KMS 권한을 통제하는 세 가지 메커니즘은 키 정책(필수, 영구), IAM 정책(위임 시), 그리고 오늘의 주제인 **grant(임시·세밀)**다. 어제까지는 데이터가 어떻게 암호화되는지를 봤다면, 오늘은 "누가, 어떤 조건에서, 얼마 동안 키를 쓸 수 있는가"라는 접근 거버넌스를 다룬다. SCS-C03는 교차계정 키 공유, kms:ViaService 조건, grant의 동작을 매우 자주 출제한다.
키 정책과 IAM이 "정책 문서로 영구히" 권한을 주는 반면, grant는 프로그래밍적으로 부여·취소하는 임시 권한이다. AWS 서비스가 사용자 대신 일시적으로 키를 써야 할 때(예: EBS 볼륨 생성 시 그 볼륨에 한해 복호화 권한 부여) 주로 쓰인다.
grant의 특징:
Decrypt, GenerateDataKey)만 허용.EncryptionContextEquals/EncryptionContextSubset.RetiringPrincipal이 grant를 *은퇴(retire)*시키거나, 권한 있는 주체가 RevokeGrant로 취소(revoke).