Retrait et révocation d'octrois - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Retrait et révocation d'octrois

Pour supprimer un octroi, la retirer ou la révoquer.

Les RevokeGrantopérations RetireGrantet sont très similaires les unes aux autres. Les deux opérations suppriment un octroi, ce qui élimine les autorisations qu'il accorde. La principale différence entre ces opérations est la façon dont elles sont autorisées.

RevokeGrant

Comme pour la plupart AWS KMS des opérations, l'accès à l'RevokeGrantopération est contrôlé par le biais de politiques et de IAMpolitiques clés. Ils RevokeGrantAPIpeuvent être appelés par n'importe quel mandant kms:RevokeGrant autorisé. Cette autorisation est incluse dans les autorisations standard accordées aux administrateurs de clé. En règle générale, les administrateurs révoquent un octroi pour refuser les autorisations qu'il accorde.

RetireGrant

L'octroi détermine qui peut la retirer. Cette conception vous permet de contrôler le cycle de vie d'une subvention sans modifier les politiques ou IAM politiques clés. Généralement, vous retirez un octroi lorsque vous avez terminé d'utiliser ses autorisations.

Un octroi peut être retiré par un principal de retrait spécifié dans l'octroi. Le principal bénéficiaire peut également retirer l'octroi, mais seulement s'il est également un principal de retrait ou si l'octroi comprend l'opération RetireGrant. À titre de sauvegarde, le Compte AWS système dans lequel la subvention a été créée peut annuler la subvention.

Il existe une kms:RetireGrant autorisation qui peut être utilisée dans IAM les politiques, mais son utilité est limitée. Les principaux spécifiés dans l'octroi peuvent retirer un octroi sans l'autorisation kms:RetireGrant. L'autorisation kms:RetireGrant à elle seule ne permet pas aux principaux de retirer un octroi. L'autorisation kms:RetireGrant n'est pas efficace dans une politique de clé.

  • Pour refuser l'autorisation de retirer un octroi, vous pouvez utiliser une action Deny à l'aide de l'autorisation kms:RetireGrant.

  • Le Compte AWS propriétaire de la KMS clé peut déléguer l'kms:RetireGrantautorisation au IAM principal du compte.

  • Si le mandant sortant est différent Compte AWS, les administrateurs de l'autre compte peuvent kms:RetireGrant déléguer l'autorisation de retirer la subvention à un IAM mandant de ce compte.

Il AWS KMS API suit un modèle de cohérence éventuel. Lorsque vous créez, retirez ou révoquez un octroi, il se peut qu'il y ait un bref délai avant que le changement ne soit disponible via AWS KMS. La propagation de la modification dans l'ensemble du système prend généralement moins de quelques secondes, mais dans certains cas, cela peut prendre plusieurs minutes. Si vous devez supprimer une nouvelle subvention immédiatement, avant qu'elle ne soit entièrement disponible AWS KMS, utilisez un jeton de subvention pour annuler la subvention. Vous ne pouvez pas utiliser un jeton d'octroi pour révoquer un octroi.