As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para AWS Key Management Service
AWS Identity and Access Management (IAM) ajuda você a controlar com segurança o acesso aos AWS recursos. Os administradores controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS KMS os recursos. Para obter mais informações, consulte [Usando políticas do IAM com AWS KMS](iam-policies.md).
As [políticas de chaves](key-policies.md) são o principal mecanismo para controlar o acesso às chaves KMS em AWS KMS. Cada chave do KMS deve ter uma política de chaves. Você também pode usar [políticas do IAM](iam-policies.md) e [concessões](grants.md), juntamente com políticas de chaves, para controlar o acesso às suas chaves do KMS. Para obter mais informações, consulte [Acesso e permissões de chave do KMS](control-access.md).
Se você estiver usando uma Amazon Virtual Private Cloud (Amazon VPC), você pode [criar uma interface de VPC endpoint](kms-vpc-endpoint.md) baseada na tecnologia Powered by. AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Você também pode usar políticas de VPC endpoint para determinar quais diretores podem acessar seu AWS KMS endpoint, quais chamadas de API eles podem fazer e qual chave KMS eles podem acessar.
**Topics**
+ [AWS políticas gerenciadas para AWS Key Management Service](security-iam-awsmanpol.md)
+ [Usando funções vinculadas a serviços para AWS KMS](using-service-linked-roles.md)
# AWS políticas gerenciadas para AWS Key Management Service
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSKey ManagementServicePowerUser
É possível anexar a política `AWSKeyManagementServicePowerUser` às suas identidades do IAM.
É possível usar a política gerenciada pela `AWSKeyManagementServicePowerUser` para conceder às entidades principais do IAM em sua conta as permissões de um usuário avançado. Usuários avançados podem criar chaves do KMS, usar e gerenciar as chaves do KMS que eles criam e visualizar todas as chaves do KMS e identidades do IAM. Entidades principais que têm a política gerenciada `AWSKeyManagementServicePowerUser` também podem obter permissões de outras origens, incluindo políticas de chave, outras políticas do IAM e concessões.
`AWSKeyManagementServicePowerUser`é uma política AWS gerenciada do IAM. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**nota**
Permissões nesta política específicas para uma chave do KMS, como `kms:TagResource` e `kms:GetKeyRotationStatus`, só entram em vigor quando a política de chaves para essa chave do KMS [permite explicitamente que a Conta da AWS use as políticas do IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) para controlar o acesso à chave. Para determinar se uma permissão é específica para uma chave do KMS, consulte [AWS KMS permissões](kms-api-permissions-reference.md) e procure um valor de **KMS key** (Chave do KMS) na coluna **Resources** (Recursos).
Essa política concede a um usuário avançado permissões sobre qualquer chave do KMS com uma política de chave que permita a operação. Para permissões entre contas, como `kms:DescribeKey` e `kms:ListGrants`, isso pode incluir chaves do KMS em Contas da AWS não confiáveis. Para obter mais detalhes, consulte [Práticas recomendadas para políticas do IAM](iam-policies-best-practices.md) e [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md). Para determinar se uma permissão é válida em chaves do KMS em outras contas, consulte [AWS KMS permissões](kms-api-permissions-reference.md) e procure por um valor **Yes** (Sim) na coluna **Cross-account use** (Uso entre contas).
Para permitir que os diretores visualizem o AWS KMS console sem erros, o diretor precisa da [tag: GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, que não está incluída na `AWSKeyManagementServicePowerUser` política. Você pode permitir essa permissão em uma política do IAM separada.
A política do IAM gerenciada [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) deve incluir as permissões a seguir.
+ Permite que as entidades principais criem chaves do KMS. Como esse processo inclui a definição da política de chaves, os usuários avançados podem conceder a si mesmos e a outros permissão para usar e gerenciar as chaves do KMS criadas por eles.
+ Permite que as entidades principais criem e excluam [aliases](kms-alias.md) e [tags](tagging-keys.md) em todas as chaves do KMS. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão para usar e gerenciar a chave do KMS. Para obter detalhes, consulte [ABAC para AWS KMS](abac.md).
+ Permite que as entidades principais obtenham informações detalhadas sobre todas as chaves do KMS, incluindo seu ARN de chave, configuração criptográfica, política de chaves, aliases, tags e [status de alternância](rotate-keys.md).
