As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etiquetas em AWS KMS
<a name="tagging-keys"></a>

Uma *tag* é um rótulo de metadados opcional que você pode atribuir (ou AWS atribuir) a um AWS recurso. Cada tag consiste em uma *chave de tag* e um *valor de tag*, sendo ambos strings que diferenciam maiúsculas de minúsculas. O valor da tag pode ser uma string vazia (nula). Cada tag em um recurso precisa ter uma chave de tag diferente, mas você pode adicionar a mesma tag a vários AWS recursos. Cada recurso pode ter até 50 tags criadas pelo usuário.

Não inclua informações confidenciais ou sigilosas na chave ou no valor da tag. As tags podem ser acessadas por muitos Serviços da AWS, incluindo o faturamento.

[Em AWS KMS, você pode adicionar tags a uma chave gerenciada pelo cliente ao criar a chave KMS e marcar ou desmarcar as chaves KMS existentes, a menos que estejam pendentes de exclusão.](key-state.md) Você não pode marcar aliases Chaves gerenciadas pela AWS,Chaves pertencentes à AWS armazenamentos de chaves personalizadas ou chaves KMS em outros. Contas da AWS Etiquetas são opcionais, mas podem ser bastante úteis.

Por exemplo, você pode adicionar uma etiqueta `"Project"="Alpha"` a todas as chaves do KMS e buckets do Amazon S3 usados para o projeto Alpha.

```
TagKey   = "Project"
TagValue = "Alpha"
```

Para obter informações gerais sobre tags, incluindo o formato e a sintaxe, consulte [AWS Recursos de marcação](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) no. *Referência geral da Amazon Web Services*

As tags ajudam a:
+ Identifique e organize seus AWS recursos. Muitos AWS serviços oferecem suporte à marcação, então você pode atribuir a mesma tag a recursos de serviços diferentes para indicar que os recursos estão relacionados. Por exemplo, você pode atribuir a mesma tag a uma chave KMS e a um volume ou segredo do Amazon Elastic Block Store (Amazon EBS). AWS Secrets Manager Você também pode usar etiquetas para identificar as chaves do KMS para automação.
+ Acompanhe seus AWS custos. Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Você pode usar esse recurso para controlar AWS KMS os custos de um projeto, aplicativo ou centro de custos.

  Para obter mais informações sobre como usar etiquetas para alocação de custos, consulte [Usar etiquetas de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Manual do usuário do AWS Billing *. Para obter informações sobre as regras para chaves e valores de etiquetas, consulte [Restrições de etiquetas definidas pelo usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html), no *Manual do usuário do AWS Billing *.
+ Controle o acesso aos seus AWS recursos. Permitir e negar acesso às chaves KMS com base em suas tags faz parte do AWS KMS suporte ao [controle de acesso baseado em atributos (ABAC](abac.md)). Para obter informações sobre como controlar o acesso AWS KMS keys com base em suas tags, consulte[Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md). Para obter mais informações gerais sobre o uso de tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso aos AWS recursos usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) de recursos no *Guia do usuário do IAM*.

AWS KMS grava uma entrada no seu AWS CloudTrail registro quando você usa as [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operações [TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md), ou.

**Topics**
+ [Controlar o acesso às tags](tag-permissions.md)
+ [Adicionar tags a uma chave do KMS](add-tags.md)
+ [Editar tags associadas a uma chave do KMS](edit-tags.md)
+ [Remover tags associadas a uma chave do KMS](remove-tags.md)
+ [Visualizar tags associadas a uma chave do KMS](view-tags.md)
+ [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md)

# Controlar o acesso às tags
<a name="tag-permissions"></a>

Para adicionar, visualizar e excluir tags, seja no AWS KMS console ou usando a API, os diretores precisam de permissões de marcação. Você pode fornecer essas permissões em [políticas de chaves](key-policies.md). Também é possível fornecê-las em políticas do IAM (incluindo [políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)), mas somente se [permitido pela política de chaves](key-policy-default.md#allow-iam-policies). A política [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gerenciada permite que os diretores marquem, desmarquem e listem as tags em todas as chaves KMS que a conta pode acessar. 

Você também pode limitar essas permissões usando chaves de condição AWS globais para tags. Em AWS KMS, essas condições podem controlar o acesso às operações de marcação, como [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)e. [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)

**nota**  
Tenha cuidado ao conceder permissão a entidades principais para gerenciar etiquetas e aliases. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão à chave gerenciada pelo cliente. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md).

