Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des identités et des accès pour AWS Key Management Service
<a name="security-iam"></a>

Gestion des identités et des accès AWS (IAM) vous aide à contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les AWS KMS ressources. Pour de plus amples informations, veuillez consulter [Utilisation des politiques IAM avec AWS KMS](iam-policies.md).

Les [politiques clés](key-policies.md) constituent le principal mécanisme de contrôle de l'accès aux clés KMS dans AWS KMS. Chaque clé KMS doit avoir une politique de clé. Vous pouvez également utiliser des [stratégies IAM](iam-policies.md) et des [octrois](grants.md), ainsi que des stratégies de clé pour contrôler l'accès à vos clés KMS. Pour de plus amples informations, veuillez consulter [Accès aux clés KMS et autorisations](control-access.md).

Si vous utilisez un Amazon Virtual Private Cloud (Amazon VPC), vous pouvez [créer un point de terminaison VPC](kms-vpc-endpoint.md) d'interface à utiliser. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Vous pouvez également utiliser les politiques de point de terminaison VPC pour déterminer quels principaux peuvent accéder à votre AWS KMS point de terminaison, quels appels d'API ils peuvent effectuer et à quelle clé KMS ils peuvent accéder.

**Topics**
+ [AWS politiques gérées pour AWS Key Management Service](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour AWS KMS](using-service-linked-roles.md)

# AWS politiques gérées pour AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

## AWS politique gérée : AWSKey ManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

Vous pouvez associer la politique `AWSKeyManagementServicePowerUser` à vos identités IAM.

Vous pouvez utiliser une politique gérée par `AWSKeyManagementServicePowerUser` pour accorder aux principaux IAM de votre compte, les autorisations d'un utilisateur avec pouvoir. Les utilisateurs expérimentés peuvent créer des clés KMS, utiliser et gérer les clés KMS qu'ils créent et afficher toutes les clés KMS et les identités IAM. Les principals qui ont la politique gérée `AWSKeyManagementServicePowerUser` peuvent également obtenir des autorisations d'autres sources, notamment des politiques de clé, d'autres politiques IAM et des octrois. 

`AWSKeyManagementServicePowerUser`est une politique IAM AWS gérée. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.

**Note**  
Les autorisations de cette politique qui sont spécifiques à une clé KMS, telles que `kms:TagResource` et `kms:GetKeyRotationStatus`, ne sont effectives que lorsque la politique de clé pour cette clé KMS [autorise explicitement le Compte AWS à utiliser des politiques IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) pour contrôler l'accès à la clé. Pour déterminer si une autorisation est spécifique à une clé KMS, consultez [AWS KMS autorisations](kms-api-permissions-reference.md) et recherchez une valeur de **Clé KMS** dans la colonne **Ressources**.   
Cette politique accorde à l'utilisateur expérimenté les autorisations sur n'importe quelle clé KMS avec une politique de clé qui permet l'opération. Pour les autorisations entre comptes, telles que `kms:DescribeKey` et `kms:ListGrants`, cela peut inclure des clés KMS dans des Comptes AWS non approuvés. Pour plus d'informations, consultez [Bonnes pratiques pour les politiques IAM](iam-policies-best-practices.md) et [Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS](key-policy-modifying-external-accounts.md). Pour déterminer si une autorisation est valide sur les clés KMS dans d'autres comptes, consultez [AWS KMS autorisations](kms-api-permissions-reference.md) et recherchez la valeur **Oui** dans la colonne **Utilisation inter-comptes**.   
Pour permettre aux principaux d'accéder à la AWS KMS console sans erreur, ils ont besoin de la [balise : GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, qui n'est pas incluse dans la `AWSKeyManagementServicePowerUser` politique. Vous pouvez accorder cette autorisation dans une politique IAM distincte.

