Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestión de identidad y acceso para AWS Key Management Service
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) le ayuda a controlar de forma segura el acceso a AWS los recursos. Los administradores controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar AWS KMS los recursos. Para obtener más información, consulte [Uso de políticas de IAM con AWS KMS](iam-policies.md).

Las [políticas clave](key-policies.md) son el mecanismo principal para controlar el acceso a las claves de KMS. AWS KMS Cada clave de KMS debe tener una política de claves. También puede utilizar [políticas de IAM](iam-policies.md) y [concesiones](grants.md), junto con las políticas de claves para controlar el acceso a sus claves KMS. Para obtener más información, consulte [Permisos y acceso a claves KMS](control-access.md).

Si utiliza una Amazon Virtual Private Cloud (Amazon VPC), puede [crear una interfaz de punto final de VPC](kms-vpc-endpoint.md) con tecnología. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) También puedes usar las políticas de punto final de la VPC para determinar qué entidades principales pueden acceder a tu AWS KMS punto final, qué llamadas a la API pueden realizar y a qué clave de KMS pueden acceder.

**Topics**
+ [AWS políticas gestionadas para AWS Key Management Service](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para AWS KMS](using-service-linked-roles.md)

# AWS políticas gestionadas para AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

## AWS política gestionada: AWSKey ManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

Puede asociar la política `AWSKeyManagementServicePowerUser` a las identidades de IAM.

Puede utilizar la política administrada de `AWSKeyManagementServicePowerUser` para dar a las entidades principales de IAM en su cuenta los permisos de un usuario avanzado. Los usuarios avanzados pueden crear claves KMS, usar y administrar las claves KMS que crean y ver todas las claves KMS e identidades de IAM. Las entidades principales que tienen la política administrada `AWSKeyManagementServicePowerUser` también pueden obtener permisos de otras fuentes, incluidas las políticas de claves, otras políticas de IAM y las concesiones. 

`AWSKeyManagementServicePowerUser`es una política de IAM AWS gestionada. Para obtener más información sobre las políticas AWS gestionadas, consulte las [políticas AWS gestionadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la Guía del *usuario de IAM*.

**nota**  
Los permisos de esta política que son específicos para una clave KMS, como `kms:TagResource` y `kms:GetKeyRotationStatus`, solo son efectivos cuando la política de la clave para esa clave KMS [permite explícitamente que la Cuenta de AWS utilice las políticas de IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) para controlar el acceso a la clave. Para determinar si un permiso es específico para una clave KMS, consulte [AWS KMS permisos](kms-api-permissions-reference.md) y busque un valor de **clave KMS** en la columna **Resources** (Recursos).   
Esta política proporciona al usuario avanzado permisos sobre cualquier clave KMS con una política de claves que permita la operación. En el caso de los permisos entre cuentas, como `kms:DescribeKey` y `kms:ListGrants`, esto podría incluir las claves KMS en Cuentas de AWS no confiables. Para más detalles, consulte [Prácticas recomendadas para las políticas de IAM](iam-policies-best-practices.md) y [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md). Para determinar si un permiso es válido en las claves KMS de otras cuentas, consulte [AWS KMS permisos](kms-api-permissions-reference.md) y busque un valor **Yes** (Sí) en la columna **Cross-account use** (Uso entre cuentas).   
Para que los directores puedan ver la AWS KMS consola sin errores, el director necesita la [etiqueta: GetResources permission](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), que no está incluida en la `AWSKeyManagementServicePowerUser` política. Puede autorizar este permiso en una política de IAM independiente.

La política de IAM administrada [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) debe incluir los siguientes permisos.
+ Permite a las entidades principales crear claves KMS. Dado que este proceso incluye la configuración de la política de claves, los usuarios avanzados pueden concederse a sí mismos y a otros permisos para usar y administrar las claves KMS que crean.
+ Permite a las entidades principales crear y eliminar [alias](kms-alias.md) y [etiquetas](tagging-keys.md) en todas las claves KMS. Si cambia una etiqueta o un alias, puede permitir o denegar el permiso para usar y administrar la clave KMS. Para obtener más información, consulte [ABAC para AWS KMS](abac.md).
+ Permite a las entidades principales obtener información detallada sobre todas las claves KMS, incluyendo su ARN clave, configuración criptográfica, política de claves, alias, etiquetas y [estado de rotación](rotate-keys.md).
+ Permite a las entidades principales enumerar usuarios, grupos y roles de IAM.
+ Esta política no permite a las entidades principales utilizar o administrar claves KMS que no hayan creado. Sin embargo, pueden cambiar los alias y las etiquetas de todas las claves KMS, lo que podría permitirles o denegarles el permiso para utilizar o administrar una clave KMS.

