本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
淘汰和撤銷授予
若要刪除授予,請淘汰或撤銷授予。
RetireGrant 和 RevokeGrant操作彼此非常相似。這兩項操作都會刪除授予,這會消除授予允許的許可。這些操作之間的主要區別在於它們是如何取得授權的。
- RevokeGrant
-
與大多數 AWS KMS 操作一樣,
RevokeGrant操作的存取是透過金鑰政策和IAM政策來控制。任何擁有kms:RevokeGrant許可的委託人RevokeGrantAPI都可以呼叫 。此許可會納入提供給金鑰管理員的標準許可中。一般而言,管理員會撤銷授予,以拒絕授予允許的許可。 - RetireGrant
-
授予決定誰可以將其淘汰。此設計可讓您控制授予的生命週期,而無需變更金鑰政策IAM。一般而言,當您使用其許可完成時,就會淘汰授予。
可以透過授予中指定的選用淘汰主體淘汰授予。承授者主體亦可他淘汰授予,但前提是其也是淘汰主體或包含
RetireGrant操作的授予。作為備份,建立授予 AWS 帳戶 的 可以淘汰授予。有一個
kms:RetireGrant許可可用於 IAM 政策,但其公用程式有限。在授予中指定的主體可以淘汰授予,無需kms:RetireGrant許可。單獨的kms:RetireGrant許可不允許主體淘汰授予。kms:RetireGrant許可在金鑰政策或資源控制政策中無效。-
若要拒絕淘汰授予的許可,您可以在IAM政策中使用具有
kms:RetireGrant許可Deny的動作。 -
AWS 帳戶 擁有KMS金鑰的 可以將
kms:RetireGrant許可委派給帳戶中的 IAM 委託人。 -
如果淘汰委託人不同 AWS 帳戶,其他帳戶中的管理員可以使用
kms:RetireGrant將淘汰授予許可委派給該帳戶中的IAM委託人。
-
AWS KMS API 遵循最終一致性模型。當您建立、淘汰或撤銷授權時,在該變更適用於整個 AWS KMS之前,可能會有短暫延遲。變更傳播到整個系統通常需要不到幾秒鐘的時間,但在某些情況下可能需要幾分鐘。如果您需要立即刪除新的授予,在全部可用之前 AWS KMS,請使用授予權杖來淘汰授予。您無法使用授予字符來撤銷授予。
