控制對授予的存取 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制對授予的存取

您可以控制在金鑰政策、IAM政策和授予中建立和管理授予的操作存取權。從授予取得 CreateGrant 許可的主體具有更有限的授予許可

API 操作 金鑰政策或IAM政策 授權
CreateGrant
ListGrants -
ListRetirableGrants -
淘汰授予 (有限。請參閱 淘汰和撤銷授予)
RevokeGrant -

當您使用金鑰政策或IAM政策來控制對建立和管理授予的操作的存取時,您可以使用下列一或多個政策條件來限制許可。 AWS KMS 支援下列所有授予相關條件金鑰。如需詳細資訊和範例,請參閱 AWS KMS 條件索引鍵

公里:GrantConstraintType

僅當授予包含指定的授予限制條件時,才允許主體建立授予。

公里:GrantIsForAWSResource

允許委託人RevokeGrant僅在與 整合 AWS 的服務 AWS KMS代表委託人傳送請求時呼叫 CreateGrantListGrants、 或 。

公里:GrantOperations

允許主體建立授予,但將授予限制為指定的操作。

公里:GranteePrincipal

允許主體僅針對指定的承授者主體建立授予。

公里:RetiringPrincipal

僅當授予指定特定的淘汰主體時,才允許主體建立授予。