Para mais informações e exemplos de políticas, consulte [Controlar o acesso baseado em chaves de etiqueta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys), no *Guia do Usuário do IAM*.

As permissões para criar e gerenciar aliases funcionam como a seguir.

**kms:TagResource**  
Permite que as entidades principais adicionem ou editem etiquetas. Para adicionar etiquetas ao criar uma chave do KMS, a entidade principal deve ter permissão em uma política do IAM que não esteja restrita a chaves do KMS específicas.

**kms:ListResourceTags**  
Permite que as entidades principais visualizem etiquetas em chaves do KMS.

**kms:UntagResource**  
Permite que as entidades principais excluam etiquetas de chaves do KMS.

## Permissões de etiquetas em políticas
<a name="tag-permission-examples"></a>

Você pode fornecer permissões de marcação em uma política de chaves ou política do IAM. O seguinte exemplo de política de chaves concede permissão de marcação a usuários selecionados na chave do KMS. Ele concede a todos os usuários que podem assumir os exemplos de funções Administrador ou Desenvolvedor permissão para visualizar etiquetas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "EnableIAMUserPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowAllTaggingPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
          "kms:TagResource",
          "kms:ListResourceTags",
          "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowRolesViewTags",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:role/Administrator",
        "arn:aws:iam::111122223333:role/Developer"
      ]},
      "Action": "kms:ListResourceTags",
      "Resource": "*"
    }
  ]
}
```

------

Para conceder permissão de marcação de entidades principais em várias chaves do KMS, é possível usar uma política do IAM. Para que essa política seja eficiente, a política de chaves de cada chave do KMS deve permitir que a conta utilize políticas do IAM para controlar o acesso à chave do KMS.

Por exemplo, a seguinte política do IAM permite que as entidades principais criem chaves do KMS. Ela também permite que eles criem e gerenciem etiquetas em todas as chaves do KMS na conta especificada. Essa combinação permite que os diretores usem o parâmetro [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags) da [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para adicionar tags a uma chave KMS enquanto a criam. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ListResourceTags"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }    
  ]
}
```

------

## Limitar permissões de etiquetas
<a name="tag-permissions-conditions"></a>

É possível limitar permissões de marcação usando [condições de política](policy-conditions.md). As seguintes condições de política podem ser aplicadas às permissões `kms:TagResource` e `kms:UntagResource`. Por exemplo, você pode usar a condição `aws:RequestTag/tag-key` para permitir que uma entidade principal adicione apenas etiquetas específicas, ou pode impedir que uma entidade principal adicione etiquetas com chaves de etiqueta específicas. Você também pode usar a condição `kms:KeyOrigin` para impedir que as entidades principais marquem ou desmarcem chaves do KMS com [material de chave importado](importing-keys.md). 
+ [leis: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (somente*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) políticas do IAM)
+ [leis: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [kms: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [kms: KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [kms: ViaService](conditions-kms.md#conditions-kms-via-service)

Como prática recomendada ao usar etiquetas para controlar o acesso a chaves do KMS, use a chave de condição `aws:RequestTag/tag-key` ou `aws:TagKeys` para determinar quais etiquetas (ou chaves de etiqueta) são permitidas.

Por exemplo, a política do IAM a seguir é semelhante à anterior. No entanto, essa política permite que as entidades principais criem etiquetas (`TagResource`) e excluam etiquetas `UntagResource` somente para etiquetas com um chave de etiqueta `Project`.

