Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schlagworte in AWS KMS
Ein *Tag* ist ein optionales Metadaten-Label, das Sie einer AWS Ressource zuweisen (oder zuweisen AWS können). Jedes Tag besteht aus einem *Tag-Schlüssel* und einem *Tag-Wert*, wobei beide Zeichenfolgen zwischen Groß-/Kleinschreibung unterscheiden. Der Wert kann auch eine leere (Null) Zeichenfolge sein. Jedes Tag auf einer Ressource muss einen anderen Tag-Schlüssel haben, aber Sie können dasselbe Tag mehreren AWS Ressourcen hinzufügen. Eine Ressource kann bis zu 50 Tags besitzen, die von Benutzern erstellt wurden.
Geben Sie keine vertraulichen oder sensiblen Informationen in den Tag-Schlüssel oder Tag-Wert ein. Tags sind für viele zugänglich AWS-Services, auch für die Abrechnung.
In AWS KMS können Sie einem vom Kunden verwalteten Schlüssel bei der Erstellung des KMS-Schlüssels Tags hinzufügen und vorhandene KMS-Schlüssel kennzeichnen oder deren Markierung aufheben, sofern sie nicht [gelöscht werden müssen](key-state.md). Sie können Aliase, benutzerdefinierte Schlüsselspeicher oder KMS-Schlüssel in AWS-eigene Schlüssel anderen nicht kennzeichnen. Von AWS verwaltete Schlüssel AWS-Konten Tags sind optional, aber sie können sehr nützlich sein.
Beispielsweise können Sie ein `"Project"="Alpha"`-Tag allen KMS-Schlüsseln und Amazon-S3-Buckets hinzufügen, die Sie für das Alpha-Projekt verwenden.
```
TagKey = "Project"
TagValue = "Alpha"
```
Allgemeine Informationen zu Tags, einschließlich Format und Syntax, finden Sie unter [AWS Ressourcen taggen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in der. *Allgemeine Amazon Web Services-Referenz*
Tags sind für folgende Aktivitäten nützlich:
+ Identifizieren und organisieren Sie Ihre AWS Ressourcen. Viele AWS Dienste unterstützen Tagging, sodass Sie Ressourcen aus verschiedenen Diensten dasselbe Tag zuweisen können, um anzuzeigen, dass die Ressourcen miteinander verknüpft sind. Sie können beispielsweise einem KMS-Schlüssel und einem Amazon Elastic Block Store (Amazon EBS) -Volume oder AWS Secrets Manager Secret dasselbe Tag zuweisen. Sie können Tags auch zur Identifizierung von KMS-Schlüsseln für die Automatisierung verwenden.
+ Verfolgen Sie Ihre AWS Kosten. Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Sie können diese Funktion verwenden, um die AWS KMS Kosten für ein Projekt, eine Anwendung oder eine Kostenstelle nachzuverfolgen.
Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*. Weitere Informationen über die Regeln, die für die Tag-Schlüssel und Tag-Werte gelten, finden Sie unter [Beschränkungen benutzerdefinierter Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html) im *AWS Billing -Benutzerhandbuch*.
+ Kontrollieren Sie den Zugriff auf Ihre AWS Ressourcen. Das Zulassen und Verweigern des Zugriffs auf KMS-Schlüssel auf der Grundlage ihrer Tags ist Teil der AWS KMS Unterstützung für die [attributebasierte Zugriffskontrolle](abac.md) (ABAC). Hinweise zur Steuerung des Zugriffs auf AWS KMS keys anhand ihrer Tags finden Sie unter. [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md) Weitere allgemeine Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf AWS Ressourcen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
AWS KMS schreibt einen Eintrag in Ihr AWS CloudTrail Protokoll, wenn Sie die [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Operationen [TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md), oder verwenden.
