翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する
<a name="authorize-kms"></a>

 AWS CloudHSM キーストアをサポートするために、 には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する`iam:CreateServiceLinkedRole`アクセス許可が必要です。

**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**Topics**
+ [AWS KMS サービスにリンクされたロールについて](#about-key-store-slr)
+ [サービスにリンクされたロールの作成](#create-key-store-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-key-store-slr)
+ [サービスにリンクされたロールを削除する](#delete-key-store-slr)

## AWS KMS サービスにリンクされたロールについて
<a name="about-key-store-slr"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「[のサービスにリンクされたロールの使用 AWS KMS](using-service-linked-roles.md)」を参照してください。

 AWS CloudHSM キーストアの場合、 は **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 管理ポリシーで AWS KMS 作成します。このポリシーはロールに以下のアクセス許可を与えます。
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 から AWS CloudHSM クラスターを含む VPC AWS KMS へのネットワークアクセスを許可するときに使用されます。
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – [AWS CloudHSM キーストアを接続して、](connect-keystore.md) が AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – [AWS CloudHSM キーストアを切断](disconnect-keystore.md)して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除するときに使用されます。
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – AWS CloudHSM クラスターを含む VPC の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – AWS CloudHSM クラスターを含む VPC のネットワーク ACLs の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにするために使用されます。
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングし、 AWS KMS が障害発生時に明確なエラーメッセージを提供できるようにします。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールは のみを信頼するため`cks.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 が AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS するために必要なオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には、 AWS CloudHSM クラスター、HSMs、またはバックアップを作成、管理、削除するアクセス許可はありません。

**リージョン**

 AWS CloudHSM キーストア機能と同様に、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** ロールは、 AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、の[AWS Key Management Service 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」および[AWS CloudHSM 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)」を参照してください*Amazon Web Services 全般のリファレンス*。

 AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。

## サービスにリンクされたロールの作成
<a name="create-key-store-slr"></a>

AWS KMS AWS CloudHSM は、キー AWS アカウント ストアを作成するときに、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールがまだ存在しない場合、 に自動的に AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。

## サービスにリンクされたロールの説明を編集する
<a name="edit-key-store-slr"></a>

 **AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor** es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## サービスにリンクされたロールを削除する
<a name="delete-key-store-slr"></a>

AWS KMS は、[すべての AWS CloudHSM キーストア](delete-keystore.md)を削除した場合でも、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを AWS アカウント から削除しません。現在、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、 はこのロールを引き受けたり、アクセス許可を使用した AWS KMS りしません。