Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tag in AWS KMS
Un *tag* è un'etichetta di metadati opzionale che puoi assegnare (o AWS assegnare) a una risorsa. AWS Ogni tag è costituito da una *chiave di tag* e da un *valore di tag*, entrambe le stringhe fanno distinzione tra maiuscole e minuscole. Il valore di tag può essere una stringa vuota (null). Ogni tag su una risorsa deve avere una chiave di tag diversa, ma puoi aggiungere lo stesso tag a più risorse. AWS Ogni risorsa può avere fino a 50 tag creati dall'utente.
Non includere informazioni riservate o sensibili nella chiave o nel valore del tag. I tag sono accessibili a molti Servizi AWS, inclusa la fatturazione.
[In AWS KMS, puoi aggiungere tag a una chiave gestita dal cliente quando crei la chiave KMS e taggare o rimuovere tag alle chiavi KMS esistenti a meno che non siano in attesa di eliminazione.](key-state.md) Non puoi taggare alias, archivi di chiavi personalizzati o chiavi Chiavi gestite da AWS KMS in Chiavi di proprietà di AWS altri. Account AWS I tag sono opzionali, ma possono essere molto utili.
Ad esempio, puoi aggiungere un tag `"Project"="Alpha"` a tutte le chiavi KMS e ai bucket di Amazon S3 utilizzati per il progetto Alpha.
```
TagKey = "Project"
TagValue = "Alpha"
```
Per informazioni generali sui tag, inclusi il formato e la sintassi, consulta [Tagging resources AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in. *Riferimenti generali di Amazon Web Services*
I tag consentono di:
+ Identifica e organizza le tue risorse. AWS Molti AWS servizi supportano l'etichettatura, quindi puoi assegnare lo stesso tag a risorse di servizi diversi per indicare che le risorse sono correlate. Ad esempio, puoi assegnare lo stesso tag a una chiave KMS e a un volume o segreto Amazon Elastic Block Store (Amazon EBS). Gestione dei segreti AWS Puoi inoltre utilizzare i tag per identificare le chiavi KMS per l'automazione.
+ Tieni traccia dei costi. AWS Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. È possibile utilizzare questa funzionalità per tenere traccia AWS KMS dei costi di un progetto, un'applicazione o un centro di costo.
Per ulteriori informazioni sull'utilizzo dei tag per l'allocazione dei costi, consulta [Uso dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l’utente di AWS Billing *. Per informazioni sulle regole che si applicano alle chiavi dei tag e ai valori dei tag, consulta [Limitazioni per i tag definiti dall'utente](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html) nella *Guida per l’utente di AWS Billing *.
+ Controlla l'accesso alle tue AWS risorse. Consentire e negare l'accesso alle chiavi KMS in base ai relativi tag fa parte del AWS KMS supporto per il controllo degli [accessi basato sugli attributi (ABAC](abac.md)). Per informazioni sul controllo dell'accesso in AWS KMS keys base ai relativi tag, consulta. [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md) Per informazioni più generali sull'uso dei tag per controllare l'accesso alle AWS risorse, consulta [Controlling Access to AWS Resources Using Resource Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *IAM User Guide*.
AWS KMS scrive una voce nel AWS CloudTrail registro quando si utilizzano le [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazioni [TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md), o.
**Topics**
+ [Controllo degli accessi ai tag](tag-permissions.md)
+ [Aggiungi tag a una chiave KMS](add-tags.md)
+ [Modifica i tag associati a una chiave KMS](edit-tags.md)
+ [Rimuovi i tag associati a una chiave KMS](remove-tags.md)
+ [Visualizza i tag associati a una chiave KMS](view-tags.md)
+ [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md)
# Controllo degli accessi ai tag
Per aggiungere, visualizzare ed eliminare i tag, nella AWS KMS console o utilizzando l'API, i responsabili necessitano delle autorizzazioni di etichettatura. Puoi fornire queste autorizzazioni nelle [policy delle chiavi](key-policies.md). Puoi anche fornirli nelle policy IAM (incluse le [Policy di endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)), ma solo se [la policy delle chiavi lo consente](key-policy-default.md#allow-iam-policies). La policy [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gestita consente ai responsabili di etichettare, rimuovere i tag ed elencare i tag su tutte le chiavi KMS a cui l'account può accedere.
