Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tag di AWS KMS
<a name="tagging-keys"></a>

*Tag adalah label* metadata opsional yang dapat Anda tetapkan (atau AWS dapat ditetapkan) ke sumber daya. AWS Setiap tanda terdiri dari *kunci tanda* dan *nilai tanda*, keduanya adalah string peka huruf besar/kecil. Nilai tanda bisa berupa string kosong (null). Setiap tag pada sumber daya harus memiliki kunci tag yang berbeda, tetapi Anda dapat menambahkan tag yang sama ke beberapa AWS sumber daya. Setiap sumber daya dapat memiliki hingga 50 tanda yang dibuat pengguna.

Jangan sertakan informasi rahasia atau sensitif dalam kunci tag atau nilai tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk penagihan.

[Di AWS KMS, Anda dapat menambahkan tag ke kunci terkelola pelanggan saat Anda membuat kunci KMS, dan menandai atau menghapus tag kunci KMS yang ada kecuali mereka menunggu penghapusan.](key-state.md) Anda tidak dapat menandai alias, toko kunci khusus, Kunci yang dikelola AWSKunci milik AWS, atau kunci KMS di lainnya. Akun AWS Tanda adalah opsional, tetapi tanda bisa sangat berguna.

Misalnya, Anda dapat menambahkan `"Project"="Alpha"` tag ke semua kunci KMS dan bucket Amazon S3 yang Anda gunakan untuk proyek Alpha.

```
TagKey   = "Project"
TagValue = "Alpha"
```

Untuk informasi umum tentang tag, termasuk format dan sintaks, lihat [Menandai AWS sumber daya](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) di. *Referensi Umum Amazon Web*

Tanda membantu Anda melakukan hal berikut:
+ Identifikasi dan atur AWS sumber daya Anda. Banyak AWS layanan mendukung penandaan, sehingga Anda dapat menetapkan tag yang sama ke sumber daya dari layanan yang berbeda untuk menunjukkan bahwa sumber daya terkait. Misalnya, Anda dapat menetapkan tag yang sama ke kunci KMS dan volume atau rahasia Amazon Elastic Block Store (Amazon EBS) EBS). AWS Secrets Manager Anda juga dapat menggunakan tag untuk mengidentifikasi kunci KMS untuk otomatisasi.
+ Lacak AWS biaya Anda. Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Anda dapat menggunakan fitur ini untuk melacak AWS KMS biaya proyek, aplikasi, atau pusat biaya.

  Untuk informasi selengkapnya tentang penggunaan tanda untuk alokasi biaya, lihat [Menggunakan Tanda Alokasi Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *. Untuk informasi tentang aturan untuk kunci tanda dan nilai tanda, lihat [Pembatasan Tanda Ditetapkan Pengguna](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html) di *AWS Billing Panduan Pengguna*.
+ Kontrol akses ke AWS sumber daya Anda. Mengizinkan dan menolak akses ke kunci KMS berdasarkan tag mereka adalah bagian dari AWS KMS dukungan untuk [kontrol akses berbasis atribut](abac.md) (ABAC). Untuk informasi tentang mengontrol akses AWS KMS keys berdasarkan tag mereka, lihat[Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md). Untuk informasi umum selengkapnya tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat [Mengontrol Akses ke AWS Sumber Daya Menggunakan Tag Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.

AWS KMS menulis entri ke AWS CloudTrail log Anda saat Anda menggunakan [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), atau [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operasi.

**Topics**
+ [Pengontrolan akses ke tanda](tag-permissions.md)
+ [Tambahkan tag ke kunci KMS](add-tags.md)
+ [Edit tag yang terkait dengan kunci KMS](edit-tags.md)
+ [Hapus tag yang terkait dengan kunci KMS](remove-tags.md)
+ [Lihat tag yang terkait dengan kunci KMS](view-tags.md)
+ [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md)

# Pengontrolan akses ke tanda
<a name="tag-permissions"></a>

Untuk menambah, melihat, dan menghapus tag, baik di AWS KMS konsol atau dengan menggunakan API, prinsipal memerlukan izin penandaan. Anda dapat memberikan izin ini di [kebijakan kunci](key-policies.md). Anda juga dapat memberikannya dalam kebijakan IAM (termasuk [kebijakan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)), tetapi hanya jika [kebijakan kunci mengizinkannya](key-policy-default.md#allow-iam-policies). Kebijakan [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)terkelola memungkinkan prinsipal untuk menandai, menghapus tag, dan mencantumkan tag pada semua kunci KMS yang dapat diakses akun. 

