Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol akses ke tombol Multi-wilayah
<a name="multi-region-keys-auth"></a>

Anda dapat menggunakan kunci multi-Wilayah sesuai dengan kepatuhan, pemulihan bencana, dan skenario backup yang akan lebih kompleks dengan kunci Wilayah tunggal. Namun, karena properti keamanan dari kunci multi-wilayah secara signifikan berbeda dengan kunci Wilayah tunggal, kami merekomendasikan sebaiknya berhati-hati saat mengotorisasi pembuatan, manajemen, dan penggunaan kunci multi-Wilayah.

**catatan**  
Pernyataan kebijakan IAM yang ada dengan karakter wildcard di `Resource` bidang sekarang berlaku untuk kunci Single-region dan Multi-region. Untuk membatasi mereka ke kunci KMS wilayah tunggal atau kunci Multi-wilayah, gunakan kunci kondisi [kms](conditions-kms.md#conditions-kms-multiregion):. MultiRegion

Gunakan alat otorisasi Anda untuk mencegah pembuatan dan penggunaan kunci multi-Wilayah dalam skenario apa pun di mana Wilayah tunggal saja cukup. Izinkan kepala sekolah untuk mereplikasi kunci Multi-wilayah hanya ke yang membutuhkannya. Wilayah AWS Berikan izin kunci multi-Wilayah hanya kepada perwakilan yang membutuhkan dan hanya untuk tugas-tugas yang memerlukannya.

Anda dapat menggunakan kebijakan utama, kebijakan IAM, dan hibah untuk mengizinkan prinsipal IAM mengelola dan menggunakan kunci Multi-wilayah di Anda. Akun AWS Setiap kunci multi-Wilayah adalah sumber daya independen dengan ARN dan kebijakan kunci yang unik. Anda perlu menetapkan dan memelihara kebijakan kunci untuk setiap kunci dan memastikan bahwa kebijakan IAM baru maupun yang sudah ada menerapkan strategi otorisasi Anda. 

Untuk mendukung kunci Multi-region, AWS KMS gunakan peran terkait layanan IAM. Peran ini memberi AWS KMS izin yang dibutuhkan untuk menyinkronkan [properti bersama](multi-region-keys-overview.md#mrk-sync-properties). Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk menyinkronkan kunci Multi-region](multi-region-auth-slr.md).

**Topics**
+ [Basic otorisasi untuk kunci multi-Wilayah](#multi-region-auth-about)
+ [Mengotorisasi administrator dan pengguna kunci multi-Wilayah](#multi-region-auth-users)

## Basic otorisasi untuk kunci multi-Wilayah
<a name="multi-region-auth-about"></a>

Ketika merancang kebijakan kunci dan kebijakan IAM untuk kunci multi-Wilayah, pertimbangkan prinsip-prinsip berikut.
+ **Kebijakan utama** - Setiap kunci Multi-wilayah adalah sumber daya kunci KMS independen dengan kebijakan [utamanya](key-policies.md) sendiri. Anda dapat menerapkan kebijakan kunci yang sama maupun berbeda untuk setiap kunci dari kumpulan kunci multi-Wilayah terkait. Kebijakan utama *bukan* [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) dari kunci Multi-wilayah. AWS KMS tidak menyalin atau menyinkronkan kebijakan utama di antara kunci Multi-wilayah terkait. 

  Saat Anda membuat kunci replika di AWS KMS konsol, konsol akan menampilkan kebijakan kunci saat ini dari kunci utama sebagai kenyamanan. Anda dapat menggunakan kebijakan kunci ini, mengeditnya, atau menghapus serta menggantinya. Tetapi bahkan jika Anda menerima kebijakan kunci utama tidak berubah, AWS KMS tidak menyinkronkan kebijakan. Sebagai contoh, jika Anda mengubah kebijakan kunci dari kunci primer, kebijakan kunci dari replika tetap sama.
+ **Kebijakan kunci default** — Saat Anda membuat kunci Multi-wilayah dengan menggunakan [CreateKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateKey.html)dan `ReplicateKey` operasi, [kebijakan kunci default](key-policy-default.md) diterapkan kecuali Anda menentukan kebijakan kunci dalam permintaan. Ini adalah kebijakan kunci default yang sama yang diterapkan untuk kunci wilayah tunggal.
+ **Kebijakan IAM** [— Seperti semua kunci KMS, Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke kunci Multi-wilayah hanya jika kebijakan kunci mengizinkannya.](key-policy-default.md#key-policy-default-allow-root-enable-iam) [Kebijakan IAM](iam-policies.md) berlaku untuk semua secara Wilayah AWS default. Namun, Anda dapat menggunakan kunci kondisi, seperti [aws: RequestedRegion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), untuk membatasi izin ke Wilayah tertentu. 

