View a markdown version of this page

Contrôle de l'accès aux octrois - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux octrois

Vous pouvez contrôler l'accès aux opérations qui créent et gèrent des octrois dans les politiques de clés, les politiques IAM et les octrois. Les principaux qui obtiennent l'autorisation CreateGrant d'un octroi ont des autorisations d'octroi plus limitées.

Opération API politique de clé ou politique IAM Grant (Octroi)
CreateGrant
ListGrants -
ListRetirableGrants -
Retirer des octrois (Limité. Voir Retrait et révocation d'octrois)
RevokeGrant -

Lorsque vous utilisez une politique clé ou une politique IAM pour contrôler l'accès aux opérations qui créent et gèrent des autorisations, vous pouvez utiliser une ou plusieurs des conditions de politique suivantes pour limiter l'autorisation. AWS KMS prend en charge toutes les clés de condition relatives aux subventions suivantes. Pour plus d'informations et d'exemples, veuillez consulter AWS KMS clés de condition.

km : GrantConstraintSourceArn

Permet aux principaux de créer une subvention uniquement lorsque celle-ci inclut une SourceArn contrainte avec la valeur spécifiée.

km : GrantConstraintType

Permet aux principaux de créer un octroi uniquement lorsque l'octroi inclut la contrainte d'octroispécifiée.

km : GranteePrincipal

Autorise les principaux à créer un octroi uniquement pour le principal bénéficiaire spécifié.

km : GranteeServicePrincipal

Permet aux directeurs de créer une subvention uniquement lorsque la subvention spécifie un principal de service particulier pour le bénéficiaire.

km : GrantIsForAWSResource

Permet aux principaux d'appeler CreateGrantListGrants, ou RevokeGrant uniquement lorsqu'un AWS service intégré AWS KMS envoie la demande au nom du principal.

km : GrantOperations

Autorise les principaux à créer un octroi, mais limite l'octroi aux opérations spécifiées.

km : RetiringPrincipal

Permet aux principaux de créer un octroi uniquement lorsque l'octroi spécifie un principal de retrait.

km : RetiringServicePrincipal

Permet aux directeurs d'école de créer une subvention uniquement lorsque la subvention spécifie un directeur de service partant à la retraite en particulier.