Retirar e revogar concessões
Para excluir uma concessão, retire-a ou revogue-a.
As operações RetireGrant e RevokeGrant são muito semelhantes. Ambas excluem uma concessão, o que elimina as permissões por ela permitidas. A principal diferença entre elas é como elas são autorizadas.
- RevokeGrant
-
Como a maioria das operações do AWS KMS, o acesso à operação
RevokeGrant
é controlado por meio de políticas de chaves e políticas do IAM. A API RevokeGrant pode ser chamada por qualquer entidade principal com permissõeskms:RevokeGrant
. Essa permissão está incluída nas permissões padrão fornecidas aos administradores de chaves. Normalmente, os administradores revogam uma concessão para negar permissões que são permitidas pela concessão. - RetireGrant
-
A concessão determina quem pode retirá-la. Esse design permite que você controle o ciclo de vida de uma concessão sem alterar políticas de chaves ou políticas do IAM. Normalmente, você retira uma concessão ao terminar de usar suas permissões.
Uma concessão pode ser retirada por uma entidade principal de retirada especificada nessa concessão. A entidade principal receptora da concessão também pode retirar a concessão, mas somente se ela também for uma entidade principal de retirada ou se a concessão incluir a operação
RetireGrant
. Como backup, a Conta da AWS em que a concessão foi criada pode retirar essa concessão.Existe uma permissão
kms:RetireGrant
que pode ser usada em políticas do IAM, mas sua utilidade é limitada. Entidades principais especificadas na concessão podem retirar uma concessão sem a permissãokms:RetireGrant
. A permissãokms:RetireGrant
por si só não permite que as entidades principais retirem uma concessão. A permissãokms:RetireGrant
não é eficaz em uma política de chaves.-
Para negar permissão para retirar uma concessão, você pode usar uma ação
Deny
com a permissãokms:RetireGrant
. -
A Conta da AWS que tem a chave do KMS pode delegar a permissão
kms:RetireGrant
à entidade principal do IAM na conta. -
Se a entidade principal que está sendo desativada for uma Conta da AWS diferente, os administradores na outra conta poderão usar
kms:RetireGrant
para delegar permissões para retirar a concessão a uma entidade principal do IAM nessa conta.
-
A API do AWS KMS segue o modelo de consistência eventual. Quando você cria, retira ou revoga uma concessão, pode haver um breve atraso antes que a alteração esteja disponível em todo o AWS KMS. Normalmente, a alteração leva menos de alguns segundos para se propagar por todo o sistema, mas, em alguns casos, pode levar vários minutos. Se precisar excluir uma nova concessão imediatamente antes que ela esteja disponível no AWS KMS, use um token de concessão para retirar a concessão. Não é possível usar um token de concessão para revogar uma concessão.