Retirar e revogar concessões - AWS Key Management Service

Retirar e revogar concessões

Para excluir uma concessão, retire-a ou revogue-a.

As operações RetireGrant e RevokeGrant são muito semelhantes. Ambas excluem uma concessão, o que elimina as permissões por ela permitidas. A principal diferença entre elas é como elas são autorizadas.

RevokeGrant

Como a maioria das operações do AWS KMS, o acesso à operação RevokeGranté controlado por meio de políticas de chaves e políticas do IAM. A API RevokeGrant pode ser chamada por qualquer entidade principal com permissões kms:RevokeGrant. Essa permissão está incluída nas permissões padrão fornecidas aos administradores de chaves. Normalmente, os administradores revogam uma concessão para negar permissões que são permitidas pela concessão.

RetireGrant

A concessão determina quem pode retirá-la. Esse design permite que você controle o ciclo de vida de uma concessão sem alterar políticas de chaves ou políticas do IAM. Normalmente, você retira uma concessão ao terminar de usar suas permissões.

Uma concessão pode ser retirada por uma entidade principal de retirada especificada nessa concessão. A entidade principal receptora da concessão também pode retirar a concessão, mas somente se ela também for uma entidade principal de retirada ou se a concessão incluir a operação RetireGrant. Como backup, a Conta da AWS em que a concessão foi criada pode retirar essa concessão.

Existe uma permissão kms:RetireGrant que pode ser usada em políticas do IAM, mas sua utilidade é limitada. Entidades principais especificadas na concessão podem retirar uma concessão sem a permissão kms:RetireGrant. A permissão kms:RetireGrant por si só não permite que as entidades principais retirem uma concessão. A permissão kms:RetireGrant não é eficaz em uma política de chaves.

  • Para negar permissão para retirar uma concessão, você pode usar uma ação Deny com a permissão kms:RetireGrant.

  • A Conta da AWS que tem a chave do KMS pode delegar a permissão kms:RetireGrant à entidade principal do IAM na conta.

  • Se a entidade principal que está sendo desativada for uma Conta da AWS diferente, os administradores na outra conta poderão usar kms:RetireGrant para delegar permissões para retirar a concessão a uma entidade principal do IAM nessa conta.

A API do AWS KMS segue o modelo de consistência eventual. Quando você cria, retira ou revoga uma concessão, pode haver um breve atraso antes que a alteração esteja disponível em todo o AWS KMS. Normalmente, a alteração leva menos de alguns segundos para se propagar por todo o sistema, mas, em alguns casos, pode levar vários minutos. Se precisar excluir uma nova concessão imediatamente antes que ela esteja disponível no AWS KMS, use um token de concessão para retirar a concessão. Não é possível usar um token de concessão para revogar uma concessão.