As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CreateGrant
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a CreateGrantoperação. Para obter informações sobre a criação de subsídios em AWS KMS, consulteSubsídios em AWS KMS.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no responseElements.keyId valor, mesmo que essa operação não retorne o ARN da chave.
O exemplo a seguir mostra uma entrada de CreateGrant registro para uma concessão com uma restrição de contexto de criptografia.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-11-04T00:53:12Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "encryptionContextSubset": { "ContextKey1": "Value1" } }, "operations": [ "Encrypt", "RetireGrant" ], "granteePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c", "eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
O exemplo a seguir mostra uma entrada de CreateGrant registro para uma concessão principal de serviço. Essa concessão usa o GranteeServicePrincipal parâmetro para especificar um principal AWS de serviço como beneficiário e inclui uma restrição de SourceArn concessão.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2026-03-04T18:22:45Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "sourceArn": "arn:aws:dynamodb:us-east-1:111122223333:table/ExampleTable" }, "operations": [ "Encrypt", "Decrypt", "GenerateDataKey" ], "granteeServicePrincipal": "service-name.amazonaws.com", "retiringServicePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
nota
Quando uma concessão é criada com o GranteeServicePrincipal parâmetro, a entrada de CloudTrail registro da CreateGrant operação inclui um granteeServicePrincipal campo em vez degranteePrincipal. Da mesma forma, se a RetiringServicePrincipal for especificado, a entrada do registro incluirá um retiringServicePrincipal campo em vez deretiringPrincipal. Isso distingue subsídios que foram criados explicitamente GranteeServicePrincipal para um diretor de AWS serviço de subsídios em que um AWS serviço é representado no granteePrincipal campo.