Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grants sind erweiterte Mechanismen zur Angabe von Berechtigungen, mit denen Sie oder ein integrierter AWS Dienst angeben AWS KMS können, wie und wann ein KMS-Schlüssel verwendet werden kann. Erteilungen werden einem KMS-Schlüssel angefügt. Jede Erteilung enthält den Prinzipal, dem die Berechtigung zur Verwendung des KMS-Schlüssels erteilt wird, sowie eine Liste der erlaubten Produktionen. Berechtigungen sind eine Alternative zu den Schlüsselrichtlinien und eignen sich für bestimmte Anwendungsfälle. Weitere Informationen finden Sie unter Zuschüsse in AWS KMS.
Verwenden Sie den AWS KMS ListGrantsVorgang, um eine Liste der Berechtigungen für einen KMS-Schlüssel abzurufen. Sie können die Erteilungen für einen KMS-Schlüssel untersuchen, um zu bestimmen, wer oder was derzeit über diese Erteilungen Zugriff auf den KMS-Schlüssel hat. Das folgende Beispiel ist eine JSON-Darstellung einer Erteilung, die vom Befehl list-grants in der AWS CLI abgerufen wurde.
{"Grants": [{
"Operations": ["Decrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
"RetiringPrincipal": "arn:aws:iam::123456789012:root",
"GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
"GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151834E9,
"Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}Um herauszufinden, wer oder was Zugriff auf den KMS-Schlüssel hat, suchen Sie nach dem "GranteePrincipal"-Element. Im vorherigen Beispiel ist der Principal des Empfängers ein angenommener Rollenbenutzer, der der EC2 Instanz i-5d476fab zugeordnet ist. Die EC2 Infrastruktur verwendet diese Rolle, um das verschlüsselte EBS-Volume vol-5cccfb4e an die Instance anzuhängen. In diesem Fall ist die EC2 Infrastrukturrolle berechtigt, den KMS-Schlüssel zu verwenden, da Sie zuvor ein verschlüsseltes EBS-Volume erstellt haben, das durch diesen KMS-Schlüssel geschützt ist. Anschließend haben Sie das Volume an eine EC2 Instance angehängt.
Hier ein weiteres Beispiel einer JSON-Darstellung einer Erteilung, die vom Befehl list-grants in der AWS CLI abgerufen wurde. Im folgenden Beispiel ist der Principal des Stipendiaten ein weiterer AWS-Konto.
{"Grants": [{
"Operations": ["Encrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "",
"GranteePrincipal": "arn:aws:iam::444455556666:root",
"GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151269E9
}]}