本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的身分和存取管理 AWS Key Management Service
AWS Identity and Access Management (IAM) 可協助您安全地控制對 AWS 資源的存取。管理員可控制誰可以*驗證 *(登入) 和*授權* (具有許可) 使用 AWS KMS 資源。如需詳細資訊,請參閱[搭配 使用 IAM 政策 AWS KMS](iam-policies.md)。
[金鑰政策](key-policies.md)是控制 KMS 金鑰存取的主要機制 AWS KMS。每個 KMS 金鑰都必須有一個金鑰政策。您也可以使用 [IAM 政策](iam-policies.md)和[授予](grants.md),以及金鑰政策,以控制對 KMS 金鑰的存取。如需詳細資訊,請參閱[KMS 金鑰存取和許可](control-access.md)。
如果您使用的是 Amazon Virtual Private Cloud (Amazon VPC),則可以[建立介面 VPC 端點](kms-vpc-endpoint.md)以採用 AWS KMS 技術[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。您也可以使用 VPC 端點政策來判斷哪些主體可以存取您的 AWS KMS 端點、他們可以進行哪些 API 呼叫,以及他們可以存取哪些 KMS 金鑰。
**Topics**
+ [AWS 的 受管政策 AWS Key Management Service](security-iam-awsmanpol.md)
+ [使用 的服務連結角色 AWS KMS](using-service-linked-roles.md)
# AWS 的 受管政策 AWS Key Management Service
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSKeyManagementServicePowerUser
您可將 `AWSKeyManagementServicePowerUser` 政策連接到 IAM 身分。
您可以使用 `AWSKeyManagementServicePowerUser` 受管政策,為您帳戶中的 IAM 主體提供進階使用者的許可。進階使用者可以建立 KMS 金鑰、使用和管理其建立的 KMS 金鑰,以及檢視所有 KMS 金鑰和 IAM 身分識別。擁有 `AWSKeyManagementServicePowerUser` 受管政策的主體也可以從其他來源取得許可,包括金鑰政策、其他 IAM 政策和授予。
`AWSKeyManagementServicePowerUser` 是 AWS 受管 IAM 政策。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**注意**
此政策中特定於 KMS 金鑰的許可,例如 `kms:TagResource` 和 `kms:GetKeyRotationStatus`,僅當該 KMS 金鑰的金鑰政策[明確允許 AWS 帳戶 使用 IAM 政策](key-policy-default.md#key-policy-default-allow-root-enable-iam)來控制對金鑰的存取時才有效。若要確定許可是否特定於 KMS 金鑰,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**資源**資料欄中的 **KMS 金鑰**。
這項政策為進階使用者提供針對任何 KMS 金鑰的許可,搭配允許操作的金鑰政策。對於跨帳戶許可,例如 `kms:DescribeKey` 和 `kms:ListGrants`,這可能包括不受信任的 AWS 帳戶中的 KMS 金鑰。如需詳細資訊,請參閱 [IAM 政策的最佳實務](iam-policies-best-practices.md) 和 [允許其他帳戶中的使用者使用 KMS 金鑰](key-policy-modifying-external-accounts.md)。若要確定許可是否對其他帳戶中的 KMS 金鑰有效,請參閱 [AWS KMS 許可](kms-api-permissions-reference.md) 並查找**跨帳戶使用**資料欄中的**是**。
若要允許主體在不發生錯誤的情況下檢視 AWS KMS 主控台,主體需要 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 許可,此許可不包含在`AWSKeyManagementServicePowerUser`政策中。您可以在單獨的 IAM 政策中允許此許可。
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 受管 IAM 政策包含以下許可。
+ 允許主體建立 KMS 金鑰。由於此程序包含設定金鑰政策,進階使用者可以授予自己和其他人使用和管理其所建立之 KMS 金鑰的許可。
+ 允許主體對所有 KMS 金鑰建立和刪除[別名](kms-alias.md)和[標籤](tagging-keys.md)。變更標籤或別名可允許或拒絕使用和管理 KMS 金鑰的許可。如需詳細資訊,請參閱[適用於 的 ABAC AWS KMS](abac.md)。
+ 允許主體取得有關所有 KMS 金鑰的詳細資訊,包括金鑰 ARN、密碼編譯組態、金鑰政策、別名、標籤和[輪換狀態](rotate-keys.md)。
+ 允許主體列出 IAM 使用者、群組和角色。
+ 此政策不允許主體使用或管理其未建立的 KMS 金鑰。然而,它們可以變更所有 KMS 金鑰上的別名和標籤,這可能允許或拒絕使用或管理 KMS 金鑰的許可。
若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceCustomKeyStores
您不得將 `AWSServiceRoleForKeyManagementServiceCustomKeyStores` 連接到 IAM 實體。此政策會連接到服務連結角色,該角色授予 AWS KMS 許可來檢視與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集,並建立網路以支援自訂金鑰存放區與其 AWS CloudHSM 叢集之間的連線。如需詳細資訊,請參閱[授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)。
## AWS 受管政策:AWSServiceRoleForKeyManagementServiceMultiRegionKeys
您不得將 `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` 連接到 IAM 實體。此政策連接到服務連結角色,該角色授予 AWS KMS 許可,以將多區域主要金鑰的金鑰材料的任何變更同步至其複本金鑰。如需詳細資訊,請參閱[授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)。