Como `TagResource` as `UntagResource` solicitações podem incluir várias tags, você deve especificar um operador `ForAllValues` ou `ForAnyValue` definir com a TagKeys condição [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). O operador `ForAnyValue` exige que pelo menos uma das chaves de etiqueta na solicitação corresponda a uma das chaves de etiqueta na política. O operador `ForAllValues` requer que todas as chaves de etiqueta na solicitação correspondam a uma das chaves de etiqueta na política. O `ForAllValues` operador também retorna `true` se não houver tags na solicitação, mas TagResource UntagResource falhará quando nenhuma tag for especificada. Para detalhes sobre os operadores de conjunto, consulte[Usar várias chaves e valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions), no *Manual do usuário do IAM*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "kms:ListResourceTags",
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}
```

------

# Adicionar tags a uma chave do KMS
<a name="add-tags"></a>

As tags ajudam a identificar e organizar seus AWS recursos. É possível adicionar tags a uma chave gerenciada pelo cliente ao [criar a chave do KMS](create-keys.md) ou adicionar tags a chaves existentes do KMS. Você não pode marcar Chaves gerenciadas pela AWS.

Os procedimentos a seguir demonstram como adicionar tags às chaves gerenciadas pelo cliente usando o AWS KMS console e a AWS KMS API. Os exemplos de AWS KMS API usam o [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

**Topics**
+ [Adicionar etiquetas ao criar uma chave do KMS](#tag-on-create)
+ [Adicionar tags a chaves existentes do KMS](#tag-exisiting)

## Adicionar etiquetas ao criar uma chave do KMS
<a name="tag-on-create"></a>

Você pode adicionar tags a uma chave KMS ao criar a chave usando o AWS KMS console ou a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. Para adicionar tags ao criar uma chave do KMS, é necessário ter uma permissão `kms:TagResource` em uma política do IAM, além das permissões necessárias para criar chaves do KMS. Essa permissão deve abranger pelo menos todas as chaves do KMS na conta e na região. Para obter detalhes, consulte [Controlar o acesso às tags](tag-permissions.md).

### Usando o AWS KMS console
<a name="tag-on-create-console"></a>

Para adicionar tags ao criar uma chave do KMS no console, é necessário ter as permissões necessárias para visualizar chaves do KMS no console, além das permissões necessárias para marcar com tag e criar chaves do KMS. Essa permissão deve abranger pelo menos todas as chaves do KMS na conta e na região.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Você não pode gerenciar as etiquetas de uma Chave gerenciada pela AWS)

1. Escolha o tipo de chave e selecione **Next** (Avançar).

1. Insira um alias e uma descrição opcional.

1. Insira uma chave de etiqueta e, opcionalmente, um valor de etiqueta. Para adicionar mais etiquetas, selecione **Add new tag** (Adicionar nova etiqueta). Para remover uma etiqueta, escolha **Remove tag** (Remover etiqueta). Quando terminar de marcar sua nova chave do KMS, selecione **Next** (Avançar).

1. Finalize a criação da sua chave do KMS.

### Usando a AWS KMS API
<a name="tagging-keys-create-key"></a>

Para especificar tags ao criar chaves usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação, use o `Tags` parâmetro da operação. 

O valor do parâmetro `Tags` de `CreateKey` é uma coleção de pares de chave de etiqueta e valor de etiqueta que faz distinção entre maiúsculas e minúsculas. Cada etiqueta em uma chave do KMS deve ter um nome de etiqueta diferente. O valor da tag pode ser uma string nula ou vazia.

Por exemplo, o AWS CLI comando a seguir cria uma chave KMS de criptografia simétrica com uma `Project:Alpha` tag. Ao especificar mais de um par de chave-valor, use um espaço para separar cada par.

```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```

Quando esse comando é bem-sucedido, ele retorna um objeto `KeyMetadata` com informações sobre a nova chave do KMS. No entanto, o `KeyMetadata` não inclui tags. Para obter as tags, use a [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)operação.

## Adicionar tags a chaves existentes do KMS
<a name="tag-exisiting"></a>

Você pode adicionar tags às suas chaves KMS gerenciadas pelo cliente existentes no AWS KMS console ou usando a [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operação. Para adicionar tags, é necessário ter permissão para marcação de tags na chave do KMS. É possível obter essa permissão da política de chaves da chave do KMS ou, se a política de chaves permitir, de uma política do IAM que inclua essa chave do KMS.

### Usando o AWS KMS console
<a name="tag-existing-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Você não pode gerenciar as etiquetas de uma Chave gerenciada pela AWS)

1. É possível usar o filtro de tabela para exibir somente chaves do KMS com etiquetas específicas. Para obter detalhes, consulte [Visualizar tags usando o console do AWS KMS](view-tags.md#view-tag-console).

1. Marque a caixa de seleção ao lado do alias de uma chave do KMS.

1. Selecione **Key actions (Ações de chave)**, **Add or edit tags (Adicionar ou editar tags)**.

1. Na página de detalhes da chave do KMS, selecione a guia **Tags** (Etiquetas).
   + Para criar sua primeira etiqueta, selecione **Create tag** (Criar etiqueta), digite um nome e um valor de etiqueta e selecione **Save** (Salvar).

     Se você deixar o valor da tag em branco, o valor da tag real será uma string nula ou vazia.
   + Para adicionar uma etiqueta, selecione **Edit** (Editar), **Add tag** (Adicionar etiqueta), digite um nome de etiqueta e um valor de etiqueta e selecione **Save** (Salvar).

