Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verwenden eines Erteilungs-Token Die AWS KMS API folgt einem [späteren](grants.md#terms-eventual-consistency) Konsistenzmodell. Beim Erstellen einer Erteilung ist die Erteilung möglicherweise nicht sofort gültig. Es kann zu einer kurzen Verzögerung kommen, bevor die Änderung in allen Bereichen von AWS KMS verfügbar ist. In der Regel dauert es weniger als ein paar Sekunden, bis sich die Änderung im gesamten System verbreitet, in einigen Fällen kann es jedoch mehrere Minuten dauern. Sobald sich die Änderung vollständig im System verbreitet hat, kann der Empfänger-Prinzipal die Berechtigungen in der Berechtigungserteilung verwenden, ohne das Berechtigungserteilungs-Token oder irgendwelche Beweise für die Berechtigungserteilung anzugeben. Wenn ein Zuschuss jedoch so neu ist, dass er noch nicht allen bekannt ist AWS KMS, schlägt die Anfrage möglicherweise mit einem `AccessDeniedException` Fehler fehl. Um die Berechtigungen in einer neuen Erteilung sofort zu verwenden, verwenden Sie den [Erteilungs-Token](grants.md#grant_token) für die Erteilung. Speichern Sie das Grant-Token, das der [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Vorgang zurückgibt. Reichen Sie dann das Grant-Token in der Anfrage für den AWS KMS Vorgang ein. Sie können ein Grant-Token für jede AWS KMS [Grant-Operation](grants.md#terms-grant-operations) einreichen und Sie können mehrere Grant-Token in derselben Anfrage einreichen. Im folgenden Beispiel wird der `CreateGrant` Vorgang verwendet, um einen Zuschuss zu erstellen, der die Operationen [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ermöglicht. Sie speichert das Erteilungs-Token, das `CreateGrant` in der `token`-Variable zurückgibt. Dann verwendet sie in einem Aufruf an die `GenerateDataKey`-Produktion das Erteilungs-Token in der `token`-Variable. ``` # Create a grant; save the grant token $ token=$(aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:user/appUser \ --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \ --operations GenerateDataKey Decrypt \ --query GrantToken \ --output text) # Use the grant token in a request $ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ –-key-spec AES_256 \ --grant-tokens $token ``` Schulleiter mit entsprechender Genehmigung können ein Grant-Token auch verwenden, um einen neuen Grant zurückzuziehen, noch bevor der Grant vollständig verfügbar ist. AWS KMS(Die `RevokeGrant`-Produktion akzeptiert kein Erteilungs-Token.) Details hierzu finden Sie unter [Außerbetriebnahme und Widerruf von Erteilungen](grant-delete.md). ``` # Retire the grant $ aws kms retire-grant --grant-token $token ```