Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autoriza la sincronización de claves AWS KMS multirregionales
Para admitir claves multirregionales, AWS KMS necesita permiso para sincronizar las propiedades compartidas de una clave principal multirregional con sus claves de réplica. Para obtener estos permisos, AWS KMS crea el rol vinculado al AWSServiceRoleForKeyManagementServiceMultiRegionKeysservicio en su. Cuenta de AWS Los usuarios que crean claves multirregionales deben tener el iam:CreateServiceLinkedRole permiso que les permita crear roles vinculados al servicio.
Puede ver el SynchronizeMultiRegionKey CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus registros. AWS CloudTrail
Para ver los detalles sobre las actualizaciones de la política AWSKeyManagementServiceMultiRegionKeysServiceRolePolicygestionada, consulteAWS KMS actualizaciones de las políticas gestionadas AWS.
Temas
Acerca del rol vinculado a un servicio para claves de varias regiones
Un rol vinculado a un servicio es un IAM rol que da permiso a un AWS servicio para llamar a otros AWS servicios en su nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas complejasIAM.
En el caso de las claves multirregionales, AWS KMS crea el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio con la AWSKeyManagementServiceMultiRegionKeysServiceRolePolicypolítica gestionada. Esta política le confiere al rol el permiso kms:SynchronizeMultiRegionKey, que le permite sincronizar las propiedades compartidas de claves de varias regiones.
Como el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio solo es de confianzamrk.kms.amazonaws.com, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones que se AWS KMS necesitan para sincronizar las propiedades compartidas de varias regiones. No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, replicar o eliminar ninguna KMS clave.
Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte Uso de funciones vinculadas a servicios en la Guía del usuario. IAM
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "KMSSynchronizeMultiRegionKey", "Effect" : "Allow", "Action" : [ "kms:SynchronizeMultiRegionKey" ], "Resource" : "*" } ] }
Creación del rol vinculado a servicios
AWS KMS crea automáticamente el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio en su nombre Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente.
Editar la descripción del rol vinculado a un servicio
No puede editar el nombre del rol ni las declaraciones de política del rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio, pero sí puede editar la descripción del rol. Para obtener instrucciones, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM
Eliminar el rol vinculado a servicios
AWS KMS no elimina el rol AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el AWSServiceRoleForKeyManagementServiceMultiRegionKeysrol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.
