Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identitas dan manajemen akses untuk AWS Key Management Service
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Administrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS KMS Untuk informasi selengkapnya, lihat [Menggunakan kebijakan IAM dengan AWS KMS](iam-policies.md).

[Kebijakan kunci](key-policies.md) adalah mekanisme utama untuk mengontrol akses ke kunci KMS di AWS KMS. Setiap kunci KMS harus memiliki kebijakan kunci. Anda juga dapat menggunakan [kebijakan dan [hibah](grants.md) IAM](iam-policies.md), bersama dengan kebijakan utama, untuk mengontrol akses ke kunci KMS Anda. Untuk informasi selengkapnya, lihat [Akses dan izin kunci KMS](control-access.md).

Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat [membuat antarmuka VPC endpoint](kms-vpc-endpoint.md) untuk didukung oleh. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Anda juga dapat menggunakan kebijakan titik akhir VPC untuk menentukan prinsipal mana yang dapat mengakses AWS KMS titik akhir Anda, panggilan API mana yang dapat mereka lakukan, dan kunci KMS mana yang dapat mereka akses.

**Topics**
+ [AWS kebijakan terkelola untuk AWS Key Management Service](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk AWS KMS](using-service-linked-roles.md)

# AWS kebijakan terkelola untuk AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## AWS kebijakan terkelola: AWSKey ManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

Anda dapat melampirkan kebijakan `AWSKeyManagementServicePowerUser` ke identitas IAM Anda.

Anda dapat menggunakan kebijakan `AWSKeyManagementServicePowerUser` terkelola untuk memberikan izin kepada pengguna daya kepada kepala IAM di akun Anda. Pengguna daya dapat membuat kunci KMS, menggunakan dan mengelola kunci KMS yang mereka buat, dan melihat semua kunci KMS dan identitas IAM. Prinsipal yang memiliki kebijakan `AWSKeyManagementServicePowerUser` terkelola juga bisa mendapatkan izin dari sumber lain, termasuk kebijakan utama, kebijakan IAM lainnya, dan hibah. 

`AWSKeyManagementServicePowerUser`adalah kebijakan IAM yang AWS dikelola. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.

**catatan**  
Izin dalam kebijakan ini yang khusus untuk kunci KMS, seperti `kms:TagResource` dan`kms:GetKeyRotationStatus`, hanya efektif jika kebijakan utama untuk kunci KMS tersebut secara [eksplisit mengizinkan kebijakan IAM untuk menggunakan kebijakan IAM Akun AWS untuk mengontrol akses ke kunci tersebut](key-policy-default.md#key-policy-default-allow-root-enable-iam). Untuk menentukan apakah izin khusus untuk kunci KMS, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **kunci KMS** di kolom **Sumber Daya**.   
Kebijakan ini memberikan izin pengguna daya pada kunci KMS apa pun dengan kebijakan kunci yang mengizinkan pengoperasian. Untuk izin lintas akun, seperti `kms:DescribeKey` dan`kms:ListGrants`, ini mungkin termasuk kunci KMS yang tidak dipercaya. Akun AWS Untuk detailnya, lihat [Praktik terbaik untuk kebijakan IAM](iam-policies-best-practices.md) dan [Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS](key-policy-modifying-external-accounts.md). Untuk menentukan apakah izin valid pada kunci KMS di akun lain, lihat [AWS KMS izin](kms-api-permissions-reference.md) dan cari nilai **Ya di kolom** **Penggunaan lintas akun**.   
Untuk mengizinkan prinsipal melihat AWS KMS konsol tanpa kesalahan, prinsipal memerlukan GetResources izin [tag:](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html), yang tidak termasuk dalam kebijakan. `AWSKeyManagementServicePowerUser` Anda dapat mengizinkan izin ini dalam kebijakan IAM terpisah.

