翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
グラントの使用停止と取り消し
グラントを削除するには、グラントの廃止または取り消しをします。
RetireGrant と RevokeGrantオペレーションは互いに非常に似ています。どちらのオペレーションもグラントを削除します。これにより、グラントが許可しているアクセス許可が削除されます。これらのオペレーションの主な違いは、オペレーションの認可方法です。
- RevokeGrant
-
ほとんどの AWS KMS オペレーションと同様に、
RevokeGrantオペレーションへのアクセスはキーポリシーとIAMポリシー によって制御されます。は、アクセスkms:RevokeGrant許可を持つ任意のプリンシパルによって呼び出すRevokeGrantAPIことができます。このアクセス許可は、キー管理者に付与される標準のアクセス許可に含まれています。通常、管理者はグラントを取り消して、グラントが許可するアクセス許可を拒否します。 - RetireGrant
-
グラントでは、グラントを廃止にできる管理者を決定できます。この設計により、キーポリシーやIAMポリシーを変更することなく、グラントのライフサイクルを制御できます。通常、許可の使用を終了したら、グラントを廃止にします。
グラントは、グラントで指定されたオプションの廃止プリンシパルにより廃止にできます。被付与者プリンシパルもグラントを廃止にできますが、
RetireGrantオペレーションを含むプリンシパルまたはグラントも同時に廃止にする場合に限られます。バックアップとして、グラントが作成された AWS アカウント はグラントを廃止できます。IAM ポリシーで使用できる
kms:RetireGrantアクセス許可はありますが、ユーティリティが制限されています。グラントで指定されたプリンシパルは、kms:RetireGrantアクセス許可なしでグラントを廃止にできます。kms:RetireGrantアクセス許可だけでは、プリンシパルにグラントの廃止を許可できません。アクセスkms:RetireGrant許可は、キーポリシーまたはリソースコントロールポリシー では有効ではありません。-
許可を廃止するアクセス許可を拒否するには、IAMポリシーのアクセス
kms:RetireGrant許可を持つDenyアクションを使用できます。 -
KMS キーを所有 AWS アカウント する は、アクセス
kms:RetireGrant許可をアカウントのIAMプリンシパルに委任できます。 -
廃止プリンシパルが異なる の場合 AWS アカウント、他のアカウントの管理者は
kms:RetireGrantを使用して、そのアカウントのプリンシIAMパルに付与を廃止するアクセス許可を委任できます。
-
は、最終的な整合性モデル AWS KMS APIに従います。グラントの作成、廃止、または取り消しを行うと、変更が AWS KMS全体に適用されるまでに若干の遅延が生じることがあります。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。新しいグラントをすぐに削除する必要がある場合は、 を通じて利用可能になる前に AWS KMS、グラントトークンを使用してグラントを廃止します。グラントトークンを使用してグラントを取り消すことはできません。
