권한 부여 사용 중지 및 취소 - AWS Key Management Service

권한 부여 사용 중지 및 취소

권한 부여를 삭제하려면 부여를 사용 중지하거나 취소합니다.

RetireGrantRevokeGrant 작업은 서로 매우 유사합니다. 두 작업 모두 권한부여를 삭제하므로 권한 부여로 허용하는 권한이 제거됩니다. 이러한 작업의 주요 차이점은 권한이 부여되는 방식입니다.

RevokeGrant

대부분의 AWS KMS 작업과 마찬가지로 RevokeGrant 작업에 대한 액세스는 키 정책IAM 정책을 통해 제어됩니다. RevokeGrant API는 kms:RevokeGrant 권한이 있는 모든 보안 주체가 호출할 수 있습니다. 이 권한은 키 관리자에게 부여된 표준 권한에 포함됩니다. 일반적으로 관리자는 권한 부여로 허용되는 권한을 거부하기 위해 권한 부여를 취소합니다.

RetireGrant

권한 부여는 누가 권한 부여를 사용 중지할 수 있는지 결정합니다. 이 설계를 통해 키 정책 또는 IAM 정책을 변경하지 않고 권한 부여의 수명 주기를 제어할 수 있습니다. 일반적으로 권한 사용을 마치면 권한 부여를 사용 중지합니다.

권한 부여는 권한 부여에 지정된 선택적 사용 중지 보안 주체에 의해 사용 중지될 수 있습니다. 피부여자 보안 주체도 권한 부여를 사용 중지할 수 있지만, 사용 중지 보안 주체이거나 권한 부여에 RetireGrant 작업이 포함된 경우에만 가능합니다. 백업으로서 권한 부여가 생성된 AWS 계정은 권한 부여를 사용 중지할 수 있습니다.

IAM 정책에서 사용할 수 있는 kms:RetireGrant 권한이 있지만 유틸리티가 제한되어 있습니다. 권한 부여에 지정된 보안 주체는 kms:RetireGrant 권한 없이 권한 부여를 취소할 수 있습니다. kms:RetireGrant 권한만으로는 보안 주체가 권한 부여를 사용 중지할 수 없습니다. kms:RetireGrant 권한은 키 정책에서 유효하지 않습니다.

  • 권한 부여 사용 중지 권한을 거부하려면 kms:RetireGrant 권한과 함께 Deny 작업을 사용할 수 있습니다

  • KMS 키를 소유한 AWS 계정은 kms:RetireGrant 권한을 계정의 IAM 보안 주체에게 위임할 수 있습니다.

  • 사용 중지 보안 주체가 다른 AWS 계정인 경우 다른 계정의 관리자는 kms:RetireGrant를 사용하여 권한 부여를 만료할 수 있는 권한을 해당 계정의 IAM 보안 주체에게 위임할 수 있습니다.

AWS KMS API는 결과적 일관성 모델을 따릅니다. 권한 부여를 생성, 사용 중지 또는 철회할 때, 변경 사항이 AWS KMS 전체에 적용되기까지 잠깐의 지연이 있을 수 있습니다. 변경 사항이 시스템 전체에 전파되는 데에는 일반적으로 몇 초도 걸리지 않지만 경우에 따라 몇 분 정도 걸릴 수도 있습니다. 새 권한 부여를 즉시 삭제해야 하는 경우 AWS KMS 전체에서 사용 가능하기 전에 권한 부여 토큰을 사용하여 권한 부여를 사용 중지합니다. 권한 부여 토큰을 사용하여 권한 부여를 취소할 수는 없습니다.