  Untuk membuat kunci primer dan replika, perwakilan harus memiliki izin `kms:CreateKey` dalam kebijakan IAM yang berlaku untuk wilayah di mana kunci dibuat. 
+ **Hibah — AWS KMS hibah** [bersifat Regional](grants.md). Setiap hibah memungkinkan izin untuk satu kunci KMS. Anda dapat menggunakan izin untuk mengizinkan izin untuk kunci primer multi-wilayah atau kunci replika. Tetapi Anda tidak dapat menggunakan satu hibah untuk mengizinkan izin ke beberapa kunci KMS, bahkan jika itu adalah kunci Multi-wilayah terkait.
+ **ARN kunci** — Setiap kunci multi-Wilayah memiliki [ARN kunci unik](mrk-how-it-works.md). Kunci kunci ARNs Multi-region terkait memiliki partisi, akun, dan ID kunci yang sama, tetapi Wilayah yang berbeda.

  Guna menerapkan pernyataan kebijakan IAM untuk kunci multi-Wilayah tertentu, gunakan ARN kunci atau pola ARN kuncinya yang mencakup Wilayah. Untuk menerapkan pernyataan kebijakan IAM untuk semua kunci multi-wilayah terkait, menggunakan karakter kartubebas (\$1) dalam elemen Wilayah dari ARN, seperti yang ditunjukkan dalam contoh berikut.

  ```
  {
    "Effect": "Allow",  
    "Action": [
      "kms:Describe*",
      "kms:List*"
    ],
    "Resource": {
        "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
    }
  }
  ```

  Untuk menerapkan pernyataan kebijakan ke semua kunci Multi-wilayah di Anda Akun AWS, Anda dapat menggunakan kondisi MultiRegion kebijakan [kms:](conditions-kms.md#conditions-kms-multiregion) atau pola ID kunci yang menyertakan awalan khusus`mrk-`.
+ **Peran terkait layanan** [— Kepala sekolah yang membuat kunci utama Multi-wilayah harus memiliki izin iam:. CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)

  [Untuk menyinkronkan properti bersama kunci Multi-wilayah terkait, gunakan AWS KMS peran terkait layanan IAM.](multi-region-auth-slr.md) AWS KMS membuat peran terkait layanan di Akun AWS setiap kali Anda membuat kunci utama Multi-wilayah. (Jika perannya ada, AWS KMS akan membuatnya ulang, yang tidak memiliki efek berbahaya.) Peran ini berlaku di semua Wilayah. AWS KMS [Untuk memungkinkan membuat (atau membuat ulang) peran terkait layanan, kepala sekolah yang membuat kunci utama Multi-wilayah harus memiliki izin iam:. CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)

## Mengotorisasi administrator dan pengguna kunci multi-Wilayah
<a name="multi-region-auth-users"></a>

Perwakilan yang membuat dan mengelola kunci multi-Wilayah memerlukan izin berikut di daerah primer dan replika:
+ `kms:CreateKey`
+ `kms:ReplicateKey`
+ `kms:UpdatePrimaryRegion`
+ `iam:CreateServiceLinkedRole`

### Membuat kunci primer
<a name="mrk-auth-create-primary"></a>

Untuk [membuat kunci primer Multi-wilayah](create-primary-keys.md), prinsipal memerlukan CreateServiceLinkedRole izin [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) dan [iam:](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) dalam kebijakan IAM yang efektif di Region kunci primer. Prinsipal yang memiliki izin ini dapat membuat kunci Single-region dan Multi-region kecuali Anda membatasi izinnya. 

`iam:CreateServiceLinkedRole`Izin memungkinkan AWS KMS untuk membuat [**AWSServiceRoleForKeyManagementServiceMultiRegionKeys**peran](multi-region-auth-slr.md) untuk menyinkronkan [properti bersama kunci](multi-region-keys-overview.md#mrk-sync-properties) Multi-wilayah terkait.

Misalnya, kebijakan IAM ini memungkinkan prinsipal untuk membuat kunci Multi-wilayah, melampirkan kebijakan untuk kunci tersebut, dan peran terkait layanan untuk kunci Multi-wilayah.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":{
      "Action": [
        "kms:CreateKey",
        "iam:CreateServiceLinkedRole"
      ],
      "Effect":"Allow",
      "Resource":"*"
  }
}
```

------

Untuk mengizinkan atau menolak izin membuat kunci utama Multi-wilayah, gunakan kunci MultiRegion kondisi [kms:](conditions-kms.md#conditions-kms-multiregion). Nilai yang valid adalah `true` (kunci multi-Wilayah) atau `false` (kunci Wilayah tunggal). Misalnya, pernyataan kebijakan IAM berikut menggunakan tindakan `Deny` dengan kunci syarat `kms:MultiRegion` untuk mencegah perwakilan membuat kunci multi-Wilayah. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":{
      "Action":"kms:CreateKey",
      "Effect":"Deny",
      "Resource":"*",
      "Condition": {
          "Bool": {
            "kms:MultiRegion": true
          }
      }
  }
}
```

------

### Mereplikasi kunci
<a name="mrk-auth-replicate"></a>

Untuk [membuat kunci replika multi-Wilayah](#mrk-auth-replicate), perwakilan memerlukan izin berikut:
+  [kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) izin dalam kebijakan kunci kunci utama.
+ [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) izin dalam kebijakan IAM yang efektif di Region kunci replika.

