Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi delle concessioni
Le concessioni sono meccanismi avanzati per specificare le autorizzazioni che tu o un servizio AWS integrato con AWS KMS potete utilizzare per specificare come e quando una chiave KMS può essere utilizzata. Le concessioni sono collegate a una chiave KMS; ogni concessione, inoltre, contiene il principale che riceve l'autorizzazione per utilizzare la chiave KMS e un elenco di operazioni consentite. Le concessioni sono un'alternativa alla policy delle chiavi e sono utili per casi d'uso specifici. Per ulteriori informazioni, consulta Sovvenzioni in AWS KMS.
Per ottenere un elenco di concessioni per una chiave KMS, usa l'AWS KMSListGrantsoperazione. Puoi esaminare le concessioni per una chiave KMS per determinare chi o cosa dispone attualmente dell'autorizzazione per utilizzare la chiave KMS tramite tali concessioni. L'esempio seguente è una rappresentazione JSON di una concessione che è stata ottenuta dal comando list-grants nella AWS CLI.
{"Grants": [{ "Operations": ["Decrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "0d8aa621-43ef-4657-b29c-3752c41dc132", "RetiringPrincipal": "arn:aws:iam::123456789012:root", "GranteePrincipal": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-5d476fab", "GrantId": "dc716f53c93acacf291b1540de3e5a232b76256c83b2ecb22cdefa26576a2d3e", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151834E9, "Constraints": {"EncryptionContextSubset": {"aws:ebs:id": "vol-5cccfb4e"}} }]}
Per scoprire chi o cosa dispone dell'autorizzazione per utilizzare la chiave KMS, cerca l'elemento "GranteePrincipal". Nell'esempio precedente, il principale della concessione è un utente del ruolo assunto associato all'istanza EC2 i-5d476fab. L'infrastruttura di EC2 utilizza questo ruolo per collegare il volume EBS crittografato vol-5cccfb4e all'istanza. In questo caso, il ruolo dell'infrastruttura di EC2 dispone dell'autorizzazione per utilizzare la chiave KMS perché in precedenza avevi creato un volume EBS crittografato protetto da questa chiave KMS. e avevi collegato il volume a un'istanza EC2.
L'esempio seguente è un'altra rappresentazione JSON di una concessione che è stata ottenuta dal comando list-grants nella AWS CLI. Nell'esempio seguente, il principale della concessione è un altro Account AWS.
{"Grants": [{ "Operations": ["Encrypt"], "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Name": "", "GranteePrincipal": "arn:aws:iam::444455556666:root", "GrantId": "f271e8328717f8bde5d03f4981f06a6b3fc18bcae2da12ac38bd9186e7925d11", "IssuingAccount": "arn:aws:iam::111122223333:root", "CreationDate": 1.444151269E9 }]}
