本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢查授與
<a name="determining-access-grants"></a>

授予是進階機制，用於指定您或與 整合的 AWS 服務 AWS KMS 可以使用的許可，以指定 KMS 金鑰的使用方式和時間。授予會連接到 KMS 金鑰，而且每個授予包含獲得使用 KMS 金鑰之許可的主體以及允許的操作清單。授與是金鑰政策的替代選項，適用於特定的使用案例。如需詳細資訊，請參閱[在 中授予 AWS KMS](grants.md)。

若要取得 KMS 金鑰的授予清單，請使用 AWS KMS [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) 操作。您可以檢查 KMS 金鑰的授予，以判斷何人或何物目前具有透過這些授予使用 KMS 金鑰的存取權。例如，以下是從 AWS CLI中 [list-grants](https://docs.aws.amazon.com/cli/latest/reference/kms/list-grants.html) 命令取得的 JSON 授予表示。

```
{"Grants": [{
  "Operations": ["Decrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132",
  "RetiringPrincipal": "arn:aws:iam::123456789012:root",
  "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab",
  "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151834E9,
  "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}}
}]}
```

若要了解何人或何物具有使用 KMS 金鑰的存取權，請查看 `"GranteePrincipal"` 元素。在上述範例中，承授者主體是與 EC2 執行個體 i-5d476fab 相關聯的擔任角色使用者。EC2 基礎設施使用此角色，將加密的 EBS 磁碟區 vol-5cccfb4e 連接到執行個體。在這種情況下，EC2 基礎設施角色有許可使用 KMS 金鑰，因為您之前建立受此 KMS 金鑰保護的加密 EBS 磁碟區。然後，您將此磁碟區連接到 EC2 執行個體。

以下是從 AWS CLI中 [list-grants](https://docs.aws.amazon.com/cli/latest/reference/kms/list-grants.html) 命令取得的另一個範例 JSON 授予表示。在下列範例中，承授者委託人是另一個 AWS 帳戶。

```
{"Grants": [{
  "Operations": ["Encrypt"],
  "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
  "Name": "",
  "GranteePrincipal": "arn:aws:iam::444455556666:root",
  "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "CreationDate": 1.444151269E9
}]}
```