本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
停用和撤销授权
要删除某个授权,请停用或撤销该授权。
RetireGrant和RevokeGrant操作彼此非常相似。这两个操作都会删除授权,从而消除授权允许的权限。这些操作之间的主要区别在于它们是如何获得授权的。
- RevokeGrant
-
与大多数 AWS KMS 操作一样,对
RevokeGrant操作的访问权限通过关键策略和IAM策略进行控制。任何经kms:RevokeGrant许可的委托人RevokeGrantAPI都可以调用。该权限包含在授予给密钥管理员的标准权限中。通常,管理员会撤销授权以拒绝授权允许的权限。 - RetireGrant
-
授权决定谁可以停用它。这种设计允许您在不更改关键策略或IAM策略的情况下控制拨款的生命周期。通常,当您使用授权的权限时,将停用授权。
授权可以通过授权中指定的可选停用委托人停用。被授权者委托人还可以停用授权,但只有当他们也是停用委托人或者授权包括
RetireGrant操作时。作为备份,创建补助金 AWS 账户 的用户可以停用补助金。有一种
kms:RetireGrant权限可以在IAM策略中使用,但其实用性有限。授权中指定的委托人无需kms:RetireGrant权限即可停用授权。单独的kms:RetireGrant权限不允许委托人停用授权。该kms:RetireGrant权限在密钥策略或资源控制策略中无效。-
要拒绝取消授予的权限,您可以使用IAM策略中具有相应
kms:RetireGrant权限的Deny操作。 -
拥有KMS密钥的人可以将
kms:RetireGrant权限委托给账户中的IAM委托人。 AWS 账户 -
如果即将退休的委托人不同 AWS 账户,则其他账户的管理员可以使用
kms:RetireGrant向该账户中的委托人委托撤回补助金的权限。IAM
-
AWS KMS API遵循最终一致性模型。当您创建、停用或撤销授权时,可能会出现短暂的延迟,才能使更改在整个 AWS KMS中可用。更改通常需要不到几秒钟的时间即可在整个系统中传播,但在某些情况下,可能需要几分钟。如果您需要在新的授权开始使用之前立即将其删除 AWS KMS,请使用授权令牌停用该授权。您不能使用授权令牌撤销授权。