**Topics**
+ [Zugriffssteuerung mit Tags](tag-permissions.md)
+ [Fügen Sie einem KMS-Schlüssel Tags hinzu](add-tags.md)
+ [Bearbeiten Sie die mit einem KMS-Schlüssel verknüpften Tags](edit-tags.md)
+ [Mit einem KMS-Schlüssel verknüpfte Tags entfernen](remove-tags.md)
+ [Mit einem KMS-Schlüssel verknüpfte Tags anzeigen](view-tags.md)
+ [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md)
# Zugriffssteuerung mit Tags
Principals benötigen Tagging-Berechtigungen, um Tags entweder in der AWS KMS Konsole oder mithilfe der API hinzuzufügen, anzuzeigen und zu löschen. Sie können diese Berechtigungen in [Schlüsselrichtlinien](key-policies.md) bereitstellen. Sie können sie auch in IAM-Richtlinien (einschließlich [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)) bereitstellen, aber nur wenn [die Schlüsselrichtlinie es erlaubt](key-policy-default.md#allow-iam-policies). Die [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)verwaltete Richtlinie ermöglicht es Prinzipalen, Tags für alle KMS-Schlüssel, auf die das Konto zugreifen kann, zu taggen, aufzuheben und aufzulisten.
Sie können diese Berechtigungen auch einschränken, indem Sie AWS globale Bedingungsschlüssel für Tags verwenden. AWS KMS In können diese Bedingungen den Zugriff auf Tagging-Operationen wie [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)und [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)steuern.
**Anmerkung**
Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Verwalten von Tags und Aliasen erteilen. Wenn Sie eine Markierung oder einen Alias ändern, wird dadurch die Berechtigung für den kundenverwalteten Schlüssel erteilt oder verweigert. Details dazu finden Sie unter [ABAC für AWS KMS](abac.md) und [Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern](tag-authorization.md).
Beispielrichtlinien und weitere Informationen finden Sie unter [Zugriffssteuerung anhand von Tag-Schlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) im *IAM-Benutzerhandbuch*.
Berechtigungen zum Erstellen und Verwalten von Tags funktionieren wie folgt.
**km: TagResource**
Erlaubt es Prinzipalen, Tags hinzuzufügen oder zu bearbeiten. Um Tags beim Erstellen eines KMS-Schlüssels hinzuzufügen, muss der Prinzipal über die Berechtigung in einer IAM-Richtlinie verfügen, die nicht auf bestimmte KMS-Schlüssel beschränkt ist.
**km: ListResourceTags**
Erlaubt es Prinzipalen, Tags auf KMS-Schlüsseln anzuzeigen.
**km: UntagResource**
Erlaubt es Prinzipalen, Tags aus KMS-Schlüsseln zu löschen.
## Tag-Berechtigungen in Richtlinien
Sie können Markierungs-Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen. Beispielsweise erteilt die folgende Beispiel-Schlüsselrichtlinie ausgewählten Benutzern Markierungs-Berechtigung für den KMS-Schlüssel. Sie erteilt allen Benutzern, die die Beispiel-Administrator- oder Entwicklerrollen übernehmen können, die Berechtigung zum Anzeigen von Tags.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "AllowAllTaggingPermissions",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:user/LeadAdmin",
"arn:aws:iam::111122223333:user/SupportLead"
]},
"Action": [
"kms:TagResource",
"kms:ListResourceTags",
"kms:UntagResource"
],
"Resource": "*"
},
{
"Sid": "AllowRolesViewTags",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:role/Administrator",
"arn:aws:iam::111122223333:role/Developer"
]},
"Action": "kms:ListResourceTags",
"Resource": "*"
}
]
}
```
------
Um Prinzipalen Markierungs-Berechtigung für mehrere KMS-Schlüssel zu erteilen, können Sie eine IAM-Richtlinie verwenden. Damit diese Richtlinie wirksam wird, muss die Schlüsselrichtlinie für jeden KMS-Schlüssel dem Konto erlauben, mithilfe von IAM-Richtlinien den Zugriff auf den KMS-Schlüssel zu steuern.
Beispielsweise kann die folgende IAM-Richtlinie den Prinzipalen erlauben, KMS-Schlüssel zu erstellen. Außerdem erlaubt es ihnen, Tags für alle KMS-Schlüssel im angegebenen Konto zu erstellen und zu verwalten. Diese Kombination ermöglicht es den Prinzipalen, den [Tags-Parameter](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags) des [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs zu verwenden, um einem KMS-Schlüssel während der Erstellung Tags hinzuzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKeys",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource",
"kms:ListResourceTags"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
## Beschränken von Tag-Berechtigungen
Sie können Markierungs-Berechtigungen einschränken, indem Sie [Richtlinienbedingungen](policy-conditions.md) verwenden. Die folgenden Richtlinienbedingungen können auf die `kms:TagResource`- und `kms:UntagResource`-Berechtigungen angewendet werden. Beispielsweise können Sie mit der `aws:RequestTag/tag-key`-Bedingung einem Prinzipal erlauben, nur bestimmte Tags hinzuzufügen, oder verhindern, dass ein Prinzipal Tags mit bestimmten Tag-Schlüsseln hinzufügen kann. Alternativ können Sie auch die `kms:KeyOrigin`-Bedingung verwenden, um zu verhindern, dass Prinzipale KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) markieren oder entmarkieren.
