本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制對授予的存取
<a name="grant-authorization"></a>

您可以控制對在金鑰政策、IAM 政策和授予中建立和管理授予之操作的存取。從授予取得 `CreateGrant` 許可的主體具有[更有限的授予許可](create-grant-overview.md#grant-creategrant)。


| API 操作 | 金鑰政策或 IAM 政策 | 授權 | 
| --- | --- | --- | 
| CreateGrant | ✓ | ✓ | 
| ListGrants | ✓ | - | 
| ListRetirableGrants | ✓ | - | 
| 淘汰授予 | (有限。請參閱 [淘汰和撤銷授予](grant-delete.md)) | ✓ | 
| RevokeGrant | ✓ | - | 

當您使用金鑰政策或 IAM 政策來控制對建立和管理授予之操作的存取時，您可以使用下列一或多個政策條件來限制許可。 AWS KMS 支援下列所有授予相關條件金鑰。如需詳細資訊和範例，請參閱 [AWS KMS 條件索引鍵](conditions-kms.md)。

[kms:GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type)  
僅當授予包含指定的[授予限制條件](create-grant-overview.md#grant-constraints)時，才允許主體建立授予。

[kms:GrantIsForAWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource)  
`RevokeGrant` 只有在[與 整合 AWS 的服務 AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)代表委託人傳送請求時`CreateGrant`，允許委託人呼叫 `ListGrants`、 或 。

[kms:GrantOperations](conditions-kms.md#conditions-kms-grant-operations)  
允許主體建立授予，但將授予限制為指定的操作。

[kms:GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal)  
允許主體僅針對指定的[承授者主體](grants.md#terms-grantee-principal)建立授予。

[kms:RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal)  
僅當授予指定特定的[淘汰主體](grants.md#terms-retiring-principal)時，才允許主體建立授予。