La stratégie IAM gérée par [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) doit inclure les autorisations suivantes.
+ Autorise les principals à créer des clés KMS. Étant donné que ce processus inclut la définition de la politique de clé, les utilisateurs expérimentés peuvent se donner l'autorisation d'utiliser et de gérer les clés KMS qu'ils créent.
+ Autorise les principals à créer et supprimer des [alias](kms-alias.md) et des [balises](tagging-keys.md) sur toutes les clés KMS. La modification d'une balise ou d'un alias peut autoriser ou interdire l'utilisation et la gestion de la clé KMS. Pour en savoir plus, consultez [ABAC pour AWS KMS](abac.md).
+ Permet aux principals d'obtenir des informations détaillées sur toutes les clés KMS, y compris leur ARN de clé, leur configuration de chiffrement, leur politique de clé, leurs alias, leurs balises et leur [statut de rotation](rotate-keys.md).
+ Permet aux principals de répertorier les utilisateurs, les groupes et les rôles IAM.
+ Cette politique n'autorise pas les principals à utiliser ou à gérer des clés KMS qu'ils n'ont pas créées. Cependant, ils peuvent modifier les alias et les balises sur toutes les clés KMS, ce qui peut leur autoriser ou leur refuser l'autorisation d'utiliser ou de gérer une clé KMS.

Pour consulter les autorisations associées à cette politique, reportez-vous [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)à la référence des politiques AWS gérées.

## AWS politique gérée : AWSService RoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

Vous ne pouvez pas joindre de `AWSServiceRoleForKeyManagementServiceCustomKeyStores` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui donne AWS KMS l'autorisation d'afficher les AWS CloudHSM clusters associés à votre magasin de AWS CloudHSM clés et de créer le réseau permettant une connexion entre votre magasin de clés personnalisé et son AWS CloudHSM cluster. Pour de plus amples informations, veuillez consulter [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md).

## AWS politique gérée : AWSService RoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

Vous ne pouvez pas joindre de `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui AWS KMS autorise la synchronisation de toute modification apportée au contenu clé d'une clé primaire multirégionale avec ses clés répliques. Pour de plus amples informations, veuillez consulter [Autorisation de synchronisation AWS KMS des clés multirégionales](multi-region-auth-slr.md).

## AWS KMS mises à jour des politiques AWS gérées
<a name="security-iam-awsmanpol-updates"></a>

Consultez les détails des mises à jour des politiques AWS gérées AWS KMS depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page AWS KMS [Historique du document](dochistory.md).


| Modifier | Description | Date | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) : mise à jour de la politique existante  |  AWS KMS a ajouté un champ Statement ID (`Sid`) à la politique gérée dans la version v2 de la politique.  |  21 novembre 2024  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) : mise à jour de la politique existante  |  AWS KMS a ajouté les `ec2:DescribeNetworkInterfaces` autorisations `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, et pour surveiller les modifications apportées au VPC qui contient votre AWS CloudHSM cluster afin de AWS KMS pouvoir fournir des messages d'erreur clairs en cas de défaillance.  |  10 novembre 2023  | 
|  AWS KMS a commencé à suivre les modifications  |  AWS KMS a commencé à suivre les modifications apportées AWS à ses politiques gérées.  |  10 novembre 2023  | 

# Utilisation de rôles liés à un service pour AWS KMS
<a name="using-service-linked-roles"></a>

AWS Key Management Service utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS KMS Les rôles liés au service sont définis par AWS KMS et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration AWS KMS car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. AWS KMS définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS KMS peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Cela protège vos AWS KMS ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

Pour en savoir plus sur les mises à jour des rôles liés aux services abordés dans cette rubrique, consultez. [AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)

**Topics**
+ [Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2](authorize-kms.md)
+ [Autorisation de synchronisation AWS KMS des clés multirégionales](multi-region-auth-slr.md)

# Autorisation AWS KMS de gestion AWS CloudHSM et ressources Amazon EC2
<a name="authorize-kms"></a>

Pour prendre en charge vos AWS CloudHSM principaux magasins, vous AWS KMS devez disposer d'une autorisation pour obtenir des informations sur vos AWS CloudHSM clusters. Il a également besoin d'une autorisation pour créer l'infrastructure réseau qui connecte votre magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre. Compte AWS Les utilisateurs qui créent des magasins de AWS CloudHSM clés doivent disposer de l'`iam:CreateServiceLinkedRole`autorisation qui leur permet de créer des rôles liés à un service.