1. Para salvar suas alterações, escolha **Salvar alterações**.

### Usando a AWS KMS API
<a name="tagging-keys-tag-resource"></a>

A [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operação adiciona uma ou mais tags a uma chave KMS. Não é possível usar essa operação para adicionar tags em uma Conta da AWS diferente. Você também pode usar a TagResource operação para editar tags existentes. Para obter mais informações, consulte [Editar tags associadas a uma chave do KMS](edit-tags.md).

Para adicionar uma tag, especifique uma nova chave e um valor de tag. Cada etiqueta em uma chave do KMS deve ter um nome de etiqueta diferente. O valor da tag pode ser uma string nula ou vazia.

Por exemplo, o comando a seguir adiciona as etiquetas **Purpose** e **Department** a uma chave do KMS demonstrativa.

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```

Quando esse comando for executado com êxito, ele não retornará nenhuma saída. Para visualizar as tags em uma chave KMS, use a [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação.

# Editar tags associadas a uma chave do KMS
<a name="edit-tags"></a>

As tags ajudam a identificar e organizar seus AWS recursos. Você pode editar as tags associadas às chaves KMS gerenciadas pelo cliente no AWS KMS console ou usando a [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operação. Você não pode editar as tags de um Chave gerenciada pela AWS.

Os procedimentos a seguir demonstram como editar as tags associadas a uma chave do KMS. Os exemplos de API do AWS KMS usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

## Usando o AWS KMS console
<a name="edit-tag-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Você não pode editar as tags de um Chave gerenciada pela AWS)

1. É possível usar o filtro de tabela para exibir somente chaves do KMS com etiquetas específicas. Para obter detalhes, consulte [Visualizar tags usando o console do AWS KMS](view-tags.md#view-tag-console).

1. Marque a caixa de seleção ao lado do alias de uma chave do KMS.

1. Selecione **Key actions (Ações de chave)**, **Add or edit tags (Adicionar ou editar tags)**.

1. Na página de detalhes da chave do KMS, selecione a guia **Tags** (Etiquetas).
   + Para alterar o nome ou o valor de uma tag, selecione **Edit (Editar)**, faça as alterações e selecione **Save (Salvar)**.

1. Para salvar suas alterações, escolha **Salvar alterações**.

## Usando a AWS KMS API
<a name="tag-existing-api"></a>

A [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operação adiciona uma ou mais tags a uma chave gerenciada pelo cliente;. No entanto, você também pode usar **TagResource** para alterar o valor de uma tag existente. Não é possível usar essa operação para adicionar ou editar etiquetas em uma Conta da AWS diferente.

Para editar uma tag, especifique uma chave de tag existente e um novo valor de tag. Cada etiqueta em uma chave do KMS deve ter um nome de etiqueta diferente. O valor da tag pode ser uma string nula ou vazia.

Por exemplo, esse comando altera o valor da tag `Purpose` de `Pretest` para `Test`.

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test
```

# Remover tags associadas a uma chave do KMS
<a name="remove-tags"></a>

As tags ajudam a identificar e organizar seus AWS recursos. Você pode remover as tags associadas às chaves KMS gerenciadas pelo cliente no AWS KMS console ou usando a [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operação. Você não pode editar ou remover as tags de um Chave gerenciada pela AWS.

Os procedimentos a seguir demonstram como remover tags de uma chave do KMS. Os exemplos de API do AWS KMS usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

## Usando o AWS KMS console
<a name="delete-tag-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Você não pode gerenciar as etiquetas de uma Chave gerenciada pela AWS)

1. É possível usar o filtro de tabela para exibir somente chaves do KMS com etiquetas específicas. Para obter detalhes, consulte [Visualizar tags usando o console do AWS KMS](view-tags.md#view-tag-console).

1. Marque a caixa de seleção ao lado do alias de uma chave do KMS.

1. Selecione **Key actions (Ações de chave)**, **Add or edit tags (Adicionar ou editar tags)**.

1. Na página de detalhes da chave do KMS, selecione a guia **Tags** (Etiquetas).
   + Para excluir uma tag, selecione **Edit (Editar)**. Na linha da tag, selecione **Remove (Remover)** e **Save (Salvar)**.

1. Para salvar suas alterações, escolha **Salvar alterações**.

## Usando a AWS KMS API
<a name="tagging-keys-untag-resource"></a>

A [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operação exclui tags de uma chave KMS. Para identificar as etiquetas a serem excluídas, especifique as chaves de etiqueta. Essa operação não pode ser usada para excluir etiquetas de chaves do KMS em uma Conta da AWS diferente.

Quando é bem-sucedida, a operação `UntagResource` não retorna nenhuma saída. Além disso, se a chave de etiqueta especificada não for encontrada na chave do KMS, ela não lançará uma exceção nem retornará uma resposta. Para confirmar se a operação funcionou, use a [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação.

Por exemplo, esse comando exclui a etiqueta **Purpose** e seu valor da chave do KMS especificada.

