授权 AWS KMS 同步多区域密钥
要支持多区域密钥,AWS KMS 需要具有将多区域主密钥的共享属性与其副本密钥同步的权限。为了获取这些权限,AWS KMS 会在您的 AWS 账户中创建 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色。创建多区域密钥的用户必须具有能让其创建服务相关角色的 iam:CreateServiceLinkedRole 权限。
您可以查看记录 AWS KMS 在您的 AWS CloudTrail 日志中同步共享属性的 SynchronizeMultiRegionKey CloudTrail 事件。
要查看有关 AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 托管式策略更新的详细信息,请参阅 AWS KMS 更新了 AWS 托管式策略。
关于多区域密钥的服务相关角色
服务相关角色是一种 IAM 角色,该角色可向一个 AWS 服务提供代表您调用其他 AWS 服务的权限。该角色旨在使您能够更轻松地使用多项集成式 AWS 服务的功能,而无需创建和维护复杂的 IAM policy。
对于多区域密钥,AWS KMS 使用 AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 托管式策略创建 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色。此策略将授予角色 kms:SynchronizeMultiRegionKey 权限,从而允许它同步多区域密钥的共享属性。
由于 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色仅信任 mrk.kms.amazonaws.com,所以只有 AWS KMS 可以代入此服务相关角色。此角色仅限于 AWS KMS 同步多区域共享属性所需的操作。它不会向 AWS KMS 提供任何额外权限。例如,AWS KMS 无权创建、复制或删除任何 KMS 密钥。
有关 AWS 服务如何使用服务相关角色的更多信息,请参阅 IAM 用户指南中的使用服务相关角色。
创建服务相关角色
如果 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色不存在,当您创建多区域密钥时,AWS KMS 会在您的 AWS 账户 中自动创建该角色。您无法直接创建或重新创建此服务相关角色。
编辑服务相关角色描述
您无法在 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色中编辑角色名称或策略语句,但可以编辑角色描述。有关说明,请参阅 IAM 用户指南中的编辑服务相关角色。
删除服务相关角色
AWS KMS 不会从您的 AWS 账户 中删除 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 服务相关角色,且您无法将其删除。然而,AWS KMS 不会代入 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 角色或使用其任何权限,除非您在 AWS 账户 和区域中拥有多区域密钥。