Pour obtenir des informations détaillées sur les mises à jour de la politique **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gérée, consultez[AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [À propos du rôle lié à AWS KMS un service](#about-key-store-slr)
+ [Création du rôle lié à un service](#create-key-store-slr)
+ [Modifier la description du rôle lié à un service](#edit-key-store-slr)
+ [Supprimer le rôle lié à un service](#delete-key-store-slr)

## À propos du rôle lié à AWS KMS un service
<a name="about-key-store-slr"></a>

Un [rôle lié à un service est un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM qui autorise un AWS service à appeler d'autres AWS services en votre nom. Il est conçu pour vous permettre d'utiliser plus facilement les fonctionnalités de plusieurs AWS services intégrés sans avoir à créer et à gérer des politiques IAM complexes. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS KMS](using-service-linked-roles.md).

Pour les magasins de AWS CloudHSM clés, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service avec la politique **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gérée. Cette politique accorde au rôle les autorisations suivantes :
+ [cloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — détecte les modifications dans le AWS CloudHSM cluster attaché à votre magasin de clés personnalisé.
+ [ec2 : CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour créer le groupe de sécurité qui permet le flux de trafic réseau entre AWS KMS et votre AWS CloudHSM cluster.
+ [ec2 : AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour autoriser l'accès au réseau depuis AWS KMS le VPC qui contient AWS CloudHSM votre cluster.
+ [ec2 : CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour créer l'interface réseau utilisée pour la communication entre AWS KMS et le AWS CloudHSM cluster.
+ [ec2 : RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — utilisé lorsque vous [connectez un magasin de AWS CloudHSM clés](connect-keystore.md) pour supprimer toutes les règles sortantes du groupe de sécurité créé. AWS KMS 
+ [ec2 : DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — utilisé lorsque vous [déconnectez un magasin de AWS CloudHSM clés](disconnect-keystore.md) pour supprimer les groupes de sécurité créés lors de la connexion du magasin de AWS CloudHSM clés.
+ [ec2 : DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — utilisé pour surveiller les modifications apportées au groupe de sécurité AWS KMS créé dans le VPC contenant AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.
+ [ec2 : DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — utilisé pour surveiller les modifications apportées au VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de pouvoir fournir des messages d'erreur clairs en cas de défaillance.
+ [ec2 : DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — utilisé pour surveiller les modifications du réseau ACLs pour le VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de pouvoir fournir des messages d'erreur clairs en cas de panne.
+ [ec2 : DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — utilisé pour surveiller les modifications des interfaces réseau AWS KMS créées dans le VPC qui contient AWS CloudHSM votre cluster afin AWS KMS de fournir des messages d'erreur clairs en cas de défaillance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Étant donné que le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service n'est fiable que`cks.kms.amazonaws.com`, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations qui AWS KMS nécessitent de visualiser vos AWS CloudHSM clusters et de connecter un magasin de AWS CloudHSM clés au AWS CloudHSM cluster associé. Il ne donne AWS KMS aucune autorisation supplémentaire. Par exemple, AWS KMS n'est pas autorisé à créer, gérer ou supprimer vos AWS CloudHSM clusters ou vos sauvegardes. HSMs

**Régions**

À l'instar de la fonctionnalité AWS CloudHSM Key Stores, le **AWSServiceRoleForKeyManagementServiceCustomKeyStores**rôle est pris en charge partout Régions AWS où il AWS KMS est disponible. AWS CloudHSM Pour obtenir la liste des points Régions AWS pris en charge par chaque service, voir [AWS Key Management Service Points de terminaison et quotas et AWS CloudHSM](https://docs.aws.amazon.com/general/latest/gr/kms.html) [points de terminaison et quotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) dans le. *Référence générale d'Amazon Web Services*

Pour plus d'informations sur la manière dont les AWS services utilisent les rôles liés aux services, consultez la section [Utilisation des rôles liés aux services](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le Guide de l'utilisateur IAM.

## Création du rôle lié à un service
<a name="create-key-store-slr"></a>

AWS KMS crée automatiquement le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service dans votre magasin de clés Compte AWS lorsque vous créez un magasin de AWS CloudHSM clés, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service. 