```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```

# Visualizar tags associadas a uma chave do KMS
<a name="view-tags"></a>

As tags ajudam a identificar e organizar seus AWS recursos. Você pode visualizar as tags associadas às chaves KMS gerenciadas pelo cliente no AWS KMS console ou usando a [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação.

Os procedimentos a seguir demonstram como encontrar as tags associadas a uma chave específica do KMS. Os exemplos de AWS KMS API usam o [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

## Usando o AWS KMS console
<a name="view-tag-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Você não pode gerenciar as etiquetas de uma Chave gerenciada pela AWS)

1. É possível usar o filtro de tabela para exibir somente chaves do KMS com etiquetas específicas.

   Para exibir apenas chaves do KMS com uma etiqueta específica, selecione a caixa de filtro, a chave de etiqueta e entre os valores de etiquetas reais. Também é possível digitar todo o valor da etiqueta ou parte dele.

   A tabela resultante mostra todas as chaves do KMS com a etiqueta selecionada. Porém, essa tabela não mostra a etiqueta. Para ver a etiqueta, selecione o alias ou o ID da chave da KMS e, na página de detalhes, escolha a guia **Tags** (Etiquetas). As guias aparecem sob a seção **General configuration** (Configuração geral).

   Esse filtro exige a chave e o valor da etiqueta. Ele não localizará chaves do KMS apenas com a chave da etiqueta ou apenas com seu valor. Para filtrar as tags por toda ou parte da chave ou valor da tag, use a [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação para obter chaves KMS marcadas e, em seguida, use os recursos de filtragem da sua linguagem de programação.

1. Marque a caixa de seleção ao lado do alias de uma chave do KMS.

1. Selecione **Key actions (Ações de chave)**, **Add or edit tags (Adicionar ou editar tags)**.

1. Na página de detalhes da chave do KMS, selecione a guia **Tags** (Etiquetas).

## Usando a AWS KMS API
<a name="tagging-keys-list-resource-tags"></a>

A [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operação obtém as tags de uma chave KMS. O parâmetro `KeyId` é obrigatório. Essa operação não pode ser usada para visualizar as etiquetas nas chaves do KMS em uma Conta da AWS diferente.

Por exemplo, o comando a seguir obtém as etiquetas para uma chave do KMS demonstrativa.

```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}
```

# Usar tags para controlar o acesso a chaves do KMS
<a name="tag-authorization"></a>

Você pode controlar o acesso AWS KMS keys com base nas tags na chave KMS. Por exemplo, você pode escrever uma política do IAM que permite que as entidades principais habilitem e desabilitem somente as chaves do KMS que possuem uma etiqueta específica. Ou você pode usar uma política do IAM para impedir que as entidades principais usem chaves do KMS em operações de criptografia, a menos que a chave do KMS tenha uma etiqueta específica. 

Esse recurso faz parte do AWS KMS suporte ao [controle de acesso baseado em atributos](abac.md) (ABAC). Para obter informações sobre o uso de tags para controlar o acesso aos AWS recursos, consulte [Para AWS que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? e [controlar o acesso aos AWS recursos usando tags de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*. Para obter ajuda para resolver problemas de acesso relacionados ao ABAC, consulte [Solução de problemas do ABAC para AWS KMS](troubleshooting-tags-aliases.md).

**nota**  
Pode levar até cinco minutos para que alterações de etiqueta e alias afetem a autorização de chaves do KMS. Alterações recentes podem estar visíveis em operações de API antes de afetarem a autorização.

AWS KMS suporta a chave de [contexto de condição global [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), que permite controlar o acesso às chaves KMS com base nas tags da chave KMS. Como várias chaves do KMS podem ter a mesma etiqueta, esse recurso permite que você aplique a permissão a um conjunto selecionado de chaves do KMS. Também é possível alterar facilmente as chaves do KMS no conjunto alterando suas etiquetas. 

