Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi delle concessioni
Le sovvenzioni sono meccanismi avanzati per specificare le autorizzazioni che l'utente o un AWS servizio integrato AWS KMS può utilizzare per specificare come e quando è possibile utilizzare una chiave KMS. Le concessioni sono collegate a una chiave KMS; ogni concessione, inoltre, contiene il principale che riceve l'autorizzazione per utilizzare la chiave KMS e un elenco di operazioni consentite. Le concessioni sono un'alternativa alla policy delle chiavi e sono utili per casi d'uso specifici. Per ulteriori informazioni, consulta Sovvenzioni in AWS KMS.
Per ottenere un elenco di concessioni per una chiave KMS, usa l'operazione. AWS KMS ListGrants Puoi esaminare le concessioni per una chiave KMS per determinare chi o cosa dispone attualmente dell'autorizzazione per utilizzare la chiave KMS tramite tali concessioni. L'esempio seguente è una rappresentazione JSON di una concessione che è stata ottenuta dal comando list-grants nella AWS CLI.
{"Grants": [{ "Operations": ["Decrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132", "RetiringPrincipal": "arn:aws:iam::123456789012:root", "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab", "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151834E9, "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}} }]}
Per scoprire chi o cosa dispone dell'autorizzazione per utilizzare la chiave KMS, cerca l'elemento "GranteePrincipal". Nell'esempio precedente, il principale della concessione è un utente del ruolo assunto associato all'istanza EC2 i-5d476fab. L'infrastruttura di EC2 utilizza questo ruolo per collegare il volume EBS crittografato vol-5cccfb4e all'istanza. In questo caso, il ruolo dell'infrastruttura di EC2 dispone dell'autorizzazione per utilizzare la chiave KMS perché in precedenza avevi creato un volume EBS crittografato protetto da questa chiave KMS. e avevi collegato il volume a un'istanza EC2.
L'esempio seguente è un'altra rappresentazione JSON di una concessione che è stata ottenuta dal comando list-grants nella AWS CLI. Nell'esempio seguente, il beneficiario principale è un altro. Account AWS
{"Grants": [{ "Operations": ["Encrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "", "GranteePrincipal": "arn:aws:iam::444455556666:root", "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151269E9 }]}
