Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für AWS KMS
AWS Key Management Service verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit AWS KMS verknüpft ist. Serviceverknüpfte Rollen werden von AWS KMSdefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.
Eine serviceverknüpfte Rolle vereinfacht die Einrichtung von AWS KMS, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS KMS definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur AWS KMS die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre AWS KMS-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen von serviceverknüpften Rollen für AWS KMS benutzerdefinierte Schlüsselspeicher
AWS KMS verwendet eine serviceverknüpfte Rolle namens AWSServiceRoleForKeyManagementServiceCustomKeyStores, um benutzerdefinierte Schlüsselspeicher zu unterstützen. Diese serviceverknüpfte Rolle gibt AWS KMS die Berechtigung, Ihre AWS CloudHSM-Cluster anzuzeigen und die Netzwerkinfrastruktur zu erstellen, die eine Verbindung zwischen Ihrem benutzerdefinierten Schlüsselspeicher und dessen AWS CloudHSM-Cluster unterstützt. AWS KMS erstellt diese Rolle nur, wenn Sie einen benutzerdefinierten Schlüsselspeicher erstellen. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen.
Die serviceverknüpfte Rolle AWSServiceRoleForKeyManagementServiceCustomKeyStores vertraut darauf, dass cks.kms.amazonaws.com die Rolle annimmt. Dies hat zur Folge, dass nur AWS KMS diese serviceverknüpfte Rolle annehmen kann.
Die Berechtigungen in der Rolle werden auf die Aktionen beschränkt, die AWS KMS ausführt, um eine Verbindung zwischen einem benutzerdefinierten Schlüsselspeicher und einem AWS CloudHSM-Cluster herzustellen. AWS KMS werden keine weiteren Berechtigungen erteilt. Beispielsweise ist AWS KMS nicht zum Erstellen, Verwalten oder Löschen Ihrer AWS CloudHSM-Cluster, HSMs oder Sicherungen berechtigt.
Weitere Informationen zur AWSServiceRoleForKeyManagementServiceCustomKeyStores-Rolle, einschließlich einer Liste der Berechtigungen und Anweisungen zum Anzeigen der Rolle, Bearbeiten der Rollenbeschreibung, Löschen der Rolle und Neuerstellen mithilfe von AWS KMS finden Sie unter Autorisieren von AWS KMS für die Verwaltung von AWS CloudHSM- und Amazon-EC2-Ressourcen.
Berechtigungen von serviceverknüpften Rollen für multiregionale AWS KMS-Schlüssel
AWS KMS verwendet eine serviceverknüpfte Rolle namens AWSServiceRoleForKeyManagementServiceMultiRegionKeys , um multiregionale Schlüssel zu unterstützen. Diese serviceverknüpfte Rolle gibt AWS KMS die Berechtigung zum Synchronisieren von Änderungen am Schlüsselmaterial eines multiregionalen Primärschlüssels mit seinen Replikaten. AWS KMS erstellt diese Rolle nur, wenn Sie einen multiregionalen Primärschlüssel erstellen. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen.
Die serviceverknüpfte Rolle AWSServiceRoleForKeyManagementServiceMultiRegionKeys vertraut darauf, dass mrk.kms.amazonaws.com die Rolle annimmt. Dies hat zur Folge, dass nur AWS KMS diese serviceverknüpfte Rolle annehmen kann. Die Berechtigungen in der Rolle werden auf die Aktionen beschränkt, die AWS KMSausführt, um das Schlüsselmaterial in verwandten multiregionalen Schlüsseln synchronisiert zu halten. AWS KMS werden keine weiteren Berechtigungen erteilt.
Weitere Informationen zur AWSServiceRoleForKeyManagementServiceMultiRegionKeys-Rolle, einschließlich einer Liste der Berechtigungen und Anweisungen zum Anzeigen der Rolle, Bearbeiten der Rollenbeschreibung, Löschen der Rolle und Neuerstellen mithilfe von AWS KMS finden Sie unter Autorisieren von AWS KMS zum Synchronisieren der multiregionalen Schlüsseln.
AWS KMS-Aktualisierungen für AWS verwaltete Richtlinien
Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für AWS KMS, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der AWS KMS Dokumentverlauf-Seite.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
AWS KMS hat die |
10. November 2023 |
|
AWS KMS hat die Änderungsverfolgung gestartet |
AWS KMS hat mit der Verfolgung von Änderungen für seine AWS-verwalteten Richtlinien begonnen. |
10. November 2023 |
