기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 자격 증명 및 액세스 관리 AWS Key Management Service
AWS Identity and Access Management (IAM)를 사용하면 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. 관리자는 누가 AWS KMS 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. 자세한 내용은 [에서 IAM 정책 사용 AWS KMS](iam-policies.md) 단원을 참조하십시오.
[키 정책은](key-policies.md)의 KMS 키에 대한 액세스를 제어하는 기본 메커니즘입니다 AWS KMS. 모든 KMS 키에는 키 정책이 있어야 합니다. 또한 키 정책과 함께 [IAM 정책](iam-policies.md) 및 [권한 부여](grants.md)를 사용하여 KMS 키에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 [KMS 키 액세스 및 권한](control-access.md) 단원을 참조하십시오.
Amazon Virtual Private Cloud(VPC)를 사용하는 경우 로 AWS KMS 구동되는 [인터페이스 VPC 엔드포인트를 생성할](kms-vpc-endpoint.md) 수 있습니다[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/). VPC 엔드포인트 정책을 사용하여 AWS KMS 엔드포인트에 액세스할 수 있는 보안 주체, 수행할 수 있는 API 호출, 액세스할 수 있는 KMS 키를 확인할 수도 있습니다.
**Topics**
+ [AWS 에 대한 관리형 정책 AWS Key Management Service](security-iam-awsmanpol.md)
+ [에 대한 서비스 연결 역할 사용 AWS KMS](using-service-linked-roles.md)
# AWS 에 대한 관리형 정책 AWS Key Management Service
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSKeyManagementServicePowerUser
`AWSKeyManagementServicePowerUser` 정책을 IAM ID에 연결할 수 있습니다.
`AWSKeyManagementServicePowerUser` 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. `AWSKeyManagementServicePowerUser` 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.
`AWSKeyManagementServicePowerUser`는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 참조하세요.
**참고**
이 정책의 KMS 키와 관련된 권한(예: `kms:TagResource` 및 `kms:GetKeyRotationStatus`)은 해당 KMS 키에 대한 키 정책에서, AWS 계정 이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 [명시적으로 허용](key-policy-default.md#key-policy-default-allow-root-enable-iam)하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션의 **리소스(Resources)** 열에 **KMS 키(KMS key)**라는 값이 있는지 확인합니다.
이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: `kms:DescribeKey` 및 `kms:ListGrants`)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 [IAM 정책 모범 사례](iam-policies-best-practices.md) 및 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션에서 **계정 간 사용(Cross-account use)** 열에 **예(Yes)**라는 값이 있는지 확인합니다.
보안 주체가 오류 없이 AWS KMS 콘솔을 볼 수 있도록 하려면 보안 주체에 `AWSKeyManagementServicePowerUser` 정책에 포함되지 않은 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 권한이 필요합니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 관리형 IAM 정책에는 다음 권한이 포함됩니다.
+ 보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.
+ 보안 주체가 모든 KMS 키에서 [별칭](kms-alias.md)과 [태그](tagging-keys.md)를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 섹션을 참조하세요.
+ 보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 [교체 상태](rotate-keys.md)를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.
+ 보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.
+ 이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)를 참조하세요.
## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
`AWSServiceRoleForKeyManagementServiceCustomKeyStores`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 키 스토어와 연결된 AWS CloudHSM 클러스터를 보고 사용자 지정 AWS CloudHSM 키 스토어와 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크를 생성할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 [AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여](authorize-kms.md) 단원을 참조하십시오.
## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
`AWSServiceRoleForKeyManagementServiceMultiRegionKeys`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 연결되며, 다중 리전 프라이머리 키의 키 구성 요소 변경 사항을 복제 키에 동기화할 수 있는 AWS KMS 권한을 부여합니다. 자세한 내용은 [다중 리전 키 AWS KMS 동기화 권한 부여](multi-region-auth-slr.md) 단원을 참조하십시오.
