Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS Key Management Service
AWS Identity and Access Management (IAM) ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse. AWS KMS Per ulteriori informazioni, consulta [Utilizzo delle politiche IAM con AWS KMS](iam-policies.md).
Le [politiche chiave](key-policies.md) sono il meccanismo principale per controllare l'accesso alle chiavi KMS. AWS KMS Ogni chiave KMS deve avere una policy chiave. Puoi inoltre utilizzare le [policy IAM](iam-policies.md) e le [concessioni](grants.md), insieme alle policy delle chiavi, per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni, consulta [Accesso e autorizzazioni alle chiavi KMS](control-access.md).
Se utilizzi un Amazon Virtual Private Cloud (Amazon VPC), puoi [creare un endpoint VPC di interfaccia su cui basare la tecnologia](kms-vpc-endpoint.md). AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Puoi anche utilizzare le policy degli endpoint VPC per determinare quali responsabili possono accedere al tuo AWS KMS endpoint, a quali chiamate API possono effettuare e a quale chiave KMS possono accedere.
**Topics**
+ [AWS politiche gestite per AWS Key Management Service](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS KMS](using-service-linked-roles.md)
# AWS politiche gestite per AWS Key Management Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSKey ManagementServicePowerUser
È possibile allegare la policy `AWSKeyManagementServicePowerUser` alle identità IAM.
È possibile utilizzare una policy gestita da `AWSKeyManagementServicePowerUser` per assegnare ai principali IAM dell'account le autorizzazioni di un utente esperto. Gli utenti esperti possono creare chiavi KMS, utilizzare e gestire le chiavi KMS da loro create e visualizzare tutte le chiavi KMS e le identità IAM. I principali che dispongono della policy gestita `AWSKeyManagementServicePowerUser` possono ottenere le autorizzazioni anche da altre origini, incluse le policy delle chiavi, altre policy IAM e concessioni.
`AWSKeyManagementServicePowerUser`è una policy IAM AWS gestita. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
**Nota**
Le autorizzazioni in questa policy specifiche di una chiave KMS, ad esempio `kms:TagResource` e `kms:GetKeyRotationStatus`, sono efficaci solo quando la policy delle chiavi per quella chiave KMS [consente esplicitamente all' Account AWS di utilizzare policy IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) per controllare l'accesso alla chiave. Per determinare se un'autorizzazione è specifica di una chiave KMS, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore di **chiave KMS** nella colonna **Resources** (Risorse).
Questa policy fornisce all'utente esperto le autorizzazioni per qualsiasi chiave KMS con una policy delle chiavi che consenta l'operazione. Per autorizzazioni multi-account, come `kms:DescribeKey` e `kms:ListGrants`, ciò potrebbe includere chiavi KMS in Account AWS non attendibili. Per informazioni dettagliate, consulta [Best practice per le policy IAM](iam-policies-best-practices.md) e [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md). Per determinare se un'autorizzazione è valida per le chiavi KMS in altri account, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore **Yes** (Sì) nella colonna **Cross-account use** (Utilizzo per più account).
Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, il principale necessita del [tag: GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, che non è incluso nella `AWSKeyManagementServicePowerUser` policy. È possibile concedere questa autorizzazione in una policy IAM separata.
La policy IAM gestita da [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) deve includere le seguenti autorizzazioni:
+ Consente ai principali di creare chiavi KMS. Poiché questo processo include l'impostazione della policy delle chiavi, gli utenti esperti possono concedere a se stessi e ad altri l'autorizzazione per utilizzare e gestire le chiavi KMS create.
+ Consente ai principali di creare ed eliminare [alias](kms-alias.md) e [tag](tagging-keys.md) in tutte le chiavi KMS. La modifica di un tag o alias può consentire o negare l'autorizzazione all'utilizzo e alla gestione della chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).
+ Consente ai principali di ottenere informazioni dettagliate su tutte le chiavi KMS, compreso l'ARN della chiave, la configurazione di crittografia, la policy delle chiavi, gli alias, i tag e lo [stato di rotazione](rotate-keys.md).
+ Consente ai principali di elencare utenti, gruppi e ruoli IAM.
+ Questa policy non consente ai principali di utilizzare o gestire le chiavi KMS che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le chiavi KMS, il che potrebbe consentire o negare loro l'autorizzazione all'utilizzo o alla gestione di una chiave KMS.
Per visualizzare le autorizzazioni per questa politica, consulta [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)il AWS Managed Policy Reference.