+ [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (nur*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) IAM-Richtlinien)
+ [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [km: ViaService](conditions-kms.md#conditions-kms-via-service)
Eine bewährte Methode bei der Verwendung von Tags zum Steuern des Zugriffs auf KMS-Schlüssel ist die Verwendung der Bedingungsschlüssel `aws:RequestTag/tag-key`oder `aws:TagKeys`, um zu bestimmen, welche Tags (oder Tag-Schlüssel) erlaubt sind.
Die folgende IAM-Richtlinie ähnelt beispielsweise der vorherigen. Diese Richtlinie erlaubt den Prinzipalen jedoch das Erstellen von Tags (`TagResource`) und das Löschen von Tags (`UntagResource`) nur für Tags mit einem `Project`-Tag-Schlüssel.
Da `TagResource` `UntagResource` Anfragen mehrere Tags enthalten können, müssen Sie einen Operator `ForAllValues` or `ForAnyValue` set mit der TagKeys Bedingung [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) angeben. Der `ForAnyValue`-Operator erfordert, dass mindestens einer der Tag-Schlüssel in der Anforderung mit einem der Tag-Schlüssel in der Richtlinie übereinstimmen muss. Der `ForAllValues`-Operator erfordert, dass alle der Tag-Schlüssel in der Anforderung mit einem der Tag-Schlüssel in der Richtlinie übereinstimmen müssen. Der `ForAllValues` Operator gibt auch zurück, `true` wenn die Anfrage keine Tags enthält, schlägt jedoch TagResource UntagResource fehl, wenn keine Tags angegeben sind. Ausführliche Informationen zu den Satz-Operatoren finden Sie unter [Verwenden mehrerer Schlüssel und Werte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKey",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyViewAllTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMPolicyManageTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
}
}
]
}
```
------
# Fügen Sie einem KMS-Schlüssel Tags hinzu
Mithilfe von Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Sie können Tags zu einem vom Kunden verwalteten Schlüssel hinzufügen, wenn Sie [den KMS-Schlüssel erstellen](create-keys.md), oder Tags zu vorhandenen KMS-Schlüsseln hinzufügen. Sie können keine Tags hinzufügen Von AWS verwaltete Schlüssel.
Die folgenden Verfahren zeigen, wie Sie mithilfe der AWS KMS Konsole und der AWS KMS API Tags zu vom Kunden verwalteten Schlüsseln hinzufügen. In den AWS KMS API-Beispielen wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
**Topics**
+ [Hinzufügen von Tags beim Erstellen eines KMS-Schlüssels](#tag-on-create)
+ [Fügen Sie Tags zu vorhandenen KMS-Schlüsseln hinzu](#tag-exisiting)
## Hinzufügen von Tags beim Erstellen eines KMS-Schlüssels
Sie können einem KMS-Schlüssel Tags hinzufügen, während Sie den Schlüssel mithilfe der AWS KMS Konsole oder des [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs erstellen. Um beim Erstellen eines KMS-Schlüssels Tags hinzuzufügen, benötigen Sie `kms:TagResource` zusätzlich zu den zum Erstellen von KMS-Schlüsseln erforderlichen Berechtigungen auch die entsprechenden Berechtigungen in einer IAM-Richtlinie. Die Berechtigung muss mindestens alle KMS-Schlüssel im Konto und in der Region abdecken. Details hierzu finden Sie unter [Zugriffssteuerung mit Tags](tag-permissions.md).