Para ver los permisos de esta política, consulte la Referencia [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)de políticas AWS administradas.

## AWS política gestionada: AWSService RoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

No puede asociar `AWSServiceRoleForKeyManagementServiceCustomKeyStores` a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite AWS KMS ver los AWS CloudHSM clústeres asociados a su almacén de AWS CloudHSM claves y crear la red que permita una conexión entre su almacén de claves personalizado y su AWS CloudHSM clúster. Para obtener más información, consulte [Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2](authorize-kms.md).

## AWS política gestionada: AWSService RoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

No puede asociar `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que otorga permiso de AWS KMS para sincronizar los cambios realizados en el material de claves de una clave principal de varias regiones con las claves de réplica. Para obtener más información, consulte [Autoriza la sincronización de claves AWS KMS multirregionales](multi-region-auth-slr.md).

## AWS KMS actualizaciones de las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS KMS desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de AWS KMS [Historial de documentos](dochistory.md).


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): actualización de una política actual  |  AWS KMS se agregó un campo de ID de declaración (`Sid`) a la política administrada en la versión v2 de la política.  |  21 de noviembre de 2024  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): actualización de una política actual  |  AWS KMS agregó los `ec2:DescribeNetworkInterfaces` permisos `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, y para monitorear los cambios en la VPC que contiene el AWS CloudHSM clúster, de modo que AWS KMS puedan proporcionar mensajes de error claros en caso de fallas.  |  10 de noviembre de 2023  | 
|  AWS KMS comenzó a rastrear los cambios  |  AWS KMS comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.  |  10 de noviembre de 2023  | 

# Uso de roles vinculados a servicios para AWS KMS
<a name="using-service-linked-roles"></a>

AWS Key Management Service [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS KMS Los roles vinculados al servicio se definen AWS KMS e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS KMS , ya que no es necesario añadir manualmente los permisos necesarios. AWS KMS define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS KMS puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus AWS KMS recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Para consultar los detalles sobre las actualizaciones de las funciones vinculadas al servicio, consulte [AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2](authorize-kms.md)
+ [Autoriza la sincronización de claves AWS KMS multirregionales](multi-region-auth-slr.md)

# Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2
<a name="authorize-kms"></a>

Para respaldar sus almacenes de AWS CloudHSM claves, AWS KMS necesita permiso para obtener información sobre sus AWS CloudHSM clústeres. También necesita permiso para crear la infraestructura de red que conecta el almacén de AWS CloudHSM claves con su AWS CloudHSM clúster. Para obtener estos permisos, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio en su. Cuenta de AWS Los usuarios que crean almacenes de AWS CloudHSM claves deben tener el `iam:CreateServiceLinkedRole` permiso que les permita crear roles vinculados a servicios.

Para ver los detalles sobre las actualizaciones de la política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestionada, consulte. [AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)

**Topics**
+ [Acerca de la función AWS KMS vinculada al servicio](#about-key-store-slr)
+ [Creación del rol vinculado a servicios](#create-key-store-slr)
+ [Editar la descripción del rol vinculado a un servicio](#edit-key-store-slr)
+ [Eliminar el rol vinculado a servicios](#delete-key-store-slr)

## Acerca de la función AWS KMS vinculada al servicio
<a name="about-key-store-slr"></a>

Un [rol vinculado a un servicio es un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM que da permiso a un AWS servicio para llamar a otros AWS servicios en tu nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas de IAM complejas. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS KMS](using-service-linked-roles.md).

