Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um eine Erteilung zu löschen, müssen Sie sie aufheben oder widerrufen.
Die RevokeGrantOperationen RetireGrantund sind einander sehr ähnlich. Beide Operationen löschen eine Erteilung, wodurch die Berechtigungen, die die Erteilung erlaubt, eliminiert werden. Der Hauptunterschied zwischen diesen Operationen besteht darin, wie sie autorisiert werden.
- RevokeGrant
-
Wie bei den meisten AWS KMS Vorgängen wird der Zugriff auf den
RevokeGrantVorgang durch wichtige Richtlinien und IAM-Richtlinien gesteuert. Die RevokeGrantAPI kann von jedem Principal mit entsprechenderkms:RevokeGrantGenehmigung aufgerufen werden. Diese Berechtigung ist in den Standard-Berechtigungen enthalten, die Schlüsseladministratoren erteilt werden. In der Regel widerrufen Administratoren eine Erteilung, um Berechtigungen zu verweigern, die die Erteilung erlaubt. - RetireGrant
-
Die Erteilung bestimmt, wer sie aufheben kann. Mit diesem Entwurf können Sie den Lebenszyklus einer Erteilung steuern, ohne Schlüsselrichtlinien oder IAM-Richtlinien zu ändern. In der Regel können Sie eine Erteilung aufheben, wenn Sie die Berechtigungen nicht mehr benötigen.
Eine Erteilung kann durch einen optionalen ausscheidenden Prinzipal, der in der Erteilung angegeben ist, aufgehoben werden. Der Empfänger-Prinzipal kann die Erteilung auch aufheben, aber nur, wenn er auch ein ausscheidender Prinzipal ist oder die Erteilung die
RetireGrant-Produktion enthält. Als Backup kann der Grant, AWS-Konto in dem der Grant erstellt wurde, den Grant zurückziehen.Es gibt eine
kms:RetireGrant-Berechtigung, die in IAM-Richtlinien verwendet werden kann, aber sie verfügt über eingeschränkte Funktionalität. Prinzipale, die in der Erteilung angegeben sind, können eine Erteilung ohne diekms:RetireGrant-Berechtigung aufheben. Diekms:RetireGrant-Berechtigung allein erlaubt es Prinzipalen nicht, eine Erteilung aufzuheben. Diekms:RetireGrantBerechtigung ist in einer wichtigen Richtlinie oder Ressourcenkontrollrichtlinie nicht wirksam.-
Um die Genehmigung zur Einstellung eines Zuschusses zu verweigern, können Sie eine
DenyAktion mit der entsprechendenkms:RetireGrantGenehmigung in Ihren IAM-Richtlinien verwenden. -
Derjenige AWS-Konto , dem der KMS-Schlüssel gehört, kann die
kms:RetireGrantBerechtigung an einen IAM-Prinzipal im Konto delegieren. -
Wenn es sich bei dem ausscheidenden Prinzipal um einen anderen handelt AWS-Konto, können die Administratoren des anderen Kontos die Erlaubnis
kms:RetireGrantzum Ausscheiden des Zugriffs an einen IAM-Prinzipal in diesem Konto delegieren.
-
Die AWS KMS API folgt einem späteren Konsistenzmodell. Wenn Sie eine Erteilung erstellen, aufheben oder widerrufen, kann es zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Wenn Sie einen neuen Zuschuss sofort löschen müssen, bevor er vollständig verfügbar ist, verwenden Sie ein Grant-Token AWS KMS, um den Grant zurückzuziehen. Sie können kein Erteilungs-Token verwenden, um eine Erteilung zu widerrufen.
