翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # グラントへのアクセスを制御する キーポリシー、IAM ポリシー、グラントで、グラントを作成および管理するオペレーションへのアクセスを制御できます。グラントから `CreateGrant` 許可を取得したプリンシパルは、[より限定的な許可の付与](create-grant-overview.md#grant-creategrant)を行います。 | API オペレーション | キーポリシーまたは IAM ポリシー | 権限 | | --- | --- | --- | | CreateGrant | ✓ | ✓ | | ListGrants | ✓ | - | | ListRetirableGrants | ✓ | - | | 許可を使用停止にする | (制限あり。「[グラントの使用停止と取り消し](grant-delete.md)」を参照してください) | ✓ | | RevokeGrant | ✓ | - | キーポリシーまたは IAM ポリシーを使用して、グラントを作成および管理するオペレーションへのアクセスを制御する場合、次のポリシー条件の 1 つ以上を使用してアクセス許可を制限できます。 は、次のグラント関連の条件キーをすべて AWS KMS サポートします。詳細と例については、「[AWS KMS 条件キー](conditions-kms.md)」を参照してください。 [kms:GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type) グラントに指定された[グラントの制約](create-grant-overview.md#grant-constraints)が含まれている場合にのみ、プリンシパルにグラントの作成を許可します。 [kms:GrantIsForAWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) [と統合された AWS サービスが AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)プリンシパルに代わってリクエストを送信する`RevokeGrant`場合にのみ`ListGrants`、プリンシパルが `CreateGrant`、、または を呼び出すことを許可します。 [kms:GrantOperations](conditions-kms.md#conditions-kms-grant-operations) プリンシパルにグラントの作成を許可しますが、グラントを指定されたオペレーションに制限します。 [kms:GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal) 指定された[被付与者プリンシパル](grants.md#terms-grantee-principal)に対してのみ、グラントの作成を許可します。 [kms:RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal) グラントが特定の[使用停止プリンシパル](grants.md#terms-retiring-principal)を指定する場合にのみ、プリンシパルにグラントの作成を許可します。