Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS Key Management Service
AWS Identity and Access Management (IAM) hilft Ihnen, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu nutzen AWS KMS . Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](iam-policies.md).
[Schlüsselrichtlinien](key-policies.md) sind der wichtigste Mechanismus zur Steuerung des Zugriffs auf KMS-Schlüssel in AWS KMS. Jeder KMS-Schlüssel muss über eine Schlüsselrichtlinie verfügen. Sie können auch [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md), zusammen mit Schlüsselrichtlinien, zum Steuern des Zugriffs auf Ihre KMS-Schlüssel verwenden. Weitere Informationen finden Sie unter [KMS-Schlüsselzugriff und -berechtigungen](control-access.md).
Wenn Sie eine Amazon Virtual Private Cloud (Amazon VPC) verwenden, können Sie [eine VPC-Schnittstelle für AWS KMS Powered by erstellen](kms-vpc-endpoint.md). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Sie können auch VPC-Endpunktrichtlinien verwenden, um zu bestimmen, welche Principals auf Ihren AWS KMS Endpunkt zugreifen können, welche API-Aufrufe sie tätigen können und auf welchen KMS-Schlüssel sie zugreifen können.
**Topics**
+ [AWS verwaltete Richtlinien für AWS Key Management Service](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für AWS KMS](using-service-linked-roles.md)
# AWS verwaltete Richtlinien für AWS Key Management Service
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSKey ManagementServicePowerUser
Sie können die `AWSKeyManagementServicePowerUser`-Richtlinie an Ihre IAM-Identitäten anfügen.
Sie können eine von `AWSKeyManagementServicePowerUser` verwaltete Richtlinie verwenden, um IAM-Prinzipalen in Ihrem Konto die Berechtigungen eines Hauptbenutzers zu gewähren. Hauptbenutzer können KMS-Schlüssel erstellen, die von ihnen erstellten KMS-Schlüssel verwenden und verwalten sowie alle KMS-Schlüssel und IAM-Identitäten anzeigen. Benutzer mit der von `AWSKeyManagementServicePowerUser` verwalteten Richtlinie können auch Berechtigungen aus anderen Quellen erhalten, darunter Schlüsselrichtlinien, andere IAM-Richtlinien und Erteilungen.
`AWSKeyManagementServicePowerUser`ist eine AWS verwaltete IAM-Richtlinie. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Berechtigungen in dieser Richtlinie, die für einen KMS-Schlüssel spezifisch sind, wie z. B. `kms:TagResource` und `kms:GetKeyRotationStatus`, sind nur dann wirksam, wenn die Schlüsselrichtlinie für diesen KMS-Schlüssel [dem AWS-Konto ausdrücklich erlaubt, IAM-Richtlinie](key-policy-default.md#key-policy-default-allow-root-enable-iam) zur Steuerung des Zugriffs auf den Schlüssel zu verwenden. Um festzustellen, ob sich eine Berechtigung auf einen KMS-Schlüssel bezieht, siehe [AWS KMS Berechtigungen](kms-api-permissions-reference.md) und suchen Sie in der Spalte **Ressourcen** nach dem Wert **KMS-Schlüssel**.
Mit dieser Richtlinie erhält ein Hauptbenutzer Berechtigungen für jeden KMS-Schlüssel mit einer Schlüsselrichtlinie, die den Vorgang zulässt. Für kontoübergreifende Berechtigungen wie `kms:DescribeKey` und `kms:ListGrants` kann dies KMS-Schlüssel in nicht vertrauenswürdigen AWS-Konten einschließen. Details dazu finden Sie unter [Bewährte Methoden für IAM-Richtlinien](iam-policies-best-practices.md) und [Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben](key-policy-modifying-external-accounts.md). Um festzustellen, ob eine Berechtigung für KMS-Schlüssel in anderen Konten gültig ist, siehe [AWS KMS Berechtigungen](kms-api-permissions-reference.md) und suchen Sie in der Spalte **Kontoübergreifende Verwendung** nach dem Wert **Ja**.
Damit Principals die AWS KMS Konsole fehlerfrei aufrufen können, benötigt der Principal das [Tag: GetResources permission](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), das nicht in der `AWSKeyManagementServicePowerUser` Richtlinie enthalten ist. Sie können diese Berechtigung in einer separaten IAM-Richtlinie erlauben.
Die von [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) verwaltete IAM-Richtlinie muss die folgende Berechtigungen umfassen.
+ Erlaubt es Prinzipalen, KMS-Schlüssel zu erstellen. Da dieser Prozess das Festlegen der Schlüsselrichtlinie beinhaltet, können Hauptbenutzer sich selbst und anderen die Berechtigung zur Verwendung und Verwaltung der von ihnen erstellten KMS-Schlüssel erteilen.
