Gestion des balises de clés KMS avec les opérations API - AWS Key Management Service
CreateKey: Ajouter des balises à une nouvelle clé KMSTagResource: ajouter ou modifier des balises pour une clé KMSListResourceTags: Récupère les tags d'une clé KMSUntagResource: Supprimer les balises d'une clé KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des balises de clés KMS avec les opérations API

Vous pouvez utiliser l'API AWS Key Management Service (AWS KMS) pour ajouter, supprimer et répertorier des balises pour les clés KMS que vous gérez. Ces exemples utilisent l'AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge. Vous ne pouvez pas étiqueter de Clés gérées par AWS.

Pour ajouter, modifier, afficher et supprimer des balises d'une clé KMS, vous devez disposer des autorisations requises. Pour plus de détails, veuillez consulter Contrôle de l'accès aux balises.

CreateKey: Ajouter des balises à une nouvelle clé KMS

Vous pouvez ajouter des balises lorsque vous créez une clé gérée par le client. Pour spécifier les balises, utilisez le Tags paramètre de l'CreateKeyopération.

Pour ajouter des balises lors de la création d'une clé KMS, l'appelant doit détenir l'autorisation kms:TagResource dans une politique IAM. Au minimum, l'autorisation doit couvrir toutes les clés KMS du compte et de la région. Pour plus de détails, veuillez consulter Contrôle de l'accès aux balises.

La valeur du paramètre Tags de CreateKey est une collection de paires de clés et de valeurs de balises sensibles à la casse. Chaque balise d'une clé KMS doit avoir un nom de balise différent. La valeur de balise peut être une chaîne vide ou nulle.

Par exemple, la commande AWS CLI suivante crée une clé KMS de chiffrement symétrique avec une balise Project:Alpha. Lorsque vous spécifiez plusieurs paires clé-valeur, utilisez un espace pour séparer chaque paire.

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

Lorsque cette commande aboutit, elle renvoie un objet KeyMetadata contenant des informations sur la nouvelle clé KMS. Cependant, l'objet KeyMetadata n'inclut pas les balises. Pour obtenir les balises, utilisez l'ListResourceTagsopération.

TagResource: ajouter ou modifier des balises pour une clé KMS

L'TagResourceopération ajoute une ou plusieurs balises à une clé KMS. Vous ne pouvez pas utiliser cette opération pour ajouter ou modifier des balises dans un autre Compte AWS.

Pour ajouter une balise, spécifiez de nouvelles clé et valeur de balises. Pour modifier une balise, spécifiez une clé de balise existante et une nouvelle valeur de balise. Chaque balise d'une clé KMS doit avoir une clé de balise différente. La valeur de balise peut être une chaîne vide ou nulle.

Par exemple, la commande suivante ajoute les balises Purpose et Department à un exemple de clé KMS.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

Lorsque cette commande aboutit, elle ne renvoie pas de sortie. Pour afficher les balises d'une clé KMS, utilisez l'ListResourceTagsopération.

Vous pouvez également utiliser TagResource pour modifier la valeur de balise d'une balise existante. Pour remplacer une valeur de balise, spécifiez la même clé de balise avec une valeur différente.

Par exemple, cette commande modifie la valeur de la balise Purpose de Pretest en Test.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test

ListResourceTags: Récupère les tags d'une clé KMS

L'ListResourceTagsopération obtient les balises d'une clé KMS. Le paramètre KeyId est obligatoire. Vous ne pouvez pas utiliser cette opération pour afficher les balises sur les clés KMS dans un autre Compte AWS.

Par exemple, la commande suivante obtient les balises pour un exemple de clé KMS.

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}

UntagResource: Supprimer les balises d'une clé KMS

L'UntagResourceopération supprime les balises d'une clé KMS. Pour identifier les balises à supprimer, spécifiez les clés de balise. Vous ne pouvez pas utiliser cette opération pour supprimer des balises des clés KMS dans un autre Compte AWS.

Lorsque l'opération UntagResource réussit, elle ne renvoie aucune sortie. En outre, si la clé de balise spécifiée n'est pas trouvée sur la clé KMS, elle ne génère pas d'exception ou ne renvoie pas de réponse. Pour vérifier que l'opération a fonctionné, ListResourceTagsutilisez-la.

Par exemple, cette commande supprime la balise Purpose et sa valeur de la clé KMS spécifiée.

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose