Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Ritirare e revocare le concessioni

PDF
RSS
Modalità Focus
Ritirare e revocare le concessioni - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per eliminare una concessione, ritirarla o revocarla.

Le RevokeGrantoperazioni RetireGrante sono molto simili tra loro. Entrambe le operazioni eliminano una concessione, eliminando le autorizzazioni consentite dalla concessione. La differenza principale tra queste operazioni è il modo in cui sono autorizzate.

RevokeGrant

Come la maggior parte AWS KMS delle operazioni, l'accesso all'RevokeGrantoperazione è controllato tramite policy chiave e policy IAM. L'RevokeGrantAPI può essere richiamata da qualsiasi preside con kms:RevokeGrant autorizzazione. Questa autorizzazione è inclusa nelle autorizzazioni standard concesse agli amministratori delle chiavi. In genere, gli amministratori revocano una concessione per negare le autorizzazioni consentite dalla concessione.

RetireGrant

La concessione determina chi può ritirarla. Questa struttura consente di controllare il ciclo di vita di una concessione senza modificare le policy chiave o le policy IAM. In genere, si ritira una concessione quando si è terminato di utilizzare le relative autorizzazioni.

Una concessione può essere ritirata da un principale per il ritiro opzionale specificato nella concessione. L'assegnatario principale può anche ritirare la concessione, ma solo se è anche un principale per il ritiro o se la concessione include l'operazione RetireGrant. Come backup, la sovvenzione Account AWS in cui è stata creata la sovvenzione può ritirarla.

C'è un'autorizzazione kms:RetireGrant che può essere utilizzata nelle policy IAM, ma dispone di un'utilità limitata. I principali specificati nella concessione possono ritirare una concessione senza l'autorizzazione kms:RetireGrant. L'autorizzazione kms:RetireGrant da sola non consente ai principali di ritirare una concessione. L'kms:RetireGrantautorizzazione non è valida in una politica chiave o in una politica di controllo delle risorse.

  • Per negare l'autorizzazione a ritirare una sovvenzione, puoi utilizzare un'Denyazione con l'kms:RetireGrantautorizzazione nelle tue politiche IAM.

  • Il Account AWS proprietario della chiave KMS può delegare l'kms:RetireGrantautorizzazione a un responsabile IAM dell'account.

  • Se l'ente preposto al ritiro è diverso Account AWS, gli amministratori dell'altro account possono delegare l'autorizzazione kms:RetireGrant a ritirare la concessione a un responsabile IAM appartenente a quell'account.

L' AWS KMS API segue un eventuale modello di coerenza. Quando crei, ritiri o revochi una concessione, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti. Se devi eliminare immediatamente una nuova sovvenzione, prima che sia disponibile per tutta la durata AWS KMS, utilizza un token di concessione per ritirare la sovvenzione. Non è possibile utilizzare un token di concessione per revocare una concessione.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.