AWS KMS 中的标签 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS KMS 中的标签

标签是您可以为 AWS 资源分配(或 AWS 可以分配)的可选元数据标记。每个标签都包含一个标签键和一个标签值,它们都是区分大小写的字符串。标签值可为空 (null) 字符串。资源上的每个标签必须具有不同的标签键,但您可以将相同的标签添加到多个 AWS 资源。每个资源最多可以有 50 个用户创建的标签。

不要在标签键或标签值中包含机密或敏感信息。标签可供许多 AWS 服务 访问,包括计费。

在 AWS KMS 中,您可以在创建 KMS 密钥和标记或取消标记现有 KMS 密钥时将标签添加到客户托管密钥,除非这些密钥处于待删除状态。但不能在其他 AWS 账户 中标记别名、自定义密钥存储、AWS 拥有的密钥、AWS 托管式密钥 或 KMS 密钥。标签是可选的,但它们可能非常有用。

例如,您可以添加一个 "Project"="Alpha" 标签添加到您用于 Alpha 项目的所有 KMS 密钥和 Amazon S3 存储桶。

TagKey = "Project" TagValue = "Alpha"

有关标签的一般信息,包括格式和语法,请参阅《Amazon Web Services 一般参考》中的 Tagging AWS resources

标签可帮助您:

  • 标识和整理您的 AWS 资源。许多 AWS 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。例如,您可以将相同的标签分配给 KMS 密钥和 Amazon Elastic Block Store(Amazon EBS)卷或 AWS Secrets Manager 密钥。您还可以使用标签来标识 KMS 密钥以实现自动化。

  • 跟踪您的 AWS 成本。在将标签添加到 AWS 资源时,AWS 可生成成本分配报告,其中按标签汇总了使用情况和成本。您可以使用此功能来跟踪项目、应用程序或成本中心的 AWS KMS 成本。

    有关对成本分配使用标签的更多信息,请参阅 AWS Billing 用户指南中的使用成本分配标签。有关适用于标签键和标签值的规则的信息,请参阅 AWS Billing 用户指南中的用户定义的标签限制

  • 控制对 AWS 资源的访问。基于 KMS 密钥的标签允许和拒绝对该密钥的访问是 AWS KMS 对基于属性的访问控制 (ABAC) 的支持的一部分。有关基于 AWS KMS keys 的标签控制对其访问的更多信息,请参阅 使用标签控制对 KMS 密钥的访问。有关使用标签控制对 AWS 资源的访问的更多一般信息,请参阅 IAM 用户指南中的使用资源标签控制对 AWS 资源的访问

AWS KMS 在您使用 TagResourceUntagResourceListResourceTags 操作时将一个条目写入您的 AWS CloudTrail 日志。