Controlar o acesso a concessões
Você pode controlar o acesso às operações que criam e gerenciam concessões em políticas de chaves, políticas do IAM e concessões. As entidades principais que recebem a permissão CreateGrant de uma concessão tem permissões de concessão mais limitadas.
| Operação de API | Política de chaves ou política do IAM | Concessão |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| Retirar concessões | (Limitado. Consulte Retirar e revogar concessões) | ✓ |
| RevokeGrant | ✓ | - |
Ao usar uma política de chaves ou uma política do IAM para controlar o acesso a operações que criam e gerenciam concessões, você pode usar uma ou mais das seguintes condições de política para limitar a permissão. O AWS KMS oferece suporte a todas as seguintes chaves de condição relacionadas a concessões. Para obter informações e exemplos detalhados, consulte AWS KMSChaves de condição do .
- kms:GrantConstraintType
-
Permite que as entidades principais criem uma concessão somente quando esta inclui a restrição de concessão especificada.
- kms:GrantIsForAWSResource
-
Permite que as entidades principais chamem
CreateGrant,ListGrantsouRevokeGrantsomente quando um serviço da AWS integrado ao AWS KMSenvia a solicitação em nome da entidade principal. - kms:GrantOperations
-
Permite que as entidades principais criem uma concessão, mas limita a concessão às operações especificadas.
- kms:GranteePrincipal
-
Permite que as entidades principais criem uma concessão somente para a entidade principal receptora da concessão.
- kms:RetiringPrincipal
-
Permite que as entidades principais criem uma concessão somente quando esta especifica um entidade principal de retirada.
