Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di ruoli collegati ai servizi per AWS KMS
AWS Key Management Service utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS KMS I ruoli collegati ai servizi sono definiti AWS KMS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione AWS KMS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS KMS definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS KMS Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS KMS le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Per visualizzare i dettagli sugli aggiornamenti ai ruoli collegati ai servizi discussi in questo argomento, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md)
+ [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md)
# Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2
Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita, consulta. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo AWS KMS collegato al servizio](#about-key-store-slr)
+ [Creazione del ruolo collegato ai servizi](#create-key-store-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-key-store-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-key-store-slr)
## Informazioni sul ruolo AWS KMS collegato al servizio
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS KMS](using-service-linked-roles.md).
Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato ai servizi con la policy **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita. Questa policy concede al ruolo le seguenti autorizzazioni:
+ [CloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — utilizzato quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md) per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per consentire l'accesso alla rete dal AWS KMS VPC che contiene AWS CloudHSM il cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il cluster. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — utilizzato quando si [connette un archivio di AWS CloudHSM chiavi](connect-keystore.md) per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — utilizzato quando si [disconnette un archivio di AWS CloudHSM chiavi](disconnect-keystore.md) per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — utilizzato per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — utilizzato per monitorare i cambiamenti nella rete ACLs per il VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — utilizzato per monitorare le modifiche nelle interfacce di rete AWS KMS create nel VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio è affidabile`cks.kms.amazonaws.com`, solo può assumere questo ruolo collegato al servizio. AWS KMS Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.
**Regioni**
Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il **AWSServiceRoleForKeyManagementServiceCustomKeyStores**ruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta [AWS Key Management Service Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) e [AWS CloudHSM endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in. *Riferimenti generali di Amazon Web Services*
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using service-linked roles nella IAM [User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio dal tuo Account AWS anche se hai [eliminato tutti i tuoi archivi di chiavi](delete-keystore.md). AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM
# Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali
Per supportare [le chiavi multiregionali](multi-region-keys-auth.md), è AWS KMS necessaria l'autorizzazione per sincronizzare le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) di una chiave primaria multiregionale con le relative chiavi di replica. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo collegato al servizio in **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**. Account AWS Gli utenti che creano chiavi multiregionali devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
È possibile visualizzare l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento che registra la AWS KMS sincronizzazione delle proprietà condivise nei registri. AWS CloudTrail
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestita, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione](#about-multi-region-slr)
+ [Creazione del ruolo collegato ai servizi](#create-mrk-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-mrk-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-mrk-slr)
## Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse.
Per le chiavi multiregionali, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi con la **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**policy gestita. Questa policy dà al ruolo l’autorizzazione `kms:SynchronizeMultiRegionKey`, che consente di sincronizzare le proprietà condivise delle chiavi multi-regione.
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio è affidabile`mrk.kms.amazonaws.com`, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la sincronizzazione delle proprietà condivise in più regioni. Non fornisce autorizzazioni AWS KMS aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, replicare o eliminare alcuna chiave KMS.
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using Service-Linked Roles nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi in tuo Account AWS quando crei una chiave multiregionale, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non è possibile modificare il nome del ruolo o le dichiarazioni politiche nel ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio, ma è possibile modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio dal tuo Account AWS e non puoi eliminarlo. Tuttavia, AWS KMS non assume il **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**ruolo né utilizza alcuna delle sue autorizzazioni a meno che non si disponga di chiavi multiregionali nella propria area geografica. Account AWS