Anda juga dapat membatasi izin ini dengan menggunakan kunci kondisi AWS global untuk tag. Dalam AWS KMS, kondisi ini dapat mengontrol akses ke operasi penandaan, seperti [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)dan [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html).

**catatan**  
Berhati-hatilah saat memberikan izin prinsipal untuk mengelola tanda dan alias. Mengubah tag atau alias dapat mengizinkan atau menolak izin ke kunci yang dikelola pelanggan. Untuk detailnya, lihat [ABAC untuk AWS KMS](abac.md) dan [Gunakan tag untuk mengontrol akses ke tombol KMS](tag-authorization.md).

Untuk kebijakan contoh dan informasi lebih lanjut, lihat [Mengontrol Akses Berdasarkan Kunci Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) di *Panduan Pengguna IAM*.

Izin untuk membuat dan mengelola tanda bekerja sebagai berikut.

**km: TagResource**  
Memungkinkan prinsipal untuk menambah atau mengedit tanda. Untuk menambahkan tag saat membuat kunci KMS, prinsipal harus memiliki izin dalam kebijakan IAM yang tidak terbatas pada kunci KMS tertentu.

**km: ListResourceTags**  
Memungkinkan prinsipal untuk melihat tag pada tombol KMS.

**km: UntagResource**  
Memungkinkan prinsipal untuk menghapus tag dari kunci KMS.

## Izin tanda dalam kebijakan
<a name="tag-permission-examples"></a>

Anda dapat memberikan izin penandaan dalam kebijakan kunci atau kebijakan IAM. Misalnya, kebijakan kunci contoh berikut memberikan izin penandaan pengguna tertentu pada kunci KMS. Ini memberikan semua pengguna yang dapat mengasumsikan contoh peran Administrator atau Developer izin untuk melihat tanda.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "EnableIAMUserPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowAllTaggingPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
          "kms:TagResource",
          "kms:ListResourceTags",
          "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowRolesViewTags",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:role/Administrator",
        "arn:aws:iam::111122223333:role/Developer"
      ]},
      "Action": "kms:ListResourceTags",
      "Resource": "*"
    }
  ]
}
```

------

Untuk memberikan izin penandaan prinsipal pada beberapa kunci KMS, Anda dapat menggunakan kebijakan IAM. Agar kebijakan ini efektif, kebijakan kunci untuk setiap kunci KMS harus mengizinkan akun menggunakan kebijakan IAM untuk mengontrol akses ke kunci KMS.

Misalnya, kebijakan IAM berikut memungkinkan prinsipal untuk membuat kunci KMS. Ini juga memungkinkan mereka untuk membuat dan mengelola tag pada semua kunci KMS di akun yang ditentukan. Kombinasi ini memungkinkan prinsipal untuk menggunakan parameter [Tag [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags)operasi untuk menambahkan tag ke kunci KMS saat mereka membuatnya. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ListResourceTags"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }    
  ]
}
```

------

## Membatasi izin tanda
<a name="tag-permissions-conditions"></a>

Anda dapat membatasi izin penandaan dengan menggunakan [ketentuan kebijakan](policy-conditions.md). Kondisi kebijakan berikut dapat diterapkan ke izin `kms:TagResource` dan `kms:UntagResource`. Misalnya, Anda dapat menggunakan kondisi `aws:RequestTag/tag-key` mengizinkan prinsipal untuk menambahkan hanya tanda tertentu, atau mencegah prinsipal menambahkan tanda dengan kunci tanda tertentu. [Atau, Anda dapat menggunakan `kms:KeyOrigin` kondisi ini untuk mencegah prinsipal menandai atau melepas tag kunci KMS dengan bahan kunci yang diimpor.](importing-keys.md) 
+ [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (hanya*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) kebijakan IAM)
+ [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [km: ViaService](conditions-kms.md#conditions-kms-via-service)

Sebagai praktik terbaik saat Anda menggunakan tag untuk mengontrol akses ke kunci KMS, gunakan tombol `aws:RequestTag/tag-key` atau `aws:TagKeys` kondisi untuk menentukan tag (atau kunci tag) mana yang diizinkan.