## AWS KMS AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS KMS 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS KMS [문서 기록](dochistory.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) - 기존 정책 업데이트 | AWS KMS 는 정책 버전 v2의 관리형 정책에 문 ID(`Sid`) 필드를 추가했습니다. | 2024년 11월 21일 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) - 기존 정책 업데이트 | AWS KMS 는 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링할 수 있는 `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, 및 `ec2:DescribeNetworkInterfaces` 권한을 추가했습니다. | 2023년 11월 10일 |
| AWS KMS 에서 변경 내용 추적 시작 | AWS KMS 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 11월 10일 |
# 에 대한 서비스 연결 역할 사용 AWS KMS
AWS Key Management Service 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS KMS. 서비스 연결 역할은에서 정의 AWS KMS 하며 서비스에서 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS KMS 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS KMS 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS KMS 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 링크 역할을 삭제할 수 있습니다. 이렇게 하면 AWS KMS 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
이 주제에서 다루는 서비스 연결 역할의 업데이트에 대한 세부 정보를 확인하려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여](authorize-kms.md)
+ [다중 리전 키 AWS KMS 동기화 권한 부여](multi-region-auth-slr.md)
# AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여
AWS CloudHSM 키 스토어를 지원하려면 AWS CloudHSM 클러스터에 대한 정보를 가져올 수 있는 권한이 AWS KMS 필요합니다. 또한 AWS CloudHSM 키 스토어를 AWS CloudHSM 클러스터에 연결하는 네트워크 인프라를 생성할 수 있는 권한이 필요합니다. 이러한 권한을 얻기 위해는에서 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 AWS KMS 생성합니다 AWS 계정. AWS CloudHSM 키 스토어를 생성하는 사용자는 서비스 연결 역할을 생성할 수 있는 `iam:CreateServiceLinkedRole` 권한이 있어야 합니다.
**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 관리형 정책의 업데이트에 대한 세부 정보를 보려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [AWS KMS 서비스 연결 역할 정보](#about-key-store-slr)
+ [서비스 연결 역할 생성](#create-key-store-slr)
+ [서비스 연결 역할 설명 편집](#edit-key-store-slr)
+ [서비스 연결 역할 삭제](#delete-key-store-slr)
## AWS KMS 서비스 연결 역할 정보
[서비스 연결 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 한 AWS 서비스에 부여하는 IAM 역할입니다. 복잡한 IAM 정책을 생성하고 유지 관리할 필요 없이 여러 통합 AWS 서비스의 기능을 더 쉽게 사용할 수 있도록 설계되었습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS KMS](using-service-linked-roles.md) 단원을 참조하십시오.
AWS CloudHSM 키 스토어의 경우 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 서비스 연결 역할을 AWS KMS 생성합니다. 이 정책은 이 역할에 다음 권한을 부여합니다.
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) - 사용자 지정 키 스토어에 연결된 AWS CloudHSM 클러스터의 변경 사항을 감지합니다.
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) - [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md) AWS KMS 와 AWS CloudHSM 클러스터 간의 네트워크 트래픽 흐름을 지원하는 보안 그룹을 생성할 때 사용됩니다.
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md)에서 AWS CloudHSM 클러스터가 포함된 VPC AWS KMS 로 네트워크 액세스를 허용할 때 사용됩니다.
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md) AWS KMS 와 AWS CloudHSM 클러스터 간의 통신에 사용되는 네트워크 인터페이스를 생성할 때 사용됩니다.
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md)가 AWS KMS 생성한 보안 그룹에서 모든 아웃바운드 규칙을 제거할 때 사용됩니다.
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – [AWS CloudHSM 키 스토어를 연결](disconnect-keystore.md) 해제하여 AWS CloudHSM 키 스토어를 연결할 때 생성된 보안 그룹을 삭제할 때 사용됩니다.
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) -가 실패 시 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC에서가 AWS KMS 생성한 보안 그룹의 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) - 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) –가 장애 발생 시 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 네트워크 ACLs 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) –가 장애 발생 시 명확한 오류 메시지를 제공할 수 있도록 AWS CloudHSM AWS KMS 클러스터가 포함된 VPC에서 AWS KMS 생성된 네트워크 인터페이스의 변경 사항을 모니터링하는 데 사용됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할은 만 신뢰하므로 `cks.kms.amazonaws.com`만이 서비스 연결 역할을 수임 AWS KMS 할 수 있습니다. 이 역할은가 AWS CloudHSM 클러스터를 보고 AWS CloudHSM 키 스토어를 연결된 AWS CloudHSM 클러스터에 연결 AWS KMS 해야 하는 작업으로 제한됩니다. 추가 AWS KMS 권한을 부여하지 않습니다. 예를 들어 에는 AWS CloudHSM 클러스터, HSMs 또는 백업을 생성, 관리 또는 삭제할 수 있는 권한이 AWS KMS 없습니다.