## AWS KMS AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS KMS 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS KMS [文件歷史紀錄](dochistory.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 更新現有政策 | AWS KMS 已將陳述式 ID (`Sid`) 欄位新增至政策版本 v2 中的 受管政策。 | 2024 年 11 月 21 日 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 更新現有政策 | AWS KMS 新增 `ec2:DescribeVpcs`、 `ec2:DescribeNetworkAcls`和 `ec2:DescribeNetworkInterfaces`許可,以監控包含 AWS CloudHSM 叢集的 VPC 中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。 | 2023 年 11 月 10 日 |
| AWS KMS 開始追蹤變更 | AWS KMS 已開始追蹤其 AWS 受管政策的變更。 | 2023 年 11 月 10 日 |
# 使用 的服務連結角色 AWS KMS
AWS Key Management Service use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至其中的唯一 IAM 角色類型 AWS KMS。服務連結角色是由 定義, AWS KMS 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS KMS 輕鬆地設定,因為您不必手動新增必要的許可。 AWS KMS 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS KMS 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除相關的資源,才能刪除服務連結角色。這可保護您的 AWS KMS 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
若要檢視本主題中所討論之服務連結角色更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源](authorize-kms.md)
+ [授權 AWS KMS 同步多區域金鑰](multi-region-auth-slr.md)
# 授權 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 資源
為了支援您的 AWS CloudHSM 金鑰存放區, AWS KMS 需要取得 AWS CloudHSM 叢集相關資訊的許可。它還需要許可,才能建立將 AWS CloudHSM 金鑰存放區連接到其 AWS CloudHSM 叢集的網路基礎設施。若要取得這些許可, 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色 AWS 帳戶。建立 AWS CloudHSM 金鑰存放區的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。
若要檢視 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 受管政策更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [關於 AWS KMS 服務連結角色](#about-key-store-slr)
+ [建立服務連結角色](#create-key-store-slr)
+ [編輯服務連結角色描述](#edit-key-store-slr)
+ [刪除服務連結角色](#delete-key-store-slr)
## 關於 AWS KMS 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色,提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而無需建立和維護複雜的 IAM 政策。如需詳細資訊,請參閱[使用 的服務連結角色 AWS KMS](using-service-linked-roles.md)。
對於 AWS CloudHSM 金鑰存放區, 會使用 AWSKeyManagementServiceCustomKeyStores 受管政策 AWS KMS 建立 **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 此政策將下列許可授予此角色:
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – 偵測連接到自訂金鑰存放區的 AWS CloudHSM 叢集中的變更。
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區來建立安全群組,以啟用 AWS KMS 和 AWS CloudHSM 叢集之間的網路流量流。
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以允許網路 AWS KMS 從 存取包含 AWS CloudHSM 叢集的 VPC 時使用。
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – 當您[連接 AWS CloudHSM 金鑰存放區](connect-keystore.md)以建立用於在 AWS KMS 和 AWS CloudHSM 叢集之間通訊的網路介面時使用。
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – 當您[連接 AWS CloudHSM 金鑰存放](connect-keystore.md)區以從 AWS KMS 建立的安全群組中移除所有傳出規則時使用。
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – 用於[中斷連接 AWS CloudHSM 金鑰存放](disconnect-keystore.md)區,以刪除連接 AWS CloudHSM 金鑰存放區時建立的安全群組。
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立的安全群組中的變更,以便在失敗時 AWS KMS 提供明確的錯誤訊息。
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – 用於監控包含 AWS CloudHSM 叢集的 VPC 中的變更,以便 AWS KMS 可以在失敗時提供明確的錯誤訊息。
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – 用於監控包含 AWS CloudHSM 叢集之 VPC 的網路 ACLs 中的變更,以便在發生故障時 AWS KMS 提供明確的錯誤訊息。
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – 用於監控在包含 AWS CloudHSM 叢集的 VPC 中 AWS KMS 建立之網路介面的變更, AWS KMS 以便 可以在失敗時提供明確的錯誤訊息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
