Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CreateGrant
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la CreateGrantoperación. Para obtener información sobre la creación de subvenciones en AWS KMS, consulteSubvenciones en AWS KMS.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el responseElements.keyId valor, aunque esta operación no devuelva la clave ARN.
En el siguiente ejemplo, se muestra una entrada de CreateGrant registro para una concesión con una restricción de contexto de cifrado.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-11-04T00:53:12Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "encryptionContextSubset": { "ContextKey1": "Value1" } }, "operations": [ "Encrypt", "RetireGrant" ], "granteePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c", "eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
El siguiente ejemplo muestra una entrada de CreateGrant registro para una concesión principal de servicio. Esta concesión utiliza el GranteeServicePrincipal parámetro para especificar un AWS responsable de servicio como beneficiario e incluye una restricción de SourceArn concesión.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2026-03-04T18:22:45Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "sourceArn": "arn:aws:dynamodb:us-east-1:111122223333:table/ExampleTable" }, "operations": [ "Encrypt", "Decrypt", "GenerateDataKey" ], "granteeServicePrincipal": "service-name.amazonaws.com", "retiringServicePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
nota
Cuando se crea una concesión con el GranteeServicePrincipal parámetro, la entrada de CloudTrail registro de la CreateGrant operación incluye un granteeServicePrincipal campo en lugar de. granteePrincipal Del mismo modo, si RetiringServicePrincipal se especifica a, la entrada de registro incluye un retiringServicePrincipal campo en lugar deretiringPrincipal. Esto distingue las subvenciones que se crearon explícitamente GranteeServicePrincipal para un director de AWS servicio de las subvenciones en las que un AWS servicio está representado granteePrincipal sobre el terreno.