+ Permite que as entidades principais listem usuários, grupos e funções do IAM.
+ Essa política não permite que as entidades principais usem nem gerenciem chaves do KMS não criadas por eles. No entanto, eles podem alterar aliases e tags em todas as chaves do KMS, o que pode permitir ou negar permissão para usar ou gerenciar uma chave do KMS.
Para ver as permissões dessa política, consulte [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AWSService RoleForKeyManagementServiceCustomKeyStores
Não é possível anexar a `AWSServiceRoleForKeyManagementServiceCustomKeyStores` às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que dá AWS KMS permissão para visualizar os AWS CloudHSM clusters associados ao seu armazenamento de AWS CloudHSM chaves e criar a rede para oferecer suporte a uma conexão entre seu armazenamento de chaves personalizado e seu AWS CloudHSM cluster. Para obter mais informações, consulte [Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2](authorize-kms.md).
## AWS política gerenciada: AWSService RoleForKeyManagementServiceMultiRegionKeys
Não é possível anexar a `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que concede ao AWS KMS permissão para sincronizar todas as alterações no material de chave de uma chave primária multirregional com suas chaves-réplicas. Para obter mais informações, consulte [Autorizando a sincronização AWS KMS de chaves multirregionais](multi-region-auth-slr.md).
## AWS KMS atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS KMS desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página AWS KMS [Histórico do documento](dochistory.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): atualizar para uma política existente. | AWS KMS adicionou um campo ID de declaração (`Sid`) à política gerenciada na versão v2 da política. | 21 de novembro de 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): atualizar para uma política existente. | AWS KMS adicionou as `ec2:DescribeNetworkInterfaces` permissões `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`,, e para monitorar as alterações na VPC que contém seu AWS CloudHSM cluster para que AWS KMS possa fornecer mensagens de erro claras em caso de falhas. | 10 de novembro de 2023 |
| AWS KMS começou a rastrear as alterações | AWS KMS começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 10 de novembro de 2023 |
# Usando funções vinculadas a serviços para AWS KMS
AWS Key Management Service usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS KMS As funções vinculadas ao serviço são definidas AWS KMS e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS KMS porque você não precisa adicionar manualmente as permissões necessárias. AWS KMS define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS KMS pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS KMS recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
Para ver detalhes sobre as atualizações de perfis vinculados ao serviço discutido neste tópico, consulte [AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2](authorize-kms.md)
+ [Autorizando a sincronização AWS KMS de chaves multirregionais](multi-region-auth-slr.md)
# Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2
Para oferecer suporte aos seus AWS CloudHSM principais armazenamentos, AWS KMS precisa de permissão para obter informações sobre seus AWS CloudHSM clusters. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em seu. Conta da AWS Os usuários que criam armazenamentos de AWS CloudHSM chaves devem ter a `iam:CreateServiceLinkedRole` permissão que lhes permita criar funções vinculadas a serviços.
Para ver detalhes sobre atualizações na política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada, consulte[AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Sobre a função AWS KMS vinculada ao serviço](#about-key-store-slr)
+ [Criar a função vinculada ao serviço](#create-key-store-slr)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-key-store-slr)
+ [Excluir a função vinculada ao serviço](#delete-key-store-slr)
## Sobre a função AWS KMS vinculada ao serviço
Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS KMS](using-service-linked-roles.md).
