本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 授权 AWS KMS 管理 AWS CloudHSM 和 Amazon EC2 资源
<a name="authorize-kms"></a>

要支持您的 AWS CloudHSM 密钥存储， AWS KMS 需要获得有关您的 AWS CloudHSM 集群信息的权限。它还需要权限才能创建将您的 AWS CloudHSM 密钥库连接到其 AWS CloudHSM 集群的网络基础架构。要获得这些权限， AWS KMS 请在 AWS 账户中创建**AWSServiceRoleForKeyManagementServiceCustomKeyStores**服务相关角色。创建 AWS CloudHSM 密钥存储库的用户必须拥有允许他们创建服务相关角色的`iam:CreateServiceLinkedRole`权限。

要查看有关**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**托管策略更新的详细信息，请参阅[AWS KMS AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。

**Topics**
+ [关于 AWS KMS 服务相关角色](#about-key-store-slr)
+ [创建服务相关角色](#create-key-store-slr)
+ [编辑服务相关角色描述](#edit-key-store-slr)
+ [删除服务相关角色](#delete-key-store-slr)

## 关于 AWS KMS 服务相关角色
<a name="about-key-store-slr"></a>

[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)是一个 IAM 角色，它授予一项 AWS 服务代表您调用其他 AWS 服务的权限。它旨在让您更轻松地使用多种集成 AWS 服务的功能，而无需创建和维护复杂的 IAM 策略。有关更多信息，请参阅 [将服务相关角色用于 AWS KMS](using-service-linked-roles.md)。

对于 AWS CloudHSM 密钥存储，使用**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**托管策略 AWS KMS 创建**AWSServiceRoleForKeyManagementServiceCustomKeyStores**服务相关角色。此策略向该角色授予以下权限：
+ [cloudhsm: describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — 检测连接到您的自定义密钥存储 AWS CloudHSM 库的集群中的更改。
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — 在[连接 AWS CloudHSM 密钥存储库](connect-keystore.md)以创建安全组时使用，该组允许 AWS CloudHSM 集群 AWS KMS 之间的网络流量流动。
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — 当您[连接 AWS CloudHSM 密钥存储](connect-keystore.md)以允许网络访问包含您的 AWS CloudHSM 集群的 VPC 时使用。 AWS KMS 
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — 在[连接 AWS CloudHSM 密钥库](connect-keystore.md)以创建用于 AWS CloudHSM 集群 AWS KMS 之间通信的网络接口时使用。
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — 当您[连接 AWS CloudHSM 密钥存储](connect-keystore.md)库以从 AWS KMS 创建的安全组中删除所有出站规则时使用。
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — 用于[断开 AWS CloudHSM 密钥存储](disconnect-keystore.md)的连接，以删除连接 AWS CloudHSM 密钥库时创建的安全组。
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — 用于监控在包含您的 AWS CloudHSM 集群的 VPC 中 AWS KMS 创建的安全组中的更改，以便在出现故障时 AWS KMS 可以提供清晰的错误消息。
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — 用于监控包含您的 AWS CloudHSM 集群的 VPC 中的更改， AWS KMS 以便在出现故障时提供清晰的错误消息。
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — 用于监控包含您的 AWS CloudHSM 集群的 VPC 的网络 ACLs变化， AWS KMS 以便在出现故障时提供清晰的错误消息。
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — 用于监控在包含您的 AWS CloudHSM 集群的 VPC 中 AWS KMS 创建的网络接口的变化，以便在出现故障时 AWS KMS 可以提供清晰的错误消息。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudhsm:Describe*",
        "ec2:CreateNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    }
  ]
}
```

------

由于**AWSServiceRoleForKeyManagementServiceCustomKeyStores**服务相关角色仅受信任`cks.kms.amazonaws.com`，因此 AWS KMS 只能担任此服务相关角色。此角色仅限于查看您的 AWS CloudHSM 集群以及将 AWS CloudHSM 密钥库连接到其关联 AWS CloudHSM 集群 AWS KMS 所需的操作。它不提供 AWS KMS 任何其他权限。例如， AWS KMS 无权创建、管理或删除您的 AWS CloudHSM 集群或备份。 HSMs

**区域**

与 AWS CloudHSM 密钥库功能一样，该**AWSServiceRoleForKeyManagementServiceCustomKeyStores**角色在所有可用 AWS 区域 的地方 AWS KMS AWS CloudHSM 都受支持。有关每项服务支持的列表 AWS 区域 ，请参阅中的[AWS Key Management Service 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/kms.html)以及[AWS CloudHSM 终端节点和配额*Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)。

有关服务如何使用 AWS 服务相关角色的更多信息，请参阅 IAM 用户指南中的[使用服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。

## 创建服务相关角色
<a name="create-key-store-slr"></a>

AWS KMS 如果该角色**AWSServiceRoleForKeyManagementServiceCustomKeyStores**尚不存在，则在您创建 AWS CloudHSM 密钥库 AWS 账户 时会自动在中创建该角色。您无法直接创建或重新创建此服务相关角色。

## 编辑服务相关角色描述
<a name="edit-key-store-slr"></a>

您无法在**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 服务相关角色中编辑角色名称或策略语句，但可以编辑角色描述。有关说明，请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除服务相关角色
<a name="delete-key-store-slr"></a>

AWS KMS AWS 账户 即使您已经删除了[所有 AWS CloudHSM 密钥库，也不会从中删除**AWSServiceRoleForKeyManagementServiceCustomKeyStores**](delete-keystore.md)服务相关角色。尽管目前没有删除**AWSServiceRoleForKeyManagementServiceCustomKeyStores**服务相关角色的程序， AWS KMS 但除非您有有效的 AWS CloudHSM 密钥存储，否则不要代入该角色或使用其权限。