### Verwenden der Konsole AWS KMS
Um beim Erstellen eines KMS-Schlüssels in der Konsole Tags hinzuzufügen, benötigen Sie zusätzlich zu den Berechtigungen, die zum Kennzeichnen und Erstellen von KMS-Schlüsseln erforderlich sind, über die erforderlichen Berechtigungen zum Anzeigen von KMS-Schlüsseln in der Konsole. Die Berechtigung muss mindestens alle KMS-Schlüssel im Konto und in der Region abdecken.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Die Tags von Von AWS verwalteter Schlüssel können Sie nicht verwalten.)
1. Wählen Sie den Schlüsseltyp aus, und wählen Sie dann **Next (Weiter)**.
1. Geben Sie einen Alias und eine optionale Beschreibung ein.
1. Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wenn Sie zusätzliche Tags hinzufügen möchten, wählen Sie **Add new tag (neues Tag hinzufügen)** aus. Zum Entfernen eines Tags wählen Sie **Remove (Entfernen)**. Wählen Sie nach dem Markieren des neuen KMS-Schlüssels **Next (Weiter)**.
1. Schließen Sie das Erstellen des KMS-Schlüssels ab.
### Verwenden der API AWS KMS
Um beim Erstellen von Schlüsseln mithilfe der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operation Tags anzugeben, verwenden Sie den `Tags` Parameter der Operation.
Der Wert des `Tags`-Parameters von `CreateKey` ist eine Sammlung von Tag-Schlüssel- und Tag-Wert-Paaren, unter Beachtung der Groß-/Kleinschreibung. Jedes Tag für einen KMS-Schlüssel muss über einen anderen Tag-Namen verfügen. Der Tag-Wert kann auch eine leere (Null) Zeichenfolge sein.
Mit dem folgenden AWS CLI Befehl wird beispielsweise ein KMS-Schlüssel mit symmetrischer Verschlüsselung und einem `Project:Alpha` Tag erstellt. Wenn Sie mehr als ein Schlüssel-Wert-Paar angeben, verwenden Sie ein Leerzeichen, um die einzelnen Paare zu trennen.
```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```
Wenn dieser Befehl erfolgreich ist, gibt er ein `KeyMetadata`-Objekt mit Informationen über den neuen KMS-Schlüssel zurück. Die `KeyMetadata` enthalten jedoch keine Tags. Verwenden Sie den [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)Vorgang, um die Tags abzurufen.
## Fügen Sie Tags zu vorhandenen KMS-Schlüsseln hinzu
Sie können Ihren vorhandenen, vom Kunden verwalteten KMS-Schlüsseln in der AWS KMS Konsole oder mithilfe des [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Vorgangs Tags hinzufügen. Um Tags hinzuzufügen, benötigen Sie eine Tagging-Berechtigung für den KMS-Schlüssel. Sie können diese Berechtigung von der Schlüsselrichtlinie für den KMS-Schlüssel oder, wenn die Schlüsselrichtlinie dies zulässt, von einer IAM-Richtlinie abrufen, die den KMS-Schlüssel enthält.
### Verwenden der Konsole AWS KMS
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Die Tags von einem Von AWS verwalteter Schlüssel können Sie nicht verwalten.)
1. Sie können den Tabellenfilter verwenden, um nur KMS-Schlüssel mit bestimmten Tags anzuzeigen. Einzelheiten finden Sie unter [Tags mithilfe der Konsole anzeigen](view-tags.md#view-tag-console). AWS KMS
1. Wählen Sie das Kontrollkästchen neben dem Alias für den KMS-Schlüssel.
1. Wählen Sie **Schlüsselaktionen**, **Hinzufügen und Bearbeiten von Tags**.
1. Wählen Sie auf der Detailseite für den KMS-Schlüssel die **Tags**-Registerkarte.
+ Um Ihr erstes Tag zu erstellen, wählen Sie **Create tag (Tag erstellen)** aus, geben Sie einen Tag-Schlüssel (erforderlich) und einen Tag-Wert (optional) ein und wählen Sie dann **Save (Speichern)**.
Wenn Sie den Tag-Wert leer lassen, ist der tatsächliche Tag-Wert eine Null oder eine leere Zeichenfolge.
+ Um ein weiteres Tag hinzuzufügen, wählen Sie **Edit (Bearbeiten)**, wählen Sie dann **Add tag (Tag hinzufügen)**, geben Sie einen Tag-Namen und einen Tag-Wert ein und wählen Sie dann **Save (Speichern)**.
