Retirar e revogar concessões - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Retirar e revogar concessões

Para excluir uma concessão, retire-a ou revogue-a.

As RevokeGrantoperações RetireGrante são muito semelhantes entre si. Ambas excluem uma concessão, o que elimina as permissões por ela permitidas. A principal diferença entre elas é como elas são autorizadas.

RevokeGrant

Como a maioria das AWS KMS operações, o acesso à RevokeGrant operação é controlado por meio das principais políticas e IAMpolíticas. Eles RevokeGrantAPIpodem ser chamados por qualquer diretor com kms:RevokeGrant permissão. Essa permissão está incluída nas permissões padrão fornecidas aos administradores de chaves. Normalmente, os administradores revogam uma concessão para negar permissões que são permitidas pela concessão.

RetireGrant

A concessão determina quem pode retirá-la. Esse design permite que você controle o ciclo de vida de uma concessão sem alterar as principais políticas ou IAM políticas. Normalmente, você retira uma concessão ao terminar de usar suas permissões.

Uma concessão pode ser retirada por uma entidade principal de retirada especificada nessa concessão. A entidade principal receptora da concessão também pode retirar a concessão, mas somente se ela também for uma entidade principal de retirada ou se a concessão incluir a operação RetireGrant. Como backup, aquele Conta da AWS em que o subsídio foi criado pode retirar o subsídio.

Há uma kms:RetireGrant permissão que pode ser usada em IAM políticas, mas tem utilidade limitada. Entidades principais especificadas na concessão podem retirar uma concessão sem a permissão kms:RetireGrant. A permissão kms:RetireGrant por si só não permite que as entidades principais retirem uma concessão. A kms:RetireGrant permissão não é efetiva em uma política fundamental ou política de controle de recursos.

  • Para negar a permissão para retirar um subsídio, você pode usar uma Deny ação com a kms:RetireGrant permissão em suas IAM políticas.

  • O Conta da AWS proprietário da KMS chave pode delegar a kms:RetireGrant permissão ao IAM principal da conta.

  • Se o diretor aposentado for diferente Conta da AWS, os administradores da outra conta podem usar kms:RetireGrant para delegar permissão para retirar a concessão a um IAM diretor dessa conta.

A AWS KMS API seguir, um modelo de consistência eventual. Quando você cria, retira ou revoga uma concessão, pode haver um breve atraso antes que a alteração esteja disponível em todo o AWS KMS. Normalmente, a alteração leva menos de alguns segundos para se propagar por todo o sistema, mas, em alguns casos, pode levar vários minutos. Se você precisar excluir uma nova concessão imediatamente, antes que ela esteja disponível por toda parte AWS KMS, use um token de concessão para retirar a concessão. Não é possível usar um token de concessão para revogar uma concessão.