Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Retiro y revocación de concesiones
Para eliminar una concesión, retírela o revoquela.
Las RevokeGrantoperaciones RetireGranty son muy similares entre sí. Ambas operaciones eliminan una concesión, lo que elimina los permisos que permite la concesión. La principal diferencia entre estas operaciones es cómo se autorizan.
- RevokeGrant
-
Como la mayoría de AWS KMS las operaciones, el acceso a la
RevokeGrantoperación se controla mediante políticas clave y políticas de IAM. Cualquier director puede llamar a la RevokeGrantAPI conkms:RevokeGrantpermiso. Este permiso está incluido en los permisos estándar otorgados a los administradores de claves. Normalmente, los administradores revocan una concesión para denegar los permisos que permite la concesión. - RetireGrant
-
La concesión determina quién puede retirarla. Este diseño le permite controlar el ciclo de vida de una concesión sin cambiar las políticas de claves o las políticas de IAM. Normalmente, usted retira una concesión cuando ha terminado de usar sus permisos.
Se puede retirar una subvención mediante cualquiera de las siguientes formas:
-
El director o el director de servicio que se jubila especificados en la subvención.
-
El director del concesionario o el director de servicio del concesionario, si la subvención incluye la operación.
RetireGrant -
El lugar Cuenta de AWS en el que se creó la subvención.
Hay un permiso
kms:RetireGrantque se puede utilizar en las políticas de IAM, pero tiene una utilidad limitada. Las entidades principales especificadas en la concesión pueden retirar una concesión sin el permisokms:RetireGrant. El permisokms:RetireGrantpor sí solo no permite a las entidades principales retirar una concesión. El permisokms:RetireGrantno entra en vigor en una política clave o en una políticade control de recursos.-
Para denegar el permiso de retirar una concesión, puede usar una acción
Denycon el permisokms:RetireGranten sus políticas de IAM. -
El Cuenta de AWS propietario de la clave KMS puede delegar el
kms:RetireGrantpermiso a un principal de IAM de la cuenta. -
Si el principal que se retira es otro Cuenta de AWS, los administradores de la otra cuenta pueden delegar el permiso
kms:RetireGrantpara retirar la concesión a un director de IAM de esa cuenta.
-
La AWS KMS API sigue un modelo de coherencia eventual. Al crear, retirar o revocar una concesión, es posible que haya un breve retraso antes de que el cambio esté disponible a través de AWS KMS. Por lo general, el cambio tarda menos de unos segundos en propagarse por todo el sistema, pero en algunos casos puede tardar varios minutos. Si necesitas eliminar una nueva subvención inmediatamente, antes de que esté disponible en todo momento AWS KMS, usa un token de subvención para retirarla. No puede usar un token de concesión para revocar una concesión.