1. Klicken Sie auf **Save changes (Änderungen speichern)**, um die Änderungen zu speichern.
### Die AWS KMS API verwenden
Der [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Vorgang fügt einem KMS-Schlüssel ein oder mehrere Tags hinzu. Sie können diesen Vorgang nicht verwenden, um Tags in einem anderen hinzuzufügen AWS-Konto. Sie können den TagResource Vorgang auch verwenden, um vorhandene Tags zu bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten Sie die mit einem KMS-Schlüssel verknüpften Tags](edit-tags.md).
Geben Sie zum Hinzufügen eines Tags einen neuen Tag-Schlüssel und einen Tag-Wert an. Jedes Tag für einen KMS-Schlüssel muss über einen anderen Tag-Schlüssel verfügen. Der Tag-Wert kann auch eine leere (Null) Zeichenfolge sein.
Mit dem folgenden Befehl werden z. B. die **Purpose**- und **Department**-Tags zu einem Beispiel-KMS-Schlüssel hinzugefügt.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```
Wenn der Befehl erfolgreich war, erfolgt keine Ausgabe. Verwenden Sie den [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgang, um die Tags auf einem KMS-Schlüssel anzuzeigen.
# Bearbeiten Sie die mit einem KMS-Schlüssel verknüpften Tags
Mithilfe von Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Sie können die mit Ihren vom Kunden verwalteten KMS-Schlüsseln verknüpften Tags in der AWS KMS Konsole oder mithilfe des [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Vorgangs bearbeiten. Sie können die Tags eines nicht bearbeiten Von AWS verwalteter Schlüssel.
Die folgenden Verfahren zeigen, wie Sie die mit einem KMS-Schlüssel verknüpften Tags bearbeiten. In den AWS KMS API-Beispielen wird das [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
## Verwenden der AWS KMS Konsole
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Sie können die Tags eines nicht bearbeiten) Von AWS verwalteter Schlüssel
1. Sie können den Tabellenfilter verwenden, um nur KMS-Schlüssel mit bestimmten Tags anzuzeigen. Einzelheiten finden Sie unter [Tags mithilfe der AWS KMS Konsole anzeigen](view-tags.md#view-tag-console).
1. Wählen Sie das Kontrollkästchen neben dem Alias für den KMS-Schlüssel.
1. Wählen Sie **Schlüsselaktionen**, **Hinzufügen und Bearbeiten von Tags**.
1. Wählen Sie auf der Detailseite für den KMS-Schlüssel die **Tags**-Registerkarte.
+ Um den Namen oder den Wert eines Tags zu ändern, wählen Sie **Edit (Bearbeiten)** geben einen Tagnamen und einen Tagwert ein und wählen dann **Save (Speichern)**.
1. Klicken Sie auf **Save changes (Änderungen speichern)**, um die Änderungen zu speichern.
## Die AWS KMS API verwenden
Der [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Vorgang fügt einem vom Kunden verwalteten Schlüssel ein oder mehrere Tags hinzu;. Sie können es jedoch auch verwenden, **TagResource**um den Tag-Wert eines vorhandenen Tags zu ändern. Sie können diese Operation nicht verwenden, um Tags in einem anderen AWS-Konto hinzuzufügen oder zu bearbeiten.
Um ein Tag zu bearbeiten, geben Sie einen vorhandenen Tag-Schlüssel und einen neuen Tag-Wert an. Jedes Tag für einen KMS-Schlüssel muss über einen anderen Tag-Schlüssel verfügen. Der Tag-Wert kann auch eine leere (Null) Zeichenfolge sein.
Beispielsweise ändert dieser Befehl den Wert des `Purpose`-Tag von `Pretest` auf `Test`.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Test
```
# Mit einem KMS-Schlüssel verknüpfte Tags entfernen
Mithilfe von Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Sie können die Tags, die Ihren vom Kunden verwalteten KMS-Schlüsseln zugeordnet sind, in der AWS KMS Konsole oder mithilfe des [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)Vorgangs entfernen. Sie können die Tags eines nicht bearbeiten oder entfernen Von AWS verwalteter Schlüssel.
