Amazon web services AWS KMS退役vs撤销授予_Amazon Web Services_Aws Kms

Amazon web services AWS KMS退役vs撤销授予

amazon-web-services

Amazon web services AWS KMS退役vs撤销授予,amazon-web-services,aws-kms,Amazon Web Services,Aws Kms,我正在跨AWS帐户管理CMK的KMS权限，以证明一个帐户可以访问另一个帐户的KMS密钥。我使用的是授权，而不是策略，因为AWS建议它们更为临时，这符合我的所有意图和目的我知道每个资源的授权有一个最大限制，所以在我授予权限并且不再需要它们之后，我应该清理授权根据美国焊接学会的说法，有两种方法来解决这一问题，一种是取消授予，另一种是撤销授予。每个都有稍微不同的描述： Retire: To retire a grant for an AWS KMS customer master key, use

我正在跨AWS帐户管理CMK的KMS权限，以证明一个帐户可以访问另一个帐户的KMS密钥。我使用的是授权，而不是策略，因为AWS建议它们更为临时，这符合我的所有意图和目的

我知道每个资源的授权有一个最大限制，所以在我授予权限并且不再需要它们之后，我应该清理授权

根据美国焊接学会的说法，有两种方法来解决这一问题，一种是

取消授予

，另一种是

撤销授予

。每个都有稍微不同的描述：

Retire: To retire a grant for an AWS KMS customer master key, use the RetireGrant operation.
        You should retire a grant to clean up after you are done using it.

Revoke: To revoke a grant to an AWS KMS customer master key, use the RevokeGrant operation.
        You can revoke a grant to explicitly deny operations that depend on it.

唯一的区别是Revoke将拒绝任何正在进行的操作，还是还有更多？ “当你用完补助金后，你应该退休”似乎有点含糊不清，我想要一个更技术性的解释

如果有人能详细说明两者之间的实际差异，我将不胜感激

我使用的资源：

https://docs.aws.amazon.com/cli/latest/reference/kms/retire-grant.html
https://docs.aws.amazon.com/cli/latest/reference/kms/revoke-grant.html
https://api.spotinst.com/elastigroup-for-aws/tutorials/using-cross-account-kms-key-to-encrypt-ebs-volumes-with-spotinst/
https://docs.aws.amazon.com/kms/latest/developerguide/programming-grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#grant

退休和撤销都会导致授予被取消已删除，并且正在删除它提供的任何权限。区别在于谁能够执行此操作

作为密钥所有者，根据标准密钥访问身份验证流程，你可以撤销授予。此外，当您创建补助金时，您可以指定退休原则。这一原则现在可以“清理”并取消这一单一赠款

假设你在另一个帐户中有一个原则您需要授予访问权限的。您相信此原则会在完成其工作后删除其访问权限。所以你创造了一笔赠款，以这一原则为退休原则并交付赠款。你希望这项工作能完成以及在本周末退休补助金的原则。让我们说3周后，您注意到此授权仍处于活动状态。然后你撤销授予并联系负责人了解发生了什么