Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2
<a name="authorize-kms"></a>

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Anda. Akun AWS Pengguna yang membuat toko AWS CloudHSM kunci harus memiliki `iam:CreateServiceLinkedRole` izin yang memungkinkan mereka membuat peran terkait layanan.

Untuk melihat detail tentang pembaruan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola, lihat[AWS KMS pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Tentang peran AWS KMS terkait layanan](#about-key-store-slr)
+ [Membuat peran terkait layanan](#create-key-store-slr)
+ [Mengedit deskripsi peran tertaut layanan](#edit-key-store-slr)
+ [Menghapus peran tertaut layanan](#delete-key-store-slr)

## Tentang peran AWS KMS terkait layanan
<a name="about-key-store-slr"></a>

[Peran terkait layanan adalah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM yang memberikan satu izin AWS layanan untuk memanggil AWS layanan lain atas nama Anda. Ini dirancang untuk memudahkan Anda menggunakan fitur dari beberapa AWS layanan terintegrasi tanpa harus membuat dan memelihara kebijakan IAM yang kompleks. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS KMS](using-service-linked-roles.md).

Untuk penyimpanan AWS CloudHSM utama, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dengan kebijakan **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**terkelola. Kebijakan ini memberi peran izin berikut:
+ [Cloudhsm:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — mendeteksi perubahan dalam AWS CloudHSM cluster yang dilampirkan ke toko kunci kustom Anda.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat grup keamanan yang memungkinkan arus lalu lintas jaringan antara AWS KMS dan AWS CloudHSM cluster Anda.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk memungkinkan akses jaringan dari AWS KMS ke VPC yang berisi AWS CloudHSM cluster Anda.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — digunakan ketika Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk membuat antarmuka jaringan yang digunakan untuk komunikasi antara AWS KMS dan AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — digunakan saat Anda [menghubungkan toko AWS CloudHSM kunci](connect-keystore.md) untuk menghapus semua aturan keluar dari grup keamanan yang AWS KMS dibuat.
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — digunakan saat Anda [memutuskan penyimpanan AWS CloudHSM kunci untuk menghapus grup keamanan yang dibuat saat Anda menghubungkan toko](disconnect-keystore.md) AWS CloudHSM kunci.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — digunakan untuk memantau perubahan dalam grup keamanan yang AWS KMS dibuat di VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — digunakan untuk memantau perubahan dalam VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — digunakan untuk memantau perubahan dalam jaringan ACLs untuk VPC yang berisi cluster AWS CloudHSM Anda sehingga dapat memberikan pesan kesalahan AWS KMS yang jelas jika terjadi kegagalan.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — digunakan untuk memantau perubahan pada antarmuka jaringan yang AWS KMS dibuat di VPC yang berisi AWS CloudHSM cluster Anda sehingga AWS KMS dapat memberikan pesan kesalahan yang jelas jika terjadi kegagalan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Karena peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan hanya mempercayai`cks.kms.amazonaws.com`, hanya AWS KMS dapat mengambil peran terkait layanan ini. Peran ini terbatas pada operasi yang AWS KMS perlu melihat AWS CloudHSM kluster Anda dan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkait. Itu tidak memberikan AWS KMS izin tambahan. Misalnya, AWS KMS tidak memiliki izin untuk membuat, mengelola, atau menghapus AWS CloudHSM cluster, HSMs, atau backup Anda.

**Daerah**

Seperti fitur toko AWS CloudHSM utama, **AWSServiceRoleForKeyManagementServiceCustomKeyStores**peran ini didukung di semua Wilayah AWS tempat AWS KMS dan AWS CloudHSM tersedia. Untuk daftar yang didukung Wilayah AWS oleh setiap layanan, lihat [AWS Key Management Service Titik Akhir dan Kuota dan AWS CloudHSM titik](https://docs.aws.amazon.com/general/latest/gr/kms.html) [akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) di. *Referensi Umum Amazon Web Services*

Untuk informasi selengkapnya tentang cara AWS layanan menggunakan peran terkait layanan, lihat [Menggunakan peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) di Panduan Pengguna IAM.

## Membuat peran terkait layanan
<a name="create-key-store-slr"></a>

AWS KMS secara otomatis membuat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Akun AWS saat Anda membuat penyimpanan AWS CloudHSM kunci, jika peran tersebut belum ada. Anda tidak dapat membuat atau membuat ulang peran yang tertaut dengan layanan ini secara langsung. 

## Mengedit deskripsi peran tertaut layanan
<a name="edit-key-store-slr"></a>

Anda tidak dapat mengedit nama peran atau pernyataan kebijakan dalam peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, tetapi Anda dapat mengedit deskripsi peran. Untuk petunjuknya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di Panduan Pengguna *IAM*.

## Menghapus peran tertaut layanan
<a name="delete-key-store-slr"></a>

AWS KMS tidak menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan dari Anda Akun AWS bahkan jika Anda telah [menghapus semua toko AWS CloudHSM utama Anda](delete-keystore.md). Meskipun saat ini tidak ada prosedur untuk menghapus peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan, AWS KMS tidak mengambil peran ini atau menggunakan izinnya kecuali Anda memiliki penyimpanan kunci aktif. AWS CloudHSM