Puoi anche limitare queste autorizzazioni utilizzando le chiavi di condizione AWS globali per i tag. In AWS KMS, queste condizioni possono controllare l'accesso alle operazioni di etichettatura, come e [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html). [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)
**Nota**
Presta attenzione quando concedi ai principali l'autorizzazione per gestire tag e alias. Modificando un tag o un alias puoi consentire o negare l'autorizzazione alla chiave gestita dal cliente. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).
Per esempi di policy e ulteriori informazioni, consulta [Controllo dell'accesso in base alle chiavi di tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) nella *Guida per l’utente di IAM*.
Le autorizzazioni per creare e gestire i tag funzionano come descritto di seguito.
**kms:TagResource**
Consente ai principali di aggiungere o modificare tag. Per aggiungere tag durante la creazione di una chiave KMS, il principale deve disporre dell'autorizzazione in una policy IAM che non sia limitato a particolari chiavi KMS.
**kms:ListResourceTags**
Consente ai principali di visualizzare i tag sulle chiavi KMS.
**kms:UntagResource**
Consente ai principali di eliminare i tag dalle chiavi KMS.
## Autorizzazioni ad assegnare tag nelle policy
Puoi fornire l'autorizzazione ad assegnare tag in una policy delle chiavi o in una policy IAM. Ad esempio, la policy delle chiavi di esempio riportata di seguito fornisce agli utenti selezionati l'autorizzazione di tag nella chiave KMS. Fornisce a tutti gli utenti che possono assumere l'esempio dei ruoli di Amministratore o Sviluppatore il permesso di visualizzare i tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "AllowAllTaggingPermissions",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:user/LeadAdmin",
"arn:aws:iam::111122223333:user/SupportLead"
]},
"Action": [
"kms:TagResource",
"kms:ListResourceTags",
"kms:UntagResource"
],
"Resource": "*"
},
{
"Sid": "AllowRolesViewTags",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:role/Administrator",
"arn:aws:iam::111122223333:role/Developer"
]},
"Action": "kms:ListResourceTags",
"Resource": "*"
}
]
}
```
------
Per concedere ai principali l'autorizzazione ad assegnare tag su più chiavi KMS, è possibile utilizzare una policy IAM. Affinché questa policy sia efficace, la policy delle chiavi per ogni chiave KMS deve consentire all'account di utilizzare le policy IAM per controllare l'accesso alla chiave KMS.
Ad esempio, la policy IAM seguente consente ai principali di creare chiavi KMS. Consente inoltre di creare e gestire i tag su tutte le chiavi KMS nell'account specificato. Questa combinazione consente ai responsabili di utilizzare il parametro [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags) dell'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per aggiungere tag a una chiave KMS durante la creazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKeys",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource",
"kms:ListResourceTags"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
## Limitazione delle autorizzazioni ad assegnare tag
È possibile limitare le autorizzazioni di assegnazione dei tag utilizzando [Condizioni della policy](policy-conditions.md). Le seguenti condizioni della policy possono essere applicate alle autorizzazioni `kms:TagResource` e `kms:UntagResource`. Ad esempio, è possibile utilizzare la condizione `aws:RequestTag/tag-key` per consentire a un principale di aggiungere solo tag specifici o impedire a un principale di aggiungere tag con chiavi tag particolari. In alternativa, è possibile utilizzare la condizione `kms:KeyOrigin` per impedire ai principali di assegnare o rimuovere tag dalle chiavi KMS con [materiale della chiave importato](importing-keys.md).
