Izin peran yang terhubung dengan layanan untuk penyimpanan kunci kustom AWS KMS Izin peran yang terhubung dengan layanan untuk kunci multi-Wilayah AWS KMS AWS KMS memperbarui pada kebijakan terkelola AWS

Menggunakan peran tertaut layanan untuk AWS KMS

AWS Key Management Service menggunakan peran tertaut layanan AWS Identity and Access Management(IAM)https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role. Peran tertaut layanan adalah tipe IAM role unik yang tertaut langsung ke AWS KMS. Peran yang terhubung dengan layanan ditentukan oleh AWS KMS dan mencakup semua izin yang diperlukan layanan untuk menghubungi layanan AWS lainnya atas nama Anda.

Peran tertaut layanan memudahkan penyiapan AWS KMS karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS KMS Peran ini menentukan izin peran tertaut layanannya, dan kecuali ditentukan lain, hanya AWS KMS dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terhubung layanan hanya setelah pertama kali menghapus sumber daya terkait. Ini melindungi sumber daya AWS KMS karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat Layanan AWS yang Berfungsi dengan IAM dan cari layanan yang memiliki Ya di kolom Peran yang Terhubung dengan Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran yang terhubung dengan layanan untuk penyimpanan kunci kustom AWS KMS

AWS KMSmenggunakan peran terkait layanan bernama AWSServiceRoleForKeyManagementServiceCustomKeyStoresuntuk mendukung penyimpanan kunci kustom. Peran yang terhubung dengan layanan ini memberikan izin AWS KMS untuk melihat cluster AWS CloudHSM Anda dan membuat infrastruktur jaringan untuk mendukung koneksi antara penyimpanan kunci kustom Anda dan kluster AWS CloudHSM-nya. AWS KMS membuat peran ini hanya ketika Anda membuat penyimpanan kunci kustom. Anda tidak dapat membuat peran yang terhubung dengan layanan ini secara langsung.

AWSServiceRoleForKeyManagementServiceCustomKeyStoresPeran terkait layanan percaya cks.kms.amazonaws.com untuk mengambil peran tersebut. Akibatnya, hanya AWS KMS yang dapat mengasumsikan peran yang terhubung dengan layanan ini.

Izin dalam peran terbatas pada tindakan yang dilakukan AWS KMS untuk menghubungkan penyimpanan kunci kustom kluster AWS CloudHSM. Ini tidak memberi AWS KMS izin tambahan apa pun. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus perangkat klaster, HSM, atau pencadangan AWS CloudHSM.

Untuk informasi selengkapnya tentang AWSServiceRoleForKeyManagementServiceCustomKeyStoresperan, termasuk daftar izin dan instruksi tentang cara melihat peran, mengedit deskripsi peran, menghapus peran, dan AWS KMS membuatnya ulang untuk Anda, lihat. Mengizinkan AWS KMS mengelola sumber daya AWS CloudHSM Amazon EC2

Izin peran yang terhubung dengan layanan untuk kunci multi-Wilayah AWS KMS

AWS KMSmenggunakan peran terkait layanan bernama AWSServiceRoleForKeyManagementServiceMultiRegionKeysuntuk mendukung kunci Multi-wilayah. Peran yang terhubung dengan layanan ini memberikan izin AWS KMS untuk menyinkronkan perubahan apa pun ke materi kunci dari kunci utama multi-Wilayah untuk kunci replika. AWS KMS membuat peran ini hanya ketika Anda membuat Kunci utama multi-Wilayah. Anda tidak dapat membuat peran yang terhubung dengan layanan ini secara langsung.

AWSServiceRoleForKeyManagementServiceMultiRegionKeysPeran terkait layanan percaya mrk.kms.amazonaws.com untuk mengambil peran tersebut. Akibatnya, hanya AWS KMS yang dapat mengasumsikan peran yang terhubung dengan layanan ini. Izin dalam peran terbatas pada tindakan yang dilakukan AWS KMS untuk menjaga materi kunci dalam kunci multi-Wilayah terkait disinkronkan. Ini tidak memberi AWS KMS izin tambahan apa pun.

Untuk informasi selengkapnya tentang AWSServiceRoleForKeyManagementServiceMultiRegionKeysperan, termasuk daftar izin dan instruksi tentang cara melihat peran, mengedit deskripsi peran, menghapus peran, dan AWS KMS membuatnya ulang untuk Anda, lihat. Mengotorisasi AWS KMS untuk menyinkronkan kunci multi-Wilayah

AWS KMS memperbarui pada kebijakan terkelola AWS

Lihat detail tentang pembaruan pada kebijakan terkelola AWS untuk AWS KMS karena layanan ini mulai melacak perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed pada halaman AWS KMS Riwayat dokumen.

Perubahan	Deskripsi	Tanggal
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – Pembaruan pada kebijakan yang sudah ada	AWS KMSmenambahkan`ec2:DescribeVpcs`,`ec2:DescribeNetworkAcls`, dan `ec2:DescribeNetworkInterfaces` izin untuk memantau perubahan di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.	10 November 2023
AWS KMS mulai melacak perubahan	AWS KMS mulai melacak perubahan untuk kebijakan terkelola AWS	10 November 2023

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akses lintas akun

TLS pasca-kuantum hibrida