Amazon KMS 中的标签 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 中的标签

标签是您可以为 Amazon 资源分配(或 Amazon 可以分配)的可选元数据标记。每个标签都包含一个标签键和一个标签值,它们都是区分大小写的字符串。标签值可为空 (null) 字符串。资源上的每个标签必须具有不同的标签键,但您可以将相同的标签添加到多个 Amazon 资源。每个资源最多可以有 50 个用户创建的标签。

不要在标签键或标签值中包含机密或敏感信息。标签可供许多 Amazon Web Services 服务 访问,包括计费。

在 Amazon KMS 中,您可以在创建 KMS 密钥和标记或取消标记现有 KMS 密钥时将标签添加到客户托管密钥,除非这些密钥处于待删除状态。但不能在其他 Amazon Web Services 账户 中标记别名、自定义密钥存储、Amazon 拥有的密钥、Amazon 托管式密钥 或 KMS 密钥。标签是可选的,但它们可能非常有用。

例如,您可以添加一个 "Project"="Alpha" 标签添加到您用于 Alpha 项目的所有 KMS 密钥和 Amazon S3 存储桶。

TagKey = "Project" TagValue = "Alpha"

有关标签的一般信息,包括格式和语法,请参阅《Amazon Web Services 一般参考》中的 Tagging Amazon resources

标签可帮助您:

  • 标识和整理您的 Amazon 资源。许多 Amazon 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。例如,您可以将相同的标签分配给 KMS 密钥和 Amazon Elastic Block Store(Amazon EBS)卷或 Amazon Secrets Manager 密钥。您还可以使用标签来标识 KMS 密钥以实现自动化。

  • 跟踪您的 Amazon 成本。在将标签添加到 Amazon 资源时,Amazon 可生成成本分配报告,其中按标签汇总了使用情况和成本。您可以使用此功能来跟踪项目、应用程序或成本中心的 Amazon KMS 成本。

    有关对成本分配使用标签的更多信息,请参阅 Amazon Billing 用户指南中的使用成本分配标签。有关适用于标签键和标签值的规则的信息,请参阅 Amazon Billing 用户指南中的用户定义的标签限制

  • 控制对 Amazon 资源的访问。基于 KMS 密钥的标签允许和拒绝对该密钥的访问是 Amazon KMS 对基于属性的访问控制 (ABAC) 的支持的一部分。有关基于 Amazon KMS keys 的标签控制对其访问的更多信息,请参阅 使用标签控制对 KMS 密钥的访问。有关使用标签控制对 Amazon 资源的访问的更多一般信息,请参阅 IAM 用户指南中的使用资源标签控制对 Amazon 资源的访问

Amazon KMS 在您使用 TagResourceUntagResourceListResourceTags 操作时将一个条目写入您的 Amazon CloudTrail 日志。