停用和撤销授权
要删除某个授权,请停用或撤销该授权。
RetireGrant 和 RevokeGrant 操作彼此非常相似。这两个操作都会删除授权,从而消除授权允许的权限。这些操作之间的主要区别在于它们是如何获得授权的。
- RevokeGrant
-
与大多数 AWS KMS 操作一样,对
RevokeGrant操作的访问通过密钥策略和 IAM policy 控制。RevokeGrant API 可以由具有kms:RevokeGrant权限的任何委托人调用。该权限包含在授予给密钥管理员的标准权限中。通常,管理员会撤销授权以拒绝授权允许的权限。 - RetireGrant
-
授权决定谁可以停用它。此设计使您能够控制授权的生命周期,而无需更改密钥策略或 IAM policy。通常,当您使用授权的权限时,将停用授权。
授权可以通过授权中指定的可选停用委托人停用。被授权者委托人还可以停用授权,但只有当他们也是停用委托人或者授权包括
RetireGrant操作时。作为备份,在其中创建授权的 AWS 账户 可以停用授权。有一个可用于 IAM policy 的
kms:RetireGrant权限,但它具有有限的实用工具。授权中指定的委托人无需kms:RetireGrant权限即可停用授权。单独的kms:RetireGrant权限不允许委托人停用授权。kms:RetireGrant权限在密钥策略中无效。-
若要拒绝停用授权的权限,您可以使用具有
kms:RetireGrant权限的Deny操作。 -
拥有 KMS 密钥的 AWS 账户可以将
kms:RetireGrant权限委托给账户中的 IAM 主体。 -
如果停用主体是其他 AWS 账户,则该其他账户中的管理员可以使用
kms:RetireGrant将停用授权的权限委托给该账户中的 IAM 主体。
-
AWS KMS API 采用最终一致性模型。当您创建、停用或撤销授权时,可能会出现短暂的延迟,才能使更改在整个 AWS KMS 中可用。更改通常需要不到几秒钟的时间即可在整个系统中传播,但在某些情况下,可能需要几分钟。如果您需要在某个新授权可在整个 AWS KMS 中使用前立即删除它,请使用授予令牌停用该授权。您不能使用授权令牌撤销授权。
