AWS KMS 停用与撤销授权

Question

我正在跨 AWS 账户管理对 CMK 的 KMS 权限，以证明一个账户可以访问另一个账户的 KMS 密钥我使用的是 Grants 而不是策略，因为 AWS 建议它们更临时，这适合我出于所有意图和目的的需要。

我知道每个资源的授权有最大限制，所以在我授予权限并且不再需要它们之后，我应该清理授权。

根据 AWS，有两种方法可以解决此问题 Retire a grant 或 Revoke a grant。每个都有稍微不同的描述：

Retire: To retire a grant for an AWS KMS customer master key, use the RetireGrant operation.
        You should retire a grant to clean up after you are done using it.

Revoke: To revoke a grant to an AWS KMS customer master key, use the RevokeGrant operation.
        You can revoke a grant to explicitly deny operations that depend on it.

Revoke 将拒绝任何正在进行的操作的唯一区别是还是有更多区别？ "you should retire a grant when you are done using it" 似乎有点含糊，我想要更技术性的解释。

有人可以详细说明两者之间的实际差异吗？如果能提供有关该主题的额外资源，我将不胜感激。

我用过的资源：

https://docs.aws.amazon.com/cli/latest/reference/kms/retire-grant.html
https://docs.aws.amazon.com/cli/latest/reference/kms/revoke-grant.html
https://api.spotinst.com/elastigroup-for-aws/tutorials/using-cross-account-kms-key-to-encrypt-ebs-volumes-with-spotinst/
https://docs.aws.amazon.com/kms/latest/developerguide/programming-grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/grants.html
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#grant

Answer 1

Retire 和 Revoke 都会导致授予 删除并删除它提供的任何权限。 区别在于谁能够执行此操作。

作为密钥拥有者，受制于标准的密钥访问认证过程， 你可以撤销授权。 此外，当您创建赠款时，您可以指定退休原则。 该原则现在可以 "clean up" 并删除此单一授权。

假设你在另一个账户中有一个原则 您需要授予访问权限。 您相信这个原则会在它完成工作后删除它的访问权限。 所以你创建了一个赠款， 以此原则为退休原则 并交付补助金。 你期望工作会完成 以及在本周末 撤回 赠款的原则。 让我们说 3 周后， 您注意到该补助金仍然有效。 然后您 撤销 授权 并联系负责人了解情况。