Menggunakan peran tertaut layanan untuk AWS KMS - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran tertaut layanan untuk AWS KMS

AWS Key Management Service menggunakan peran tertaut layanan AWS Identity and Access Management(IAM)https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role. Peran tertaut layanan adalah tipe IAM role unik yang tertaut langsung ke AWS KMS. Peran yang terhubung dengan layanan ditentukan oleh AWS KMS dan mencakup semua izin yang diperlukan layanan untuk menghubungi layanan AWS lainnya atas nama Anda.

Peran tertaut layanan memudahkan penyiapan AWS KMS karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS KMS Peran ini menentukan izin peran tertaut layanannya, dan kecuali ditentukan lain, hanya AWS KMS dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terhubung layanan hanya setelah pertama kali menghapus sumber daya terkait. Ini melindungi sumber daya AWS KMS karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat Layanan AWS yang Berfungsi dengan IAM dan cari layanan yang memiliki Ya di kolom Peran yang Terhubung dengan Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran yang terhubung dengan layanan untuk penyimpanan kunci kustom AWS KMS

AWS KMSmenggunakan peran terkait layanan bernama AWSServiceRoleForKeyManagementServiceCustomKeyStoresuntuk mendukung penyimpanan kunci kustom. Peran yang terhubung dengan layanan ini memberikan izin AWS KMS untuk melihat cluster AWS CloudHSM Anda dan membuat infrastruktur jaringan untuk mendukung koneksi antara penyimpanan kunci kustom Anda dan kluster AWS CloudHSM-nya. AWS KMS membuat peran ini hanya ketika Anda membuat penyimpanan kunci kustom. Anda tidak dapat membuat peran yang terhubung dengan layanan ini secara langsung.

AWSServiceRoleForKeyManagementServiceCustomKeyStoresPeran terkait layanan percaya cks.kms.amazonaws.com untuk mengambil peran tersebut. Akibatnya, hanya AWS KMS yang dapat mengasumsikan peran yang terhubung dengan layanan ini.

Izin dalam peran terbatas pada tindakan yang dilakukan AWS KMS untuk menghubungkan penyimpanan kunci kustom kluster AWS CloudHSM. Ini tidak memberi AWS KMS izin tambahan apa pun. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus perangkat klaster, HSM, atau pencadangan AWS CloudHSM.

Untuk informasi selengkapnya tentang AWSServiceRoleForKeyManagementServiceCustomKeyStoresperan, termasuk daftar izin dan instruksi tentang cara melihat peran, mengedit deskripsi peran, menghapus peran, dan AWS KMS membuatnya ulang untuk Anda, lihat. Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2

Izin peran yang terhubung dengan layanan untuk kunci multi-Wilayah AWS KMS

AWS KMSmenggunakan peran terkait layanan bernama AWSServiceRoleForKeyManagementServiceMultiRegionKeysuntuk mendukung kunci Multi-wilayah. Peran yang terhubung dengan layanan ini memberikan izin AWS KMS untuk menyinkronkan perubahan apa pun ke materi kunci dari kunci utama multi-Wilayah untuk kunci replika. AWS KMS membuat peran ini hanya ketika Anda membuat Kunci utama multi-Wilayah. Anda tidak dapat membuat peran yang terhubung dengan layanan ini secara langsung.

AWSServiceRoleForKeyManagementServiceMultiRegionKeysPeran terkait layanan percaya mrk.kms.amazonaws.com untuk mengambil peran tersebut. Akibatnya, hanya AWS KMS yang dapat mengasumsikan peran yang terhubung dengan layanan ini. Izin dalam peran terbatas pada tindakan yang dilakukan AWS KMS untuk menjaga materi kunci dalam kunci multi-Wilayah terkait disinkronkan. Ini tidak memberi AWS KMS izin tambahan apa pun.

Untuk informasi selengkapnya tentang AWSServiceRoleForKeyManagementServiceMultiRegionKeysperan, termasuk daftar izin dan instruksi tentang cara melihat peran, mengedit deskripsi peran, menghapus peran, dan AWS KMS membuatnya ulang untuk Anda, lihat. Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region

AWS KMS memperbarui pada kebijakan terkelola AWS

Lihat detail tentang pembaruan pada kebijakan terkelola AWS untuk AWS KMS karena layanan ini mulai melacak perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed pada halaman AWS KMS Riwayat dokumen.

Perubahan Deskripsi Tanggal

AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Pembaruan pada kebijakan yang sudah ada

AWS KMSmenambahkanec2:DescribeVpcs,ec2:DescribeNetworkAcls, dan ec2:DescribeNetworkInterfaces izin untuk memantau perubahan di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.

10 November 2023

AWS KMS mulai melacak perubahan

AWS KMS mulai melacak perubahan untuk kebijakan terkelola AWS

10 November 2023