Control del acceso a las concesiones

Puede controlar el acceso a las operaciones que crean y administran concesiones en políticas de claves, políticas de IAM y concesiones. Las principales entidades que reciben el permiso CreateGrant de una concesión tienen permisos de concesión más limitados.

Operación de la API	Política de claves o política de IAM	Concesión
CreateGrant	✓	✓
ListGrants	✓	-
ListRetirableGrants	✓	-
Retiro de concesiones	(Limitado. Consulte Retiro y revocación de concesiones)	✓
RevokeGrant	✓	-

Al usar una política de claves o política de IAM para controlar el acceso a las operaciones que crean y administran concesiones, puede usar una o varias condiciones de política para limitar el permiso. AWS KMS admite todas las siguientes claves de condición relacionadas con las concesiones. Para obtener más detalles y ejemplos, consulte AWS KMSClaves de condición de .

kms:GrantConstraintType: Permite a las entidades principales crear una concesión solo cuando la concesión incluye la restricción de concesiones especificada.
kms:GrantIsForAWSResource: Permite a las entidades principales llamar a CreateGrant, ListGrants o RevokeGrant, o bien solo cuando un servicio de AWS que está integrado con AWS KMS envía la solicitud en nombre del principal.
kms:GrantOperations: Permite a las entidades principales crear una concesión, pero limita la concesión a las operaciones especificadas.
kms:GranteePrincipal: Permite a las entidades principales crear una concesión solo para el beneficiario principal.
kms:RetiringPrincipal: Permite a las entidades principales crear una concesión solo cuando la concesión especifica una entidad principal que se retira en particular.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Creación de concesiones