マルチリージョンキー AWS KMS の同期を許可する - AWS Key Management Service
マルチリージョンキーのサービスリンクロールについてサービスにリンクされたロールの作成サービスにリンクされたロールの説明を編集するサービスにリンクされたロールを削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチリージョンキー AWS KMS の同期を許可する

マルチリージョンキーをサポートするには、マルチリージョンプライマリキーの共有プロパティをレプリカキーと同期するアクセス許可 AWS KMS が必要です。これらのアクセス許可を取得するには、 で AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロール AWS KMS を作成します AWS アカウント。マルチリージョンキーを作成するユーザーには、サービスにリンクされたロールの作成を許可するiam:CreateServiceLinkedRoleアクセス許可が必要です。

AWS CloudTrail ログに共有プロパティの同期を記録する SynchronizeMultiRegionKey CloudTrail AWS KMS イベントを表示できます。

AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 管理ポリシーの更新の詳細については、「」を参照してくださいAWS KMSAWS 管理ポリシーの更新

マルチリージョンキーのサービスリンクロールについて

サービスにリンクされたロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。

マルチリージョンキーの場合、 は、AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 管理ポリシーを使用して AWSServiceRoleForKeyManagementServiceMultiRegionKeys AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy サービスにリンクされたロール AWS KMS を作成します。このポリシーは、ロールに kms:SynchronizeMultiRegionKey アクセス許可を付与します。これにより、マルチリージョンキーの共有プロパティを同期できます。

AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロールは のみを信頼するためmrk.kms.amazonaws.com、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、マルチリージョン共有プロパティを同期 AWS KMS する必要があるオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には KMS キーを作成、レプリケート、削除するアクセス許可はありません。

AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。

JSON
{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}

サービスにリンクされたロールの作成

AWS KMS ロールがまだ存在しない場合、マルチリージョンキーを作成する AWS アカウント と、 で AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。

サービスにリンクされたロールの説明を編集する

AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することができます。手順については、IAM ユーザーガイドサービスリンクロールの編集を参照してください。

サービスにリンクされたロールを削除する

AWS KMS は、AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロールを から削除せず AWS アカウント 、削除することはできません。ただし、 AWS アカウント および リージョンにマルチリージョンキーがない限り、 は AWSServiceRoleForKeyManagementServiceMultiRegionKeys ロールを引き受けたり、そのアクセス許可を使用した AWS KMS りしません。