Sebagai contoh, kebijakan IAM berikut ini mirip dengan yang sebelumnya. Namun, kebijakan ini memungkinkan prinsipal untuk membuat tanda (`TagResource`) dan menghapus tanda `UntagResource` hanya untuk tanda dengan kunci tanda `Project`.

Karena `TagResource` dan `UntagResource` permintaan dapat menyertakan beberapa tag, Anda harus menentukan operator `ForAllValues` atau `ForAnyValue` set dengan TagKeys kondisi [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). Operator `ForAnyValue` mensyaratkan bahwa setidaknya salah satu kunci tanda dalam permintaan cocok dengan salah satu kunci tanda dalam kebijakan. Operator `ForAllValues` mensyaratkan bahwa semua kunci tanda dalam permintaan cocok dengan salah satu kunci tanda dalam kebijakan. `ForAllValues`Operator juga kembali `true` jika tidak ada tag dalam permintaan, tetapi TagResource dan UntagResource gagal ketika tidak ada tag yang ditentukan. Untuk detail tentang operator set, lihat [Gunakan beberapa kunci dan nilai](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) di *Panduan Pengguna IAM*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "kms:ListResourceTags",
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}
```

------

# Tambahkan tag ke kunci KMS
<a name="add-tags"></a>

Tag membantu mengidentifikasi dan mengatur AWS sumber daya Anda. Anda dapat menambahkan tag ke kunci yang dikelola pelanggan saat [membuat kunci KMS, atau menambahkan tag ke kunci](create-keys.md) KMS yang ada. Anda tidak dapat menandai Kunci yang dikelola AWS.

Prosedur berikut menunjukkan cara menambahkan tag ke kunci yang dikelola pelanggan menggunakan AWS KMS konsol dan AWS KMS API. Contoh AWS KMS API menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

**Topics**
+ [Tambahkan tag saat membuat kunci KMS](#tag-on-create)
+ [Tambahkan tag ke kunci KMS yang ada](#tag-exisiting)

## Tambahkan tag saat membuat kunci KMS
<a name="tag-on-create"></a>

Anda dapat menambahkan tag ke kunci KMS saat Anda membuat kunci menggunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi. Untuk menambahkan tag saat membuat kunci KMS, Anda harus memiliki `kms:TagResource` izin dalam kebijakan IAM selain izin yang diperlukan untuk membuat kunci KMS. Minimal, izin harus mencakup semua kunci KMS di akun dan Wilayah. Lihat perinciannya di [Pengontrolan akses ke tanda](tag-permissions.md).

### Menggunakan AWS KMS konsol
<a name="tag-on-create-console"></a>

Untuk menambahkan tag saat membuat kunci KMS di konsol, Anda harus memiliki izin yang diperlukan untuk melihat kunci KMS di konsol selain izin yang diperlukan untuk menandai dan membuat kunci KMS. Minimal, izin harus mencakup semua kunci KMS di akun dan Wilayah.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**. (Anda tidak dapat mengelola tag dari Kunci yang dikelola AWS)

1. Pilih jenis kunci, lalu pilih **Selanjutnya**.

1. Masukkan deskripsi alias dan opsional.

1. Masukkan kunci tanda dan, sebagai pilihan, nilai tanda. Untuk menambahkan tanda tambahan, pilih **Tambahkan tanda**. Untuk menghapus sebuah tanda, pilih **Hapus**. **Setelah selesai menandai kunci KMS baru, pilih Berikutnya.**

1. Selesai membuat kunci KMS Anda.

### Menggunakan AWS KMS API
<a name="tagging-keys-create-key"></a>

Untuk menentukan tag saat membuat kunci menggunakan [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi, gunakan `Tags` parameter operasi. 

Nilai dari parameter `Tags` dari `CreateKey` adalah kumpulan kunci tanda peka huruf besar/kecil dan pasangan nilai kunci. Setiap tag pada kunci KMS harus memiliki nama tag yang berbeda. Nilai tanda bisa berupa string kosong atau null.

Misalnya, AWS CLI perintah berikut membuat kunci KMS enkripsi simetris dengan `Project:Alpha` tag. Saat menentukan lebih dari satu pasangan nilai kunci, gunakan spasi untuk memisahkan setiap pasangan.

