本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的服務連結角色 AWS KMS
<a name="using-service-linked-roles"></a>

AWS Key Management Service use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至其中的唯一 IAM 角色類型 AWS KMS。服務連結角色是由 定義， AWS KMS 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更 AWS KMS 輕鬆地設定，因為您不必手動新增必要的許可。 AWS KMS 會定義其服務連結角色的許可，除非另有定義，否則只能 AWS KMS 擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除相關的資源，才能刪除服務連結角色。這可保護您的 AWS KMS 資源，因為您不會不小心移除存取資源的許可。

如需關於支援服務連結角色的其他服務的資訊，請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

若要檢視本主題中所討論之服務連結角色更新的詳細資訊，請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)
+ [授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)

# 授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源
<a name="authorize-kms"></a>

為了支援您的 AWS CloudHSM 金鑰存放區， AWS KMS 需要取得 AWS CloudHSM 叢集相關資訊的許可。它還需要許可，才能建立將 AWS CloudHSM 金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可， 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色 AWS 帳戶。建立 AWS CloudHSM 金鑰存放區的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。

若要檢視 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 受管政策更新的詳細資訊，請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [關於 AWS KMS 服務連結角色](#about-key-store-slr)
+ [建立服務連結角色](#create-key-store-slr)
+ [編輯服務連結角色描述](#edit-key-store-slr)
+ [刪除服務連結角色](#delete-key-store-slr)

## 關於 AWS KMS 服務連結角色
<a name="about-key-store-slr"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色，提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能，而無需建立和維護複雜的 IAM 政策。如需詳細資訊，請參閱[使用 的服務連結角色 AWS KMS](using-service-linked-roles.md)。

對於 AWS CloudHSM 金鑰存放區， 會使用 AWSKeyManagementServiceCustomKeyStores 受管政策 AWS KMS 建立 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 此政策將下列許可授予此角色：
+ [cloudhsm：Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – 偵測連接到自訂金鑰存放區的 AWS CloudHSM 叢集中的變更。
+ [ec2：CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區來建立安全群組，以啟用 AWS KMS 和 AWS CloudHSM 叢集之間的網路流量流。
+ [ec2：AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以允許網路 AWS KMS 從 存取包含 AWS CloudHSM 叢集的 VPC 時使用。
+ [ec2：CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – 當您[連接 AWS CloudHSM 金鑰存放區](connect-keystore.md)以建立用於在 AWS KMS 和 AWS CloudHSM 叢集之間通訊的網路介面時使用。
+ [ec2：RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以從 AWS KMS 建立的安全群組中移除所有傳出規則時使用。
+ [ec2：DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – 用於[中斷連接 AWS CloudHSM 金鑰存放](disconnect-keystore.md)區，以刪除連接 AWS CloudHSM 金鑰存放區時建立的安全群組。
+ [ec2：DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立的安全群組中的變更，以便在失敗時 AWS KMS 提供明確的錯誤訊息。
+ [ec2：DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – 用於監控包含 AWS CloudHSM 叢集的 VPC 中的變更，以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。
+ [ec2：DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – 用於監控包含 AWS CloudHSM 叢集之 VPC 的網路 ACLs 中的變更，以便在發生故障時 AWS KMS 提供明確的錯誤訊息。
+ [ec2：DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立之網路介面的變更， AWS KMS 以便 可以在失敗時提供明確的錯誤訊息。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

由於 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色僅信任 `cks.kms.amazonaws.com`，因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於檢視 AWS CloudHSM 叢集和將 AWS CloudHSM 金鑰存放區連接至其相關聯 AWS CloudHSM 叢集 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如， AWS KMS 沒有建立、管理或刪除 AWS CloudHSM 叢集、HSMs 或備份的許可。

**區域**

如同 AWS CloudHSM 金鑰存放區功能，**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 角色支援 AWS KMS 和 AWS CloudHSM 可用的所有 AWS 區域 。如需 AWS 區域 每個服務支援的清單，請參閱《》中的[AWS Key Management Service 端點和配額](https://docs.aws.amazon.com/general/latest/gr/kms.html)以及[AWS CloudHSM 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*Amazon Web Services 一般參考*。

如需 AWS 服務如何使用服務連結角色的詳細資訊，請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

## 建立服務連結角色
<a name="create-key-store-slr"></a>

AWS KMS 當您建立 AWS CloudHSM 金鑰存放區時，如果角色尚不存在， 會自動在 AWS 帳戶 中建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色。您無法直接建立或重新建立此服務連結角色。

## 編輯服務連結角色描述
<a name="edit-key-store-slr"></a>

您無法編輯 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色中的角色名稱或政策陳述式，但可以編輯角色描述。如需相關說明，請參閱《IAM 使用者指南》**中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除服務連結角色
<a name="delete-key-store-slr"></a>

AWS KMS 不會從 AWS 帳戶 刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色，即使您[已刪除所有 AWS CloudHSM 金鑰存放區](delete-keystore.md)。雖然目前沒有刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色的程序，但除非您有作用中的 AWS CloudHSM 金鑰存放區，否則 AWS KMS 不會擔任此角色或使用其許可。

# 授權 AWS KMS 同步多區域金鑰
<a name="multi-region-auth-slr"></a>

若要支援[多區域金鑰](multi-region-keys-auth.md)， AWS KMS 需要將多區域主要金鑰的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)與其複本金鑰同步的許可。若要取得這些許可， 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色 AWS 帳戶。建立多區域金鑰的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。

您可以檢視 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 事件，該事件會記錄 AWS CloudTrail 日誌中的 AWS KMS 同步共用屬性。

若要檢視 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 受管政策更新的詳細資訊，請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [關於多區域金鑰的服務連結角色](#about-multi-region-slr)
+ [建立服務連結角色](#create-mrk-slr)
+ [編輯服務連結角色描述](#edit-mrk-slr)
+ [刪除服務連結角色](#delete-mrk-slr)

## 關於多區域金鑰的服務連結角色
<a name="about-multi-region-slr"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色，提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能，而無需建立和維護複雜的 IAM 政策。

對於多區域金鑰， 會使用 AWSKeyManagementServiceMultiRegionKeys 受管政策 AWS KMS 建立 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 此政策為角色提供 `kms:SynchronizeMultiRegionKey` 許可，允許其同步多區域金鑰的共用屬性。

由於 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色僅信任 `mrk.kms.amazonaws.com`，因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於同步多區域共用屬性 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如， AWS KMS 沒有建立、複寫或刪除任何 KMS 金鑰的許可。

如需 AWS 服務如何使用服務連結角色的詳細資訊，請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## 建立服務連結角色
<a name="create-mrk-slr"></a>

AWS KMS 如果角色尚未存在，當您建立多區域金鑰 AWS 帳戶 時， 會自動在 中建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色。您無法直接建立或重新建立此服務連結角色。

## 編輯服務連結角色描述
<a name="edit-mrk-slr"></a>

您無法編輯 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色中的角色名稱或政策陳述式，但可以編輯角色描述。如需相關說明，請參閱《*IAM 使用者指南*》中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除服務連結角色
<a name="delete-mrk-slr"></a>

AWS KMS 不會從 刪除 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色， AWS 帳戶 而且您無法刪除它。不過，除非您的 AWS 帳戶 和 區域中有多區域金鑰，否則 AWS KMS 不會擔任 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 角色或使用其任何許可。