Retiro y revocación de concesiones - AWS Key Management Service

Retiro y revocación de concesiones

Para eliminar una concesión, retírela o revoquela.

Las operaciones RetireGrant y RevokeGrant son muy similares entre sí. Ambas operaciones eliminan una concesión, lo que elimina los permisos que permite la concesión. La principal diferencia entre estas operaciones es cómo se autorizan.

RevokeGrant

Como la mayoría de las operaciones AWS KMS, el acceso a la operación RevokeGrant se controla a través de las políticas de claves y las políticas de IAM. La API RevokeGrant puede ser llamada por cualquier entidad principal con permiso kms:RevokeGrant. Este permiso está incluido en los permisos estándar otorgados a los administradores de claves. Normalmente, los administradores revocan una concesión para denegar los permisos que permite la concesión.

RetireGrant

La concesión determina quién puede retirarla. Este diseño le permite controlar el ciclo de vida de una concesión sin cambiar las políticas de claves o las políticas de IAM. Normalmente, usted retira una concesión cuando ha terminado de usar sus permisos.

Una entidad principal que se retira opcional especificada puede retirar una concesión. La entidad beneficiaria principal también puede retirar la concesión, pero solo si también se trata de una entidad principal que se retira o si la concesión incluye la operación RetireGrant. Como copia de seguridad, la Cuenta de AWS en la que se creó la concesión puede retirar la concesión.

Hay un permiso kms:RetireGrant que se puede utilizar en las políticas de IAM, pero tiene una utilidad limitada. Las entidades principales especificadas en la concesión pueden retirar una concesión sin el permiso kms:RetireGrant. El permiso kms:RetireGrant por sí solo no permite a las entidades principales retirar una concesión. El permiso kms:RetireGrant no es efectivo en una política de clave.

  • Para denegar el permiso de retirar una concesión, puede usar una acción Deny con el permiso kms:RetireGrant.

  • La Cuenta de AWS que posee la clave KMS puede delegar el permiso kms:RetireGrant a una entidad principal de IAM de la cuenta.

  • Si la entidad principal que se retira es una Cuenta de AWS diferente, los administradores de la otra cuenta pueden usar kms:RetireGrant para delegar el permiso para retirar la concesión a una entidad principal de IAM en esa cuenta.

La API de AWS KMS sigue un modelo de coherencia final. Al crear, retirar o revocar una concesión, es posible que haya un breve retraso antes de que el cambio esté disponible a través de AWS KMS. Por lo general, el cambio tarda menos de unos segundos en propagarse por todo el sistema, pero en algunos casos puede tardar varios minutos. Si necesita eliminar una nueva concesión inmediatamente, antes de que esté disponible a través de AWS KMS, use un token de concesión para retirar la concesión. No puede usar un token de concesión para revocar una concesión.