**리전**
AWS CloudHSM 키 스토어 기능과 마찬가지로 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 역할은 AWS KMS 및를 사용할 수 AWS 리전 있는 모든에서 지원 AWS CloudHSM 됩니다. AWS 리전 각 서비스가 지원하는 목록은의 [AWS Key Management Service 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/kms.html)과 [AWS CloudHSM 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*Amazon Web Services 일반 참조*.
AWS 서비스에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 사용을](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 참조하세요.
## 서비스 연결 역할 생성
AWS KMS 역할이 아직 없는 경우 AWS CloudHSM 키 스토어를 생성할 때에서 AWS 계정 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 자동으로 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성하거나 다시 생성할 수 없습니다.
## 서비스 연결 역할 설명 편집
**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할에서 역할 이름 또는 정책 설명을 편집할 수 없지만, 역할 설명은 편집이 가능합니다. 지침은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 서비스 연결 역할 삭제
AWS KMS 키 스토어를 모두 삭제했더라도는에서 AWS 계정 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 삭제하지 않습니다. [AWS CloudHSM](delete-keystore.md) 현재 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 삭제하는 절차는 없지만 활성 AWS CloudHSM 키 스토어가 없는 한는이 역할을 수임하거나 권한을 사용하지 AWS KMS 않습니다.
# 다중 리전 키 AWS KMS 동기화 권한 부여
[다중 리전 키를](multi-region-keys-auth.md) 지원하려면 다중 리전 기본 키의 [공유 속성을](multi-region-keys-overview.md#mrk-sync-properties) 복제본 키와 동기화할 수 있는 권한이 AWS KMS 필요합니다. 이러한 권한을 얻기 위해는에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 AWS KMS 생성합니다 AWS 계정. 다중 리전 키를 생성하는 사용자는 서비스 연결 역할을 생성할 수 있는 `iam:CreateServiceLinkedRole` 권한을 보유해야 합니다.
AWS CloudTrail 로그에 공유 속성 AWS KMS 동기화를 기록하는 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 이벤트를 볼 수 있습니다.
**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 관리형 정책의 업데이트에 대한 세부 정보를 보려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [다중 리전 키에 대한 서비스 연결 역할](#about-multi-region-slr)
+ [서비스 연결 역할 생성](#create-mrk-slr)
+ [서비스 연결 역할 설명 편집](#edit-mrk-slr)
+ [서비스 연결 역할 삭제](#delete-mrk-slr)
## 다중 리전 키에 대한 서비스 연결 역할
[서비스 연결 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 AWS 한 서비스에 부여하는 IAM 역할입니다. 복잡한 IAM 정책을 생성하고 유지 관리할 필요 없이 여러 통합 AWS 서비스의 기능을 더 쉽게 사용할 수 있도록 설계되었습니다.
다중 리전 키의 경우는 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 서비스 연결 역할을 AWS KMS 생성합니다. 이 정책은 역할에 `kms:SynchronizeMultiRegionKey` 권한을 부여하여 다중 리전 키의 공유 속성을 동기화할 수 있도록 합니다.
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할은 만 신뢰하므로 `mrk.kms.amazonaws.com`만이 서비스 연결 역할을 수임 AWS KMS 할 수 있습니다. 이 역할은 다중 리전 공유 속성을 동기화 AWS KMS 해야 하는 작업으로 제한됩니다. 추가 AWS KMS 권한을 부여하지 않습니다. 예를 들어 AWS KMS 에는 KMS 키를 생성, 복제 또는 삭제할 수 있는 권한이 없습니다.
AWS 서비스에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 사용을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## 서비스 연결 역할 생성
AWS KMS 역할이 아직 없는 경우 다중 리전 키를 생성할 AWS 계정 때에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 자동으로 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성하거나 다시 생성할 수 없습니다.
## 서비스 연결 역할 설명 편집
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할에서 역할 이름 또는 정책문을 편집할 수 없지만, 역할 설명은 편집이 가능합니다. 지침은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) 단원을 참조하십시오.
## 서비스 연결 역할 삭제
AWS KMS 는에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 삭제하지 AWS 계정 않으며 삭제할 수 없습니다. 그러나 AWS 계정 및 리전에 다중 리전 키가 없는 한 AWS KMS 는 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 역할을 수임하거나 해당 권한을 사용하지 않습니다.