本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授權 AWS KMS 同步多區域金鑰
<a name="multi-region-auth-slr"></a>

若要支援[多區域金鑰](multi-region-keys-auth.md)， AWS KMS 需要將多區域主要金鑰的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)與其複本金鑰同步的許可。若要取得這些許可， 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色 AWS 帳戶。建立多區域金鑰的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。

您可以檢視 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 事件，該事件會記錄 AWS CloudTrail 日誌中的 AWS KMS 同步共用屬性。

若要檢視 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 受管政策更新的詳細資訊，請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [關於多區域金鑰的服務連結角色](#about-multi-region-slr)
+ [建立服務連結角色](#create-mrk-slr)
+ [編輯服務連結角色描述](#edit-mrk-slr)
+ [刪除服務連結角色](#delete-mrk-slr)

## 關於多區域金鑰的服務連結角色
<a name="about-multi-region-slr"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色，提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能，而無需建立和維護複雜的 IAM 政策。

對於多區域金鑰， 會使用 AWSKeyManagementServiceMultiRegionKeys 受管政策 AWS KMS 建立 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 此政策為角色提供 `kms:SynchronizeMultiRegionKey` 許可，允許其同步多區域金鑰的共用屬性。

由於 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色僅信任 `mrk.kms.amazonaws.com`，因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於同步多區域共用屬性 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如， AWS KMS 沒有建立、複寫或刪除任何 KMS 金鑰的許可。

如需 AWS 服務如何使用服務連結角色的詳細資訊，請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## 建立服務連結角色
<a name="create-mrk-slr"></a>

AWS KMS 如果角色尚未存在，當您建立多區域金鑰 AWS 帳戶 時， 會自動在 中建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色。您無法直接建立或重新建立此服務連結角色。

## 編輯服務連結角色描述
<a name="edit-mrk-slr"></a>

您無法編輯 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色中的角色名稱或政策陳述式，但可以編輯角色描述。如需相關說明，請參閱《*IAM 使用者指南*》中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除服務連結角色
<a name="delete-mrk-slr"></a>

AWS KMS 不會從 刪除 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色， AWS 帳戶 而且您無法刪除它。不過，除非您的 AWS 帳戶 和 區域中有多區域金鑰，否則 AWS KMS 不會擔任 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 角色或使用其任何許可。