+ [Leggi: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (solo*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) politiche IAM)
+ [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [km: ViaService](conditions-kms.md#conditions-kms-via-service)
Come best practice nell'utilizzo dei tag per controllare l'accesso alle chiavi KMS, è consigliabile utilizzare la chiave di condizione `aws:RequestTag/tag-key` o `aws:TagKeys` per determinare quali tag (o chiavi tag) sono consentiti.
Ad esempio, la seguente istruzione della policy IAM è simile a quella precedente. Tuttavia, questa policy consente ai principali di creare tag (`TagResource`) ed eliminare i tag `UntagResource` solo per i tag con chiave di tag `Project`.
Poiché `TagResource` le `UntagResource` richieste possono includere più tag, è necessario specificare un operatore `ForAllValues` or `ForAnyValue` set con la TagKeys condizione [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). L’operatore `ForAnyValue` richiede che almeno una delle chiavi di tag nella richiesta corrisponda a una delle chiavi di tag nella policy. L’operatore `ForAllValues` richiede che tutte le chiavi di tag nella richiesta corrispondano a una delle chiavi di tag nella policy. L'`ForAllValues`operatore restituisce anche `true` se non ci sono tag nella richiesta, ma TagResource UntagResource fallisce quando non viene specificato alcun tag. Per dettagli sugli operatori del set, consulta [Utilizzare più chiavi e valori](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) nella *Guida per l’utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKey",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyViewAllTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMPolicyManageTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
}
}
]
}
```
------
# Aggiungi tag a una chiave KMS
I tag aiutano a identificare e organizzare AWS le tue risorse. Puoi aggiungere tag a una chiave gestita dal cliente quando [crei la chiave KMS](create-keys.md) o aggiungere tag a chiavi KMS esistenti. Non puoi taggare. Chiavi gestite da AWS
Le seguenti procedure mostrano come aggiungere tag alle chiavi gestite dal cliente utilizzando la AWS KMS console e l' AWS KMS API. Gli esempi di AWS KMS API utilizzano il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
**Topics**
+ [Aggiungere tag durante la creazione di una chiave KMS](#tag-on-create)
+ [Aggiungi tag alle chiavi KMS esistenti](#tag-exisiting)
## Aggiungere tag durante la creazione di una chiave KMS
Puoi aggiungere tag a una chiave KMS mentre crei la chiave utilizzando la AWS KMS console o l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. Per aggiungere tag durante la creazione di una chiave KMS, è necessario disporre `kms:TagResource` dell'autorizzazione in una politica IAM oltre alle autorizzazioni necessarie per creare chiavi KMS. Come minimo, l'autorizzazione deve coprire tutte le chiavi KMS nell'account e nella regione. Per informazioni dettagliate, vedi [Controllo degli accessi ai tag](tag-permissions.md).
### Utilizzo della console AWS KMS
Per aggiungere tag quando si crea una chiave KMS nella console, è necessario disporre delle autorizzazioni necessarie per visualizzare le chiavi KMS nella console oltre alle autorizzazioni necessarie per taggare e creare chiavi KMS. Come minimo, l'autorizzazione deve coprire tutte le chiavi KMS nell'account e nella regione.
1. [Accedi Console di gestione AWS e apri la console AWS Key Management Service ()AWS KMS su /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile gestire i tag di una Chiave gestita da AWS)
1. Scegli il tipo di chiave, quindi scegli **Next** (Successivo).
1. Immetti un alias e una descrizione opzionale.
1. Inserisci una chiave di tag e un valore di tag opzionale. Per aggiungere altri tag, scegli **Aggiungi nuovo tag**. Per rimuovere un tag, scegli **Remove** (Rimuovi). Al termine dell'applicazione dei tag alla nuova chiave KMS, scegli **Successivo**.
1. Completa la creazione della chiave KMS.
### Utilizzando l'API AWS KMS
Per specificare i tag durante la creazione di chiavi utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione, utilizzate il `Tags` parametro dell'operazione.
