Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Contrôle de l'accès aux octrois Vous pouvez contrôler l'accès aux opérations qui créent et gèrent des octrois dans les politiques de clés, les politiques IAM et les octrois. Les principaux qui obtiennent l'autorisation `CreateGrant` d'un octroi ont des [autorisations d'octroi plus limitées](create-grant-overview.md#grant-creategrant). | Opération API | politique de clé ou politique IAM | Grant (Octroi) | | --- | --- | --- | | CreateGrant | ✓ | ✓ | | ListGrants | ✓ | - | | ListRetirableGrants | ✓ | - | | Retirer des octrois | (Limité. Voir [Retrait et révocation d'octrois](grant-delete.md)) | ✓ | | RevokeGrant | ✓ | - | Lorsque vous utilisez une politique clé ou une politique IAM pour contrôler l'accès aux opérations qui créent et gèrent des autorisations, vous pouvez utiliser une ou plusieurs des conditions de politique suivantes pour limiter l'autorisation. AWS KMS prend en charge toutes les clés de condition relatives aux subventions suivantes. Pour plus d'informations et d'exemples, veuillez consulter [AWS KMS clés de condition](conditions-kms.md). [km : GrantConstraintSourceArn](conditions-kms.md#conditions-kms-grant-constraint-source-arn) Permet aux principaux de créer une subvention uniquement lorsque celle-ci inclut une `SourceArn` contrainte avec la valeur spécifiée. [km : GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type) Permet aux principaux de créer un octroi uniquement lorsque l'octroi inclut la [contrainte d'octroi](create-grant-overview.md#grant-constraints)spécifiée. [km : GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal) Autorise les principaux à créer un octroi uniquement pour le [principal bénéficiaire](grants.md#terms-grantee-principal) spécifié. [km : GranteeServicePrincipal](conditions-kms.md#conditions-kms-grantee-service-principal) Permet aux directeurs de créer une subvention uniquement lorsque la subvention spécifie un principal de service particulier pour le bénéficiaire. [km : GrantIsForAWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) Permet aux principaux d'appeler `CreateGrant``ListGrants`, ou `RevokeGrant` uniquement lorsqu'[un AWS service intégré AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) envoie la demande au nom du principal. [km : GrantOperations](conditions-kms.md#conditions-kms-grant-operations) Autorise les principaux à créer un octroi, mais limite l'octroi aux opérations spécifiées. [km : RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal) Permet aux principaux de créer un octroi uniquement lorsque l'octroi spécifie un [principal de retrait](grants.md#terms-retiring-principal). [km : RetiringServicePrincipal](conditions-kms.md#conditions-kms-retiring-service-principal) Permet aux directeurs d'école de créer une subvention uniquement lorsque la subvention spécifie un directeur de service partant à la retraite en particulier.