As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Controlar o acesso a concessões Você pode controlar o acesso às operações que criam e gerenciam concessões em políticas de chaves, políticas do IAM e concessões. As entidades principais que recebem a permissão `CreateGrant` de uma concessão tem [permissões de concessão mais limitadas](create-grant-overview.md#grant-creategrant). | Operação de API | Política de chaves ou política do IAM | Concessão | | --- | --- | --- | | CreateGrant | ✓ | ✓ | | ListGrants | ✓ | - | | ListRetirableGrants | ✓ | - | | Retirar concessões | (Limitado. Consulte [Retirar e revogar concessões](grant-delete.md)) | ✓ | | RevokeGrant | ✓ | - | Ao usar uma política de chaves ou uma política do IAM para controlar o acesso às operações que criam e gerenciam concessões, você pode usar uma ou mais das seguintes condições de política para limitar a permissão. AWS KMS suporta todas as seguintes chaves de condição relacionadas à concessão. Para obter informações e exemplos detalhados, consulte [AWS KMS chaves de condição](conditions-kms.md). [kms: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type) Permite que as entidades principais criem uma concessão somente quando esta inclui a [restrição de concessão](create-grant-overview.md#grant-constraints) especificada. [kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) Permite que os diretores `CreateGrant` liguem ou `RevokeGrant` somente quando [um AWS serviço integrado AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) envia a solicitação em nome do diretor. `ListGrants` [kms: GrantOperations](conditions-kms.md#conditions-kms-grant-operations) Permite que as entidades principais criem uma concessão, mas limita a concessão às operações especificadas. [kms: GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal) Permite que as entidades principais criem uma concessão somente para a [entidade principal receptora da concessão](grants.md#terms-grantee-principal). [kms: RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal) Permite que as entidades principais criem uma concessão somente quando esta especifica um [entidade principal de retirada](grants.md#terms-retiring-principal).