```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```

Ketika perintah ini berhasil, ia mengembalikan `KeyMetadata` objek dengan informasi tentang kunci KMS baru. Namun, `KeyMetadata` tidak termasuk tanda. Untuk mendapatkan tag, gunakan [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)operasi.

## Tambahkan tag ke kunci KMS yang ada
<a name="tag-exisiting"></a>

Anda dapat menambahkan tag ke kunci KMS yang dikelola pelanggan yang ada di AWS KMS konsol atau dengan menggunakan [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operasi. Untuk menambahkan tag, Anda memerlukan izin penandaan pada kunci KMS. Anda bisa mendapatkan izin ini dari kebijakan kunci untuk kunci KMS atau, jika kebijakan kunci mengizinkannya, dari kebijakan IAM yang menyertakan kunci KMS.

### Menggunakan AWS KMS konsol
<a name="tag-existing-console"></a>

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**. (Anda tidak dapat mengelola tag dari Kunci yang dikelola AWS)

1. Anda dapat menggunakan filter tabel untuk menampilkan hanya tombol KMS dengan tag tertentu. Untuk detailnya, [lihat Melihat tag menggunakan AWS KMS konsol](view-tags.md#view-tag-console).

1. Pilih kotak centang di sebelah alias tombol KMS.

1. Pilih **Tindakan kunci**, **Menambah atau mengedit tanda**.

1. Pada halaman detail untuk kunci KMS, pilih tab **Tag**.
   + Untuk membuat tanda pertama Anda, pilih **Buat tanda**, ketik kunci tanda (diperlukan) dan nilai tag (opsional), kemudian pilih **Simpan**.

     Jika Anda membiarkan nilai tanda kosong, nilai tanda yang sebenarnya adalah string null atau kosong.
   + Untuk menambahkan tanda, pilih **Edit**, pilih **Tambahkan tanda**, ketik kunci tanda dan nilai tanda, kemudian pilih **Simpan**.

1. Untuk menyimpan perubahan Anda, memilih **Simpan perubahan**.

### Menggunakan AWS KMS API
<a name="tagging-keys-tag-resource"></a>

[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Operasi menambahkan satu atau lebih tag ke kunci KMS. Anda tidak dapat menggunakan operasi ini untuk menambahkan tag yang berbeda Akun AWS. Anda juga dapat menggunakan TagResource operasi untuk mengedit tag yang ada. Untuk informasi selengkapnya, lihat [Edit tag yang terkait dengan kunci KMS](edit-tags.md).

Untuk menambahkan tanda, tentukan kunci tanda baru dan nilai tanda. Setiap tag pada kunci KMS harus memiliki kunci tag yang berbeda. Nilai tanda bisa berupa string kosong atau null.

Misalnya, perintah berikut menambahkan **Purpose** dan **Department** tag ke kunci KMS contoh.

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```

Ketika perintah ini berhasil, maka tidak mengembalikan output apa pun. Untuk melihat tag pada kunci KMS, gunakan [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operasi.

# Edit tag yang terkait dengan kunci KMS
<a name="edit-tags"></a>

Tag membantu mengidentifikasi dan mengatur AWS sumber daya Anda. Anda dapat mengedit tag yang terkait dengan kunci KMS yang dikelola pelanggan Anda di AWS KMS konsol atau dengan menggunakan [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operasi. Anda tidak dapat mengedit tag dari file Kunci yang dikelola AWS.

Prosedur berikut menunjukkan cara mengedit tag yang terkait dengan kunci KMS. Contoh AWS KMS API menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

## Menggunakan AWS KMS konsol
<a name="edit-tag-console"></a>

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**. (Anda tidak dapat mengedit tag dari Kunci yang dikelola AWS)

1. Anda dapat menggunakan filter tabel untuk menampilkan hanya tombol KMS dengan tag tertentu. Untuk detailnya, [lihat Melihat tag menggunakan AWS KMS konsol](view-tags.md#view-tag-console).

