使用 API 操作管理 KMS 金鑰標籤 - AWS Key Management Service
CreateKey:將標籤新增至新的 KMS 金鑰TagResource:新增或變更 KMS 金鑰的標籤ListResourceTags:取得 KMS 金鑰的標籤UntagResource:從 KMS 金鑰刪除標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 API 操作管理 KMS 金鑰標籤

您可以使用 AWS Key Management Service (AWS KMS) API 來新增、刪除和列出您管理之 KMS 金鑰的標籤。以下範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。您無法標記 AWS 受管金鑰。

若要新增、編輯、檢視和刪除 KMS 金鑰的標籤,您必須擁有必要的許可。如需詳細資訊,請參閱 控制對標籤的存取

CreateKey:將標籤新增至新的 KMS 金鑰

您可以在建立客戶管理金鑰時新增標籤若要指定標籤,請使用CreateKey作業的Tags參數。

若要在建立 KMS 金鑰時新增標籤,呼叫者必須擁有 IAM 政策的 kms:TagResource 許可。此許可至少必須涵蓋帳戶和區域中的所有 KMS 金鑰。如需詳細資訊,請參閱 控制對標籤的存取

CreateKeyTags 參數值是區分大小寫的標籤鍵和標籤值對的集合。KMS 金鑰上的每個標籤必須有不同的標籤名稱。標籤值可以為 null 或空字串。

例如,下列 AWS CLI 命令會建立具有 Project:Alpha 標籤的對稱加密 KMS 金鑰。指定多個索引鍵/值組時,請使用空格來分隔每一組。

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

此命令成功時,會傳回包含新 KMS 金鑰相關資訊的 KeyMetadata 物件。但是,KeyMetadata 不包含標籤。若要取得標籤,請使用此ListResourceTags作業。

TagResource:新增或變更 KMS 金鑰的標籤

TagResource作業會將一或多個標記新增至 KMS 金鑰。您無法使用此操作新增或編輯不同 AWS 帳戶 中的標籤。

若要新增標籤,請指定新標籤索引鍵和標籤值。若要編輯標籤,請指定現有標籤索引鍵和新標籤值。KMS 金鑰上的每個標籤必須有不同的標籤索引鍵。標籤值可以為 null 或空字串。

例如,下列命令會將 PurposeDepartment 標籤新增至範例 KMS 金鑰。

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

當此命令成功時,不會傳回任何輸出。若要檢視 KMS 金鑰上的標籤,請使用此ListResourceTags作業。

您也可以使用 TagResource 來變更現有標籤的標籤值。若要取代標籤值,請使用不同的值來指定相同的標籤索引鍵。

例如,這個命令會將 Purpose 標籤的值從 Pretest 變更為 Test

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test

ListResourceTags:取得 KMS 金鑰的標籤

ListResourceTags業會取得 KMS 金鑰的標籤。KeyId 參數是必要參數。您無法使用此操作檢視不同 AWS 帳戶 中 KMS 金鑰的標籤。

例如,下列命令會取得範例 KMS 金鑰的標籤。

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}

UntagResource:從 KMS 金鑰刪除標籤

此作UntagResource業會從 KMS 金鑰刪除標籤。若要識別要刪除的標籤,請指定標籤索引鍵。您無法使用此操作刪除不同 AWS 帳戶 中 KMS 金鑰的標籤。

成功時,UntagResource 操作不會傳回任何輸出。此外,如果在 KMS 金鑰上找不到指定的標籤金鑰,則其不會擲回例外狀況或傳回回應。若要確認作業是否有效,請使用該ListResourceTags作業。

例如,此命令會從指定的 KMS 金鑰刪除 Purpose 標籤及其值。

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose