Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Utilisation d'un jeton d'octroi L' AWS KMS API suit un modèle de [cohérence éventuel](grants.md#terms-eventual-consistency). Lorsque vous créez un octroi, il se peut qu'il ne soit pas effectif immédiatement. Il se peut qu'il y ait un bref délai avant que le changement ne soit disponible via AWS KMS. La propagation de la modification dans l'ensemble du système prend généralement moins de quelques secondes, mais dans certains cas, cela peut prendre plusieurs minutes. Une fois que la modification a été entièrement appliquée à l’ensemble du système, le principal bénéficiaire peut utiliser les autorisations dans l'octroi sans spécifier le jeton d'octroi ou une preuve de l'octroi. Toutefois, si une subvention est si récente qu'elle n'est pas encore connue de tous AWS KMS, la demande peut échouer avec une `AccessDeniedException` erreur. Pour utiliser immédiatement les autorisations dans un nouvel octroi, utilisez le [jeton d'octroi](grants.md#grant_token) pour l'octroi. Enregistrez le jeton de subvention renvoyé par l'[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)opération. Soumettez ensuite le jeton de subvention dans la demande AWS KMS d'opération. Vous pouvez soumettre un jeton de subvention à n'importe quelle [opération de AWS KMS subvention](grants.md#terms-grant-operations) et vous pouvez soumettre plusieurs jetons de subvention dans la même demande. L'exemple suivant utilise l'`CreateGrant`opération pour créer une autorisation autorisant les opérations [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)et [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Elle enregistre le jeton d'octroi que `CreateGrant` renvoie dans la variable `token`. Ensuite, dans un appel à l'opération `GenerateDataKey`, elle utilise le jeton d'octroi dans la variable `token`. ``` # Create a grant; save the grant token $ token=$(aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:user/appUser \ --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \ --operations GenerateDataKey Decrypt \ --query GrantToken \ --output text) # Use the grant token in a request $ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ –-key-spec AES_256 \ --grant-tokens $token ``` Les directeurs autorisés peuvent également utiliser un jeton de subvention pour retirer une nouvelle subvention avant même que la subvention ne soit disponible dans AWS KMS son intégralité. (L'opération `RevokeGrant` n'accepte pas de jeton d'octroi.) Pour en savoir plus, consultez [Retrait et révocation d'octrois](grant-delete.md). ``` # Retire the grant $ aws kms retire-grant --grant-token $token ```