Em AWS KMS, a chave de `aws:ResourceTag/tag-key` condição é suportada somente nas políticas do IAM. Ela não é suportada em políticas de chaves, que se aplicam somente a uma chave KMS, ou em operações que não usam uma chave KMS específica, como as operações [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)ou [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html).

Controlar o acesso com etiquetas é uma maneira simples, escalável e flexível de gerenciar permissões. No entanto, se isso não for projetado e gerenciado corretamente, poderá permitir ou negar acesso às chaves do KMS inadvertidamente. Se estiver usando etiquetas para controlar o acesso, considere as seguintes práticas.
+ Use tags para reforçar a prática recomendada do [acesso acesso com privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Conceda às entidades principais do IAM somente as permissões de que eles precisam nas chaves do KMS que elas devem usar ou gerenciar. Por exemplo, use etiquetas para rotular as chaves do KMS usadas para um projeto. Em seguida, dê permissão à equipe do projeto para usar somente chaves do KMS com a etiqueta do projeto.
+ Tenha cuidado ao conceder às entidades principais as permissões `kms:TagResource` e `kms:UntagResource`, com as quais elas podem adicionar, editar e excluir etiquetas. Quando você usa etiquetas para controlar o acesso a chaves do KMS, a alteração de uma etiqueta pode dar permissão às entidades principais para usar chaves do KMS que, de outra forma, elas não teriam permissão de usar. Ele também pode negar acesso a chaves do KMS que outras entidades principais exigem para realizar seus trabalhos. Os administradores de chaves que não tiverem permissão para alterar políticas de chaves ou criar concessões poderão controlar o acesso às chaves do KMS se tiverem permissão para gerenciar etiquetas.

  Sempre que possível, use uma condição de política, como `aws:RequestTag/tag-key` ou `aws:TagKeys`, para[limitar as permissões de marcação de uma entidade principal](tag-permissions.md#tag-permissions-conditions) para etiquetas ou padrões de etiquetas específicos em chaves do KMS específicas.
+ Revise os diretores Conta da AWS que atualmente têm permissões de marcação e desmarcação e ajuste-os, se necessário. Por exemplo, a [política de chaves padrão para administradores de chaves](key-policy-default.md#key-policy-default-allow-administrators) do console inclui as permissões `kms:TagResource` e `kms:UntagResource` nessa chave do KMS. As políticas do IAM podem conceder permissões de marcação ou desmarcação em todas as chaves do KMS. Por exemplo, a política [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gerenciada permite que os diretores marquem, desmarquem e listem as tags em todas as chaves do KMS.
+ Antes de definir uma política que dependa de uma tag, revise as tags nas chaves KMS do seu Conta da AWS. Certifique-se de que sua política se aplica somente às etiquetas que você pretende incluir. Use [CloudTrail registros](logging-using-cloudtrail.md) e [CloudWatch alarmes](monitoring-overview.md) para alertá-lo sobre alterações nas tags que possam afetar o acesso às suas chaves KMS.
+ As condições de políticas baseadas em etiquetas usam correspondência de padrões. Elas não estão vinculadas a uma instância específica de uma etiqueta. Uma política que usa chaves de condição baseadas em etiquetas afeta todas as etiquetas novas e existentes que correspondem ao padrão. Se você excluir e recriar uma etiqueta que corresponde a uma condição de política, a condição se aplicará à nova etiqueta, assim como à antiga.

Por exemplo, considere a seguinte política do IAM. Ele permite que os diretores liguem para as operações [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)e [descriptografem](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) somente em chaves KMS em sua conta que estejam na região Ásia-Pacífico (Cingapura) e tenham uma tag. `"Project"="Alpha"` Você pode anexar essa política a funções no exemplo do projeto Alpha.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMPolicyWithResourceTag",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "Alpha"
        }
      }
    }
  ]
}
```

------

O exemplo de política do IAM a seguir permite que as entidades principais usem qualquer chave dp KMS na conta para determinadas operações de criptografia. Porém, ela proíbe as entidades principais de usar estas operações criptográficas em chaves do KMS com uma tag `"Type"="Reserved"` ou sem etiqueta `"Type"`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMAllowCryptographicOperations",
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMDenyOnTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Type": "Reserved"
        }
      }
    },
    {
      "Sid": "IAMDenyNoTag",
      "Effect": "Deny",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/Type": "true"
        }
      }
    }
  ]
}
```

------