1. Pilih kotak centang di sebelah alias tombol KMS.

1. Pilih **Tindakan kunci**, **Menambah atau mengedit tanda**.

1. Pada halaman detail untuk kunci KMS, pilih tab **Tag**.
   + Untuk mengubah nama atau nilai tanda, pilih **Edit**, buat perubahan, lalu pilih **Simpan**.

1. Untuk menyimpan perubahan Anda, memilih **Simpan perubahan**.

## Menggunakan AWS KMS API
<a name="tag-existing-api"></a>

[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)Operasi menambahkan satu atau beberapa tag ke kunci yang dikelola pelanggan;. Namun, Anda juga dapat menggunakan **TagResource**untuk mengubah nilai tag tag yang ada. Anda tidak dapat menggunakan operasi ini untuk menambah atau mengedit tanda dalam Akun AWS berbeda.

Untuk mengedit tanda, tentukan kunci tanda yang sudah ada dan nilai tanda baru. Setiap tag pada kunci KMS harus memiliki kunci tag yang berbeda. Nilai tanda bisa berupa string kosong atau null.

Sebagai contoh, perintah ini mengubah nilai tanda `Purpose` dari `Pretest` ke `Test`.

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test
```

# Hapus tag yang terkait dengan kunci KMS
<a name="remove-tags"></a>

Tag membantu mengidentifikasi dan mengatur AWS sumber daya Anda. Anda dapat menghapus tag yang terkait dengan kunci KMS yang dikelola pelanggan Anda di AWS KMS konsol atau dengan menggunakan [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operasi. Anda tidak dapat mengedit atau menghapus tag dari file Kunci yang dikelola AWS.

Prosedur berikut menunjukkan cara menghapus tag dari kunci KMS. Contoh AWS KMS API menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

## Menggunakan AWS KMS konsol
<a name="delete-tag-console"></a>

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**. (Anda tidak dapat mengelola tag dari Kunci yang dikelola AWS)

1. Anda dapat menggunakan filter tabel untuk menampilkan hanya tombol KMS dengan tag tertentu. Untuk detailnya, [lihat Melihat tag menggunakan AWS KMS konsol](view-tags.md#view-tag-console).

1. Pilih kotak centang di sebelah alias tombol KMS.

1. Pilih **Tindakan kunci**, **Menambah atau mengedit tanda**.

1. Pada halaman detail untuk kunci KMS, pilih tab **Tag**.
   + Untuk menghapus sebuah tanda, pilih **Edit**. Pada baris tanda, pilih **Hapus**, lalu pilih **Simpan**.

1. Untuk menyimpan perubahan Anda, memilih **Simpan perubahan**.

## Menggunakan AWS KMS API
<a name="tagging-keys-untag-resource"></a>

[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)Operasi menghapus tag dari kunci KMS. Untuk mengidentifikasi tanda yang akan dihapus, tentukan kunci tanda. Anda tidak dapat menggunakan operasi ini untuk menghapus tag dari kunci KMS yang berbeda Akun AWS.

Ketika berhasil, operasi `UntagResource` tidak mengembalikan output apa pun. Juga, jika kunci tag yang ditentukan tidak ditemukan pada kunci KMS, itu tidak membuang pengecualian atau mengembalikan respons. Untuk mengonfirmasi bahwa operasi berhasil, gunakan [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operasi.

Misalnya, perintah ini menghapus **Purpose** tag dan nilainya dari kunci KMS yang ditentukan.

```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```

# Lihat tag yang terkait dengan kunci KMS
<a name="view-tags"></a>

Tag membantu mengidentifikasi dan mengatur AWS sumber daya Anda. Anda dapat melihat tag yang terkait dengan kunci KMS yang dikelola pelanggan Anda di AWS KMS konsol atau dengan menggunakan [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operasi.

Prosedur berikut menunjukkan cara menemukan tag yang terkait dengan kunci KMS tertentu. Contoh AWS KMS API menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

## Menggunakan AWS KMS konsol
<a name="view-tag-console"></a>

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**. (Anda tidak dapat mengelola tag dari Kunci yang dikelola AWS)

1. Anda dapat menggunakan filter tabel untuk menampilkan hanya tombol KMS dengan tag tertentu.

   Untuk hanya menampilkan tombol KMS dengan tag tertentu, pilih kotak filter, pilih kunci tag, lalu pilih dari antara nilai tag yang sebenarnya. Anda juga dapat mengetik semua atau sebagian nilai tanda.

