As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2
<a name="authorize-kms"></a>

Para oferecer suporte aos seus AWS CloudHSM principais armazenamentos, AWS KMS precisa de permissão para obter informações sobre seus AWS CloudHSM clusters. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em seu. Conta da AWS Os usuários que criam armazenamentos de AWS CloudHSM chaves devem ter a `iam:CreateServiceLinkedRole` permissão que lhes permita criar funções vinculadas a serviços.

Para ver detalhes sobre atualizações na política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada, consulte[AWS KMS atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Sobre a função AWS KMS vinculada ao serviço](#about-key-store-slr)
+ [Criar a função vinculada ao serviço](#create-key-store-slr)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-key-store-slr)
+ [Excluir a função vinculada ao serviço](#delete-key-store-slr)

## Sobre a função AWS KMS vinculada ao serviço
<a name="about-key-store-slr"></a>

Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) é uma função do IAM que dá permissão a um AWS serviço para chamar outros AWS serviços em seu nome. Ele foi projetado para facilitar o uso dos recursos de vários AWS serviços integrados sem precisar criar e manter políticas complexas de IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS KMS](using-service-linked-roles.md).

Para armazenamentos de AWS CloudHSM chaves, AWS KMS cria a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço com a política **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gerenciada. Essa política concede as seguintes permissões à função:
+ [cloudHSM:describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — detecta alterações no AWS CloudHSM cluster que está anexado ao seu armazenamento de chaves personalizadas.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar o grupo de segurança que permite o fluxo de tráfego de rede entre AWS KMS e seu AWS CloudHSM cluster.
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para permitir o acesso à rede AWS KMS a partir da VPC que contém AWS CloudHSM seu cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para criar a interface de rede usada para comunicação entre AWS KMS e o AWS CloudHSM cluster.
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — usado quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md) para remover todas as regras de saída do grupo de segurança criado. AWS KMS 
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — usado quando você [desconecta um armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) para excluir grupos de segurança que foram criados quando você conectou o armazenamento de AWS CloudHSM chaves.
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — usado para monitorar alterações no grupo de segurança AWS KMS criado na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — usado para monitorar alterações na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — usado para monitorar alterações na rede da VPC que contém AWS CloudHSM seu cluster ACLs para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — usado para monitorar alterações nas interfaces de rede AWS KMS criadas na VPC que contém AWS CloudHSM seu cluster para AWS KMS que possa fornecer mensagens de erro claras em caso de falhas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Como a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço é confiável somente`cks.kms.amazonaws.com`, somente AWS KMS pode assumir essa função vinculada ao serviço. Essa função é limitada às operações que AWS KMS precisam visualizar seus AWS CloudHSM clusters e conectar um armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado. Ele não fornece AWS KMS nenhuma permissão adicional. Por exemplo, AWS KMS não tem permissão para criar, gerenciar ou excluir seus AWS CloudHSM clusters ou backups. HSMs

**Regiões**

Assim como o recurso de lojas AWS CloudHSM principais, a **AWSServiceRoleForKeyManagementServiceCustomKeyStores**função é suportada em todos os Regiões da AWS lugares AWS KMS e AWS CloudHSM está disponível. Para obter uma lista do Regiões da AWS que cada serviço suporta, consulte [AWS Key Management Service Endpoints e cotas e [AWS CloudHSM endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)](https://docs.aws.amazon.com/general/latest/gr/kms.html) no. *Referência geral da Amazon Web Services*

Para obter mais informações sobre como AWS os serviços usam funções vinculadas a serviços, consulte Como [usar funções vinculadas a serviços no Guia do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) do IAM.

## Criar a função vinculada ao serviço
<a name="create-key-store-slr"></a>

AWS KMS cria automaticamente a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em sua Conta da AWS quando você cria um armazenamento de AWS CloudHSM chaves, se a função ainda não existir. Não é possível criar ou criar outra vez essa função vinculada a serviço diretamente. 

## Editar a descrição de uma função vinculada ao serviço
<a name="edit-key-store-slr"></a>

Você não pode editar o nome da função ou as declarações da política na função vinculada ao serviço **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, mas você pode editar a descrição da função. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role), no *Guia do usuário do IAM*.

## Excluir a função vinculada ao serviço
<a name="delete-key-store-slr"></a>

AWS KMS não exclui a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço de sua, Conta da AWS mesmo que você tenha [excluído todos os seus armazenamentos de AWS CloudHSM chaves](delete-keystore.md). Embora atualmente não haja nenhum procedimento para excluir a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço, não assume essa função AWS KMS nem usa suas permissões, a menos que você tenha armazenamentos de chaves ativos AWS CloudHSM .