Inclusión de etiquetas a una clave de KMS - AWS Key Management Service
Agregar etiquetas al crear una clave KMSAgregar etiquetas a claves KMS existentes

Inclusión de etiquetas a una clave de KMS

Las etiquetas ayudan a identificar y organizar los recursos de AWS. Puede agregar etiquetas a una clave administrada por el cliente cuando crea la clave KMS o agregar etiquetas a claves KMS existentes. No puede etiquetar Claves administradas por AWS.

Los siguientes procedimientos muestran cómo añadir etiquetas a las claves administradas por el cliente mediante la consola de AWS KMS y la API de AWS KMS. En estos ejemplos de API de AWS KMS, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Agregar etiquetas al crear una clave KMS

Puede agregar etiquetas a una clave KMS al crear la clave mediante la consola de AWS KMS o la operación CreateKey. Para agregar etiquetas al crear una clave KMS debe tener el permiso kms:TagResource en una política de IAM, además de los permisos necesarios para crear claves KMS. Como mínimo, el permiso debe cubrir todas las claves KMS de la cuenta y la región. Para obtener más información, consulte Control del acceso a las etiquetas.

Para agregar etiquetas al crear una clave KMS en la consola debe tener los permisos necesarios para ver claves KMS en la consola, además de los permisos necesarios para etiquetar y crear claves KMS. Como mínimo, el permiso debe cubrir todas las claves KMS de la cuenta y la región.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede administrar las etiquetas de una Clave administrada de AWS)

  4. Elija el tipo de clave, a continuación, elija Next (Siguiente).

  5. Escriba un alias y una descripción opcional.

  6. Introduzca una clave de etiqueta y un valor de etiqueta opcional. Para agregar otras etiquetas, elija Add tag (Agregar etiqueta). Para quitar una etiqueta, seleccione Remove (Eliminar). Cuando termine de etiquetar su nueva clave KMS, elija Next (Siguiente).

  7. Termine de crear su clave KMS

Para especificar etiquetas al crear claves mediante la operación CreateKey, utilice el parámetro Tags de la operación.

El valor del parámetro Tags de CreateKeyes una colección de pares de claves y valores de etiqueta que distinguen mayúsculas y minúsculas. Cada etiqueta de una clave KMS debe tener un nombre de etiqueta diferente. El valor de etiqueta puede ser una cadena vacía o nula.

Por ejemplo, el siguiente comando AWS CLI crea una clave KMS de cifrado simétrica con una etiqueta Project:Alpha. Cuando especifique más de un par de clave-valor, utilice un espacio para separar cada par.

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

Cuando este comando se ejecuta correctamente, devuelve un objeto KeyMetadata con información sobre la nueva clave KMS. Sin embargo, KeyMetadata no incluye etiquetas. Para obtener las etiquetas, utilice la operación ListResourceTags.

Agregar etiquetas a claves KMS existentes

Puede agregar etiquetas a las claves KMS administradas por el cliente existentes en la consola de AWS KMS o mediante la operación TagResource. Para agregar etiquetas necesita permiso de etiquetado en la clave KMS. Puede obtener este permiso de la política de clave para la clave KMS o, si la política de clave lo permite, de una política de IAM que incluya la clave KMS.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente. (No puede administrar las etiquetas de una Clave administrada de AWS)

  4. Puede utilizar el filtro de tabla para mostrar sólo claves KMS con etiquetas concretas. Para obtener más información, consulte Ver etiquetas mediante la consola de AWS KMS.

  5. Seleccione la casilla de verificación situada junto al alias de una clave KMS.

  6. Elija Key actions, Add or edit tags.

  7. En la página de detalles de la clave KMS, seleccione la pestaña Tags (Etiquetas).

    • Para crear la primera etiqueta, elija Create tag (Crear etiqueta), escriba el nombre (obligatorio) y el valor (opcional) de la etiqueta y, por último, elija Save (Guardar).

      Si deja el valor de etiqueta en blanco, el valor de etiqueta real es una cadena nula o vacía.

    • Para agregar una etiqueta, elija Edit (Editar), Add tag (Agregar etiqueta), escriba el nombre y el valor de la etiqueta y, por último, elija Save (Guardar).

  8. Para guardar los cambios, elija Guardar cambios.

La operación TagResource agregue una o varias etiquetas a una clave KMS. No puede usar esta operación para agregar o editar etiquetas en otra Cuenta de AWS. También puede utilizar la operación TagResource para editar las etiquetas existentes. Para obtener más información, consulte Editar las etiquetas asociadas a una clave KMS.

Para agregar una etiqueta, especifique una clave de etiqueta nueva y un valor de la etiqueta. Cada etiqueta de una clave KMS debe tener una clave de etiqueta distinta. El valor de etiqueta puede ser una cadena vacía o nula.

Por ejemplo, el siguiente comando agrega las etiquetas Purpose y Department a una clave KMS de ejemplo.

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

Si este comando se realiza correctamente, no devuelve ningún resultado. Para ver las etiquetas de una clave KMS, utilice la operación ListResourceTags.