Il valore del parametro `Tags` di `CreateKey` è una raccolta di coppie di chiave di tag e valore di tag per cui si applica la distinzione tra maiuscole e minuscole. Ogni tag in una chiave KMS deve avere un nome di tag diverso. Il valore di tag può essere una stringa nulla o vuota.
Ad esempio, il AWS CLI comando seguente crea una chiave KMS di crittografia simmetrica con un tag. `Project:Alpha` Quando si specificano più coppie chiave-valore, utilizzare uno spazio per separare ciascuna coppia.
```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```
Quando questo comando ha esito positivo, restituisce un oggetto `KeyMetadata` con informazioni relative alla nuova chiave KMS. Tuttavia, `KeyMetadata` non include tag. Per ottenere i tag, usa l'operazione. [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)
## Aggiungi tag alle chiavi KMS esistenti
Puoi aggiungere tag alle chiavi KMS esistenti gestite dai clienti nella AWS KMS console o utilizzando l'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operazione. Per aggiungere tag, è necessaria l'autorizzazione all'aggiunta di tag sulla chiave KMS. È possibile ottenere questa autorizzazione dalla policy delle chiavi per la chiave KMS o, se la policy delle chiavi lo consente, da una policy IAM che include la chiave KMS.
### Utilizzo della console AWS KMS
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile gestire i tag di una Chiave gestita da AWS)
1. È possibile utilizzare il filtro tabella per visualizzare solo le chiavi KMS con tag specifici. Per i dettagli, consulta [Visualizzare i tag utilizzando](view-tags.md#view-tag-console) la console. AWS KMS
1. Seleziona la casella di controllo accanto all'alias di una chiave KMS.
1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Add or edit tags (Aggiungi o modifica tag)**.
1. Nella pagina dei dettagli della chiave KMS scegli la scheda **Tag**.
+ Per creare il primo tag, scegli **Crea tag**, digita una chiave di tag (obbligatorio) e il valore di tag (opzionale), quindi scegli **Salva**.
Se lasci vuoto il valore del tag, il valore effettivo del tag è una stringa nulla o vuota.
+ Per aggiungere un tag, scegli **Modifica**, scegli **Aggiungi tag**, digita una chiave di tag e il valore di tag, quindi scegli **Salva**.
1. Per salvare le modifiche, scegliere **Save changes (Salva modifiche)**.
### Utilizzo dell' AWS KMS API
L'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operazione aggiunge uno o più tag a una chiave KMS. Non è possibile utilizzare questa operazione per aggiungere tag in un'altra Account AWS. È inoltre possibile utilizzare l' TagResource operazione per modificare i tag esistenti. Per ulteriori informazioni, consulta [Modifica i tag associati a una chiave KMS](edit-tags.md).
Per aggiungere un tag, specifica una nuova chiave di tag e un valore di tag. Ogni tag in una chiave KMS deve avere un nome di tag diverso. Il valore di tag può essere una stringa nulla o vuota.
Ad esempio, il comando seguente aggiunge i tag **Purpose** e **Department** a una chiave KMS di esempio.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```
Quando questo comando ha esito positivo, non restituisce alcun output. Per visualizzare i tag su una chiave KMS, usa l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazione.
# Modifica i tag associati a una chiave KMS
I tag aiutano a identificare e organizzare le AWS risorse. Puoi modificare i tag associati alle chiavi KMS gestite dai clienti nella AWS KMS console o utilizzando l'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operazione. Non è possibile modificare i tag di un Chiave gestita da AWS.
Le seguenti procedure mostrano come modificare i tag associati a una chiave KMS. Gli esempi di AWS KMS API utilizzano il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
## Utilizzo della AWS KMS console
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile modificare i tag di un) Chiave gestita da AWS
1. È possibile utilizzare il filtro tabella per visualizzare solo le chiavi KMS con tag specifici. Per i dettagli, consulta [Visualizzare i tag utilizzando la AWS KMS console](view-tags.md#view-tag-console).
