Я управляю разрешениями KMS для CMK в учетных записях AWS, чтобы подтвердить учетную запись с доступом к ключу (ключам) KMS другой учетной записи. Я использую гранты, а не политики, поскольку AWS предполагает, что они более временные, что соответствует моим потребностям во всех случаях и целей.
Я знаю, что существует максимальный предел грантов на ресурс, поэтому после того, как я предоставил разрешения и они больше не нужны, я должен очистить грант(ы).
Согласно AWS, есть два способа сделать это Retire a grant
или Revoke a grant
. Каждый с немного разными описаниями:
Retire: To retire a grant for an AWS KMS customer master key, use the RetireGrant operation.
You should retire a grant to clean up after you are done using it.
Revoke: To revoke a grant to an AWS KMS customer master key, use the RevokeGrant operation.
You can revoke a grant to explicitly deny operations that depend on it.
Единственная разница в том, что Revoke будет отрицать любые текущие операции или что-то еще? «вы должны отказаться от гранта, когда закончите его использовать», кажется немного расплывчатым, и я хотел бы получить более техническое объяснение.
Может ли кто-нибудь уточнить фактические различия между ними, и я был бы признателен за любые дополнительные ресурсы по этому вопросу.
Ресурсы, которые я использовал:
https://docs.aws.amazon.com/cli/latest/reference/kms/retire-grant.html
https://docs.aws.amazon.com/cli/latest/reference/kms/revoke-grant.html
https://api.spotinst.com/elastigroup-for-aws/tutorials/using-cross-account-kms-key-to-encrypt-ebs-volumes-with-spotinst/
https://docs.aws.amazon.com/kms/latest/developerguide/programming-grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#grant