翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # グラントの使用停止と取り消し グラントを削除するには、グラントの廃止または取り消しをします。 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) および [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) オペレーションは、互いに非常によく似ています。どちらのオペレーションもグラントを削除します。これにより、グラントが許可しているアクセス許可が削除されます。これらのオペレーションの主な違いは、オペレーションの認可方法です。 **RevokeGrant** ほとんどの AWS KMS オペレーションと同様に、`RevokeGrant`オペレーションへのアクセスは[キーポリシー](key-policies.md)と [IAM ポリシー](iam-policies.md)によって制御されます。[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) API は、任意のプリンシパルから `kms:RevokeGrant` アクセス許可で呼び出すことができます。このアクセス許可は、キー管理者に付与される標準のアクセス許可に含まれています。通常、管理者はグラントを取り消して、グラントが許可するアクセス許可を拒否します。 **RetireGrant** グラントでは、グラントを廃止にできる管理者を決定できます。この設計により、キーポリシーや IAM ポリシーを変更することなく、グラントのライフサイクルを制御できます。通常、許可の使用を終了したら、グラントを廃止にします。 グラントは、グラントで指定されたオプションの[廃止プリンシパル](grants.md#terms-retiring-principal)により廃止にできます。[被付与者プリンシパル](grants.md#terms-grantee-principal)もグラントを廃止にできますが、`RetireGrant` オペレーションを含むプリンシパルまたはグラントも同時に廃止にする場合に限られます。バックアップとして、グラントが作成された AWS アカウント はグラントを廃止できます。 IAM ポリシーで使用できる `kms:RetireGrant` アクセス許可がありますが、ユーティリティは限られています。グラントで指定されたプリンシパルは、`kms:RetireGrant` アクセス許可なしでグラントを廃止にできます。`kms:RetireGrant` アクセス許可だけでは、プリンシパルにグラントの廃止を許可できません。`kms:RetireGrant` アクセス許可は、[キーポリシー](key-policies.md)および[リソースコントロールポリシー](resource-control-policies.md)では有効ではありません。 + グラントを廃止するアクセス許可を拒否するには、IAM ポリシーで `kms:RetireGrant` アクセス許可で `Deny` アクションを使用します。 + KMS キーを所有 AWS アカウント する は、アカウントの IAM プリンシパルにアクセス`kms:RetireGrant`許可を委任できます。 + 廃止プリンシパルが異なる場合 AWS アカウント、他のアカウントの管理者は `kms:RetireGrant` を使用して、そのアカウントの IAM プリンシパルに付与を廃止するアクセス許可を委任できます。 AWS KMS API は[結果整合性](grants.md#terms-eventual-consistency)モデルに従います。グラントの作成、廃止、または取り消しを行うと、変更が AWS KMS全体に適用されるまでに若干の遅延が生じることがあります。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。新しい権限をすぐに削除する必要がある場合は、その権限トークン AWS KMS[を使用して権限](using-grant-token.md)を廃止します。グラントトークンを使用してグラントを取り消すことはできません。