Die folgenden Verfahren zeigen, wie Tags aus einem KMS-Schlüssel entfernt werden. In den AWS KMS API-Beispielen wird das [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
## Verwenden der AWS KMS Konsole
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Die Tags von einem Von AWS verwalteter Schlüssel können Sie nicht verwalten.)
1. Sie können den Tabellenfilter verwenden, um nur KMS-Schlüssel mit bestimmten Tags anzuzeigen. Einzelheiten finden Sie unter [Tags mithilfe der Konsole anzeigen](view-tags.md#view-tag-console). AWS KMS
1. Wählen Sie das Kontrollkästchen neben dem Alias für den KMS-Schlüssel.
1. Wählen Sie **Schlüsselaktionen**, **Hinzufügen und Bearbeiten von Tags**.
1. Wählen Sie auf der Detailseite für den KMS-Schlüssel die **Tags**-Registerkarte.
+ Um ein Tag zu löschen, wählen Sie zunächst **Edit (Bearbeiten)**. Wählen Sie dann in der Zeile des Tags die Option **Remove (Entfernen)** und dann **Save (Speichern)**.
1. Klicken Sie auf **Save changes (Änderungen speichern)**, um die Änderungen zu speichern.
## Die AWS KMS API verwenden
Der [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)Vorgang löscht Tags aus einem KMS-Schlüssel. Um die zu löschenden Tags zu identifizieren, geben Sie die Tag-Schlüssel an. Sie können diese Operation nicht verwenden, um Tags aus KMS-Schlüsseln in einem anderen AWS-Konto zu löschen.
Wenn sie erfolgreich ist, gibt die `UntagResource`-Operation keine Ausgabe zurück. Wenn der angegebene Tag-Schlüssel nicht auf dem KMS-Schlüssel gefunden wird, wird keine Ausnahme ausgelöst und keine Antwort zurückgegeben. Verwenden Sie den Vorgang, um zu überprüfen, ob der [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgang funktioniert hat.
Dieser Befehl löscht beispielsweise das **Purpose**-Tag und alle zugehörigen Werte von dem angegebenen KMS-Schlüssel.
```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```
# Mit einem KMS-Schlüssel verknüpfte Tags anzeigen
Mithilfe von Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Sie können die Tags, die Ihren vom Kunden verwalteten KMS-Schlüsseln zugeordnet sind, in der AWS KMS Konsole oder mithilfe des [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgangs anzeigen.
Die folgenden Verfahren zeigen, wie Sie die Tags finden, die einem bestimmten KMS-Schlüssel zugeordnet sind. In den AWS KMS API-Beispielen wird das [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet, Sie können jedoch jede unterstützte Programmiersprache verwenden.
## Verwenden der AWS KMS Konsole
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**. (Die Tags von einem Von AWS verwalteter Schlüssel können Sie nicht verwalten.)
1. Sie können den Tabellenfilter verwenden, um nur KMS-Schlüssel mit bestimmten Tags anzuzeigen.
Um nur KMS-Schlüssel mit einem bestimmten Tag anzuzeigen, wählen Sie das Filterfeld aus, wählen Sie den Tag-Schlüssel aus, und wählen Sie dann einen der tatsächlichen Tag-Werte aus. Sie können den Tag-Wert auch ganz oder teilweise eingeben.
Es werden in der Tabelle alle KMS-Schlüssel mit dem ausgewählten Tag angezeigt. Das Tag wird jedoch nicht angezeigt. Um das Tag anzuzeigen, wählen Sie die Schlüssel-ID oder den Alias des KMS-Schlüssels aus und auf der Detailseite die **Tags**-Registerkarte. Die Registerkarte wird unter dem Abschnitt **General Configuration (allgemeine Konfiguration)** angezeigt.
Dieser Filter erfordert sowohl den Tag-Schlüssel als auch den Tag-Wert. Es wird keine KMS-Schlüssel finden, indem nur der Tag-Schlüssel oder nur dessen Wert eingegeben wird. Um Tags ganz oder teilweise nach dem Tag-Schlüssel oder -Wert zu filtern, verwenden Sie den [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgang, um markierte KMS-Schlüssel abzurufen, und verwenden Sie dann die Filterfunktionen Ihrer Programmiersprache.
