Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Retrait et révocation d'octrois
Pour supprimer un octroi, la retirer ou la révoquer.
Les RevokeGrantopérations RetireGrantet sont très similaires les unes aux autres. Les deux opérations suppriment un octroi, ce qui élimine les autorisations qu'il accorde. La principale différence entre ces opérations est la façon dont elles sont autorisées.
- RevokeGrant
-
Comme pour la plupart AWS KMS des opérations, l'accès à l'
RevokeGrant
opération est contrôlé par le biais de politiques et de IAMpolitiques clés. Ils RevokeGrantAPIpeuvent être appelés par n'importe quel mandantkms:RevokeGrant
autorisé. Cette autorisation est incluse dans les autorisations standard accordées aux administrateurs de clé. En règle générale, les administrateurs révoquent un octroi pour refuser les autorisations qu'il accorde. - RetireGrant
-
L'octroi détermine qui peut la retirer. Cette conception vous permet de contrôler le cycle de vie d'une subvention sans modifier les politiques ou IAM politiques clés. Généralement, vous retirez un octroi lorsque vous avez terminé d'utiliser ses autorisations.
Un octroi peut être retiré par un principal de retrait spécifié dans l'octroi. Le principal bénéficiaire peut également retirer l'octroi, mais seulement s'il est également un principal de retrait ou si l'octroi comprend l'opération
RetireGrant
. À titre de sauvegarde, le Compte AWS système dans lequel la subvention a été créée peut annuler la subvention.Il existe une
kms:RetireGrant
autorisation qui peut être utilisée dans IAM les politiques, mais son utilité est limitée. Les principaux spécifiés dans l'octroi peuvent retirer un octroi sans l'autorisationkms:RetireGrant
. L'autorisationkms:RetireGrant
à elle seule ne permet pas aux principaux de retirer un octroi. L'kms:RetireGrant
autorisation n'est pas effective dans le cadre d'une politique clé ou d'une politique de contrôle des ressources.-
Pour refuser l'autorisation de retirer une subvention, vous pouvez utiliser une
Deny
action dont l'kms:RetireGrant
autorisation figure dans vos IAM politiques. -
Le Compte AWS propriétaire de la KMS clé peut déléguer l'
kms:RetireGrant
autorisation au IAM principal du compte. -
Si le mandant sortant est différent Compte AWS, les administrateurs de l'autre compte peuvent
kms:RetireGrant
déléguer l'autorisation de retirer la subvention à un IAM mandant de ce compte.
-
Il AWS KMS API suit un modèle de cohérence éventuel. Lorsque vous créez, retirez ou révoquez un octroi, il se peut qu'il y ait un bref délai avant que le changement ne soit disponible via AWS KMS. La propagation de la modification dans l'ensemble du système prend généralement moins de quelques secondes, mais dans certains cas, cela peut prendre plusieurs minutes. Si vous devez supprimer une nouvelle subvention immédiatement, avant qu'elle ne soit entièrement disponible AWS KMS, utilisez un jeton de subvention pour annuler la subvention. Vous ne pouvez pas utiliser un jeton d'octroi pour révoquer un octroi.