Außerbetriebnahme und Widerruf von Erteilungen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Außerbetriebnahme und Widerruf von Erteilungen

Um eine Erteilung zu löschen, müssen Sie sie aufheben oder widerrufen.

Die RevokeGrantOperationen RetireGrantund sind einander sehr ähnlich. Beide Operationen löschen eine Erteilung, wodurch die Berechtigungen, die die Erteilung erlaubt, eliminiert werden. Der Hauptunterschied zwischen diesen Operationen besteht darin, wie sie autorisiert werden.

RevokeGrant

Wie bei den meisten AWS KMS Vorgängen wird der Zugriff auf die RevokeGrant Operation durch wichtige Richtlinien und IAMRichtlinien gesteuert. RevokeGrantAPISie können von jedem Schulleiter mit kms:RevokeGrant Genehmigung aufgerufen werden. Diese Berechtigung ist in den Standard-Berechtigungen enthalten, die Schlüsseladministratoren erteilt werden. In der Regel widerrufen Administratoren eine Erteilung, um Berechtigungen zu verweigern, die die Erteilung erlaubt.

RetireGrant

Die Erteilung bestimmt, wer sie aufheben kann. Dieses Design ermöglicht es Ihnen, den Lebenszyklus eines Zuschusses zu kontrollieren, ohne wichtige Richtlinien oder IAM Richtlinien zu ändern. In der Regel können Sie eine Erteilung aufheben, wenn Sie die Berechtigungen nicht mehr benötigen.

Eine Erteilung kann durch einen optionalen ausscheidenden Prinzipal, der in der Erteilung angegeben ist, aufgehoben werden. Der Empfänger-Prinzipal kann die Erteilung auch aufheben, aber nur, wenn er auch ein ausscheidender Prinzipal ist oder die Erteilung die RetireGrant-Produktion enthält. Als Backup kann der Zuschuss, AWS-Konto in dem der Zuschuss erstellt wurde, zurückgezogen werden.

Es gibt eine kms:RetireGrant Berechtigung, die in IAM Richtlinien verwendet werden kann, aber nur begrenzt nützlich ist. Prinzipale, die in der Erteilung angegeben sind, können eine Erteilung ohne die kms:RetireGrant-Berechtigung aufheben. Die kms:RetireGrant-Berechtigung allein erlaubt es Prinzipalen nicht, eine Erteilung aufzuheben. Die kms:RetireGrant Berechtigung ist in einer wichtigen Richtlinie oder Ressourcenkontrollrichtlinie nicht wirksam.

  • Um die Genehmigung zur Einstellung eines Zuschusses zu verweigern, können Sie eine Deny Aktion mit der entsprechenden kms:RetireGrant Genehmigung in Ihren IAM Richtlinien verwenden.

  • Derjenige, dem der KMS Schlüssel gehört AWS-Konto , kann die kms:RetireGrant Berechtigung an den IAM Hauptbenutzer des Kontos delegieren.

  • Handelt es sich bei dem ausscheidenden Principal kms:RetireGrant um einen anderen AWS-Konto, können die Administratoren des anderen Accounts die Erlaubnis, die Ermächtigung zurückzuziehen, an einen IAM Prinzipal in diesem Konto delegieren.

Es AWS KMS API folgt ein eventuelles Konsistenzmodell. Wenn Sie eine Erteilung erstellen, aufheben oder widerrufen, kann es zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Wenn Sie einen neuen Zuschuss sofort löschen müssen, bevor er vollständig verfügbar ist, verwenden Sie ein Grant-Token AWS KMS, um den Grant zurückzuziehen. Sie können kein Erteilungs-Token verwenden, um eine Erteilung zu widerrufen.