AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

对 AWS KMS 使用服务相关角色

AWS Key Management Service 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 AWS KMS 直接关联的独特类型的 IAM 角色。服务相关角色由 AWS KMS 定义,并包含该服务代表您调用其他 AWS 服务所需的全部权限。

服务相关角色使 AWS KMS 的设置更轻松,因为您不必手动添加必要的权限。AWS KMS 定义其服务相关角色的权限,除非另行定义,否则仅 AWS KMS 可以代入其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

只有在先删除相关资源后,才能删除服务相关角色。这将保护您的 AWS KMS 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务并查找 Service-Linked Role 列为 Yes 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

AWS KMS 自定义密钥存储的服务相关角色权限

AWS KMS 使用名为 AWSServiceRoleForKeyManagementServiceCustomKeyStores 的服务相关角色支持自定义密钥存储。This service-linked role gives AWS KMS permission to view your AWS CloudHSM clusters and create the network infrastructure to support a connection between your custom key store and its AWS CloudHSM cluster. AWS KMS 仅当您创建自定义密钥存储时创建此角色。您无法直接创建此服务相关角色。

AWSServiceRoleForKeyManagementServiceCustomKeyStores 服务相关角色信任 cks.kms.amazonaws.com 来代入该角色。因此,只有 AWS KMS 才能代入此服务相关角色。

此角色中的权限限制为 AWS KMS 为了将自定义密钥存储连接到 AWS CloudHSM 集群而执行的操作。它不会向 AWS KMS 提供任何额外权限。例如,AWS KMS 无权创建、管理或删除您的 AWS CloudHSM 集群、HSM 或备份。

有关 AWSServiceRoleForKeyManagementServiceCustomKeyStores 角色的更多信息,包括权限列表以及有关如何查看角色、编辑角色描述、删除角色和让 AWS KMS 为您重新创建角色的说明,请参阅授权 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 资源