Menghentikan dan mencabut pemberian izin - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghentikan dan mencabut pemberian izin

Untuk menghapus, menghentikan, atau mencabut pemberian izin.

Operasi RetireGrantdan RevokeGrantoperasi sangat mirip satu sama lain. Kedua operasi menghapus hibah, yang menghilangkan izin yang diizinkan oleh hibah. Perbedaan utama antara operasi ini adalah bagaimana mereka diotorisasi.

RevokeGrant

Seperti kebanyakan AWS KMS operasi, akses ke RevokeGrant operasi dikendalikan melalui kebijakan dan IAMkebijakan utama. RevokeGrantAPIDapat dipanggil oleh kepala sekolah mana pun dengan kms:RevokeGrant izin. Izin ini disertakan dalam izin standar yang diberikan kepada administrator kunci. Biasanya, administrator mencabut pemberian izin untuk menolak izin yang diberikan pemberian izin.

RetireGrant

Pemberian izin menentukan orang yang dapat menghentikannya. Desain ini memungkinkan Anda mengontrol siklus hidup hibah tanpa mengubah kebijakan atau IAM kebijakan utama. Biasanya, Anda akan menghentikan pemberian izin begitu selesai menggunakan izin.

Pemberian izin dapat dihentikan dengan perwakilan penghentian yang ditentukan dalam pemberian izin. Kepala penerima hibah juga dapat mempensiunkan hibah, tetapi hanya jika mereka juga merupakan kepala sekolah pensiun atau hibah termasuk operasi. RetireGrant Sebagai cadangan, Akun AWS di mana hibah dibuat dapat menghentikan hibah.

Ada kms:RetireGrant izin yang dapat digunakan dalam IAM kebijakan, tetapi memiliki utilitas terbatas. Perwakilan yang ditentukan dalam pemberian izin dapat menghentikan pemberian izin tanpa izin kms:RetireGrant. Izin kms:RetireGrant saja tidak memungkinkan kepala sekolah untuk menghentikan pemberian izin. kms:RetireGrantIzin tidak efektif dalam kebijakan utama atau kebijakan pengendalian sumber daya.

  • Untuk menolak izin pensiun hibah, Anda dapat menggunakan Deny tindakan dengan kms:RetireGrant izin dalam IAM kebijakan Anda.

  • Akun AWS Yang memiliki KMS kunci dapat mendelegasikan kms:RetireGrant izin kepada IAM prinsipal di akun.

  • Jika kepala sekolah yang pensiun berbeda Akun AWS, administrator di akun lain dapat menggunakan kms:RetireGrant untuk mendelegasikan izin untuk mempensiunkan hibah kepada IAM kepala sekolah di akun itu.

AWS KMS APIBerikut ini adalah model konsistensi akhirnya. Saat Anda membuat, pensiun, atau mencabut hibah, mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhan. AWS KMS Biasanya diperlukan waktu kurang dari beberapa detik agar perubahan menyebar ke seluruh sistem, tetapi dalam beberapa kasus dapat memakan waktu beberapa menit. Jika Anda perlu segera menghapus hibah baru, sebelum tersedia secara keseluruhan AWS KMS, gunakan token hibah untuk menghentikan hibah. Anda tidak dapat menggunakan token izin untuk mencabut pemberian izin.