Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Autorisierung zur Synchronisation von AWS KMS Schlüsseln aus mehreren Regionen
<a name="multi-region-auth-slr"></a>

Um [Schlüssel mit mehreren Regionen](multi-region-keys-auth.md) zu unterstützen, ist die Erlaubnis AWS KMS erforderlich, die [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) eines Primärschlüssels mit mehreren Regionen mit seinen Replikatschlüsseln zu synchronisieren. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle in Ihrem. AWS-Konto Benutzer, die Schlüssel für mehrere Regionen erstellen, müssen über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügen, um dienstbezogene Rollen zu erstellen.

Sie können das [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail Ereignis, das die AWS KMS Synchronisierung gemeinsam genutzter Eigenschaften aufzeichnet, in Ihren Protokollen einsehen. AWS CloudTrail 

Einzelheiten zu Aktualisierungen der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie finden Sie unter[AWS KMS Aktualisierungen der verwalteten Richtlinien AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Über die serviceverknüpfte Rolle für multiregionale Schlüssel](#about-multi-region-slr)
+ [Erstellen der serviceverknüpften Rolle](#create-mrk-slr)
+ [Bearbeiten der Beschreibung der serviceverknüpften Rolle](#edit-mrk-slr)
+ [Löschen der serviceverknüpften Rolle](#delete-mrk-slr)

## Über die serviceverknüpfte Rolle für multiregionale Schlüssel
<a name="about-multi-region-slr"></a>

Eine [dienstbezogene Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ist eine IAM-Rolle, die einem AWS Dienst die Erlaubnis erteilt, andere AWS Dienste in Ihrem Namen aufzurufen. Sie wurde entwickelt, um Ihnen die Nutzung der Funktionen mehrerer integrierter AWS Dienste zu erleichtern, ohne komplexe IAM-Richtlinien erstellen und verwalten zu müssen.

Bei Schlüsseln mit mehreren Regionen AWS KMS wird die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogene Rolle mit der **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**verwalteten Richtlinie erstellt. Diese Richtlinie gibt der Rolle die `kms:SynchronizeMultiRegionKey`-Berechtigung, die es ermöglicht, die freigegebenen Eigenschaften von multiregionalen Schlüsseln zu synchronisieren.

Da die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstgebundene Rolle nur vertrauenswürdig ist`mrk.kms.amazonaws.com`, AWS KMS kann sie nur diese dienstbezogene Rolle übernehmen. Diese Rolle ist auf die Vorgänge beschränkt, bei denen gemeinsam genutzte Eigenschaften mehrerer Regionen synchronisiert AWS KMS werden müssen. Sie gewährt AWS KMS keine zusätzlichen Berechtigungen. AWS KMS Hat beispielsweise keine Berechtigung, KMS-Schlüssel zu erstellen, zu replizieren oder zu löschen.

Weitere Informationen darüber, wie AWS Dienste dienstverknüpfte Rollen verwenden, finden Sie unter [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) im IAM-Benutzerhandbuch.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## Erstellen der serviceverknüpften Rolle
<a name="create-mrk-slr"></a>

AWS KMS erstellt automatisch die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**serviceverknüpfte Rolle in Ihrem, AWS-Konto wenn Sie einen Schlüssel für mehrere Regionen erstellen, sofern die Rolle noch nicht vorhanden ist. Sie können diese serviceverknüpfte Rolle nicht direkt erstellen oder direkt neu erstellen. 

## Bearbeiten der Beschreibung der serviceverknüpften Rolle
<a name="edit-mrk-slr"></a>

Sie können den Rollennamen oder die Richtlinienerklärungen in der **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstbezogenen Rolle nicht bearbeiten, aber Sie können die Rollenbeschreibung bearbeiten. Anweisungen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen der serviceverknüpften Rolle
<a name="delete-mrk-slr"></a>

AWS KMS löscht die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**dienstverknüpfte Rolle nicht aus Ihrer AWS-Konto und Sie können sie nicht löschen. Übernimmt die **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**Rolle jedoch AWS KMS nicht und verwendet keine ihrer Berechtigungen, es sei denn, Sie haben Schlüssel für mehrere Regionen in Ihrer Region AWS-Konto und Ihrer Region.