Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des balises de clés KMS avec les opérations API
Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour ajouter, supprimer et répertorier des balises pour les clés KMS que vous gérez. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI)
Pour ajouter, modifier, afficher et supprimer des balises d'une clé KMS, vous devez disposer des autorisations requises. Pour plus de détails, veuillez consulter Contrôle de l'accès aux balises.
Rubriques
CreateKey: Ajouter des balises à une nouvelle clé KMS
Vous pouvez ajouter des balises lorsque vous créez une clé gérée par le client. Pour spécifier les balises, utilisez le Tags
paramètre de l'CreateKeyopération.
Pour ajouter des balises lors de la création d'une clé KMS, l'appelant doit détenir l'autorisation kms:TagResource
dans une politique IAM. Au minimum, l'autorisation doit couvrir toutes les clés KMS du compte et de la région. Pour plus de détails, veuillez consulter Contrôle de l'accès aux balises.
La valeur du paramètre Tags
de CreateKey
est une collection de paires de clés et de valeurs de balises sensibles à la casse. Chaque balise d'une clé KMS doit avoir un nom de balise différent. La valeur de balise peut être une chaîne vide ou nulle.
Par exemple, la commande AWS CLI suivante crée une clé KMS de chiffrement symétrique avec une balise Project:Alpha
. Lorsque vous spécifiez plusieurs paires clé-valeur, utilisez un espace pour séparer chaque paire.
$
aws kms create-key --tags TagKey=Project,TagValue=Alpha
Lorsque cette commande aboutit, elle renvoie un objet KeyMetadata
contenant des informations sur la nouvelle clé KMS. Cependant, l'objet KeyMetadata
n'inclut pas les balises. Pour obtenir les balises, utilisez l'ListResourceTagsopération.
TagResource: ajouter ou modifier des balises pour une clé KMS
L'TagResourceopération ajoute une ou plusieurs balises à une clé KMS. Vous ne pouvez pas utiliser cette opération pour ajouter ou modifier des balises dans un autre Compte AWS.
Pour ajouter une balise, spécifiez de nouvelles clé et valeur de balises. Pour modifier une balise, spécifiez une clé de balise existante et une nouvelle valeur de balise. Chaque balise d'une clé KMS doit avoir une clé de balise différente. La valeur de balise peut être une chaîne vide ou nulle.
Par exemple, la commande suivante ajoute les balises Purpose
et Department
à un exemple de clé KMS.
$
aws kms tag-resource \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
Lorsque cette commande aboutit, elle ne renvoie pas de sortie. Pour afficher les balises d'une clé KMS, utilisez l'ListResourceTagsopération.
Vous pouvez également utiliser TagResource pour modifier la valeur de balise d'une balise existante. Pour remplacer une valeur de balise, spécifiez la même clé de balise avec une valeur différente.
Par exemple, cette commande modifie la valeur de la balise Purpose
de Pretest
en Test
.
$
aws kms tag-resource \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --tags TagKey=Purpose,TagValue=Test
ListResourceTags: Récupère les tags d'une clé KMS
L'ListResourceTagsopération obtient les balises d'une clé KMS. Le paramètre KeyId
est obligatoire. Vous ne pouvez pas utiliser cette opération pour afficher les balises sur les clés KMS dans un autre Compte AWS.
Par exemple, la commande suivante obtient les balises pour un exemple de clé KMS.
$
aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
"Truncated": false, "Tags": [ { "TagKey": "Project", "TagValue": "Alpha" }, { "TagKey": "Purpose", "TagValue": "Test" }, { "TagKey": "Department", "TagValue": "Finance" } ]
}
UntagResource: Supprimer les balises d'une clé KMS
L'UntagResourceopération supprime les balises d'une clé KMS. Pour identifier les balises à supprimer, spécifiez les clés de balise. Vous ne pouvez pas utiliser cette opération pour supprimer des balises des clés KMS dans un autre Compte AWS.
Lorsque l'opération UntagResource
réussit, elle ne renvoie aucune sortie. En outre, si la clé de balise spécifiée n'est pas trouvée sur la clé KMS, elle ne génère pas d'exception ou ne renvoie pas de réponse. Pour vérifier que l'opération a fonctionné, ListResourceTagsutilisez-la.
Par exemple, cette commande supprime la balise Purpose
et sa valeur de la clé KMS spécifiée.
$
aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose