本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制對授予的存取
您可以控制在金鑰政策、IAM政策和授予中建立和管理授予的操作存取權。從授予取得 CreateGrant
許可的主體具有更有限的授予許可。
API 操作 | 金鑰政策或IAM政策 | 授權 |
---|---|---|
CreateGrant | ✓ | ✓ |
ListGrants | ✓ | - |
ListRetirableGrants | ✓ | - |
淘汰授予 | (有限。請參閱 淘汰和撤銷授予) | ✓ |
RevokeGrant | ✓ | - |
當您使用金鑰政策或IAM政策來控制對建立和管理授予的操作的存取時,您可以使用下列一或多個政策條件來限制許可。 AWS KMS 支援下列所有授予相關條件金鑰。如需詳細資訊和範例,請參閱 AWS KMS 條件索引鍵。
- 公里:GrantConstraintType
-
僅當授予包含指定的授予限制條件時,才允許主體建立授予。
- 公里:GrantIsForAWSResource
-
允許委託人
RevokeGrant
僅在與 整合 AWS 的服務 AWS KMS代表委託人傳送請求時呼叫 CreateGrant
ListGrants
、 或 。 - 公里:GrantOperations
-
允許主體建立授予,但將授予限制為指定的操作。
- 公里:GranteePrincipal
-
允許主體僅針對指定的承授者主體建立授予。
- 公里:RetiringPrincipal
-
僅當授予指定特定的淘汰主體時,才允許主體建立授予。