Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Retiro y revocación de concesiones

PDF
RSS
Modo de enfoque
Retiro y revocación de concesiones - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Para eliminar una concesión, retírela o revoquela.

Las RevokeGrantoperaciones RetireGranty son muy similares entre sí. Ambas operaciones eliminan una concesión, lo que elimina los permisos que permite la concesión. La principal diferencia entre estas operaciones es cómo se autorizan.

RevokeGrant

Como la mayoría de AWS KMS las operaciones, el acceso a la RevokeGrant operación se controla mediante políticas clave y políticas de IAM. Cualquier director puede llamar a la RevokeGrantAPI con kms:RevokeGrant permiso. Este permiso está incluido en los permisos estándar otorgados a los administradores de claves. Normalmente, los administradores revocan una concesión para denegar los permisos que permite la concesión.

RetireGrant

La concesión determina quién puede retirarla. Este diseño le permite controlar el ciclo de vida de una concesión sin cambiar las políticas de claves o las políticas de IAM. Normalmente, usted retira una concesión cuando ha terminado de usar sus permisos.

Una entidad principal que se retira opcional especificada puede retirar una concesión. La entidad beneficiaria principal también puede retirar la concesión, pero solo si también se trata de una entidad principal que se retira o si la concesión incluye la operación RetireGrant. Como alternativa, la entidad Cuenta de AWS en la que se creó la subvención puede retirarla.

Hay un permiso kms:RetireGrant que se puede utilizar en las políticas de IAM, pero tiene una utilidad limitada. Las entidades principales especificadas en la concesión pueden retirar una concesión sin el permiso kms:RetireGrant. El permiso kms:RetireGrant por sí solo no permite a las entidades principales retirar una concesión. El kms:RetireGrant permiso no entra en vigor en una política clave o en una política de control de recursos.

  • Para denegar el permiso para retirar una subvención, puedes utilizar una Deny acción con el kms:RetireGrant permiso de tus políticas de IAM.

  • El Cuenta de AWS propietario de la clave KMS puede delegar el kms:RetireGrant permiso a un principal de IAM de la cuenta.

  • Si el principal que se retira es otro Cuenta de AWS, los administradores de la otra cuenta pueden delegar el permiso kms:RetireGrant para retirar la concesión a un director de IAM de esa cuenta.

La AWS KMS API sigue un modelo de coherencia eventual. Al crear, retirar o revocar una concesión, es posible que haya un breve retraso antes de que el cambio esté disponible a través de AWS KMS. Por lo general, el cambio tarda menos de unos segundos en propagarse por todo el sistema, pero en algunos casos puede tardar varios minutos. Si necesitas eliminar una nueva subvención inmediatamente, antes de que esté disponible en todo momento AWS KMS, usa un token de subvención para retirarla. No puede usar un token de concesión para revocar una concesión.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.