本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授权同步多 Amazon KMS 区域密钥
要支持多区域密钥, Amazon KMS 需要权限才能将多区域主键的共享属性与其副本密钥同步。要获得这些权限, Amazon KMS 请在 Amazon Web Services 账户中创建AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色。创建多区域密钥的用户必须拥有允许他们创建服务相关角色的iam:CreateServiceLinkedRole权限。
您可以在 Amazon CloudTrail 日志中查看记录 Amazon KMS 同步共享属性的SynchronizeMultiRegionKey CloudTrail 事件。
要查看有关AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy托管策略更新的详细信息,请参阅Amazon KMSAmazon 托管策略的更新。
关于多区域密钥的服务相关角色
服务相关角色是一个 IAM 角色,它授予一项 Amazon 服务代表您调用其他 Amazon 服务的权限。它旨在让您更轻松地使用多种集成 Amazon 服务的功能,而无需创建和维护复杂的 IAM 策略。
对于多区域密钥,使用AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy托管策略 Amazon KMS 创建AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色。此策略将授予角色 kms:SynchronizeMultiRegionKey 权限,从而允许它同步多区域密钥的共享属性。
由于AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色仅受信任mrk.kms.amazonaws.com,因此 Amazon KMS 只能担任此服务相关角色。此角色仅限于 Amazon KMS 需要同步多区域共享属性的操作。它不提供 Amazon KMS 任何其他权限。例如, Amazon KMS 没有创建、复制或删除任何 KMS 密钥的权限。
有关服务如何使用 Amazon 服务相关角色的更多信息,请参阅 IAM 用户指南中的使用服务相关角色。
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "KMSSynchronizeMultiRegionKey", "Effect" : "Allow", "Action" : [ "kms:SynchronizeMultiRegionKey" ], "Resource" : "*" } ] }
创建服务相关角色
Amazon KMS 如果您创建多区域密钥 Amazon Web Services 账户 时会自动在中创建AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色(如果该角色尚不存在)。您无法直接创建或重新创建此服务相关角色。
编辑服务相关角色描述
您无法编辑AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色中的角色名称或策略声明,但可以编辑角色描述。有关说明,请参阅 IAM 用户指南中的编辑服务相关角色。
删除服务相关角色
Amazon KMS 不会从您的中删除AWSServiceRoleForKeyManagementServiceMultiRegionKeys服务相关角色 Amazon Web Services 账户 ,也无法将其删除。但是,除非您的 Amazon Web Services 账户 和区域中有多区域密钥,否则 Amazon KMS 不会代入该AWSServiceRoleForKeyManagementServiceMultiRegionKeys角色或使用其任何权限。