Verwalten von KMS-Schlüsseltags mit API-Operationen - AWS Key Management Service
CreateKey: Hinzufügen von Tags zu einem neuen KMS-SchlüsselTagResource: Hinzufügen oder Ändern von Tags für einen KMS-SchlüsselListResourceTags: Abrufen der Tags für einen KMS-SchlüsselUntagResource: Löschen von Tags aus einem KMS-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten von KMS-Schlüsseltags mit API-Operationen

Sie können die AWS Key Management Service (AWS KMS)-API zum Hinzufügen, Löschen und Auflisten von Tags für von Ihnen verwaltete KMS-Schlüssels verwenden. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. Sie können Von AWS verwaltete Schlüssel nicht markieren.

Um Tags für einen KMS-Schlüssel hinzuzufügen, zu bearbeiten, anzuzeigen und zu löschen, müssen Sie über die erforderlichen Berechtigungen verfügen. Details hierzu finden Sie unter Steuern des Zugriffs auf Tags.

CreateKey: Hinzufügen von Tags zu einem neuen KMS-Schlüssel

Sie können Tags hinzufügen, wenn Sie einen kundenverwalteten Schlüssel erstellen. Verwenden Sie den -TagsParameter der -CreateKeyOperation, um die Tags anzugeben.

Um Tags beim Erstellen eines KMS-Schlüssels hinzuzufügen, muss der Aufrufer die kms:TagResource-Berechtigung in einer IAM-Richtlinie haben. Die Berechtigung muss mindestens alle KMS-Schlüssel im Konto und in der Region abdecken. Details hierzu finden Sie unter Steuern des Zugriffs auf Tags.

Der Wert des Tags-Parameters von CreateKey ist eine Sammlung von Tag-Schlüssel- und Tag-Wert-Paaren, unter Beachtung der Groß-/Kleinschreibung. Jedes Tag für einen KMS-Schlüssel muss über einen anderen Tag-Namen verfügen. Der Tag-Wert kann auch eine leere (Null) Zeichenfolge sein.

Mit dem folgenden AWS CLI-Befehl wird beispielsweise ein KMS-Schlüssel mit symmetrischer Verschlüsselung mit einem Project:Alpha-Tag erstellt. Wenn Sie mehr als ein Schlüssel-Wert-Paar angeben, verwenden Sie ein Leerzeichen, um die einzelnen Paare zu trennen.

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

Wenn dieser Befehl erfolgreich ist, gibt er ein KeyMetadata-Objekt mit Informationen über den neuen KMS-Schlüssel zurück. Die KeyMetadata enthalten jedoch keine Tags. Um die Tags abzurufen, verwenden Sie die -ListResourceTagsOperation.

TagResource: Hinzufügen oder Ändern von Tags für einen KMS-Schlüssel

Die -TagResourceOperation fügt einem KMS-Schlüssel ein oder mehrere Tags hinzu. Sie können diese Operation nicht verwenden, um Tags in einem anderen AWS-Konto hinzuzufügen oder zu bearbeiten.

Geben Sie zum Hinzufügen eines Tags einen neuen Tag-Schlüssel und einen Tag-Wert an. Um ein Tag zu bearbeiten, geben Sie einen vorhandenen Tag-Schlüssel und einen neuen Tag-Wert an. Jedes Tag für einen KMS-Schlüssel muss über einen anderen Tag-Schlüssel verfügen. Der Tag-Wert kann auch eine leere (Null) Zeichenfolge sein.

Mit dem folgenden Befehl werden z. B. die Purpose- und Department-Tags zu einem Beispiel-KMS-Schlüssel hinzugefügt.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

Wenn der Befehl erfolgreich war, erfolgt keine Ausgabe. Um die Tags für einen KMS-Schlüssel anzuzeigen, verwenden Sie die -ListResourceTagsOperation.

Sie können auch TagResource verwenden, um den Tag-Wert für ein vorhandenes Tag zu ändern. Um einen Tag-Wert zu ersetzen, geben Sie den gleichen Tag-Schlüssel mit einem unterschiedlichen Wert an.

Beispielsweise ändert dieser Befehl den Wert des Purpose-Tag von Pretest auf Test.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test

ListResourceTags: Abrufen der Tags für einen KMS-Schlüssel

Der ListResourceTags Vorgang ruft die Tags für einen KMS-Schlüssel ab. Der Parameter KeyId muss angegeben werden. Sie können diese Operation nicht verwenden, um Tags für KMS-Schlüssel in einem anderen AWS-Konto anzuzeigen.

Der folgende Befehl ruft die Tags für einen Beispiel-KMS-Schlüssel ab.

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}

UntagResource: Löschen von Tags aus einem KMS-Schlüssel

Die -UntagResourceOperation löscht Tags aus einem KMS-Schlüssel. Um die zu löschenden Tags zu identifizieren, geben Sie die Tag-Schlüssel an. Sie können diese Operation nicht verwenden, um Tags aus KMS-Schlüsseln in einem anderen AWS-Konto zu löschen.

Wenn sie erfolgreich ist, gibt die UntagResource-Operation keine Ausgabe zurück. Wenn der angegebene Tag-Schlüssel nicht auf dem KMS-Schlüssel gefunden wird, wird keine Ausnahme ausgelöst und keine Antwort zurückgegeben. Um zu bestätigen, dass der Vorgang funktioniert hat, verwenden Sie den ListResourceTags Vorgang .

Dieser Befehl löscht beispielsweise das Purpose-Tag und alle zugehörigen Werte von dem angegebenen KMS-Schlüssel.

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose