기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CreateGrant
다음 예제에서는 CreateGrant 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 에서 권한 부여를 생성하는 방법에 대한 자세한 내용은 섹션을 AWS KMS참조하세요의 권한 부여 AWS KMS.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 responseElements.keyId 값에 포함됩니다.
다음 예제에서는 암호화 컨텍스트 제약 조건이 있는 권한 부여에 대한 CreateGrant 로그 항목을 보여줍니다.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-11-04T00:53:12Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "encryptionContextSubset": { "ContextKey1": "Value1" } }, "operations": [ "Encrypt", "RetireGrant" ], "granteePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c", "eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
다음 예제에서는 서비스 보안 주체 권한 부여에 대한 CreateGrant 로그 항목을 보여줍니다. 이 권한 부여는 GranteeServicePrincipal 파라미터를 사용하여 AWS 서비스 보안 주체를 피부여자로 지정하고 SourceArn 권한 부여 제약 조건을 포함합니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2026-03-04T18:22:45Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "sourceArn": "arn:aws:dynamodb:us-east-1:111122223333:table/ExampleTable" }, "operations": [ "Encrypt", "Decrypt", "GenerateDataKey" ], "granteeServicePrincipal": "service-name.amazonaws.com", "retiringServicePrincipal": "service-name.amazonaws.com" }, "responseElements": { "grantId": "a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
참고
GranteeServicePrincipal 파라미터로 권한 부여가 생성되면 CreateGrant 작업에 대한 CloudTrail 로그 항목에는 대신 granteeServicePrincipal 필드가 포함됩니다granteePrincipal. 마찬가지로이 RetiringServicePrincipal 지정된 경우 로그 항목에는 대신 retiringServicePrincipal 필드가 포함됩니다retiringPrincipal. 이렇게 하면 AWS 서비스 보안 주체에 GranteeServicePrincipal 대해 로 명시적으로 생성된 권한 부여가 granteePrincipal 필드에 AWS 서비스가 표시되는 권한 부여와 구별됩니다.
