Ritirare e revocare le concessioni - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ritirare e revocare le concessioni

Per eliminare una concessione, ritirarla o revocarla.

Le RevokeGrantoperazioni RetireGrante sono molto simili tra loro. Entrambe le operazioni eliminano una concessione, eliminando le autorizzazioni consentite dalla concessione. La differenza principale tra queste operazioni è il modo in cui sono autorizzate.

RevokeGrant

Come la maggior parte AWS KMS delle operazioni, l'accesso all'RevokeGrantoperazione è controllato tramite policy e IAMpolicy chiave. RevokeGrantAPIPuò essere richiamato da qualsiasi preside con kms:RevokeGrant autorizzazione. Questa autorizzazione è inclusa nelle autorizzazioni standard concesse agli amministratori delle chiavi. In genere, gli amministratori revocano una concessione per negare le autorizzazioni consentite dalla concessione.

RetireGrant

La concessione determina chi può ritirarla. Questo design consente di controllare il ciclo di vita di una sovvenzione senza modificare le politiche o IAM le politiche chiave. In genere, si ritira una concessione quando si è terminato di utilizzare le relative autorizzazioni.

Una concessione può essere ritirata da un principale per il ritiro opzionale specificato nella concessione. L'assegnatario principale può anche ritirare la concessione, ma solo se è anche un principale per il ritiro o se la concessione include l'operazione RetireGrant. Come backup, la sovvenzione Account AWS in cui è stata creata la sovvenzione può ritirarla.

Esiste un'kms:RetireGrantautorizzazione che può essere utilizzata nelle IAM politiche, ma ha un'utilità limitata. I principali specificati nella concessione possono ritirare una concessione senza l'autorizzazione kms:RetireGrant. L'autorizzazione kms:RetireGrant da sola non consente ai principali di ritirare una concessione. L'autorizzazione kms:RetireGrant non è efficace in una policy chiave.

  • Per negare l'autorizzazione al ritiro di una concessione, puoi utilizzare un'azione Deny con l'autorizzazione kms:RetireGrant.

  • Il Account AWS proprietario della KMS chiave può delegare l'kms:RetireGrantautorizzazione al IAM responsabile dell'account.

  • Se il titolare uscente è diverso Account AWS, gli amministratori dell'altro account possono delegare l'autorizzazione kms:RetireGrant a ritirare la sovvenzione a un IAM responsabile di quell'account.

AWS KMS APIDi seguito è riportato un eventuale modello di coerenza. Quando crei, ritiri o revochi una concessione, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti. Se devi eliminare immediatamente una nuova sovvenzione, prima che sia disponibile per tutta la durata AWS KMS, usa un token di concessione per ritirare la sovvenzione. Non è possibile utilizzare un token di concessione per revocare una concessione.