As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Para oferecer suporte a chaves multirregionais, AWS KMS precisa de permissão para sincronizar as propriedades compartilhadas de uma chave primária multirregional com suas chaves de réplica. Para obter essas permissões, AWS KMS crie a função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço em seu. Conta da AWS Os usuários que criam chaves multirregionais devem ter a iam:CreateServiceLinkedRole permissão que lhes permita criar funções vinculadas a serviços.
Você pode ver o SynchronizeMultiRegionKey CloudTrail evento que registra a AWS KMS sincronização de propriedades compartilhadas em seus AWS CloudTrail registros.
Para ver detalhes sobre atualizações na política AWSKeyManagementServiceMultiRegionKeysServiceRolePolicygerenciada, consulteAWS KMS atualizações nas políticas AWS gerenciadas.
Tópicos
Sobre a função vinculada ao serviço para chaves de várias regiões
Uma função vinculada ao serviço é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM.
Para chaves multirregionais, AWS KMS cria a função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço com a AWSKeyManagementServiceMultiRegionKeysServiceRolePolicypolítica gerenciada. Essa política concede à função a permissão kms:SynchronizeMultiRegionKey, que permite sincronizar as propriedades compartilhadas de chaves de várias regiões.
Como a função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço é confiável somentemrk.kms.amazonaws.com, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam sincronizar propriedades compartilhadas de várias regiões. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, replicar ou excluir nenhuma chave KMS.
Para obter mais informações sobre como AWS os serviços usam funções vinculadas ao serviço, consulte Como usar funções vinculadas ao serviço no Guia do usuário do IAM.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}Criar a função vinculada ao serviço
AWS KMS cria automaticamente a função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço em sua Conta da AWS quando você cria uma chave multirregional, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as declarações de política na função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço, mas você pode editar a descrição da função. Para obter mais informações, consulte Editar uma função vinculada ao serviço, no Manual do usuário do IAM.
Excluir o perfil vinculado ao serviço
AWS KMS não exclui a função AWSServiceRoleForKeyManagementServiceMultiRegionKeysvinculada ao serviço da sua Conta da AWS e você não pode excluí-la. No entanto, AWS KMS não assume a AWSServiceRoleForKeyManagementServiceMultiRegionKeysfunção nem usa nenhuma de suas permissões, a menos que você tenha chaves multirregionais em sua Conta da AWS região.