   Tabel yang dihasilkan menampilkan semua kunci KMS dengan tag yang dipilih. Namun, itu tidak menampilkan tanda. Untuk melihat tag, pilih ID kunci atau alias tombol KMS dan pada halaman detailnya, pilih tab **Tag**. Tab muncul di bawah bagian **Konfigurasi umum**.

   Filter ini membutuhkan kunci tag dan nilai tag. Itu tidak akan menemukan kunci KMS dengan mengetik hanya kunci tag atau hanya nilainya. Untuk memfilter tag berdasarkan semua atau sebagian kunci tag atau nilai, gunakan [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operasi untuk mendapatkan tombol KMS yang diberi tag, lalu gunakan fitur pemfilteran bahasa pemrograman Anda.

1. Pilih kotak centang di sebelah alias tombol KMS.

1. Pilih **Tindakan kunci**, **Menambah atau mengedit tanda**.

1. Pada halaman detail untuk kunci KMS, pilih tab **Tag**.

## Menggunakan AWS KMS API
<a name="tagging-keys-list-resource-tags"></a>

[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)Operasi mendapatkan tag untuk kunci KMS. parameter `KeyId` diperlukan. Anda tidak dapat menggunakan operasi ini untuk melihat tag pada tombol KMS secara berbeda Akun AWS.

Misalnya, perintah berikut mendapatkan tag untuk kunci KMS contoh.

```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}
```

# Gunakan tag untuk mengontrol akses ke tombol KMS
<a name="tag-authorization"></a>

Anda dapat mengontrol akses AWS KMS keys berdasarkan tag pada tombol KMS. Misalnya, Anda dapat menulis kebijakan IAM yang memungkinkan prinsipal mengaktifkan dan menonaktifkan hanya kunci KMS yang memiliki tag tertentu. Atau Anda dapat menggunakan kebijakan IAM untuk mencegah prinsipal menggunakan kunci KMS dalam operasi kriptografi kecuali kunci KMS memiliki tag tertentu. 

Fitur ini merupakan bagian dari AWS KMS dukungan untuk [kontrol akses berbasis atribut](abac.md) (ABAC). Untuk informasi tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dan [Mengontrol Akses ke AWS Sumber Daya Menggunakan Tag Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*. Untuk membantu menyelesaikan masalah akses yang terkait dengan ABAC, lihat [Memecahkan masalah ABAC untuk AWS KMS](troubleshooting-tags-aliases.md).

**catatan**  
Mungkin diperlukan waktu hingga lima menit untuk perubahan tag dan alias untuk memengaruhi otorisasi kunci KMS. Perubahan terbaru mungkin terlihat dalam operasi API sebelum mempengaruhi otorisasi.

AWS KMS mendukung kunci [konteks kondisi global [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), yang memungkinkan Anda mengontrol akses ke kunci KMS berdasarkan tag pada kunci KMS. Karena beberapa kunci KMS dapat memiliki tag yang sama, fitur ini memungkinkan Anda menerapkan izin ke satu set kunci KMS tertentu. Anda juga dapat dengan mudah mengubah kunci KMS di set dengan mengubah tag mereka. 

Dalam AWS KMS, kunci `aws:ResourceTag/tag-key` kondisi hanya didukung dalam kebijakan IAM. Ini tidak didukung dalam kebijakan utama, yang hanya berlaku untuk satu kunci KMS, atau pada operasi yang tidak menggunakan kunci KMS tertentu, seperti [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)atau [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operasi.

