As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # CreateGrant O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação. Para obter informações sobre a criação de subsídios em AWS KMS, consulte[Subsídios em AWS KMS](grants.md). CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave. O exemplo a seguir mostra uma entrada de `CreateGrant` registro para uma concessão com uma restrição de contexto de criptografia. ``` { "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-11-04T00:53:12Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "encryptionContextSubset": { "ContextKey1": "Value1" } }, "operations": [ "Encrypt", "RetireGrant" ], "granteePrincipal": "{{service-name}}.amazonaws.com" }, "responseElements": { "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c", "eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ``` O exemplo a seguir mostra uma entrada de `CreateGrant` registro para uma concessão principal de serviço. Essa concessão usa o `GranteeServicePrincipal` parâmetro para especificar um principal AWS de serviço como beneficiário e inclui uma restrição de `SourceArn` concessão. ``` { "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2026-03-04T18:22:45Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "constraints": { "sourceArn": "arn:aws:dynamodb:us-east-1:111122223333:table/ExampleTable" }, "operations": [ "Encrypt", "Decrypt", "GenerateDataKey" ], "granteeServicePrincipal": "{{service-name}}.amazonaws.com", "retiringServicePrincipal": "{{service-name}}.amazonaws.com" }, "responseElements": { "grantId": "a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2", "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ``` **nota** Quando uma concessão é criada com o `GranteeServicePrincipal` parâmetro, a entrada de CloudTrail registro da `CreateGrant` operação inclui um `granteeServicePrincipal` campo em vez de`granteePrincipal`. Da mesma forma, se a `RetiringServicePrincipal` for especificado, a entrada do registro incluirá um `retiringServicePrincipal` campo em vez de`retiringPrincipal`. Isso distingue subsídios que foram criados explicitamente `GranteeServicePrincipal` para um [diretor de AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) de subsídios em que um AWS serviço é representado no `granteePrincipal` campo.