권한 부여 사용 중지 및 취소 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

권한 부여 사용 중지 및 취소

권한 부여를 삭제하려면 부여를 사용 중지하거나 취소합니다.

RetireGrantRevokeGrant 작업은 서로 매우 유사합니다. 두 작업 모두 권한부여를 삭제하므로 권한 부여로 허용하는 권한이 제거됩니다. 이러한 작업의 주요 차이점은 권한이 부여되는 방식입니다.

RevokeGrant

대부분의 AWS KMS 작업과 마찬가지로 RevokeGrant 작업에 대한 액세스는 키 정책IAM 정책을 통해 제어됩니다. kms:RevokeGrant 권한이 있는 모든 보안 주체가를 호출RevokeGrantAPI할 수 있습니다. 이 권한은 키 관리자에게 부여된 표준 권한에 포함됩니다. 일반적으로 관리자는 권한 부여로 허용되는 권한을 거부하기 위해 권한 부여를 취소합니다.

RetireGrant

권한 부여는 누가 권한 부여를 사용 중지할 수 있는지 결정합니다. 이 설계를 사용하면 키 정책이나 정책을 변경하지 않고도 권한 부여의 수명 주기를 제어할 수 IAM 있습니다. 일반적으로 권한 사용을 마치면 권한 부여를 사용 중지합니다.

권한 부여는 권한 부여에 지정된 선택적 사용 중지 보안 주체에 의해 사용 중지될 수 있습니다. 피부여자 보안 주체도 권한 부여를 사용 중지할 수 있지만, 사용 중지 보안 주체이거나 권한 부여에 RetireGrant 작업이 포함된 경우에만 가능합니다. 백업으로 권한 부여가 생성된 AWS 계정 는 권한 부여를 사용 중지할 수 있습니다.

IAM 정책에 사용할 수 있는 kms:RetireGrant 권한이 있지만 유틸리티가 제한적입니다. 권한 부여에 지정된 보안 주체는 kms:RetireGrant 권한 없이 권한 부여를 취소할 수 있습니다. kms:RetireGrant 권한만으로는 보안 주체가 권한 부여를 사용 중지할 수 없습니다. kms:RetireGrant 권한은 키 정책 또는 리소스 제어 정책에서 유효하지 않습니다.

  • 권한 부여를 사용할 수 있는 권한을 거부하려면 IAM 정책의 kms:RetireGrant 권한과 함께 Deny 작업을 사용할 수 있습니다.

  • KMS 키를 소유 AWS 계정 한는 계정의 IAM 보안 주체에게 kms:RetireGrant 권한을 위임할 수 있습니다.

  • 사용 중지된 보안 주체가 다른 경우 다른 계정의 AWS 계정관리자는 kms:RetireGrant를 사용하여 해당 계정의 IAM 보안 주체에게 권한 부여를 사용 중지할 수 있는 권한을 위임할 수 있습니다.

는 AWS KMS API 최종 일관성 모델을 따릅니다. 권한 부여를 생성, 사용 중지 또는 철회할 때, 변경 사항이 AWS KMS전체에 적용되기까지 잠깐의 지연이 있을 수 있습니다. 변경 사항이 시스템 전체에 전파되는 데에는 일반적으로 몇 초도 걸리지 않지만 경우에 따라 몇 분 정도 걸릴 수도 있습니다. 새 권한 부여를 즉시 삭제해야 하는 경우 전체 권한 부여에서 사용 가능하기 전에 권한 부여 토큰을 AWS KMS사용하여 권한 부여를 사용 중지합니다. 권한 부여 토큰 사용 권한 부여 토큰을 사용하여 권한 부여를 취소할 수는 없습니다.