Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von serviceverknüpften Rollen für AWS KMS
AWS Key Management Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS KMS Servicebezogene Rollen werden durch alle Berechtigungen definiert AWS KMS und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS KMS erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS KMS definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS KMS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS KMS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Einzelheiten zu den Aktualisierungen der in diesem Thema erörterten dienstbezogenen Rollen finden Sie unter. [AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md)
+ [Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen](multi-region-auth-slr.md)
# Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen
Um Ihre AWS CloudHSM wichtigsten Speicher zu unterstützen, ist eine Genehmigung AWS KMS erforderlich, um Informationen über Ihre AWS CloudHSM Cluster abzurufen. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle in Ihrem AWS-Konto. Benutzer, die AWS CloudHSM Schlüsselspeicher erstellen, benötigen die `iam:CreateServiceLinkedRole` Erlaubnis, dienstbezogene Rollen zu erstellen.
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Informationen zur AWS KMS serviceverknüpften Rolle](#about-key-store-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-key-store-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-key-store-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-key-store-slr)
## Informationen zur AWS KMS serviceverknüpften Rolle
Eine [dienstverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS KMS](using-service-linked-roles.md).
AWS KMS Erstellt für AWS CloudHSM Schlüsselspeicher die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstverknüpfte Rolle mit der **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**verwalteten Richtlinie. Diese Richtlinie gewährt der Rolle die folgenden Berechtigungen:
+ [cloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — erkennt Änderungen im AWS CloudHSM Cluster, der an Ihren benutzerdefinierten Schlüsselspeicher angehängt ist.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Sicherheitsgruppe zu erstellen, die den Netzwerkdatenfluss zwischen und Ihrem Cluster ermöglicht. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um den Netzwerkzugriff von der VPC aus AWS KMS zu ermöglichen, die Ihren AWS CloudHSM Cluster enthält.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — wird verwendet, wenn Sie [einen AWS CloudHSM Schlüsselspeicher verbinden](connect-keystore.md), um die Netzwerkschnittstelle zu erstellen, die für die Kommunikation zwischen AWS KMS und dem Cluster verwendet wird. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — wird verwendet, wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, um alle ausgehenden Regeln aus der Sicherheitsgruppe zu entfernen, die erstellt wurde. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — wird verwendet, wenn Sie die Verbindung zu [einem AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), um Sicherheitsgruppen zu löschen, die beim Verbinden mit dem AWS CloudHSM Schlüsselspeicher erstellt wurden.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — wird verwendet, um Änderungen in der Sicherheitsgruppe zu überwachen, die in der VPC AWS KMS erstellt wurde, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — wird verwendet, um Änderungen in der VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — wird verwendet, um Änderungen im Netzwerk ACLs für die VPC zu überwachen, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — wird verwendet, um Änderungen an den Netzwerkschnittstellen zu überwachen, die in der VPC AWS KMS erstellt wurden, die Ihren AWS CloudHSM Cluster enthält, sodass bei Ausfällen klare Fehlermeldungen ausgegeben werden AWS KMS können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Da die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstgebundene Rolle nur vertrauenswürdig ist`cks.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstgebundene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, die zum Anzeigen Ihrer AWS CloudHSM Cluster und zum Verbinden eines AWS CloudHSM Schlüsselspeichers mit dem zugehörigen Cluster AWS KMS erforderlich sind. AWS CloudHSM Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. Sie ist beispielsweise AWS KMS nicht berechtigt, Ihre AWS CloudHSM Cluster oder Backups zu erstellen HSMs, zu verwalten oder zu löschen.
**Regionen**
Wie die Funktion „ AWS CloudHSM Schlüsselspeicher“ wird die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**Rolle AWS-Regionen überall unterstützt AWS KMS und AWS CloudHSM ist verfügbar. Eine Liste der Funktionen AWS-Regionen , die von den einzelnen Diensten unterstützt werden, finden Sie unter [AWS Key Management Service Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/kms.html) und [AWS CloudHSM Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in der. *Allgemeine Amazon Web Services-Referenz*
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**serviceverknüpfte Rolle in Ihrem AWS-Konto , wenn Sie einen AWS CloudHSM Schlüsselspeicher erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Namen der Rolle oder die Richtlinienanweisungen in der serviceverknüpften Rolle **AWSServiceRoleForKeyManagementServiceCustomKeyStores** nicht bearbeiten. Sie können jedoch die Beschreibung der Rolle bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle nicht aus Ihrem, AWS-Konto auch wenn Sie [alle Ihre AWS CloudHSM Schlüsselspeicher gelöscht](delete-keystore.md) haben. Derzeit gibt es zwar kein Verfahren zum Löschen der **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogenen Rolle, AWS KMS nimmt diese Rolle jedoch nicht an und verwendet auch nicht ihre Berechtigungen, sofern Sie nicht über aktive AWS CloudHSM Schlüsselspeicher verfügen.
# Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen
Um [Schlüssel mit mehreren Regionen](multi-region-keys-auth.md) zu unterstützen, ist die Erlaubnis AWS KMS erforderlich, die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle in Ihrem. AWS-Konto Benutzer, die Schlüssel für mehrere Regionen erstellen, müssen über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.
Sie können das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail Ereignis, das die AWS KMS Synchronisierung gemeinsam genutzter Eigenschaften aufzeichnet, in Ihren Protokollen einsehen. AWS CloudTrail
Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
**Topics**
+ [Über die serviceverknüpfte Rolle für multiregionale Schlüssel](#about-multi-region-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-mrk-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-mrk-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-mrk-slr)
## Über die serviceverknüpfte Rolle für multiregionale Schlüssel
Eine [dienstbezogene Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen.
Bei Schlüsseln mit mehreren Regionen AWS KMS wird die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle mit der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie erstellt. Diese Richtlinie gibt der Rolle die `kms:SynchronizeMultiRegionKey`-Berechtigung, die es ermöglicht, die freigegebenen Eigenschaften von multiregionalen Schlüsseln zu synchronisieren.
Da die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstgebundene Rolle nur vertrauenswürdig ist`mrk.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstbezogene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, bei denen gemeinsam genutzte Eigenschaften mehrerer Regionen synchronisiert AWS KMS werden müssen. Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. AWS KMS Hat beispielsweise keine Berechtigung, KMS-Schlüssel zu erstellen, zu replizieren oder zu löschen.
Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) im IAM-Benutzerhandbuch.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Erstellen der serviceverknüpften Rolle
AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**serviceverknüpfte Rolle in Ihrem, AWS-Konto wenn Sie einen Schlüssel für mehrere Regionen erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen.
## Bearbeiten der Beschreibung der serviceverknüpften Rolle
Sie können den Rollennamen oder die Richtlinienerklärungen in der **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogenen Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstverknüpfte Rolle nicht aus Ihrer AWS-Konto und Sie können sie nicht löschen. Übernimmt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**Rolle jedoch AWS KMS nicht und verwendet keine ihrer Berechtigungen, es sei denn, Sie haben Schlüssel für mehrere Regionen in Ihrer Region AWS-Konto und Ihrer Region.