1. Wählen Sie das Kontrollkästchen neben dem Alias für den KMS-Schlüssel.
1. Wählen Sie **Schlüsselaktionen**, **Hinzufügen und Bearbeiten von Tags**.
1. Wählen Sie auf der Detailseite für den KMS-Schlüssel die **Tags**-Registerkarte.
## Verwenden der AWS KMS API
Der [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Vorgang ruft die Tags für einen KMS-Schlüssel ab. Der Parameter `KeyId` muss angegeben werden. Sie können diese Operation nicht verwenden, um Tags für KMS-Schlüssel in einem anderen AWS-Konto anzuzeigen.
Der folgende Befehl ruft die Tags für einen Beispiel-KMS-Schlüssel ab.
```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
"Truncated": false,
"Tags": [
{
"TagKey": "Project",
"TagValue": "Alpha"
},
{
"TagKey": "Purpose",
"TagValue": "Test"
},
{
"TagKey": "Department",
"TagValue": "Finance"
}
]
}
```
# Verwenden Sie Tags, um den Zugriff auf KMS-Schlüssel zu steuern
Sie können den Zugriff auf AWS KMS keys anhand der Tags auf dem KMS-Schlüssel steuern. Sie können beispielsweise eine IAM-Richtlinie schreiben, die es Prinzipalen nur erlaubt, die KMS-Schlüssel mit einem bestimmten Tag zu aktivieren und zu deaktivieren. Oder Sie können eine IAM-Richtlinie verwenden, um zu verhindern, dass Prinzipale KMS-Schlüssel in kryptografischen Operationen verwenden, es sei denn, der KMS-Schlüssel hat ein bestimmtes Tag.
Diese Funktion ist Teil der AWS KMS Unterstützung für die [attributebasierte Zugriffskontrolle](abac.md) (ABAC). Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf AWS Ressourcen finden Sie unter [Wozu](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dient ABAC? AWS und [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*. Hilfe zur Behebung von Zugriffsproblemen im Zusammenhang mit ABAC finden Sie unter [Problembehandlung bei ABAC für AWS KMS](troubleshooting-tags-aliases.md).
**Anmerkung**
Es kann bis zu fünf Minuten dauern, bis Tag- und Alias-Änderungen Auswirkungen auf die KMS-Schlüsselautorisierung haben. Letzte Änderungen sind möglicherweise in API-Operationen sichtbar, bevor sie sich auf die Autorisierung auswirken.
AWS KMS unterstützt den [globalen [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), mit dem Sie den Zugriff auf KMS-Schlüssel anhand der Tags auf dem KMS-Schlüssel steuern können. Da mehrere KMS-Schlüssel das gleiche Tag haben können, können Sie mit diesem Feature die Berechtigung auf einen ausgewählten Satz von KMS-Schlüsseln anwenden. Sie können die KMS-Schlüssel im Satz auch einfach ändern, indem Sie deren Tags ändern.
In AWS KMS, der `aws:ResourceTag/tag-key` Bedingungsschlüssel wird nur in IAM-Richtlinien unterstützt. Er wird nicht in wichtigen Richtlinien unterstützt, die nur für einen KMS-Schlüssel gelten, oder bei Vorgängen, die keinen bestimmten KMS-Schlüssel verwenden, wie z. B. die [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)Operationen [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)oder.
Die Steuerung des Zugriffs mit Tags bietet eine einfache, skalierbare und flexible Möglichkeit, Berechtigungen zu verwalten. Wenn es jedoch nicht richtig gestaltet und verwaltet wird, kann es versehentlich den Zugriff auf Ihre KMS-Schlüssel zulassen oder verweigern. Wenn Sie Tags verwenden, um den Zugriff zu steuern, sollten Sie die folgenden Methoden berücksichtigen.
+ Verwenden Sie Tags, um beim Zugriff die bewährte Methode der [geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) zu befolgen. Geben Sie IAM-Prinzipalen nur die Berechtigungen ein, die sie nur für die KMS-Schlüssel benötigen, die sie verwenden oder verwalten müssen. Verwenden Sie beispielsweise Tags, um die KMS-Schlüssel zu markieren, die für ein Projekt verwendet werden. Geben Sie dann dem Projektteam die Berechtigung, nur KMS-Schlüssel mit dem Projekt-Tag zu verwenden.
