Administración de etiquetas de clave KMS con operaciones de la API - AWS Key Management Service
CreateKey: añada etiquetas a una nueva clave de KMSTagResource: Agregue o cambie las etiquetas de una clave KMSListResourceTags: Obtenga las etiquetas de una clave KMSUntagResource: elimina las etiquetas de una clave KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de etiquetas de clave KMS con operaciones de la API

Puede utilizar la API de AWS Key Management Service (AWS KMS) para agregar, eliminar y enumerar etiquetas para las claves KMS que administre. En estos ejemplos, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido. No puede etiquetar Claves administradas por AWS.

Para agregar, editar, ver y eliminar etiquetas de una clave KMS, debe tener los permisos necesarios. Para obtener más detalles, consulte Control del acceso a las etiquetas.

CreateKey: añada etiquetas a una nueva clave de KMS

Puede añadir etiquetas al crear una clave gestionada por el cliente. Para especificar las etiquetas, utilice el Tags parámetro de la CreateKeyoperación.

Para agregar etiquetas al crear una clave KMS, la persona que llama debe tener el permiso kms:TagResource en una política de IAM. Como mínimo, el permiso debe cubrir todas las claves KMS de la cuenta y la región. Para obtener más detalles, consulte Control del acceso a las etiquetas.

El valor del parámetro Tags de CreateKeyes una colección de pares de claves y valores de etiqueta que distinguen mayúsculas y minúsculas. Cada etiqueta de una clave KMS debe tener un nombre de etiqueta diferente. El valor de etiqueta puede ser una cadena vacía o nula.

Por ejemplo, el siguiente comando AWS CLI crea una clave KMS de cifrado simétrica con una etiqueta Project:Alpha. Cuando especifique más de un par de clave-valor, utilice un espacio para separar cada par.

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

Cuando este comando se ejecuta correctamente, devuelve un objeto KeyMetadata con información sobre la nueva clave KMS. Sin embargo, KeyMetadata no incluye etiquetas. Para obtener las etiquetas, utilice la ListResourceTagsoperación.

TagResource: Agregue o cambie las etiquetas de una clave KMS

La TagResourceoperación agrega una o más etiquetas a una clave de KMS. No puede usar esta operación para agregar o editar etiquetas en una Cuenta de AWS diferente.

Para agregar una etiqueta, especifique una clave de etiqueta nueva y un valor de la etiqueta. Para editar una etiqueta, especifique una clave de etiqueta existente y un nuevo valor de etiqueta. Cada etiqueta de una clave KMS debe tener una clave de etiqueta distinta. El valor de etiqueta puede ser una cadena vacía o nula.

Por ejemplo, el siguiente comando agrega las etiquetas Purpose y Department a una clave KMS de ejemplo.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

Si este comando se realiza correctamente, no devuelve ningún resultado. Para ver las etiquetas de una clave KMS, utilice la ListResourceTagsoperación.

También pueden utilizar TagResource para cambiar los valores de una etiqueta existente. Para sustituir los valores de etiqueta, especifique la misma clave de etiqueta con distintos valores.

Por ejemplo, este comando cambia el valor de la etiqueta Purpose de Pretest a Test.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test

ListResourceTags: Obtenga las etiquetas de una clave KMS

La ListResourceTagsoperación obtiene las etiquetas de una clave KMS. El parámetro KeyId es obligatorio. No puede usar esta operación para ver las etiquetas de claves KMS en una Cuenta de AWS diferente.

Por ejemplo, el comando siguiente obtiene las etiquetas para una clave KMS de ejemplo.

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}

UntagResource: elimina las etiquetas de una clave KMS

La UntagResourceoperación elimina las etiquetas de una clave KMS. Para identificar las etiquetas que desea eliminar, especifique las claves de etiqueta. No puede usar esta operación para eliminar etiquetas de claves KMS una Cuenta de AWS diferente.

Cuando tiene éxito, la operación UntagResource no devuelve ningún resultado. Además, si la clave de etiqueta especificada no se encuentra en la clave KMS, no arroja una excepción ni devuelve una respuesta. Para confirmar que la operación ha funcionado, utilice la ListResourceTagsoperación.

Por ejemplo, este comando elimina la etiqueta Purpose y todos sus valores de la clave KMS especificada.

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose