本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 授权同步多 Amazon KMS 区域密钥
<a name="multi-region-auth-slr"></a>

要支持[多区域密钥](multi-region-keys-auth.md)， Amazon KMS 需要权限才能将多区域主键的[共享属性](multi-region-keys-overview.md#mrk-sync-properties)与其副本密钥同步。要获得这些权限， Amazon KMS 请在 Amazon Web Services 账户中创建**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色。创建多区域密钥的用户必须具有能让其创建服务相关角色的 `iam:CreateServiceLinkedRole` 权限。

您可以在 Amazon CloudTrail 日志中查看记录 Amazon KMS 同步共享属性的[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 事件。

要查看有关**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**托管策略更新的详细信息，请参阅[Amazon KMS Amazon 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [关于多区域密钥的服务相关角色](#about-multi-region-slr)
+ [创建服务相关角色](#create-mrk-slr)
+ [编辑服务相关角色描述](#edit-mrk-slr)
+ [删除服务相关角色](#delete-mrk-slr)

## 关于多区域密钥的服务相关角色
<a name="about-multi-region-slr"></a>

[服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)是一个 IAM 角色，它授予一项 Amazon 服务代表您调用其他 Amazon 服务的权限。它旨在让您更轻松地使用多种集成 Amazon 服务的功能，而无需创建和维护复杂的 IAM 策略。

对于多区域密钥，使用**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**托管策略 Amazon KMS 创建**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色。此策略将授予角色 `kms:SynchronizeMultiRegionKey` 权限，从而允许它同步多区域密钥的共享属性。

由于**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色仅受信任`mrk.kms.amazonaws.com`，因此 Amazon KMS 只能担任此服务相关角色。此角色仅限于 Amazon KMS 需要同步多区域共享属性的操作。它不提供 Amazon KMS 任何其他权限。例如， Amazon KMS 没有创建、复制或删除任何 KMS 密钥的权限。

有关服务如何使用 Amazon 服务相关角色的更多信息，请参阅 IAM 用户指南中的[使用服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## 创建服务相关角色
<a name="create-mrk-slr"></a>

Amazon KMS 如果您创建多区域密钥 Amazon Web Services 账户 时会自动在中创建**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色（如果该角色尚不存在）。您无法直接创建或重新创建此服务相关角色。

## 编辑服务相关角色描述
<a name="edit-mrk-slr"></a>

您无法编辑**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色中的角色名称或策略声明，但可以编辑角色描述。有关说明，请参阅 *IAM 用户指南*中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除服务相关角色
<a name="delete-mrk-slr"></a>

Amazon KMS 不会从您的中删除**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**服务相关角色 Amazon Web Services 账户 ，也无法将其删除。但是，除非您的 Amazon Web Services 账户 和区域中有多区域密钥，否则 Amazon KMS 不会代入该**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**角色或使用其任何权限。