由於 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色僅信任 `cks.kms.amazonaws.com`,因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於檢視 AWS CloudHSM 叢集和將 AWS CloudHSM 金鑰存放區連接至其相關聯 AWS CloudHSM 叢集 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、管理或刪除 AWS CloudHSM 叢集、HSMs 或備份的許可。
**區域**
如同 AWS CloudHSM 金鑰存放區功能,**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 角色支援 AWS KMS 和 AWS CloudHSM 可用的所有 AWS 區域 。如需 AWS 區域 每個服務支援的清單,請參閱《》中的[AWS Key Management Service 端點和配額](https://docs.aws.amazon.com/general/latest/gr/kms.html)以及[AWS CloudHSM 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*Amazon Web Services 一般參考*。
如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
## 建立服務連結角色
AWS KMS 當您建立 AWS CloudHSM 金鑰存放區時,如果角色尚不存在, 會自動在 AWS 帳戶 中建立 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色。您無法直接建立或重新建立此服務連結角色。
## 編輯服務連結角色描述
您無法編輯 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色中的角色名稱或政策陳述式,但可以編輯角色描述。如需相關說明,請參閱《IAM 使用者指南》**中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
AWS KMS 不會從 AWS 帳戶 刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色,即使您[已刪除所有 AWS CloudHSM 金鑰存放區](delete-keystore.md)。雖然目前沒有刪除 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服務連結角色的程序,但除非您有作用中的 AWS CloudHSM 金鑰存放區,否則 AWS KMS 不會擔任此角色或使用其許可。
# 授權 AWS KMS 同步多區域金鑰
若要支援[多區域金鑰](multi-region-keys-auth.md), AWS KMS 需要將多區域主要金鑰的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)與其複本金鑰同步的許可。若要取得這些許可, 會在您的 中 AWS KMS 建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色 AWS 帳戶。建立多區域金鑰的使用者必須具有允許他們建立服務連結角色的`iam:CreateServiceLinkedRole`許可。
您可以檢視 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 事件,該事件會記錄 AWS CloudTrail 日誌中的 AWS KMS 同步共用屬性。
若要檢視 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 受管政策更新的詳細資訊,請參閱 [AWS KMS AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
**Topics**
+ [關於多區域金鑰的服務連結角色](#about-multi-region-slr)
+ [建立服務連結角色](#create-mrk-slr)
+ [編輯服務連結角色描述](#edit-mrk-slr)
+ [刪除服務連結角色](#delete-mrk-slr)
## 關於多區域金鑰的服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是 IAM 角色,提供一項 AWS 服務代表您呼叫其他 AWS 服務的許可。它旨在讓您更輕鬆地使用多個整合 AWS 服務的功能,而無需建立和維護複雜的 IAM 政策。
對於多區域金鑰, 會使用 AWSKeyManagementServiceMultiRegionKeys 受管政策 AWS KMS 建立 **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 服務連結角色。 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 此政策為角色提供 `kms:SynchronizeMultiRegionKey` 許可,允許其同步多區域金鑰的共用屬性。
由於 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色僅信任 `mrk.kms.amazonaws.com`,因此 AWS KMS 只能擔任此服務連結角色。此角色僅限於同步多區域共用屬性 AWS KMS 所需的操作。它不會給予 AWS KMS 任何其他許可。例如, AWS KMS 沒有建立、複寫或刪除任何 KMS 金鑰的許可。
如需 AWS 服務如何使用服務連結角色的詳細資訊,請參閱《IAM 使用者指南》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## 建立服務連結角色
AWS KMS 如果角色尚未存在,當您建立多區域金鑰 AWS 帳戶 時, 會自動在 中建立 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色。您無法直接建立或重新建立此服務連結角色。
## 編輯服務連結角色描述
您無法編輯 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色中的角色名稱或政策陳述式,但可以編輯角色描述。如需相關說明,請參閱《*IAM 使用者指南*》中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
AWS KMS 不會從 刪除 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 服務連結角色, AWS 帳戶 而且您無法刪除它。不過,除非您的 AWS 帳戶 和 區域中有多區域金鑰,否則 AWS KMS 不會擔任 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 角色或使用其任何許可。