Para armazenamentos de AWS CloudHSM chaves, AWS KMS cria a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço com a política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada. Essa política concede as seguintes permissões à função:
+ [cloudHSM:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — detecta alterações no AWS CloudHSM cluster que está anexado ao seu armazenamento de chaves personalizadas.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar o grupo de segurança que permite o fluxo de tráfego de rede entre AWS KMS e seu AWS CloudHSM cluster.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para permitir o acesso à rede AWS KMS a partir da VPC que contém AWS CloudHSM seu cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar a interface de rede usada para comunicação entre AWS KMS e o AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para remover todas as regras de saída do grupo de segurança criado. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — usado quando você [desconecta um armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) para excluir grupos de segurança que foram criados quando você conectou o armazenamento de AWS CloudHSM chaves.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — usado para monitorar alterações no grupo de segurança AWS KMS criado na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — usado para monitorar alterações na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — usado para monitorar alterações na rede da VPC que contém AWS CloudHSM seu cluster ACLs para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — usado para monitorar alterações nas interfaces de rede AWS KMS criadas na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Como a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço é confiável somente`cks.kms.amazonaws.com`, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam visualizar seus AWS CloudHSM clusters e conectar um armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, gerenciar ou excluir seus AWS CloudHSM clusters ou backups. HSMs
**Regiões**
Assim como o recurso de lojas AWS CloudHSM principais, a **AWSServiceRoleForKeyManagementServiceCustomKeyStores**função é suportada em todos os Regiões da AWS lugares AWS KMS e AWS CloudHSM está disponível. Para obter uma lista do Regiões da AWS que cada serviço suporta, consulte [AWS Key Management Service Endpoints e cotas e [AWS CloudHSM endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)](https://docs.aws.amazon.com/general/latest/gr/kms.html) no. *Referência geral da Amazon Web Services*
Para obter mais informações sobre como AWS os serviços usam funções vinculadas a serviços, consulte Como [usar funções vinculadas a serviços no Guia do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) do IAM.
## Criar a função vinculada ao serviço
AWS KMS cria automaticamente a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em sua Conta da AWS quando você cria um armazenamento de AWS CloudHSM chaves, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
## Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as declarações da política na função vinculada ao serviço **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, mas você pode editar a descrição da função. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role), no *Guia do usuário do IAM*.
## Excluir a função vinculada ao serviço
AWS KMS não exclui a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço de sua, Conta da AWS mesmo que você tenha [excluído todos os seus armazenamentos de AWS CloudHSM chaves](delete-keystore.md). Embora atualmente não haja nenhum procedimento para excluir a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço, não assume essa função AWS KMS nem usa suas permissões, a menos que você tenha armazenamentos de chaves ativos AWS CloudHSM .
# Autorizando a sincronização AWS KMS de chaves multirregionais
Para oferecer suporte a [chaves multirregionais](multi-region-keys-auth.md), AWS KMS precisa de permissão para sincronizar as [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) de uma chave primária multirregional com suas chaves de réplica. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço em seu. Conta da AWS Usuários que criam chaves multirregionias devem ter a permissão `iam:CreateServiceLinkedRole` para criar perfis vinculados a serviços.
Você pode ver o [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento que registra a AWS KMS sincronização de propriedades compartilhadas em seus AWS CloudTrail registros.
Para ver detalhes sobre atualizações na política **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gerenciada, consulte[AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Sobre a função vinculada ao serviço para chaves de várias regiões](#about-multi-region-slr)
+ [Criar a função vinculada ao serviço](#create-mrk-slr)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-mrk-slr)
+ [Excluir a função vinculada ao serviço](#delete-mrk-slr)
## Sobre a função vinculada ao serviço para chaves de várias regiões
Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM.
Para chaves multirregionais, AWS KMS cria a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço com a **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**política gerenciada. Essa política concede à função a permissão `kms:SynchronizeMultiRegionKey`, que permite sincronizar as propriedades compartilhadas de chaves de várias regiões.
Como a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço é confiável somente`mrk.kms.amazonaws.com`, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam sincronizar propriedades compartilhadas de várias regiões. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, replicar ou excluir nenhuma chave KMS.
Para obter mais informações sobre como AWS os serviços usam funções vinculadas ao serviço, consulte Como [usar funções vinculadas ao serviço no Guia do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Criar a função vinculada ao serviço
AWS KMS cria automaticamente a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço em sua Conta da AWS quando você cria uma chave multirregional, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente.
## Editar a descrição de uma função vinculada ao serviço
Você não pode editar o nome da função ou as declarações de política na função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço, mas você pode editar a descrição da função. Para obter mais informações, consulte [Editar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role), no *Manual do usuário do IAM*.
## Excluir a função vinculada ao serviço
AWS KMS não exclui a função **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculada ao serviço da sua Conta da AWS e você não pode excluí-la. No entanto, AWS KMS não assume a **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**função nem usa nenhuma de suas permissões, a menos que você tenha chaves multirregionais em sua Conta da AWS região.