本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 停用和撤销授权 要删除某个授权,请停用或撤销该授权。 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)和[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)操作彼此非常相似。这两个操作都会删除授权,从而消除授权允许的权限。这些操作之间的主要区别在于它们是如何获得授权的。 **RevokeGrant** 与大多数 AWS KMS 操作一样,对`RevokeGrant`操作的访问权限通过[密钥策略](key-policies.md)和 [IAM 策略](iam-policies.md)进行控制。任何`kms:RevokeGrant`获得许可的委托人都可以调用[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)该 API。该权限包含在授予给密钥管理员的标准权限中。通常,管理员会撤销授权以拒绝授权允许的权限。 **RetireGrant** 授权决定谁可以停用它。此设计使您能够控制授权的生命周期,而无需更改密钥策略或 IAM policy。通常,当您使用授权的权限时,将停用授权。 授权可以通过授权中指定的可选[停用委托人](grants.md#terms-retiring-principal)停用。[被授权者委托人](grants.md#terms-grantee-principal)还可以停用授权,但只有当他们也是停用委托人或者授权包括 `RetireGrant` 操作时。作为备份,创建补助金 AWS 账户 的用户可以停用补助金。 有一个可用于 IAM policy 的 `kms:RetireGrant` 权限,但它具有有限的实用工具。授权中指定的委托人无需 `kms:RetireGrant` 权限即可停用授权。单独的 `kms:RetireGrant` 权限不允许委托人停用授权。`kms:RetireGrant` 权限在[密钥策略](key-policies.md)或[资源控制策略](resource-control-policies.md)中无效。 + 要拒绝停用授权的权限,您可以使用 IAM 策略中的 `kms:RetireGrant` 权限来执行 `Deny` 操作。 + 拥有 KMS 密钥的人可以将`kms:RetireGrant`权限委托给账户中的 IAM 委托人。 AWS 账户 + 如果即将退休的委托人不同 AWS 账户,则另一个账户中的管理员可以使用`kms:RetireGrant`向该账户中的 IAM 委托人委托人委托授予撤销授权。 AWS KMS API 遵循[最终一致性](grants.md#terms-eventual-consistency)模型。当您创建、停用或撤销授权时,可能会出现短暂的延迟,才能使更改在整个 AWS KMS中可用。更改通常需要不到几秒钟的时间即可在整个系统中传播,但在某些情况下,可能需要几分钟。如果您需要在新的授权开始使用之前立即将其删除 AWS KMS,[请使用授权令牌](using-grant-token.md)停用该授权。您不能使用授权令牌撤销授权。