Utilizzo di un token di concessione - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un token di concessione

AWS KMS APIDi seguito è riportato un eventuale modello di coerenza. Quando si crea una concessione, la concessione potrebbe non essere effettiva immediatamente. Potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Generalmente, occorrono pochissimi secondi per la propagazione della modifica in tutto il sistema, ma in alcuni casi possono essere necessari diversi minuti. Una volta che la concessione è stata propagata in tutto il sistema, il principale assegnatario può utilizzare le autorizzazioni nella concessione senza specificare il token di concessione o una prova della concessione. Tuttavia, se una concessione è così nuova da non essere ancora nota a tutti AWS KMS, la richiesta potrebbe fallire con un AccessDeniedException errore.

Per utilizzare immediatamente le autorizzazioni in una nuova concessione, utilizza il token di concessione per la concessione. Salva il token di concessione restituito dall'CreateGrantoperazione. Quindi invia il token di concessione nella richiesta per l' AWS KMS operazione. Puoi inviare un token di concessione a qualsiasi operazione di AWS KMS concessione e puoi inviare più token di concessione nella stessa richiesta.

L'esempio seguente utilizza l'CreateGrantoperazione per creare una concessione che consenta le operazioni GenerateDataKeye Decrypt. Salva il token di concessione che CreateGrant restituisce nella variabile token. Quindi, in una chiamata all'operazione GenerateDataKey, utilizza il token di concessione nella variabile token.

# Create a grant; save the grant token $ token=$(aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:user/appUser \ --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \ --operations GenerateDataKey Decrypt \ --query GrantToken \ --output text) # Use the grant token in a request $ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ –-key-spec AES_256 \ --grant-tokens $token

I responsabili con autorizzazione possono anche utilizzare un token di concessione per ritirare una nuova sovvenzione anche prima che la sovvenzione sia disponibile per tutta la durata. AWS KMS(L'operazione RevokeGrant non accetta un token di concessione.) Per informazioni dettagliate, consultare Ritirare e revocare le concessioni.

# Retire the grant $ aws kms retire-grant --grant-token $token