+ Erlaubt es Benutzern, [Aliase](kms-alias.md) und [Tags](tagging-keys.md) auf allen KMS-Schlüsseln zu erstellen und zu löschen. Wenn Sie ein Tag oder einen Alias ändern, wird die Berechtigung zur Verwendung und Verwaltung des KMS-Schlüssels erteilt oder verweigert. Details hierzu finden Sie unter [ABAC für AWS KMS](abac.md).
+ Erlaubt es Benutzern, detaillierte Informationen zu allen KMS-Schlüsseln zu erhalten, einschließlich ihres Schlüssel-ARN, der kryptografischen Konfiguration, der Schlüsselrichtlinie, Aliase, Tags und [Drehungsstatus](rotate-keys.md).
+ Erlaubt es Benutzern, IAM-Benutzer, -Gruppen und -Rollen aufzulisten.
+ Diese Richtlinie erlaubt es Prinzipalen nicht, KMS-Schlüssel zu verwenden oder zu verwalten, die sie nicht erstellt haben. Sie können jedoch Aliase und Tags auf allen KMS-Schlüsseln ändern, was ihnen die Berechtigung zur Verwendung oder Verwaltung eines KMS-Schlüssels erlauben oder verweigern kann.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)in der Referenz zu AWS verwalteten Richtlinien.
## AWS verwaltete Richtlinie: AWSService RoleForKeyManagementServiceCustomKeyStores
Sie können `AWSServiceRoleForKeyManagementServiceCustomKeyStores` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der Sie die AWS KMS Erlaubnis erhalten, die mit Ihrem AWS CloudHSM Schlüsselspeicher verknüpften AWS CloudHSM Cluster anzuzeigen und das Netzwerk so einzurichten, dass eine Verbindung zwischen Ihrem benutzerdefinierten Schlüsselspeicher und seinem AWS CloudHSM Cluster unterstützt wird. Weitere Informationen finden Sie unter [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md).
## AWS verwaltete Richtlinie: AWSService RoleForKeyManagementServiceMultiRegionKeys
Sie können `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die die AWS KMS Erlaubnis erteilt, alle Änderungen am Schlüsselmaterial eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Weitere Informationen finden Sie unter [Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen](multi-region-auth-slr.md).
## AWS KMS Aktualisierungen der verwalteten Richtlinien AWS
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS KMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der AWS KMS [Dokumentverlauf](dochistory.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – Aktualisierung auf eine bestehende Richtlinie | AWS KMS In der Richtlinienversion v2 wurde der verwalteten Richtlinie ein Feld mit der Anweisungs-ID (`Sid`) hinzugefügt. | 21. November 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – Aktualisierung auf eine bestehende Richtlinie | AWS KMS hat die `ec2:DescribeNetworkInterfaces` Berechtigungen `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, und hinzugefügt, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können. | 10. November 2023 |
| AWS KMS hat begonnen, Änderungen zu verfolgen | AWS KMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 10. November 2023 |
# Verwenden von serviceverknüpften Rollen für AWS KMS
AWS Key Management Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS KMS Servicebezogene Rollen werden durch alle Berechtigungen definiert AWS KMS und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS KMS erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS KMS definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS KMS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS KMS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Einzelheiten zu den Aktualisierungen der in diesem Thema erörterten dienstbezogenen Rollen finden Sie unter. [AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md)
+ [Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen](multi-region-auth-slr.md)
# Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen
Um Ihre AWS CloudHSM wichtigsten Speicher zu unterstützen, ist eine Genehmigung AWS KMS erforderlich, um Informationen über Ihre AWS CloudHSM Cluster abzurufen. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM Schlüsselspeicher erstellen, benötigen die `iam:CreateServiceLinkedRole` Erlaubnis, dienstbezogene Rollen zu erstellen.
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Informationen zur AWS KMS serviceverknüpften Rolle](#about-key-store-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-key-store-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-key-store-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-key-store-slr)
## Informationen zur AWS KMS serviceverknüpften Rolle
Eine [dienstverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS KMS](using-service-linked-roles.md).
