翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の ID とアクセスの管理 AWS Key Management Service
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立ちます。管理者は、誰を*認証* (サインイン) し、誰に AWS KMS リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。詳細については、「[での IAM ポリシーの使用 AWS KMS](iam-policies.md)」を参照してください。

[キーポリシー](key-policies.md)は、 で KMS キーへのアクセスを制御するための主要なメカニズムです AWS KMS。すべての KMS キーにはキーポリシーが必要です。[IAM ポリシー](iam-policies.md)と[権限](grants.md)をキーポリシーとともに使用して、KMS キーへのアクセスを制御することもできます。詳細については、「[KMS キーのアクセスとアクセス許可](control-access.md)」を参照してください。

Amazon Virtual Private Cloud (Amazon VPC) を使用している場合は、 AWS KMS を使用するインターフェイス [VPC エンドポイントを作成できます](kms-vpc-endpoint.md)[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。VPC エンドポイントポリシーを使用して、 AWS KMS エンドポイントにアクセスできるプリンシパル、実行できる API コール、アクセスできる KMS キーを決定することもできます。

**Topics**
+ [AWS の 管理ポリシー AWS Key Management Service](security-iam-awsmanpol.md)
+ [のサービスにリンクされたロールの使用 AWS KMS](using-service-linked-roles.md)

# AWS の 管理ポリシー AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## AWS マネージドポリシー: AWSKeyManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

`AWSKeyManagementServicePowerUser` ポリシーを IAM アイデンティティにアタッチできます。

`AWSKeyManagementServicePowerUser` マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。`AWSKeyManagementServicePowerUser` マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。

`AWSKeyManagementServicePowerUser` は AWS マネージド IAM ポリシーです。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**注記**  
KMS キーに固有のこのポリシー内の許可は (`kms:TagResource` および `kms:GetKeyRotationStatus` など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して[明示的に許可している](key-policy-default.md#key-policy-default-allow-root-enable-iam)場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Resources]** (リソース) 列にある **[KMS key]** (KMS キー) の値を確認します。  
このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (`kms:DescribeKey` および `kms:ListGrants` など)、これにより、信頼されていない AWS アカウントの KMS キーが含まれる可能性があります。詳細については、「[IAM ポリシーのベストプラクティス](iam-policies-best-practices.md)」および「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Cross-account use]** (クロスアカウントの使用) 列にある **[Yes]** (はい) の値を確認します。  
プリンシパルがエラーなしで AWS KMS コンソールを表示できるようにするには、ポリシーに含まれていない [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) アクセス許可が必要です`AWSKeyManagementServicePowerUser`。この許可は、別の IAM ポリシーで許可できます。

[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) マネージド IAM ポリシーには、以下の許可が含まれます。
+ プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。
+ プリンシパルは、すべての KMS キーの[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「[の ABAC AWS KMS](abac.md)」を参照してください。
+ プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、[ローテーション状態](rotate-keys.md)など、すべての KMS キーに関する詳細情報を取得できます。
+ プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。
+ このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」の[AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)」を参照してください。

## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

IAM エンティティに `AWSServiceRoleForKeyManagementServiceCustomKeyStores` をアタッチすることはできません。このポリシーは、 AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを表示し、カスタムキーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークを作成するアクセス許可を付与 AWS KMS するサービスにリンクされたロールにアタッチされます。詳細については、「[AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)」を参照してください。

## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

IAM エンティティに `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` をアタッチすることはできません。このポリシーは、マルチリージョンプライマリキーのキーマテリアルへの変更をレプリカキーに同期する AWS KMS アクセス許可を付与するサービスにリンクされたロールにアタッチされます。詳細については、「[マルチリージョンキー AWS KMS の同期を許可する](multi-region-auth-slr.md)」を参照してください。

## AWS KMS AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>

このサービスがこれらの変更の追跡を開始 AWS KMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、 AWS KMS [ドキュメント履歴](dochistory.md) ページの RSS フィードを購読してください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 既存のポリシーの更新  |  AWS KMS は、ポリシーバージョン v2 の マネージドポリシーにステートメント ID (`Sid`) フィールドを追加しました。  |  2024 年 11 月 21 日  | 
|  [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 既存ポリシーの更新  |  AWS KMS に`ec2:DescribeVpcs`、 AWS CloudHSM クラスターを含む VPC の変更をモニタリングするための `ec2:DescribeNetworkAcls`、、および アクセス`ec2:DescribeNetworkInterfaces`許可が追加されました。これにより、 は障害発生時に明確なエラーメッセージを提供 AWS KMS できます。  |  2023 年 11 月 10 日  | 
|  AWS KMS が変更の追跡を開始しました  |  AWS KMS は、 AWS 管理ポリシーの変更の追跡を開始しました。  |  2023 年 11 月 10 日  | 

# のサービスにリンクされたロールの使用 AWS KMS
<a name="using-service-linked-roles"></a>

AWS Key Management Service は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS KMS。サービスにリンクされたロールは によって定義 AWS KMS され、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS KMS が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS KMS を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS KMS ることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティに添付することはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、 AWS KMS リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

