Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autoriza la sincronización de claves AWS KMS multirregionales
<a name="multi-region-auth-slr"></a>

Para admitir [claves multirregionales](multi-region-keys-auth.md), AWS KMS necesita permiso para sincronizar las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de una clave principal multirregional con sus claves de réplica. Para obtener estos permisos, AWS KMS crea el rol vinculado al **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**servicio en su. Cuenta de AWS Los usuarios que crean claves de varias regiones deben tener el permiso `iam:CreateServiceLinkedRole` que les permite crear roles vinculados a un servicio.

Puede ver el [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento que registra la AWS KMS sincronización de propiedades compartidas en sus registros. AWS CloudTrail 

Para ver los detalles sobre las actualizaciones de la política **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestionada, consulte[AWS KMS actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

**Topics**
+ [Acerca del rol vinculado a un servicio para claves de varias regiones](#about-multi-region-slr)
+ [Creación del rol vinculado a servicios](#create-mrk-slr)
+ [Editar la descripción del rol vinculado a un servicio](#edit-mrk-slr)
+ [Eliminar el rol vinculado a servicios](#delete-mrk-slr)

## Acerca del rol vinculado a un servicio para claves de varias regiones
<a name="about-multi-region-slr"></a>

Una [función vinculada a un servicio es una función](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM que permite a un AWS servicio llamar a otros AWS servicios en su nombre. Está diseñado para facilitar el uso de las funciones de varios AWS servicios integrados sin tener que crear y mantener políticas de IAM complejas.

En el caso de las claves multirregionales, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio con la política gestionada. **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** Esta política le confiere al rol el permiso `kms:SynchronizeMultiRegionKey`, que le permite sincronizar las propiedades compartidas de claves de varias regiones.

Como el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio solo es de confianza`mrk.kms.amazonaws.com`, solo AWS KMS puede asumir este rol vinculado al servicio. Esta función se limita a las operaciones que se AWS KMS necesitan para sincronizar las propiedades compartidas de varias regiones. No otorga AWS KMS ningún permiso adicional. Por ejemplo, AWS KMS no tiene permiso para crear, replicar ni eliminar ninguna clave de KMS.

Para obtener más información sobre cómo AWS los servicios utilizan las funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) de IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid" : "KMSSynchronizeMultiRegionKey",
            "Effect" : "Allow",
            "Action" : [
                "kms:SynchronizeMultiRegionKey"
            ],
            "Resource" : "*"
        }
    ]
}
```

------

## Creación del rol vinculado a servicios
<a name="create-mrk-slr"></a>

AWS KMS crea automáticamente el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio en usted Cuenta de AWS al crear una clave multirregional, si el rol aún no existe. No puede crear o volver a crear este rol vinculado a un servicio directamente. 

## Editar la descripción del rol vinculado a un servicio
<a name="edit-mrk-slr"></a>

No puede editar el nombre del rol ni las declaraciones de política del rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio, pero sí puede editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar el rol vinculado a servicios
<a name="delete-mrk-slr"></a>

AWS KMS no elimina el rol **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**vinculado al servicio de su cuenta Cuenta de AWS y usted no puede eliminarlo. Sin embargo, AWS KMS no asume el **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**rol ni usa ninguno de sus permisos a menos que tenga claves multirregionales en su Cuenta de AWS región.