マルチリージョンキーの同期を AWS KMS に認可する
マルチリージョンキーをサポートするには、マルチリージョンプライマリキーの共有プロパティをレプリカキーと同期するアクセス許可が AWS KMS に必要です。これらのアクセス許可を取得するために、AWS KMS は AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロールを AWS アカウントに作成します。マルチリージョンキーを作成するユーザーには、サービスにリンクされたロールの作成を許可するための iam:CreateServiceLinkedRole アクセス許可が必要です。
AWS CloudTrail ログで、共有プロパティの AWS KMS 同期を記録する SynchronizeMultiRegionKey CloudTrail イベントを表示することができます。
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy マネージドポリシーの更新の詳細については、「AWS マネージドポリシーの AWS KMS 更新」を参照してください。
マルチリージョンキーのサービスリンクロールについて
サービスリンクロールは、ユーザーの代わりに他の AWS サービスを呼び出す 1 つの AWS サービスアクセス許可を付与する IAM ロールです。これは、複数の統合された AWS サービスの機能を、複雑な IAM ポリシーを作成したり維持したりせずに簡単に使用できるように設計されました。
マルチリージョンキーの場合、AWS KMS は AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy ポリシーで AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスにリンクされたロールを作成します。このポリシーは、ロールに kms:SynchronizeMultiRegionKey アクセス許可を付与します。これにより、マルチリージョンキーの共有プロパティを同期できます。
AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールは mrk.kms.amazonaws.com のみを信頼するため、AWS KMS のみがこのサービスリンクロールを引き受けることができます。このロールは、AWS KMS がマルチリージョンの共有プロパティを同期するために必要なオペレーションを制限します。AWS KMS に対して追加のアクセス許可は付与されません。例えば、AWS KMS に KMS キーを作成、レプリケート、削除するためのアクセス許可はありません。
AWS のサービスでサービスリンクロールを使用する方法の詳細については、IAM ユーザーガイドのサービスリンクロールの使用を参照してください。
サービスにリンクされたロールの作成
マルチリージョンキーの作成時にロールがまだ存在しない場合、AWS KMS は AWS アカウント で AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールを自動的に作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。
サービスにリンクされたロールの説明を編集する
AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することができます。手順については、IAM ユーザーガイドのサービスリンクロールの編集を参照してください。
サービスにリンクされたロールを削除する
AWS KMS は AWSServiceRoleForKeyManagementServiceMultiRegionKeys サービスリンクロールを AWS アカウント から削除しません。また、ユーザーが削除することもできません。ただし、AWS アカウント およびリージョンにマルチリージョンキーがない限り、AWS KMS は AWSServiceRoleForKeyManagementServiceMultiRegionKeys ロールを引き受けたり、そのアクセス許可を使用したりしません。
