Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ritirare e revocare le concessioni
Per eliminare una concessione, ritirarla o revocarla.
Le RevokeGrantoperazioni RetireGrante sono molto simili tra loro. Entrambe le operazioni eliminano una concessione, eliminando le autorizzazioni consentite dalla concessione. La differenza principale tra queste operazioni è il modo in cui sono autorizzate.
- RevokeGrant
-
Come la maggior parte AWS KMS delle operazioni, l'accesso all'
RevokeGrant
operazione è controllato tramite policy e IAMpolicy chiave. RevokeGrantAPIPuò essere richiamato da qualsiasi preside conkms:RevokeGrant
autorizzazione. Questa autorizzazione è inclusa nelle autorizzazioni standard concesse agli amministratori delle chiavi. In genere, gli amministratori revocano una concessione per negare le autorizzazioni consentite dalla concessione. - RetireGrant
-
La concessione determina chi può ritirarla. Questo design consente di controllare il ciclo di vita di una sovvenzione senza modificare le politiche o IAM le politiche chiave. In genere, si ritira una concessione quando si è terminato di utilizzare le relative autorizzazioni.
Una concessione può essere ritirata da un principale per il ritiro opzionale specificato nella concessione. L'assegnatario principale può anche ritirare la concessione, ma solo se è anche un principale per il ritiro o se la concessione include l'operazione
RetireGrant
. Come backup, la sovvenzione Account AWS in cui è stata creata la sovvenzione può ritirarla.Esiste un'
kms:RetireGrant
autorizzazione che può essere utilizzata nelle IAM politiche, ma ha un'utilità limitata. I principali specificati nella concessione possono ritirare una concessione senza l'autorizzazionekms:RetireGrant
. L'autorizzazionekms:RetireGrant
da sola non consente ai principali di ritirare una concessione. L'kms:RetireGrant
autorizzazione non è valida in una politica chiave o in una politica di controllo delle risorse.-
Per negare l'autorizzazione a ritirare una sovvenzione, puoi utilizzare un'
Deny
azione con l'kms:RetireGrant
autorizzazione nelle tue IAM politiche. -
Il Account AWS proprietario della KMS chiave può delegare l'
kms:RetireGrant
autorizzazione al IAM responsabile dell'account. -
Se il titolare uscente è diverso Account AWS, gli amministratori dell'altro account possono delegare l'autorizzazione
kms:RetireGrant
a ritirare la sovvenzione a un IAM responsabile di quell'account.
-
AWS KMS APIDi seguito è riportato un eventuale modello di coerenza. Quando crei, ritiri o revochi una concessione, potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti. Se devi eliminare immediatamente una nuova sovvenzione, prima che sia disponibile per tutta la durata AWS KMS, usa un token di concessione per ritirare la sovvenzione. Non è possibile utilizzare un token di concessione per revocare una concessione.