使用 AWS KMS 的服務連結角色

AWS Key Management Service 使用 AWS Identity and Access Management (IAM) 服務連結的角色。服務連結角色是直接連結至 AWS KMS 的一種特殊 IAM 角色類型。服務連結角色由 AWS KMS 所定義，且包含服務代替您呼叫其他 AWS 服務所需的所有許可。

服務連結的角色可讓設定 AWS KMS 更為簡單，因為您不必手動新增必要的許可。AWS KMS​ 定義其服務連結角色的許可，除非另有定義，否則僅有 AWS KMS 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除相關的資源，才能刪除服務連結角色。如此可保護您 AWS KMS 的資源，避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務的資訊，請參閱可搭配 IAM 運作的 AWS 服務，並尋找服務連結角色欄顯示為是的服務。選擇具有連結的是，以檢視該服務的服務連結角色文件。

AWS KMS 自訂金鑰存放區的服務連結角色許可

AWS KMS使用名為的服務連結角色AWSServiceRoleForKeyManagementServiceCustomKeyStores來支援自訂金鑰存放區。此服務連結角色為 AWS KMS 提供檢視 AWS CloudHSM 叢集和建立網路基礎設施的許可，以支援自訂金鑰存放區與其 AWS CloudHSM 叢集之間的連線。AWS KMS 只會在您建立自訂金鑰存放區時建立此角色。您無法直接建立此服務連結角色。

AWSServiceRoleForKeyManagementServiceCustomKeyStores 服務連結角色信任 cks.kms.amazonaws.com 擔任此角色。因此，只有 AWS KMS 可擔任此服務連結角色。

此角色的許可僅限於讓 AWS KMS 將自訂金鑰存放區連接到 AWS CloudHSM 叢集而執行的動作。並不授予 AWS KMS 任何額外的許可。例如，AWS KMS 沒有許可來建立、管理或刪除 AWS CloudHSM 叢集、HSM 或備份。

如需 AWSServiceRoleForKeyManagementServiceCustomKeyStores 角色的詳細資訊，包括許可清單，以及有關如何檢視角色、編輯角色描述、刪除角色和讓 AWS KMS 為您重新建立角色的指示，請參閱授權 AWS KMS 來管理 AWS CloudHSM 和 Amazon EC2 資源。

AWS KMS 多區域金鑰的服務連結角色許可

AWS KMS使用名為的服務連結角色AWSServiceRoleForKeyManagementServiceMultiRegionKeys來支援多區域金鑰。此服務連結角色為 AWS KMS 提供將多區域主要金鑰之金鑰材料的任何變更同步至其複本金鑰的許可。AWS KMS 只會在您建立多區域主要金鑰時建立此角色。您無法直接建立此服務連結角色。

AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服務連結角色信任 mrk.kms.amazonaws.com 擔任此角色。因此，只有 AWS KMS 可擔任此服務連結角色。此角色的許可僅限於 AWS KMS 執行的動作，用於保持相關多區域金鑰中的金鑰材料同步。並不授予 AWS KMS 任何額外的許可。

如需 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 角色的詳細資訊，包括許可清單，以及有關如何檢視角色、編輯角色描述、刪除角色和讓 AWS KMS 為您重新建立角色的指示，請參閱授權 AWS KMS 同步多區域金鑰。

AWS 管理的政策的 AWS KMS 更新項目

檢視自 AWS KMS 開始追蹤 AWS 管理的政策變更以來的更新詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 AWS KMS 文件歷史紀錄 頁面的 RSS 摘要。

變更	描述	日期
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy – 更新現有政策	AWS KMS新增了ec2:DescribeVpcsec2:DescribeNetworkAcls、和ec2:DescribeNetworkInterfaces權限來監視 VPC 中包含AWS CloudHSM叢集的變更，AWS KMS以便在發生故障時提供明確的錯誤訊息。	2023 年 11 月 10 日
AWS KMS 已開始追蹤變更	AWS KMS 已開始追蹤其 AWS 管理的政策的變更。	2023 年 11 月 10 日