1. Seleziona la casella di controllo accanto all'alias di una chiave KMS.
1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Add or edit tags (Aggiungi o modifica tag)**.
1. Nella pagina dei dettagli della chiave KMS scegli la scheda **Tag**.
+ Per modificare il nome o il valore di un tag, scegliere **Edit (Modifica)**, apportare le modifiche, quindi scegliere **Save (Salva)**.
1. Per salvare le modifiche, scegliere **Save changes (Salva modifiche)**.
## Utilizzo dell' AWS KMS API
L'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operazione aggiunge uno o più tag a una chiave gestita dal cliente;. Tuttavia, puoi anche utilizzare **TagResource**per modificare il valore del tag di un tag esistente. Non puoi utilizzare questa operazione per aggiungere o modificare tag in un Account AWS diverso.
Per modificare un tag, specifica una chiave di tag esistente e un nuovo valore di tag. Ogni tag in una chiave KMS deve avere un nome di tag diverso. Il valore di tag può essere una stringa nulla o vuota.
Ad esempio, questo comando modifica il valore del tag `Purpose` da `Pretest` a `Test`.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Test
```
# Rimuovi i tag associati a una chiave KMS
I tag aiutano a identificare e organizzare le AWS risorse. Puoi rimuovere i tag associati alle chiavi KMS gestite dai clienti nella AWS KMS console o utilizzando l'[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operazione. Non è possibile modificare o rimuovere i tag di un Chiave gestita da AWS.
Le seguenti procedure mostrano come rimuovere i tag da una chiave KMS. Gli esempi di AWS KMS API utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
## Utilizzo della AWS KMS console
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile gestire i tag di una Chiave gestita da AWS)
1. È possibile utilizzare il filtro tabella per visualizzare solo le chiavi KMS con tag specifici. Per i dettagli, consulta [Visualizzare i tag utilizzando](view-tags.md#view-tag-console) la console. AWS KMS
1. Seleziona la casella di controllo accanto all'alias di una chiave KMS.
1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Add or edit tags (Aggiungi o modifica tag)**.
1. Nella pagina dei dettagli della chiave KMS scegli la scheda **Tag**.
+ Per eliminare un tag, scegliere **Edit (Modifica)**. Nell riga del tag, scegliere **Remove (Rimuovi)**, quindi **Save (Salva)**.
1. Per salvare le modifiche, scegliere **Save changes (Salva modifiche)**.
## Utilizzo dell' AWS KMS API
L'[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operazione elimina i tag da una chiave KMS. Per identificare i tag da eliminare, specifica le chiavi dei tag. Non puoi utilizzare questa operazione per eliminare tag dalle chiavi KMS in un Account AWS diverso.
Quando l'operazione `UntagResource` ha esito positivo non restituisce alcun output. Inoltre, se la chiave di tag specificata non viene trovata nella chiave KMS, non viene generata un'eccezione né restituita una risposta. Per confermare che l'operazione ha funzionato, usa l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazione.
Ad esempio, questo comando elimina il tag **Purpose** e il relativo valore dalla chiave KMS specificata.
```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```
# Visualizza i tag associati a una chiave KMS
I tag aiutano a identificare e organizzare AWS le tue risorse. Puoi visualizzare i tag associati alle chiavi KMS gestite dai clienti nella AWS KMS console o utilizzando l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazione.
Le seguenti procedure mostrano come trovare i tag associati a una chiave KMS specifica. Gli esempi di AWS KMS API utilizzano il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
## Utilizzo della AWS KMS console
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile gestire i tag di una Chiave gestita da AWS)
1. È possibile utilizzare il filtro tabella per visualizzare solo le chiavi KMS con tag specifici.
Per visualizzare solo le chiavi KMS con un determinato tag, scegli la casella filtro, scegli la chiave di tag, quindi scegli tra i valori effettivi dei tag. È anche possibile digitare o tutto il valore del tag o solo parte di esso.