Berhati-hatilah saat mengizinkan izin ini. Mereka memungkinkan prinsipal untuk membuat kunci KMS dan kebijakan utama yang mengotorisasi penggunaannya. Parameter izin `kms:ReplicateKey` juga mengizinkan transfer materi kunci di seluruh batas-batas Wilayah dalam AWS KMS.

Untuk membatasi Wilayah AWS di mana kunci Multi-region dapat direplikasi, gunakan [kms](conditions-kms.md#conditions-kms-replica-region): condition key. ReplicaRegion Kunci ini hanya akan membatasi izin `kms:ReplicateKey`. Jika tidak, kunci tidak berpengaruh. Misalnya, kebijakan kunci berikut mengizinkan perwakilan untuk mereplikasi kunci primer ini, tetapi hanya di Wilayah tertentu.

```
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:ReplicateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ReplicaRegion": [
         "us-east-1",
         "eu-west-3",
         "ap-southeast-2"
      ]
    }
  }
}
```

### Memperbarui Wilayah primer
<a name="mrk-auth-update"></a>

Perwakilan terotorisasi dapat mengkonversi kunci replika untuk kunci primer, yang mengubah kunci primer sebelumnya ke replika. Tindakan ini dikenal sebagai [memperbarui Wilayah primer](multi-region-update.md). Untuk memperbarui Wilayah utama, kepala sekolah membutuhkan [kms: UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) izin di kedua Wilayah. Anda dapat memberikan izin ini di kebijakan kunci atau IAM.
+ `kms:UpdatePrimaryRegion` pada kunci primer. Izin ini harus efektif di Wilayah kunci primer.
+ `kms:UpdatePrimaryRegion` pada kunci replika. Izin ini harus berlaku di Wilayah kunci replika.

Misalnya, kebijakan kunci berikut memberi pengguna yang dapat mengasumsikan izin peran Administrator untuk memperbarui Wilayah utama kunci KMS. Kunci KMS ini dapat menjadi kunci utama atau kunci replika dalam operasi ini.

```
{
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/Administrator"
  },
  "Action": "kms:UpdatePrimaryRegion"
}
```

Untuk membatasi kunci Wilayah AWS yang dapat meng-host kunci utama, gunakan [kms: PrimaryRegion](conditions-kms.md#conditions-kms-primary-region) condition key. Misalnya, pernyataan kebijakan IAM berikut memungkinkan prinsipal untuk memperbarui Region utama kunci Multi-region di Akun AWS, tetapi hanya jika Region primer baru adalah salah satu Wilayah yang ditentukan.

```
{
  "Effect": "Allow",  
  "Action": "kms:UpdatePrimaryRegion",
  "Resource": {
      "arn:aws:kms:*:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": {
      "kms:PrimaryRegion": [ 
         "us-west-2",
         "sa-east-1",
         "ap-southeast-1"
      ]
    }
  }
}
```

### Menggunakan dan mengelola kunci multi-Wilayah
<a name="mrk-auth-using"></a>

Secara default, kepala sekolah yang memiliki izin untuk menggunakan dan mengelola kunci KMS di dan Wilayah juga memiliki izin untuk menggunakan Akun AWS dan mengelola kunci Multi-wilayah. Namun, Anda dapat menggunakan [kms: MultiRegion](conditions-kms.md#conditions-kms-multiregion) condition key untuk mengizinkan hanya kunci Single-region atau hanya kunci Multi-region. Atau gunakan kunci MultiRegionKeyType kondisi [kms:](conditions-kms.md#conditions-kms-multiregion-key-type) untuk mengizinkan hanya kunci utama Multi-wilayah atau hanya kunci replika. Kedua tombol kondisi mengontrol akses ke [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi dan operasi apa pun yang menggunakan kunci KMS yang ada, seperti [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) atau. [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)

Contoh pernyataan kebijakan IAM berikut menggunakan kunci syarat `kms:MultiRegion` untuk mencegah perwakilan menggunakan atau mengelola kunci multi-Wilayah apa pun.

```
{
  "Effect": "Deny",  
  "Action": "kms:*",
  "Resource": "*",
  "Condition": {
    "Bool": "kms:MultiRegion": true
  }
}
```

Contoh pernyataan kebijakan IAM berikut menggunakan kunci syarat `kms:MultiRegionKeyType` untuk mengizinkan perwakilan menjadwalkan dan membatalkan penghapusan kunci, tetapi hanya pada kunci replika multi-Wilayah.

```
{
  "Effect": "Allow",  
  "Action": [
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": {
      "arn:aws:kms:us-west-2:111122223333:key/*"
  },
  "Condition": {
    "StringEquals": "kms:MultiRegionKeyType": "REPLICA"
  }
}
```