将服务相关角色用于 Amazon KMS
Amazon Key Management Service 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon KMS 直接相关。服务相关角色由 Amazon KMS 定义,并包含该服务代表您调用其他 Amazon 服务所需的全部权限。
服务相关角色使 Amazon KMS 的设置更轻松,因为您不必手动添加必要的权限。Amazon KMS 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon KMS 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其它 IAM 实体的权限策略。
只有在先删除相关资源后,才能删除服务相关角色。这将保护您的 Amazon KMS 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。选择是和链接,查看该服务的服务相关角色文档。
Amazon KMS 自定义密钥存储的服务相关角色权限
Amazon KMS 使用名为 AWSServiceRoleForKeyManagementServiceCustomKeyStores 的服务相关角色支持自定义密钥存储。此服务相关角色授予 Amazon KMS 权限以查看您的 Amazon CloudHSM 集群并创建网络基础设施,以支持自定义密钥存储与其 Amazon CloudHSM 集群之间的连接。Amazon KMS 将在您创建自定义密钥存储时创建此角色。您无法直接创建此服务相关角色。
AWSServiceRoleForKeyManagementServiceCustomKeyStores 服务相关角色信任 cks.kms.amazonaws.com 来代入角色。因此,只有 Amazon KMS 才能代入此服务相关角色。
此角色中的权限限制为 Amazon KMS 为了将自定义密钥存储连接到 Amazon CloudHSM 集群而执行的操作。它不会向 Amazon KMS 提供任何额外权限。例如,Amazon KMS 无权创建、管理或删除您的 Amazon CloudHSM 集群、HSM 或备份。
有关 AWSServiceRoleForKeyManagementServiceCustomKeyStores 角色的更多信息,包括权限列表以及有关如何查看角色、编辑角色描述、删除角色和让 Amazon KMS 为您重新创建角色的说明,请参阅 授权 Amazon KMS 管理 Amazon CloudHSM 和 Amazon EC2 资源。
Amazon KMS 多区域密钥的服务相关角色权限
Amazon KMS 使用名为 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 的服务相关角色支持多区域密钥。此服务相关角色授予 Amazon KMS 权限以将多区域主密钥的密钥材料的任何更改同步到其副本密钥。Amazon KMS 将仅在您创建多区域主密钥时创建此角色。您无法直接创建此服务相关角色。
AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色信任 mrk.kms.amazonaws.com 来代入角色。因此,只有 Amazon KMS 才能代入此服务相关角色。此角色的权限限制为 Amazon KMS 为了保持相关多区域密钥中的密钥材料同步而执行的操作。它不会向 Amazon KMS 提供任何额外权限。
有关 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 角色的更多信息,包括权限列表以及有关如何查看角色、编辑角色描述、删除角色和让 Amazon KMS 为您重新创建角色的说明,请参阅 授权 Amazon KMS 同步多区域密钥。