Verwenden eines Erteilungs-Token - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden eines Erteilungs-Token

Die AWS KMS API folgt einem späteren Konsistenzmodell. Beim Erstellen einer Erteilung ist die Erteilung möglicherweise nicht sofort gültig. Es kann zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Sobald sich die Änderung vollständig im System verbreitet hat, kann der Empfänger-Prinzipal die Berechtigungen in der Berechtigungserteilung verwenden, ohne das Berechtigungserteilungs-Token oder irgendwelche Beweise für die Berechtigungserteilung anzugeben. Wenn ein Zuschuss jedoch so neu ist, dass er noch nicht allen bekannt ist AWS KMS, schlägt die Anfrage möglicherweise mit einem AccessDeniedException Fehler fehl.

Um die Berechtigungen in einer neuen Erteilung sofort zu verwenden, verwenden Sie den Erteilungs-Token für die Erteilung. Speichern Sie das Grant-Token, das der CreateGrantVorgang zurückgibt. Reichen Sie dann das Grant-Token in der Anfrage für den AWS KMS Vorgang ein. Sie können ein Grant-Token für jede AWS KMS Grant-Operation einreichen und Sie können mehrere Grant-Token in derselben Anfrage einreichen.

Im folgenden Beispiel wird der CreateGrant Vorgang verwendet, um einen Zuschuss zu erstellen, der die Operationen GenerateDataKeyund Decrypt ermöglicht. Sie speichert das Erteilungs-Token, das CreateGrant in der token-Variable zurückgibt. Dann verwendet sie in einem Aufruf an die GenerateDataKey-Produktion das Erteilungs-Token in der token-Variable.

# Create a grant; save the grant token 
$ token=$(aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:user/appUser \
    --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \
    --operations GenerateDataKey Decrypt \
    --query GrantToken \
    --output text)

# Use the grant token in a request
$ aws kms generate-data-key \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    –-key-spec AES_256 \
    --grant-tokens $token

Schulleiter mit entsprechender Genehmigung können ein Grant-Token auch verwenden, um einen neuen Grant zurückzuziehen, noch bevor der Grant vollständig verfügbar ist. AWS KMS(Die RevokeGrant-Produktion akzeptiert kein Erteilungs-Token.) Details hierzu finden Sie unter Außerbetriebnahme und Widerruf von Erteilungen.

# Retire the grant
$ aws kms retire-grant --grant-token $token