Nella tabella risultante vengono visualizzate tutte le chiavi KMS con il tag scelto. Tuttavia, il tag non viene visualizzato. Per visualizzare il tag, scegli l'alias o l'ID chiave della chiave KMS e nella pagina dei dettagli scegli la scheda **Tag**. Le schede appaiono nella sezione **Configurazione generale**.
Per questo filtro sono necessari sia la chiave di tag che il valore del tag. Non troverà le chiavi KMS digitando solo la chiave di tag o solo il suo valore. Per filtrare i tag in base alla chiave o al valore del tag, utilizza l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazione per contrassegnare le chiavi KMS, quindi utilizza le funzionalità di filtro del linguaggio di programmazione in uso.
1. Seleziona la casella di controllo accanto all'alias di una chiave KMS.
1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Add or edit tags (Aggiungi o modifica tag)**.
1. Nella pagina dei dettagli della chiave KMS scegli la scheda **Tag**.
## Utilizzo dell'API AWS KMS
L'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operazione ottiene i tag per una chiave KMS. Il parametro `KeyId` è obbligatorio. Non puoi utilizzare questa operazione per visualizzare i tag nelle chiavi KMS in un Account AWS diverso.
Ad esempio, il comando seguente restituisce i tag per una chiave KMS di esempio.
```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
"Truncated": false,
"Tags": [
{
"TagKey": "Project",
"TagValue": "Alpha"
},
{
"TagKey": "Purpose",
"TagValue": "Test"
},
{
"TagKey": "Department",
"TagValue": "Finance"
}
]
}
```
# Usa i tag per controllare l'accesso alle chiavi KMS
Puoi controllare l'accesso a AWS KMS keys in base ai tag sulla chiave KMS. Ad esempio, è possibile scrivere una policy IAM che consenta ai principali di abilitare e disabilitare solo le chiavi KMS con un tag specifico. In alternativa, è possibile utilizzare una policy IAM per impedire ai principali di utilizzare le chiavi KMS nelle operazioni di crittografia a meno che la chiave KMS non disponga di un tag specifico.
Questa funzionalità fa parte del AWS KMS supporto per il [controllo degli accessi basato sugli attributi (ABAC](abac.md)). Per informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta A [cosa serve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) e [Controllo dell'accesso alle AWS risorse utilizzando i tag delle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *Guida per l'utente IAM*. Per informazioni sulla risoluzione dei problemi di accesso relativi a ABAC, vedi [Risoluzione dei problemi ABAC per AWS KMS](troubleshooting-tags-aliases.md).
**Nota**
Potrebbero essere necessari fino a cinque minuti per le modifiche di tag e alias per influenzare l'autorizzazione delle chiavi KMS. Le modifiche recenti potrebbero essere visibili nelle operazioni API prima che influiscano sull'autorizzazione.
AWS KMS supporta la chiave di [contesto global condition [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), che consente di controllare l'accesso alle chiavi KMS in base ai tag sulla chiave KMS. Poiché più chiavi KMS possono avere lo stesso tag, questa caratteristica consente di applicare l'autorizzazione a un set selezionato di chiavi KMS. È inoltre possibile modificare facilmente le chiavi KMS nel set modificandone i tag.
In AWS KMS, la chiave `aws:ResourceTag/tag-key` condition è supportata solo nelle politiche IAM. Non è supportata nelle politiche chiave, che si applicano solo a una chiave KMS, o nelle operazioni che non utilizzano una chiave KMS particolare, come le operazioni [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)o [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html).
Il controllo dell'accesso con i tag offre un modo semplice, scalabile e flessibile per gestire le autorizzazioni. Tuttavia, se non è stata progettata e gestita correttamente, può consentire o negare l'accesso alle chiavi KMS inavvertitamente. Se utilizzi tag per controllare l'accesso, prendi in considerazione le seguenti procedure.
