本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 KMS 密钥添加标签
<a name="add-tags"></a>

标签有助于识别和整理您的 AWS 资源。您可以在[创建 KMS 密钥](create-keys.md)时向客户托管密钥添加标签，或者向现有的 KMS 密钥添加标签。您无法标记 AWS 托管式密钥。

以下过程演示如何使用 AWS KMS 控制台和 AWS KMS API 向客户托管密钥添加标签。 AWS KMS API 示例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支持的编程语言。

**Topics**
+ [创建 KMS 密钥时添加标签](#tag-on-create)
+ [向现有的 KMS 密钥添加标签](#tag-exisiting)

## 创建 KMS 密钥时添加标签
<a name="tag-on-create"></a>

在使用 AWS KMS 控制台或[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)操作创建密钥时，可以向 KMS 密钥添加标签。要在创建 KMS 密钥时添加标签，除了创建 KMS 密钥所需的权限之外，您还必须具有 IAM 策略中的 `kms:TagResource` 权限。权限至少必须涵盖账户和区域中的所有 KMS 密钥。有关更多信息，请参阅 [控制对标签的访问](tag-permissions.md)。

### 使用控制 AWS KMS 台
<a name="tag-on-create-console"></a>

要在控制台中创建 KMS 密钥时添加标签，除了添加标签和创建 KMS 密钥所需的权限之外，您还必须具有在控制台中查看 KMS 密钥所需的权限。权限至少必须涵盖账户和区域中的所有 KMS 密钥。

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。（您无法管理 AWS 托管式密钥的标签）

1. 选择密钥类型，然后选择 **Next**（下一步）。

1. 输入别名和可选的描述。

1. 输入一个标签键和可选的标签值。要添加其他标签，请选择 **Add tag**（添加标签）。要删除标签，请选择 **Remove**（删除）。完成新 KMS 密钥的标记后，选择 **Next**（下一步）。

1. 完成 KMS 密钥的创建。

### 使用 AWS KMS API
<a name="tagging-keys-create-key"></a>

要在使用[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)操作创建密钥时指定标签，请使用操作的`Tags`参数。

`CreateKey` 的 `Tags` 参数的值是区分大小写的标签键和标签值对的集合。KMS 密钥上的每个标签都必须具有不同的标签名称。标签值可为 null 或空字符串。

例如，以下 AWS CLI 命令创建带有`Project:Alpha`标签的对称加密 KMS 密钥。指定多个键值对时，请使用空格分隔每个对。

```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```

当此命令成功时，它会返回一个 `KeyMetadata` 对象以及有关新 KMS 密钥的信息。但是，`KeyMetadata` 不包括标签。要获取标签，请使用[ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)操作。

## 向现有的 KMS 密钥添加标签
<a name="tag-exisiting"></a>

您可以在 AWS KMS 控制台中或使用[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)操作为现有的客户托管 KMS 密钥添加标签。要添加标签，您需要具有向 KMS 密钥添加标签的权限。您可以从 KMS 密钥的密钥策略中获取此权限，或者如果密钥策略允许，还可以从包含 KMS 密钥的 IAM policy 获取此权限。

### 使用控制 AWS KMS 台
<a name="tag-existing-console"></a>

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。（您无法管理 AWS 托管式密钥的标签）

1. 您可以使用表筛选条件仅显示带有特定标签的 KMS 密钥。有关详细信息，请参阅[使用 AWS KMS 控制台查看标签](view-tags.md#view-tag-console)。

1. 选中 KMS 密钥的别名旁的复选框。

1. 选择 **Key actions**、**Add or edit tags**。

1. 在 KMS 密钥的详细信息页面上，选择 **Tags**（标签）选项卡。
   + 要创建您的第一个标签，请选择 **Create tag**（创建标签），键入标签键（必需）和标签值（可选），然后选择 **Save**（保存）。

     如果将标签值留空，则实际标签值为 null 或空字符串。
   + 要添加标签，请选择 **Edi**（编辑），选择 **Add tag**（添加标签），键入标签键和标签值，然后选择 **Save**（保存）。

1. 要保存您的更改，请选择**保存更改**。

### 使用 AWS KMS API
<a name="tagging-keys-tag-resource"></a>

该[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)操作将向 KMS 密钥添加一个或多个标签。此操作不能用于在不同的 AWS 账户中添加标签。您也可以使用该 TagResource 操作来编辑现有标签。有关更多信息，请参阅 [编辑与 KMS 密钥关联的标签](edit-tags.md)。

要添加标签，请指定新标签键和标签值。KMS 密钥上的每个标签都必须具有不同的标签键。标签值可为 null 或空字符串。

例如，以下命令将 **Purpose** 和 **Department** 标签添加到示例 KMS 密钥中。

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```

此命令成功执行后，不会返回任何输出。要查看 KMS 密钥上的标签，请使用[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)操作。