説明を編集する
<a name="edit-mrk-slr"></a>

**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することができます。手順については、*IAM ユーザーガイド*の[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)を参照してください。

## サービスにリンクされたロールを削除する
<a name="delete-mrk-slr"></a>

AWS KMS は、**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールを から削除せず AWS アカウント 、削除することはできません。ただし、 AWS アカウント および リージョンにマルチリージョンキーがない限り、 は **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** ロールを引き受けたり、そのアクセス許可を使用した AWS KMS りしません。