Kebijakan IAM [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser)terkelola mencakup izin berikut.
+ Memungkinkan kepala sekolah untuk membuat kunci KMS. Karena proses ini mencakup pengaturan kebijakan kunci, pengguna daya dapat memberikan izin kepada diri mereka sendiri dan orang lain untuk menggunakan dan mengelola kunci KMS yang mereka buat.
+ Memungkinkan prinsipal untuk membuat dan menghapus [alias](kms-alias.md) dan [tag](tagging-keys.md) pada semua kunci KMS. Mengubah tag atau alias dapat mengizinkan atau menolak izin untuk menggunakan dan mengelola kunci KMS. Lihat perinciannya di [ABAC untuk AWS KMS](abac.md).
+ [Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang semua kunci KMS, termasuk ARN kunci mereka, konfigurasi kriptografi, kebijakan kunci, alias, tag, dan status rotasi.](rotate-keys.md)
+ Memungkinkan prinsipal untuk mencantumkan pengguna, grup, dan peran IAM.
+ Kebijakan ini tidak mengizinkan prinsipal untuk menggunakan atau mengelola kunci KMS yang tidak mereka buat. Namun, mereka dapat mengubah alias dan tag pada semua kunci KMS, yang mungkin mengizinkan atau menolak izin mereka untuk menggunakan atau mengelola kunci KMS.

Untuk melihat izin kebijakan ini, lihat [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)di Referensi Kebijakan AWS Terkelola.

## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceCustomKeyStores` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk melihat AWS CloudHSM kluster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda dan membuat jaringan untuk mendukung koneksi antara penyimpanan kunci kustom dan klasternya. AWS CloudHSM Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md).

## AWS kebijakan terkelola: AWSService RoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

Anda tidak dapat melampirkan `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memberikan AWS KMS izin untuk menyinkronkan perubahan apa pun pada materi utama kunci utama Multi-wilayah ke kunci replika. Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md).

## AWS KMS pembaruan kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS KMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman AWS KMS [Riwayat dokumen](dochistory.md).


| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – Pembaruan ke kebijakan yang sudah ada  |  AWS KMS menambahkan kolom pernyataan ID (`Sid`) ke kebijakan terkelola dalam kebijakan versi v2.  |  November 21, 2024  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – Pembaruan ke kebijakan yang sudah ada  |  AWS KMS menambahkan`ec2:DescribeVpcs`,`ec2:DescribeNetworkAcls`, dan `ec2:DescribeNetworkInterfaces` izin untuk memantau perubahan di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.  |  10 November 2023  | 
|  AWS KMS mulai melacak perubahan  |  AWS KMS mulai melacak perubahan untuk kebijakan yang AWS dikelola.  |  10 November 2023  | 

# Menggunakan peran terkait layanan untuk AWS KMS
<a name="using-service-linked-roles"></a>

AWS Key Management Service menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS KMS Peran terkait layanan ditentukan oleh AWS KMS dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. 

Peran terkait layanan membuat pengaturan AWS KMS lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS KMS mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS KMS dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS KMS sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Untuk melihat detail tentang pembaruan pada peran terkait layanan yang dibahas dalam topik ini, lihat. [AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)

**Topics**
+ [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md)
+ [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md)

# Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2
<a name="authorize-kms"></a>

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Anda. Akun AWS Pengguna yang membuat toko AWS CloudHSM kunci harus memiliki `iam:CreateServiceLinkedRole` izin yang memungkinkan mereka membuat peran terkait layanan.

Untuk melihat detail tentang pembaruan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola, lihat[AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Tentang peran AWS KMS terkait layanan](#about-key-store-slr)
+ [Membuat peran terkait layanan](#create-key-store-slr)
+ [Mengedit deskripsi peran tertaut layanan](#edit-key-store-slr)
+ [Menghapus peran tertaut layanan](#delete-key-store-slr)

## Tentang peran AWS KMS terkait layanan
<a name="about-key-store-slr"></a>

[Peran terkait layanan adalah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS KMS](using-service-linked-roles.md).

Untuk penyimpanan AWS CloudHSM utama, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dengan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola. Kebijakan ini memberi peran izin berikut:
+ [Cloudhsm:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — mendeteksi perubahan dalam AWS CloudHSM cluster yang dilampirkan ke toko kunci kustom Anda.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat grup keamanan yang memungkinkan arus lalu lintas jaringan antara AWS KMS dan AWS CloudHSM cluster Anda.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk memungkinkan akses jaringan dari AWS KMS ke VPC yang berisi AWS CloudHSM cluster Anda.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — digunakan ketika Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat antarmuka jaringan yang digunakan untuk komunikasi antara AWS KMS dan AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk menghapus semua aturan keluar dari grup keamanan yang AWS KMS dibuat.
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — digunakan saat Anda [memutuskan penyimpanan AWS CloudHSM kunci untuk menghapus grup keamanan yang dibuat saat Anda menghubungkan toko](disconnect-keystore.md) AWS CloudHSM kunci.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — digunakan untuk memantau perubahan dalam grup keamanan yang AWS KMS dibuat di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — digunakan untuk memantau perubahan dalam VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — digunakan untuk memantau perubahan dalam jaringan ACLs untuk VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — digunakan untuk memantau perubahan pada antarmuka jaringan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Karena peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan hanya mempercayai`cks.kms.amazonaws.com`, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu melihat AWS CloudHSM kluster Anda dan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkait. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus AWS CloudHSM cluster, HSMs, atau backup Anda.

