本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS KMS 中的标签
标签是您可以为 AWS 资源分配(或 AWS 可以分配)的可选元数据标记。每个标签都包含一个标签键和一个标签值,它们都是区分大小写的字符串。标签值可为空 (null) 字符串。资源上的每个标签必须具有不同的标签键,但您可以将相同的标签添加到多个 AWS 资源。每个资源最多可以有 50 个用户创建的标签。
不要在标签键或标签值中包含机密或敏感信息。标签可供许多 AWS 服务 访问,包括计费。
在 AWS KMS 中,您可以在创建 KMS 密钥和标记或取消标记现有 KMS 密钥时将标签添加到客户托管密钥,除非这些密钥处于待删除状态。但不能在其他 AWS 账户 中标记别名、自定义密钥存储、AWS 拥有的密钥、AWS 托管式密钥 或 KMS 密钥。标签是可选的,但它们可能非常有用。
例如,您可以添加一个 "Project"="Alpha"
标签添加到您用于 Alpha 项目的所有 KMS 密钥和 Amazon S3 存储桶。
TagKey = "Project" TagValue = "Alpha"
有关标签的一般信息,包括格式和语法,请参阅《Amazon Web Services 一般参考》中的 Tagging AWS resources。
标签可帮助您:
-
标识和整理您的 AWS 资源。许多 AWS 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。例如,您可以将相同的标签分配给 KMS 密钥和 Amazon Elastic Block Store(Amazon EBS)卷或 AWS Secrets Manager 密钥。您还可以使用标签来标识 KMS 密钥以实现自动化。
-
跟踪您的 AWS 成本。在将标签添加到 AWS 资源时,AWS 可生成成本分配报告,其中按标签汇总了使用情况和成本。您可以使用此功能来跟踪项目、应用程序或成本中心的 AWS KMS 成本。
有关对成本分配使用标签的更多信息,请参阅 AWS Billing 用户指南中的使用成本分配标签。有关适用于标签键和标签值的规则的信息,请参阅 AWS Billing 用户指南中的用户定义的标签限制。
-
控制对 AWS 资源的访问。基于 KMS 密钥的标签允许和拒绝对该密钥的访问是 AWS KMS 对基于属性的访问控制 (ABAC) 的支持的一部分。有关基于 AWS KMS keys 的标签控制对其访问的更多信息,请参阅 使用标签控制对 KMS 密钥的访问。有关使用标签控制对 AWS 资源的访问的更多一般信息,请参阅 IAM 用户指南中的使用资源标签控制对 AWS 资源的访问。
AWS KMS 在您使用 TagResource、UntagResource 或 ListResourceTags 操作时将一个条目写入您的 AWS CloudTrail 日志。