+ Utilizza i tag per rafforzare le best practice di [Accesso meno privilegiato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Assegna ai principali IAM solo le autorizzazioni necessarie solo per quelle chiavi KMS che devono utilizzare o gestire. Ad esempio, utilizzare i tag per etichettare le chiavi KMS utilizzate per un progetto. Quindi concedere al team del progetto l'autorizzazione a utilizzare solo le chiavi KMS con il tag progetto.
+ Fai attenzione a dare ai principali le autorizzazioni `kms:TagResource` e `kms:UntagResource` che consentono di aggiungere, modificare ed eliminare tag. Quando si utilizzano i tag per controllare l'accesso alle chiavi KMS, la modifica di un tag può concedere ai principali l'autorizzazione di utilizzare chiavi KMS che altrimenti non disponevano dell'autorizzazione. Può inoltre negare l'accesso alle chiavi KMS richieste da altre entità per svolgere il proprio lavoro. Gli amministratori delle chiavi che non dispongono dell'autorizzazione per modificare le policy delle chiavi o creare concessioni possono controllare l'accesso alle chiavi KMS se dispongono dell'autorizzazione per gestire i tag.
Quando possibile, utilizzare una condizione della policy, ad esempio `aws:RequestTag/tag-key` o `aws:TagKeys` per [limitare le autorizzazioni di un principale ad assegnare tag](tag-permissions.md#tag-permissions-conditions) a particolari tag o modelli di tag su specifiche chiavi KMS.
+ Controlla i tuoi principi Account AWS che attualmente dispongono delle autorizzazioni di etichettatura e rimozione dei tag e modificali, se necessario. Ad esempio, la console [policy delle chiavi predefinita](key-policy-default.md#key-policy-default-allow-administrators) include autorizzazioni `kms:TagResource` e `kms:UntagResource` su quella chiave KMS. Le policy IAM possono consentire autorizzazioni ad assegnare e rimuovere tag per tutte le chiavi KMS. Ad esempio, la policy [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gestita consente ai responsabili di etichettare, rimuovere tag ed elencare i tag su tutte le chiavi KMS.
+ Prima di impostare una politica che dipenda da un tag, controlla i tag sulle chiavi KMS del tuo. Account AWS Assicurati che la tua policy si applichi solo ai tag che intendi includere. Usa [CloudTrail i registri e gli CloudWatch ](logging-using-cloudtrail.md) [allarmi](monitoring-overview.md) per avvisarti delle modifiche ai tag che potrebbero influire sull'accesso alle tue chiavi KMS.
+ Le condizioni delle policy basate su tag utilizzano la corrispondenza dei modelli; non sono legate a una particolare istanza di un tag. Una policy che utilizza chiavi di condizione basate su tag influisce su tutti i tag nuovi ed esistenti che corrispondono al modello. Se si elimina e si ricrea un tag che corrisponde a una condizione della policy, la condizione si applica al nuovo tag, proprio come quello precedente.
Ad esempio, considerare il seguente esempio di policy IAM. Consente ai responsabili di richiamare [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)e [decriptare](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) le operazioni solo sulle chiavi KMS del tuo account che si trovano nella regione Asia Pacifico (Singapore) e dispongono di un tag. `"Project"="Alpha"` È possibile collegare questa policy ai ruoli nel progetto Alpha di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyWithResourceTag",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Alpha"
}
}
}
]
}
```
------
La seguente policy IAM di esempio consente al principale di utilizzare qualsiasi chiave KMS nell'account per le operazioni di crittografia. Ma vieta ai principali di utilizzare queste operazioni crittografiche sulle chiavi KMS con un tag `"Type"="Reserved"` o senza tag `"Type"`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMAllowCryptographicOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMDenyOnTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Type": "Reserved"
}
}
},
{
"Sid": "IAMDenyNoTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"Null": {
"aws:ResourceTag/Type": "true"
}
}
}
]
}
```
------