翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
グラントへのアクセスを制御する
キーポリシー、ポリシー、IAMおよび 許可で許可を作成および管理するオペレーションへのアクセスを制御できます。グラントから CreateGrant 許可を取得したプリンシパルは、より限定的な許可の付与を行います。
| API オペレーション | キーポリシーまたはIAMポリシー | 権限 |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| 許可を使用停止にする | (制限あり。「グラントの使用停止と取り消し」を参照してください) | ✓ |
| RevokeGrant | ✓ | - |
キーポリシーまたはIAMポリシーを使用して、許可を作成および管理するオペレーションへのアクセスを制御する場合、次のポリシー条件の 1 つ以上を使用して、アクセス許可を制限できます。 は、次のグラント関連の条件キーをすべて AWS KMS サポートします。詳細と例については、「AWS KMS 条件キー」を参照してください。
- kms:GrantConstraintType
-
グラントに指定されたグラントの制約が含まれている場合にのみ、プリンシパルにグラントの作成を許可します。
- kms:GrantIsForAWSResource
-
と統合された AWS サービスが AWS KMS
プリンシパルに代わってリクエストを送信する RevokeGrant場合にのみListGrants、プリンシパルがCreateGrant、、または を呼び出すことを許可します。 - kms:GrantOperations
-
プリンシパルにグラントの作成を許可しますが、グラントを指定されたオペレーションに制限します。
- kms:GranteePrincipal
-
指定された被付与者プリンシパルに対してのみ、グラントの作成を許可します。
- kms:RetiringPrincipal
-
グラントが特定の使用停止プリンシパルを指定する場合にのみ、プリンシパルにグラントの作成を許可します。
