本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 控制对授权的访问 您可以控制对在密钥策略、IAM policy 和授权中创建和管理授权的操作的访问权限。从授权中获得 `CreateGrant` 权限的委托人具有[更有限的授权权限](create-grant-overview.md#grant-creategrant)。 | API 操作 | 密钥策略或 IAM policy | 授权 | | --- | --- | --- | | CreateGrant | ✓ | ✓ | | ListGrants | ✓ | - | | ListRetirableGrants | ✓ | - | | 停用授权 | (有限。请参阅 [停用和撤销授权](grant-delete.md)) | ✓ | | RevokeGrant | ✓ | - | 当您使用密钥策略或 IAM 策略来控制对创建和管理授权的操作的访问权限时,您可以使用以下一个或多个策略条件来限制权限。 AWS KMS 支持以下所有与 Grant 相关的条件键。有关详细信息和示例,请参阅 [AWS KMS 条件键](conditions-kms.md)。 [kms: GrantConstraintType](conditions-kms.md#conditions-kms-grant-constraint-type) 允许委托人仅在授权包含指定的[授权约束](create-grant-overview.md#grant-constraints)时创建授权。 [kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) `RevokeGrant`仅当[与之集成的 AWS 服务代表委托人 AWS KMS发送请求时,](https://aws.amazon.com/kms/features/#AWS_Service_Integration)才允许委托人拨打`CreateGrant``ListGrants`、或。 [kms: GrantOperations](conditions-kms.md#conditions-kms-grant-operations) 允许委托人创建授权,但将授权限制为指定操作。 [kms: GranteePrincipal](conditions-kms.md#conditions-kms-grantee-principal) 允许委托人仅为指定的[被授权者委托人](grants.md#terms-grantee-principal)创建授权。 [kms: RetiringPrincipal](conditions-kms.md#conditions-kms-retiring-principal) 允许委托人仅在授权指定特定的[停用委托人](grants.md#terms-retiring-principal)时创建授权。