## AWS politica gestita: AWSService RoleForKeyManagementServiceCustomKeyStores
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceCustomKeyStores`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a visualizzare AWS CloudHSM i cluster associati all'archivio delle AWS CloudHSM chiavi e a creare la rete per supportare una connessione tra l'archivio chiavi personalizzato e il relativo cluster. AWS CloudHSM Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md).
## AWS politica gestita: AWSService RoleForKeyManagementServiceMultiRegionKeys
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceMultiRegionKeys`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a sincronizzare qualsiasi modifica al materiale chiave di una chiave primaria multiregionale con le relative chiavi di replica. Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md).
## AWS KMS aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS KMS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina AWS KMS [Cronologia dei documenti](dochistory.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): aggiornamento a policy esistente | AWS KMS ha aggiunto un campo statement ID (`Sid`) alla policy gestita nella versione di policy v2. | 21 novembre 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): aggiornamento a policy esistente | AWS KMS ha aggiunto `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, e `ec2:DescribeNetworkInterfaces` le autorizzazioni per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di errori. | 10 novembre 2023 |
| AWS KMS ha iniziato a tenere traccia delle modifiche | AWS KMS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 novembre 2023 |
# Utilizzo di ruoli collegati ai servizi per AWS KMS
AWS Key Management Service utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS KMS I ruoli collegati ai servizi sono definiti AWS KMS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione AWS KMS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS KMS definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS KMS Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS KMS le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Per visualizzare i dettagli sugli aggiornamenti ai ruoli collegati ai servizi discussi in questo argomento, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md)
+ [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md)
# Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2
Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita, consulta. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo AWS KMS collegato al servizio](#about-key-store-slr)
+ [Creazione del ruolo collegato ai servizi](#create-key-store-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-key-store-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-key-store-slr)
## Informazioni sul ruolo AWS KMS collegato al servizio
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS KMS](using-service-linked-roles.md).
Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato ai servizi con la policy **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita. Questa policy concede al ruolo le seguenti autorizzazioni:
+ [CloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — utilizzato quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md) per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per consentire l'accesso alla rete dal AWS KMS VPC che contiene AWS CloudHSM il cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il cluster. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — utilizzato quando si [connette un archivio di AWS CloudHSM chiavi](connect-keystore.md) per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — utilizzato quando si [disconnette un archivio di AWS CloudHSM chiavi](disconnect-keystore.md) per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — utilizzato per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — utilizzato per monitorare i cambiamenti nella rete ACLs per il VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — utilizzato per monitorare le modifiche nelle interfacce di rete AWS KMS create nel VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio è affidabile`cks.kms.amazonaws.com`, solo può assumere questo ruolo collegato al servizio. AWS KMS Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.
**Regioni**
Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il **AWSServiceRoleForKeyManagementServiceCustomKeyStores**ruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta [AWS Key Management Service Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) e [AWS CloudHSM endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in. *Riferimenti generali di Amazon Web Services*
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using service-linked roles nella IAM [User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio dal tuo Account AWS anche se hai [eliminato tutti i tuoi archivi di chiavi](delete-keystore.md). AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM
# Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali
Per supportare [le chiavi multiregionali](multi-region-keys-auth.md), è AWS KMS necessaria l'autorizzazione per sincronizzare le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) di una chiave primaria multiregionale con le relative chiavi di replica. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo collegato al servizio in **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**. Account AWS Gli utenti che creano chiavi multiregionali devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
È possibile visualizzare l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento che registra la AWS KMS sincronizzazione delle proprietà condivise nei registri. AWS CloudTrail
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestita, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione](#about-multi-region-slr)
+ [Creazione del ruolo collegato ai servizi](#create-mrk-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-mrk-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-mrk-slr)
## Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse.
Per le chiavi multiregionali, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi con la **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**policy gestita. Questa policy dà al ruolo l’autorizzazione `kms:SynchronizeMultiRegionKey`, che consente di sincronizzare le proprietà condivise delle chiavi multi-regione.
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio è affidabile`mrk.kms.amazonaws.com`, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la sincronizzazione delle proprietà condivise in più regioni. Non fornisce autorizzazioni AWS KMS aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, replicare o eliminare alcuna chiave KMS.
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using Service-Linked Roles nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi in tuo Account AWS quando crei una chiave multiregionale, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non è possibile modificare il nome del ruolo o le dichiarazioni politiche nel ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio, ma è possibile modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio dal tuo Account AWS e non puoi eliminarlo. Tuttavia, AWS KMS non assume il **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**ruolo né utilizza alcuna delle sue autorizzazioni a meno che non si disponga di chiavi multiregionali nella propria area geografica. Account AWS