AWS KMS Erstellt für AWS CloudHSM Schlüsselspeicher die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstverknüpfte Rolle mit der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie. Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:
+ [cloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — erkennt Änderungen im AWS CloudHSM Cluster, der an Ihren benutzerdefinierten Schlüsselspeicher angehängt ist.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Sicherheitsgruppe zu erstellen, die den Netzwerkdatenfluss zwischen und Ihrem Cluster ermöglicht. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um den Netzwerkzugriff von der VPC aus AWS KMS zu ermöglichen, die Ihren AWS CloudHSM Cluster enthält.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Netzwerkschnittstelle zu erstellen, die für die Kommunikation zwischen AWS KMS und dem Cluster verwendet wird. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — wird verwendet, wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, um alle ausgehenden Regeln aus der Sicherheitsgruppe zu entfernen, die erstellt wurde. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — wird verwendet, wenn Sie die Verbindung zu [einem AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), um Sicherheitsgruppen zu löschen, die beim Verbinden mit dem AWS CloudHSM Schlüsselspeicher erstellt wurden.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — wird verwendet, um Änderungen in der Sicherheitsgruppe zu überwachen, die in der VPC AWS KMS erstellt wurde, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — wird verwendet, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — wird verwendet, um Änderungen im Netzwerk ACLs für die VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — wird verwendet, um Änderungen an den Netzwerkschnittstellen zu überwachen, die in der VPC AWS KMS erstellt wurden, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Da die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstgebundene Rolle nur vertrauenswürdig ist`cks.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstgebundene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die zum Anzeigen Ihrer AWS CloudHSM Cluster und zum Verbinden eines AWS CloudHSM Schlüsselspeichers mit dem zugehörigen Cluster AWS KMS erforderlich sind. AWS CloudHSM Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. Sie ist beispielsweise AWS KMS nicht berechtigt, Ihre AWS CloudHSM Cluster oder Backups zu erstellen HSMs, zu verwalten oder zu löschen.
**Regionen**
Wie die Funktion „ AWS CloudHSM Schlüsselspeicher“ wird die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**Rolle AWS-Regionen überall unterstützt AWS KMS und AWS CloudHSM ist verfügbar. Eine Liste der Funktionen AWS-Regionen , die von den einzelnen Diensten unterstützt werden, finden Sie unter [AWS Key Management Service Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/kms.html) und [AWS CloudHSM Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in der. *Allgemeine Amazon Web Services-Referenz*
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**serviceverknüpfte Rolle in Ihrem AWS-Konto , wenn Sie einen AWS CloudHSM Schlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Namen der Rolle oder die Richtlinienanweisungen in der serviceverknüpften Rolle **AWSServiceRoleForKeyManagementServiceCustomKeyStores** nicht bearbeiten. Sie können jedoch die Beschreibung der Rolle bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle nicht aus Ihrem, AWS-Konto auch wenn Sie [alle Ihre AWS CloudHSM Schlüsselspeicher gelöscht](delete-keystore.md) haben. Derzeit gibt es zwar kein Verfahren zum Löschen der **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogenen Rolle, AWS KMS nimmt diese Rolle jedoch nicht an und verwendet auch nicht ihre Berechtigungen, sofern Sie nicht über aktive AWS CloudHSM Schlüsselspeicher verfügen.
# Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen
Um [Schlüssel mit mehreren Regionen](multi-region-keys-auth.md) zu unterstützen, ist die Erlaubnis AWS KMS erforderlich, die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle in Ihrem. AWS-Konto Benutzer, die Schlüssel für mehrere Regionen erstellen, müssen über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.
Sie können das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail Ereignis, das die AWS KMS Synchronisierung gemeinsam genutzter Eigenschaften aufzeichnet, in Ihren Protokollen einsehen. AWS CloudTrail
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Über die serviceverknüpfte Rolle für multiregionale Schlüssel](#about-multi-region-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-mrk-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-mrk-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-mrk-slr)
## Über die serviceverknüpfte Rolle für multiregionale Schlüssel
Eine [dienstbezogene Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen.
Bei Schlüsseln mit mehreren Regionen AWS KMS wird die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle mit der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie erstellt. Diese Richtlinie gibt der Rolle die `kms:SynchronizeMultiRegionKey`-Berechtigung, die es ermöglicht, die freigegebenen Eigenschaften von multiregionalen Schlüsseln zu synchronisieren.
Da die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstgebundene Rolle nur vertrauenswürdig ist`mrk.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstbezogene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, bei denen gemeinsam genutzte Eigenschaften mehrerer Regionen synchronisiert AWS KMS werden müssen. Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. AWS KMS Hat beispielsweise keine Berechtigung, KMS-Schlüssel zu erstellen, zu replizieren oder zu löschen.
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) im IAM-Benutzerhandbuch.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**serviceverknüpfte Rolle in Ihrem, AWS-Konto wenn Sie einen Schlüssel für mehrere Regionen erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Rollennamen oder die Richtlinienerklärungen in der **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogenen Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstverknüpfte Rolle nicht aus Ihrer AWS-Konto und Sie können sie nicht löschen. Übernimmt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**Rolle jedoch AWS KMS nicht und verwendet keine ihrer Berechtigungen, es sei denn, Sie haben Schlüssel für mehrere Regionen in Ihrer Region AWS-Konto und Ihrer Region.