このトピックで説明されているサービスにリンクされたロールの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**Topics**
+ [AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)
+ [マルチリージョンキー AWS KMS の同期を許可する](multi-region-auth-slr.md)

# AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する
<a name="authorize-kms"></a>

 AWS CloudHSM キーストアをサポートするために、 には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する`iam:CreateServiceLinkedRole`アクセス許可が必要です。

**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**Topics**
+ [AWS KMS サービスにリンクされたロールについて](#about-key-store-slr)
+ [サービスにリンクされたロールの作成](#create-key-store-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-key-store-slr)
+ [サービスにリンクされたロールを削除する](#delete-key-store-slr)

## AWS KMS サービスにリンクされたロールについて
<a name="about-key-store-slr"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「[のサービスにリンクされたロールの使用 AWS KMS](using-service-linked-roles.md)」を参照してください。

 AWS CloudHSM キーストアの場合、 は **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 管理ポリシーで AWS KMS 作成します。このポリシーはロールに以下のアクセス許可を与えます。
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 から AWS CloudHSM クラスターを含む VPC AWS KMS へのネットワークアクセスを許可するときに使用されます。
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – [AWS CloudHSM キーストアを接続して、](connect-keystore.md) が AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – [AWS CloudHSM キーストアを切断](disconnect-keystore.md)して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除するときに使用されます。
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – AWS CloudHSM クラスターを含む VPC の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – AWS CloudHSM クラスターを含む VPC のネットワーク ACLs の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにするために使用されます。
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングし、 AWS KMS が障害発生時に明確なエラーメッセージを提供できるようにします。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールは のみを信頼するため`cks.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 が AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS するために必要なオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には、 AWS CloudHSM クラスター、HSMs、またはバックアップを作成、管理、削除するアクセス許可はありません。

**リージョン**

 AWS CloudHSM キーストア機能と同様に、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** ロールは、 AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、の[AWS Key Management Service 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」および[AWS CloudHSM 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)」を参照してください*Amazon Web Services 全般のリファレンス*。

 AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。

## サービスにリンクされたロールの作成
<a name="create-key-store-slr"></a>

AWS KMS AWS CloudHSM は、キー AWS アカウント ストアを作成するときに、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールがまだ存在しない場合、 に自動的に AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。

## サービスにリンクされたロールの説明を編集する
<a name="edit-key-store-slr"></a>

 **AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor** es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## サービスにリンクされたロールを削除する
<a name="delete-key-store-slr"></a>

AWS KMS は、[すべての AWS CloudHSM キーストア](delete-keystore.md)を削除した場合でも、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを AWS アカウント から削除しません。現在、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、 はこのロールを引き受けたり、アクセス許可を使用した AWS KMS りしません。

# マルチリージョンキー AWS KMS の同期を許可する
<a name="multi-region-auth-slr"></a>

[マルチリージョンキー](multi-region-keys-auth.md)をサポートするには、マルチリージョンプライマリキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)をレプリカキーと同期するアクセス許可 AWS KMS が必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。マルチリージョンキーを作成するユーザーには、サービスにリンクされたロールの作成を許可するための `iam:CreateServiceLinkedRole` アクセス許可が必要です。

 AWS CloudTrail ログの共有プロパティの同期を記録する [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail AWS KMS イベントを表示できます。

**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**Topics**
+ [マルチリージョンキーのサービスリンクロールについて](#about-multi-region-slr)
+ [サービスにリンクされたロールの作成](#create-mrk-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-mrk-slr)
+ [サービスにリンクされたロールを削除する](#delete-mrk-slr)

## マルチリージョンキーのサービスリンクロールについて
<a name="about-multi-region-slr"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。

マルチリージョンキーの場合、 は、AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 管理ポリシーを使用して **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** サービスにリンクされたロール AWS KMS を作成します。このポリシーは、ロールに `kms:SynchronizeMultiRegionKey` アクセス許可を付与します。これにより、マルチリージョンキーの共有プロパティを同期できます。

**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールは のみを信頼するため`mrk.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、マルチリージョン共有プロパティを同期 AWS KMS する必要があるオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には KMS キーを作成、レプリケート、削除するアクセス許可はありません。

 AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## サービスにリンクされたロールの作成
<a name="create-mrk-slr"></a>

AWS KMS ロールがまだ存在しない場合、マルチリージョンキーを作成する AWS アカウント と、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。

## サービスにリンクされたロールの説明を編集する
<a name="edit-mrk-slr"></a>

**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することができます。手順については、*IAM ユーザーガイド*の[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)を参照してください。

## サービスにリンクされたロールを削除する
<a name="delete-mrk-slr"></a>

AWS KMS は、**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールを から削除せず AWS アカウント 、削除することはできません。ただし、 AWS アカウント および リージョンにマルチリージョンキーがない限り、 は **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** ロールを引き受けたり、そのアクセス許可を使用した AWS KMS りしません。