## Modifier la description du rôle lié à un service
<a name="edit-key-store-slr"></a>

Vous ne pouvez pas modifier le nom du rôle ou les déclarations de stratégie du rôle lié à un service **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, mais vous pouvez modifier la description du rôle. Pour obtenir des instructions, veuillez consulter la rubrique [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.

## Supprimer le rôle lié à un service
<a name="delete-key-store-slr"></a>

AWS KMS ne supprime pas le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié au service, Compte AWS même si vous avez [supprimé tous vos AWS CloudHSM principaux magasins](delete-keystore.md). Bien qu'il n'existe actuellement aucune procédure permettant de supprimer le rôle **AWSServiceRoleForKeyManagementServiceCustomKeyStores**lié à un service, AWS KMS elle n'assume pas ce rôle et n'utilise pas ses autorisations sauf si vous disposez de banques de AWS CloudHSM clés actives.

# Autorisation de synchronisation AWS KMS des clés multirégionales
<a name="multi-region-auth-slr"></a>

Pour prendre en charge [les clés multirégionales](multi-region-keys-auth.md), AWS KMS vous devez être autorisé à synchroniser les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) d'une clé primaire multirégionale avec ses clés répliquées. Pour obtenir ces autorisations, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service dans votre. Compte AWS Les utilisateurs qui créent des clés multirégionales doivent disposer de l'`iam:CreateServiceLinkedRole`autorisation qui leur permet de créer des rôles liés à un service.

Vous pouvez consulter l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail événement qui enregistre la AWS KMS synchronisation des propriétés partagées dans vos AWS CloudTrail journaux.

Pour obtenir des informations détaillées sur les mises à jour de la politique **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gérée, consultez[AWS KMS mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [À propos du rôle lié à un service pour les clés multi-région](#about-multi-region-slr)
+ [Création du rôle lié à un service](#create-mrk-slr)
+ [Modifier la description du rôle lié à un service](#edit-mrk-slr)
+ [Supprimer le rôle lié à un service](#delete-mrk-slr)

## À propos du rôle lié à un service pour les clés multi-région
<a name="about-multi-region-slr"></a>

Un [rôle lié à un service est un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM qui autorise un AWS service à appeler d'autres AWS services en votre nom. Il est conçu pour vous permettre d'utiliser plus facilement les fonctionnalités de plusieurs AWS services intégrés sans avoir à créer et à gérer des politiques IAM complexes.

Pour les clés multirégionales, AWS KMS crée le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service avec la **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**politique gérée. Cette politique donne au rôle l'autorisation `kms:SynchronizeMultiRegionKey`, qui lui permet de synchroniser les propriétés partagées des clés multi-région.

Étant donné que le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service n'est fiable que`mrk.kms.amazonaws.com`, seul le rôle lié au service AWS KMS peut assumer ce rôle lié au service. Ce rôle est limité aux opérations qui AWS KMS doivent synchroniser les propriétés partagées multirégionales. Il ne donne AWS KMS aucune autorisation supplémentaire. Par exemple, AWS KMS n'est pas autorisé à créer, répliquer ou supprimer des clés KMS.

Pour plus d'informations sur la manière dont les AWS services utilisent les rôles liés aux services, consultez la section [Utilisation des rôles liés aux services](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le guide de l'utilisateur IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## Création du rôle lié à un service
<a name="create-mrk-slr"></a>

AWS KMS crée automatiquement le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service dans votre Compte AWS lorsque vous créez une clé multirégionale, si le rôle n'existe pas déjà. Vous ne pouvez pas créer ou recréer directement ce rôle lié à un service. 

## Modifier la description du rôle lié à un service
<a name="edit-mrk-slr"></a>

Vous ne pouvez pas modifier le nom du rôle ni les déclarations de politique du rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié à un service, mais vous pouvez modifier la description du rôle. Pour de plus amples informations, veuillez consulter [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.

## Supprimer le rôle lié à un service
<a name="delete-mrk-slr"></a>

AWS KMS ne supprime pas le rôle **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**lié au service de votre compte Compte AWS et vous ne pouvez pas le supprimer. Cependant, AWS KMS n'assume pas le **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**rôle et n'utilise aucune de ses autorisations, sauf si vous avez des clés multirégionales dans votre région Compte AWS et.