+ Seien Sie vorsichtig, wenn Sie Prinzipalen die `kms:TagResource`- und `kms:UntagResource`-Berechtigung erteilen, mit denen sie Tags hinzufügen, bearbeiten und löschen können. Wenn Sie Tags verwenden, um den Zugriff auf KMS-Schlüssel zu steuern, kann das Ändern eines Tags Prinzipalen die Berechtigung zur Verwendung von KMS-Schlüsseln erteilen, die andernfalls nicht über die Berechtigung verfügen. Es kann auch den Zugriff auf KMS-Schlüssel verweigern, die andere Prinzipale für ihre Aufträge benötigen. Schlüsseladministratoren, die nicht über die Berechtigung zum Ändern von Schlüsselrichtlinien oder zum Erstellen von Erteilungen verfügen, können den Zugriff auf KMS-Schlüssel steuern, wenn sie über die Berechtigung zum Verwalten von Tags verfügen.
Verwenden Sie nach Möglichkeit eine Richtlinienbedingung, z. B. `aws:RequestTag/tag-key` oder `aws:TagKeys` zum [Beschränken der Markierungs-Berechtigungen eines Prinzipals](tag-permissions.md#tag-permissions-conditions) auf bestimmte Tags oder Tag-Muster für bestimmte KMS-Schlüssel.
+ Überprüfen Sie die Prinzipale in Ihrem System AWS-Konto , die derzeit über Berechtigungen zum Markieren und Entmarkieren verfügen, und passen Sie diese gegebenenfalls an. Zum Beispiel enthält die [Standard-Schlüsselrichtlinie für Schlüsseladministratoren](key-policy-default.md#key-policy-default-allow-administrators) der Konsole die `kms:TagResource`- und `kms:UntagResource`-Berechtigung für diesen KMS-Schlüssel. IAM-Richtlinien erlauben vielleicht Markierungs- und Entmarkierungs-Berechtigungen für alle KMS-Schlüssel. Die [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)verwaltete Richtlinie ermöglicht es Prinzipalen beispielsweise, Tags für alle KMS-Schlüssel zu kennzeichnen, aufzuheben und Tags aufzulisten.
+ Bevor Sie eine Richtlinie festlegen, die von einem Tag abhängt, überprüfen Sie die Tags auf den KMS-Schlüsseln in Ihrem. AWS-Konto Stellen Sie sicher, dass Ihre Richtlinie nur für die Tags gilt, die Sie einschließen möchten. Verwenden Sie [CloudTrail Protokolle](logging-using-cloudtrail.md) und [CloudWatch Alarme](monitoring-overview.md), um Sie auf Tagänderungen aufmerksam zu machen, die sich auf den Zugriff auf Ihre KMS-Schlüssel auswirken könnten.
+ Die tag-basierten Richtlinienbedingungen verwenden Musterabgleich; sie sind nicht an eine bestimmte Instance eines Tags gebunden. Eine Richtlinie, die Tag-basierte Bedingungsschlüssel verwendet, wirkt sich auf alle neuen und vorhandenen Tags aus, die dem Muster entsprechen. Wenn Sie ein Tag löschen und neu erstellen, das einer Richtlinienbedingung entspricht, gilt die Bedingung für das neue Tag, genau wie für das alte Tag.
Betrachten Sie beispielsweise die folgende IAM-Richtlinie: Es ermöglicht den Principals, die Operationen [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)und [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) nur für KMS-Schlüssel in Ihrem Konto aufzurufen, die sich in der Region Asien-Pazifik (Singapur) befinden und über ein `"Project"="Alpha"` Tag verfügen. Sie können diese Richtlinie an Rollen im Beispiel Alpha-Projekt anfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyWithResourceTag",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Alpha"
}
}
}
]
}
```
------
Die folgende IAM-Beispielrichtlinie erlaubt es den Prinzipalen, den KMS-Schlüssel im Konto für kryptografische Operationen zu verwenden. Sie verbietet es den Prinzipalen jedoch, diese kryptografischen Operationen für KMS-Schlüssel mit einem `"Type"="Reserved"`-Tag oder keinem `"Type"`-Tag zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMAllowCryptographicOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMDenyOnTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Type": "Reserved"
}
}
},
{
"Sid": "IAMDenyNoTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"Null": {
"aws:ResourceTag/Type": "true"
}
}
}
]
}
```
------