Mengontrol akses dengan tanda menyediakan cara sederhana, dapat diskalakan, dan fleksibel untuk mengelola izin. Namun, jika tidak dirancang dan dikelola dengan benar, itu dapat mengizinkan atau menolak akses ke kunci KMS Anda secara tidak sengaja. Jika Anda menggunakan tanda untuk mengontrol akses, pertimbangkan praktik berikut.
+ Gunakan tanda untuk memperkuat praktik terbaik dari [akses dengan keistimewaan terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Berikan kepala sekolah IAM hanya izin yang mereka butuhkan hanya pada kunci KMS yang harus mereka gunakan atau kelola. Misalnya, gunakan tag untuk memberi label kunci KMS yang digunakan untuk proyek. Kemudian berikan izin tim proyek untuk hanya menggunakan kunci KMS dengan tag proyek.
+ Berhati-hatilah tentang memberikan prinsipal izin `kms:TagResource` dan `kms:UntagResource` yang memungkinkan mereka menambahkan, mengedit, dan menghapus tanda. Saat Anda menggunakan tag untuk mengontrol akses ke kunci KMS, mengubah tag dapat memberikan izin kepada prinsipal untuk menggunakan kunci KMS yang tidak diizinkan untuk digunakan. Ini juga dapat menolak akses ke kunci KMS yang diperlukan oleh kepala sekolah lain untuk melakukan pekerjaan mereka. Administrator kunci yang tidak memiliki izin untuk mengubah kebijakan kunci atau membuat hibah dapat mengontrol akses ke kunci KMS jika mereka memiliki izin untuk mengelola tag.

  Jika memungkinkan, gunakan kondisi kebijakan, seperti `aws:RequestTag/tag-key` atau `aws:TagKeys` untuk [membatasi izin penandaan prinsipal](tag-permissions.md#tag-permissions-conditions) untuk tag atau pola tag tertentu pada kunci KMS tertentu.
+ Tinjau prinsip-prinsip di Anda Akun AWS yang saat ini memiliki izin penandaan dan pembatalan tag dan sesuaikan, jika perlu. Misalnya, [kebijakan kunci default konsol untuk administrator kunci](key-policy-default.md#key-policy-default-allow-administrators) menyertakan `kms:TagResource` dan `kms:UntagResource` izin pada kunci KMS tersebut. Kebijakan IAM mungkin mengizinkan izin tag dan untag pada semua kunci KMS. Misalnya, kebijakan [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)terkelola memungkinkan prinsipal untuk menandai, menghapus tag, dan mencantumkan tag pada semua kunci KMS.
+ Sebelum menetapkan kebijakan yang bergantung pada tag, tinjau tag pada kunci KMS di tag Anda Akun AWS. Pastikan bahwa kebijakan Anda hanya berlaku untuk tanda yang ingin Anda sertakan. Gunakan [CloudTrail log](logging-using-cloudtrail.md) dan [CloudWatch alarm](monitoring-overview.md) untuk mengingatkan Anda untuk menandai perubahan yang mungkin memengaruhi akses ke kunci KMS Anda.
+ Kondisi kebijakan berbasis tanda menggunakan pencocokan pola; mereka tidak terikat pada instans tertentu dari tanda. Kebijakan yang menggunakan kunci kondisi berbasis tanda memengaruhi semua tanda baru dan yang sudah ada yang cocok dengan pola. Jika Anda menghapus dan membuat ulang tanda yang cocok dengan kondisi kebijakan, kondisi berlaku untuk tanda baru, seperti halnya pada tanda lama.

Misalnya, pertimbangkan contoh kebijakan IAM berikut. Hal ini memungkinkan prinsipal untuk memanggil [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)dan [mendekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) operasi hanya pada kunci KMS di akun Anda yang merupakan Wilayah Asia Pasifik (Singapura) dan memiliki tag. `"Project"="Alpha"` Anda mungkin melampirkan kebijakan ini ke peran dalam contoh proyek Alpha.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyWithResourceTag",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "Alpha"
        }
      }
    }
  ]
}
```

------

Contoh berikut kebijakan IAM memungkinkan prinsipal untuk menggunakan kunci KMS apa pun di akun untuk operasi kriptografi tertentu. Tapi itu melarang prinsipal menggunakan operasi kriptografi ini pada kunci KMS dengan tag atau tanpa tag. `"Type"="Reserved"` `"Type"`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMAllowCryptographicOperations",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMDenyOnTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Type": "Reserved"
        }
      }
    },
    {
      "Sid": "IAMDenyNoTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/Type": "true"
        }
      }
    }
  ]
}
```

------