En el AWS CloudHSM caso de los almacenes clave, AWS KMS crea la función **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada al servicio con la **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**política gestionada. Esta política concede los siguientes permisos al rol:
+ [CloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html): detecta los cambios en el AWS CloudHSM clúster adjunto a su almacén de claves personalizado.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para crear el grupo de seguridad que permite el flujo de tráfico de red entre el clúster y el clúster. AWS KMS AWS CloudHSM 
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para permitir el acceso a la red desde AWS KMS la VPC que contiene AWS CloudHSM el clúster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para crear la interfaz de red que se utiliza para la comunicación entre el clúster AWS KMS y el clúster. AWS CloudHSM 
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — se utiliza cuando se [conecta un almacén de AWS CloudHSM claves](connect-keystore.md) para eliminar todas las reglas de salida del grupo de seguridad que lo creó. AWS KMS 
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — se utiliza cuando se [desconecta un almacén de AWS CloudHSM claves](disconnect-keystore.md) para eliminar los grupos de seguridad que se crearon al conectar el AWS CloudHSM almacén de claves.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — se usa para monitorear los cambios en el grupo de seguridad que se AWS KMS creó en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — se usa para monitorear los cambios en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — se usa para monitorear los cambios en la red ACLs de la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que pueda proporcionar mensajes de error claros en caso de fallas.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — se utiliza para supervisar los cambios en las interfaces de red que se AWS KMS crearon en la VPC que contiene AWS CloudHSM el clúster, de modo AWS KMS que puedan proporcionar mensajes de error claros en caso de que se produzcan errores.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Como el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio solo es de confianza`cks.kms.amazonaws.com`, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones necesarias para AWS KMS ver los AWS CloudHSM clústeres y conectar un almacén de AWS CloudHSM claves al clúster asociado. AWS CloudHSM No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, administrar o eliminar sus AWS CloudHSM clústeres o copias de seguridad. HSMs

**Regiones**

Al igual que la función de almacenes de AWS CloudHSM claves, la **AWSServiceRoleForKeyManagementServiceCustomKeyStores**función es compatible en todas Regiones de AWS partes AWS KMS y AWS CloudHSM está disponible. Para obtener una lista de los elementos Regiones de AWS que admite cada servicio, consulte [AWS Key Management Service Puntos finales y cuotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) y [AWS CloudHSM puntos finales y cuotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) en. *Referencia general de Amazon Web Services*

Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).

## Creación del rol vinculado a servicios
<a name="create-key-store-slr"></a>

AWS KMS crea automáticamente el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio en usted Cuenta de AWS al crear un almacén de AWS CloudHSM claves, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente. 

## Editar la descripción del rol vinculado a un servicio
<a name="edit-key-store-slr"></a>

No puede editar el nombre del rol o las instrucciones de la política en el rol vinculado a un servicio **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, aunque sí puede editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar el rol vinculado a servicios
<a name="delete-key-store-slr"></a>

AWS KMS no elimina el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio de su cuenta, Cuenta de AWS incluso si ha [eliminado todos sus almacenes de claves](delete-keystore.md). AWS CloudHSM Aunque actualmente no existe ningún procedimiento para eliminar la función **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada al servicio, AWS KMS no la asume ni utiliza sus permisos a menos que tenga almacenes de claves activos. AWS CloudHSM 

# Autoriza la sincronización de claves AWS KMS multirregionales
<a name="multi-region-auth-slr"></a>

Para admitir [claves multirregionales](multi-region-keys-auth.md), AWS KMS necesita permiso para sincronizar las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de una clave principal multirregional con sus claves de réplica. Para obtener estos permisos, AWS KMS crea el rol vinculado al **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**servicio en su. Cuenta de AWS Los usuarios que crean claves de varias regiones deben tener el permiso `iam:CreateServiceLinkedRole` que les permite crear roles vinculados a un servicio.

Puede ver el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus registros. AWS CloudTrail 

Para ver los detalles sobre las actualizaciones de la política **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestionada, consulte[AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Acerca del rol vinculado a un servicio para claves de varias regiones](#about-multi-region-slr)
+ [Creación del rol vinculado a servicios](#create-mrk-slr)
+ [Editar la descripción del rol vinculado a un servicio](#edit-mrk-slr)
+ [Eliminar el rol vinculado a servicios](#delete-mrk-slr)

## Acerca del rol vinculado a un servicio para claves de varias regiones
<a name="about-multi-region-slr"></a>

Una [función vinculada a un servicio es una función](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM que permite a un AWS servicio llamar a otros AWS servicios en su nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas de IAM complejas.

En el caso de las claves multirregionales, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio con la política gestionada. **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** Esta política le confiere al rol el permiso `kms:SynchronizeMultiRegionKey`, que le permite sincronizar las propiedades compartidas de claves de varias regiones.

Como el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio solo es de confianza`mrk.kms.amazonaws.com`, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones que se AWS KMS necesitan para sincronizar las propiedades compartidas de varias regiones. No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, replicar ni eliminar ninguna clave de KMS.

Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## Creación del rol vinculado a servicios
<a name="create-mrk-slr"></a>

AWS KMS crea automáticamente el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio en usted Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente. 

## Editar la descripción del rol vinculado a un servicio
<a name="edit-mrk-slr"></a>

No puede editar el nombre del rol ni las declaraciones de política del rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio, pero sí puede editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar el rol vinculado a servicios
<a name="delete-mrk-slr"></a>

AWS KMS no elimina el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**rol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.