グラントの使用停止と取り消し
グラントを削除するには、グラントの廃止または取り消しをします。
RetireGrant および RevokeGrant オペレーションは、互いに非常によく似ています。どちらのオペレーションもグラントを削除します。これにより、グラントが許可しているアクセス許可が削除されます。これらのオペレーションの主な違いは、オペレーションの認可方法です。
- RevokeGrant
-
ほとんどの AWS KMS オペレーションと同様に、
RevokeGrantオペレーションへのアクセスは、キーポリシーおよび IAM ポリシーによって制御されます。RevokeGrant API は、任意のプリンシパルからkms:RevokeGrantアクセス許可で呼び出すことができます。このアクセス許可は、キー管理者に付与される標準のアクセス許可に含まれています。通常、管理者はグラントを取り消して、グラントが許可するアクセス許可を拒否します。 - RetireGrant
-
グラントでは、グラントを廃止にできる管理者を決定できます。この設計により、キーポリシーや IAM ポリシーを変更することなく、グラントのライフサイクルを制御できます。通常、許可の使用を終了したら、グラントを廃止にします。
グラントは、グラントで指定されたオプションの廃止プリンシパルにより廃止にできます。被付与者プリンシパルもグラントを廃止にできますが、
RetireGrantオペレーションを含むプリンシパルまたはグラントも同時に廃止にする場合に限られます。バックアップとして、グラントが作成された AWS アカウント もグラントを廃止にできます。IAM ポリシーで使用できる
kms:RetireGrantアクセス許可がありますが、ユーティリティは限られています。グラントで指定されたプリンシパルは、kms:RetireGrantアクセス許可なしでグラントを廃止にできます。kms:RetireGrantアクセス許可だけでは、プリンシパルにグラントの廃止を許可できません。kms:RetireGrantアクセス許可は、キーポリシーおよびリソースコントロールポリシーでは有効ではありません。-
グラントを廃止するアクセス許可を拒否するには、IAM ポリシーで
kms:RetireGrantアクセス許可でDenyアクションを使用します。 -
KMS キーを所有する AWS アカウント は、
kms:RetireGrant許可をアカウントの IAM プリンシパルに委任できます。 -
廃止プリンシパルが異なる AWS アカウント の場合、他のアカウントの管理者は
kms:RetireGrantを使用して、そのアカウントの IAM プリンシパルに、グラントを廃止にするアクセス許可を委任できます。
-
AWS KMS API は結果整合性モデルに従います。グラントの作成、廃止、または取り消しを行うと、変更が AWS KMS 全体に適用されるまでに若干の遅延が生じることがあります。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。新しいグラントをすぐに削除する必要がある場合は、グラントが AWS KMS 全体で利用可能になる前に、グラントトークンを使用してグラントを廃止にします。グラントトークンを使用してグラントを取り消すことはできません。
