Utilisation d'un jeton d'octroi - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un jeton d'octroi

Il AWS KMS API suit un modèle de cohérence éventuel. Lorsque vous créez un octroi, il se peut qu'il ne soit pas effectif immédiatement. Il se peut qu'il y ait un bref délai avant que le changement ne soit disponible via AWS KMS. La propagation de la modification dans l'ensemble du système prend généralement moins de quelques secondes, mais dans certains cas, cela peut prendre plusieurs minutes. Une fois que la modification a été entièrement appliquée à l’ensemble du système, le principal bénéficiaire peut utiliser les autorisations dans l'octroi sans spécifier le jeton d'octroi ou une preuve de l'octroi. Toutefois, si une subvention est si récente qu'elle n'est pas encore connue de tous AWS KMS, la demande peut échouer avec une AccessDeniedException erreur.

Pour utiliser immédiatement les autorisations dans un nouvel octroi, utilisez le jeton d'octroi pour l'octroi. Enregistrez le jeton de subvention renvoyé par l'CreateGrantopération. Soumettez ensuite le jeton de subvention dans la demande AWS KMS d'opération. Vous pouvez soumettre un jeton de subvention à n'importe quelle opération de AWS KMS subvention et vous pouvez soumettre plusieurs jetons de subvention dans la même demande.

L'exemple suivant utilise l'CreateGrantopération pour créer une autorisation autorisant les opérations GenerateDataKeyet Decrypt. Elle enregistre le jeton d'octroi que CreateGrant renvoie dans la variable token. Ensuite, dans un appel à l'opération GenerateDataKey, elle utilise le jeton d'octroi dans la variable token.

# Create a grant; save the grant token 
$ token=$(aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:user/appUser \
    --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \
    --operations GenerateDataKey Decrypt \
    --query GrantToken \
    --output text)

# Use the grant token in a request
$ aws kms generate-data-key \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    –-key-spec AES_256 \
    --grant-tokens $token

Les directeurs autorisés peuvent également utiliser un jeton de subvention pour retirer une nouvelle subvention avant même que la subvention ne soit disponible dans AWS KMS son intégralité. (L'opération RevokeGrant n'accepte pas de jeton d'octroi.) Pour plus de détails, consultez Retrait et révocation d'octrois.

# Retire the grant
$ aws kms retire-grant --grant-token $token