本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予是進階機制,用於指定您或與 整合 AWS 的服務 AWS KMS 可以使用的許可,以指定 KMS 金鑰的使用方式和時間。授予會連接到 KMS 金鑰,而且每個授予包含獲得使用 KMS 金鑰之許可的主體以及允許的操作清單。授與是金鑰政策的替代選項,適用於特定的使用案例。如需詳細資訊,請參閱在 中授予 AWS KMS。
若要取得 KMS 金鑰的授予清單,請使用 AWS KMS ListGrants 操作。您可以檢查 KMS 金鑰的授予,以判斷何人或何物目前具有透過這些授予使用 KMS 金鑰的存取權。例如,以下是從 AWS CLI中 list-grants 命令取得的 JSON 授予表示。
{"Grants": [{
"Operations": ["Decrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
"RetiringPrincipal": "arn:aws:iam::123456789012:root",
"GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
"GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151834E9,
"Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}若要了解何人或何物具有使用 KMS 金鑰的存取權,請查看 "GranteePrincipal" 元素。在上述範例中,承授者主體是與 EC2 執行個體 i-5d476fab 相關聯的擔任角色使用者。EC2 基礎設施使用此角色,將加密的 EBS 磁碟區 vol-5cccfb4e 連接到執行個體。在這種情況下,EC2 基礎設施角色有許可使用 KMS 金鑰,因為您之前建立受此 KMS 金鑰保護的加密 EBS 磁碟區。然後,您將此磁碟區連接到 EC2 執行個體。
以下是從 AWS CLI中 list-grants 命令取得的另一個範例 JSON 授予表示。在下列範例中,承授者委託人是另一個 AWS 帳戶。
{"Grants": [{
"Operations": ["Encrypt"],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "",
"GranteePrincipal": "arn:aws:iam::444455556666:root",
"GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": 1.444151269E9
}]}