**Daerah**

Seperti fitur toko AWS CloudHSM utama, **AWSServiceRoleForKeyManagementServiceCustomKeyStores**peran ini didukung di semua Wilayah AWS tempat AWS KMS dan AWS CloudHSM tersedia. Untuk daftar yang didukung Wilayah AWS oleh setiap layanan, lihat [AWS Key Management Service Titik Akhir dan Kuota dan AWS CloudHSM titik](https://docs.aws.amazon.com/general/latest/gr/kms.html) [akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) di. *Referensi Umum Amazon Web Services*

Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat [Menggunakan peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) di Panduan Pengguna IAM.

## Membuat peran terkait layanan
<a name="create-key-store-slr"></a>

AWS KMS secara otomatis membuat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Akun AWS saat Anda membuat penyimpanan AWS CloudHSM kunci, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung. 

## Mengedit deskripsi peran tertaut layanan
<a name="edit-key-store-slr"></a>

Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk petunjuknya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di Panduan Pengguna *IAM*.

## Menghapus peran tertaut layanan
<a name="delete-key-store-slr"></a>

AWS KMS tidak menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dari Anda Akun AWS bahkan jika Anda telah [menghapus semua toko AWS CloudHSM utama Anda](delete-keystore.md). Meskipun saat ini tidak ada prosedur untuk menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, AWS KMS tidak mengambil peran ini atau menggunakan izinnya kecuali Anda memiliki penyimpanan kunci aktif. AWS CloudHSM 

# Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region
<a name="multi-region-auth-slr"></a>

Untuk mendukung [kunci Multi-region](multi-region-keys-auth.md), AWS KMS perlu izin untuk menyinkronkan [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) dari kunci utama Multi-region dengan kunci replika. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan di Anda. Akun AWS Pengguna yang membuat kunci Multi-wilayah harus memiliki `iam:CreateServiceLinkedRole` izin yang memungkinkan mereka membuat peran terkait layanan.

Anda dapat melihat [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail peristiwa yang merekam AWS KMS sinkronisasi properti bersama di AWS CloudTrail log Anda.

Untuk melihat detail tentang pembaruan kebijakan **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**terkelola, lihat[AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Tentang peran yang tertaut ke layanan untuk kunci multi-Wilayah](#about-multi-region-slr)
+ [Membuat peran terkait layanan](#create-mrk-slr)
+ [Mengedit deskripsi peran tertaut layanan](#edit-mrk-slr)
+ [Menghapus peran tertaut layanan](#delete-mrk-slr)

## Tentang peran yang tertaut ke layanan untuk kunci multi-Wilayah
<a name="about-multi-region-slr"></a>

[Peran terkait layanan adalah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks.

Untuk kunci Multi-wilayah, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan dengan kebijakan terkelola. **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** Kebijakan ini memberi peran izin `kms:SynchronizeMultiRegionKey`, yang mengizinkannya untuk menyinkronkan properti bersama dari kunci multi-wilayah.

Karena peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan hanya mempercayai`mrk.kms.amazonaws.com`, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu menyinkronkan properti bersama Multi-region. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mereplikasi, atau menghapus kunci KMS apa pun.

Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat [Menggunakan Peran Tertaut Layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## Membuat peran terkait layanan
<a name="create-mrk-slr"></a>

AWS KMS secara otomatis membuat peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan di Akun AWS saat Anda membuat kunci Multi-wilayah, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung. 

## Mengedit deskripsi peran tertaut layanan
<a name="edit-mrk-slr"></a>

Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk informasi lebih lanjut, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran tertaut layanan
<a name="delete-mrk-slr"></a>

AWS KMS tidak menghapus peran **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**terkait layanan dari Anda Akun AWS dan Anda tidak dapat menghapusnya. Namun, AWS KMS tidak mengambil **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**peran atau menggunakan salah satu izinnya kecuali Anda memiliki kunci Multi-wilayah di Akun AWS dan Wilayah Anda.