本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 淘汰和撤銷授予 若要刪除授予,請淘汰或撤銷授予。 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 和 [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) 操作相互之間非常相似。這兩項操作都會刪除授予,這會消除授予允許的許可。這些操作之間的主要區別在於它們是如何取得授權的。 **RevokeGrant** 與大多數 AWS KMS 操作一樣,`RevokeGrant`操作的存取是透過[金鑰政策和](key-policies.md) [IAM 政策](iam-policies.md)來控制。[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) API 可以由任何具有 `kms:RevokeGrant` 許可的主體呼叫。此許可會納入提供給金鑰管理員的標準許可中。一般而言,管理員會撤銷授予,以拒絕授予允許的許可。 **RetireGrant** 授予決定誰可以將其淘汰。此設計可讓您控制授予的生命週期,而不需變更金鑰政策或 IAM 政策。一般而言,當您使用其許可完成時,就會淘汰授予。 可以透過授予中指定的選用[淘汰主體](grants.md#terms-retiring-principal)淘汰授予。[承授者主體](grants.md#terms-grantee-principal)亦可他淘汰授予,但前提是其也是淘汰主體或包含 `RetireGrant` 操作的授予。作為備份,建立授予 AWS 帳戶 的 可以淘汰授予。 有可以在 IAM 政策中使用的 `kms:RetireGrant` 許可,但其公用程式有限。在授予中指定的主體可以淘汰授予,無需 `kms:RetireGrant` 許可。單獨的 `kms:RetireGrant` 許可不允許主體淘汰授予。`kms:RetireGrant` 許可在[金鑰政策](key-policies.md)或[資源控制政策](resource-control-policies.md)中無效。 + 若要拒絕淘汰授予的許可,您可以在 IAM 政策中使用具有 `kms:RetireGrant`許可`Deny`的動作。 + AWS 帳戶 擁有 KMS 金鑰的 可以將`kms:RetireGrant`許可委派給帳戶中的 IAM 主體。 + 如果淘汰委託人不同 AWS 帳戶,其他帳戶中的管理員可以使用 `kms:RetireGrant`將淘汰授予的許可委派給該帳戶中的 IAM 委託人。 AWS KMS API 遵循[最終一致性](grants.md#terms-eventual-consistency)模型。當您建立、淘汰或撤銷授權時,在該變更適用於整個 AWS KMS之前,可能會有短暫延遲。變更傳播到整個系統通常需要不到幾秒鐘的時間,但在某些情況下可能需要幾分鐘。如果您需要立即刪除新的授予,在全部可用之前 AWS KMS,[請使用授予字符](using-grant-token.md)來淘汰授予。您無法使用授予字符來撤銷授予。