Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Etiquetas en AWS KMS
Una *etiqueta* es una etiqueta de metadatos opcional que puedes asignar (o AWS puedes asignar) a un AWS recurso. Cada etiqueta consta de una *clave de etiqueta* y a *valor de etiqueta*, que distinguen entre mayúsculas y minúsculas. El valor de la etiqueta puede ser una cadena vacía (nula). Cada etiqueta de un recurso debe tener una clave de etiqueta diferente, pero puedes añadir la misma etiqueta a varios AWS recursos. Cada recurso puede tener un máximo de 50 etiquetas creadas por el usuario.
No incluya información confidencial en la clave ni en el valor de la etiqueta. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluida la facturación.
En AWS KMS, puedes añadir etiquetas a una clave gestionada por el cliente al crear la clave de KMS y etiquetar o desetiquetar las claves de KMS existentes, a menos que estén [pendientes de ser eliminadas](key-state.md). No puedes etiquetar alias, Claves administradas por AWS almacenes de claves personalizadas ni claves de KMS en otros.Claves propiedad de AWS Cuentas de AWS Las etiquetas son opcionales, pero pueden ser muy útiles.
Por ejemplo, puede agregar una etiqueta `"Project"="Alpha"` para todas las claves KMS y los buckets de Amazon S3 que utilice para el proyecto Alpha.
```
TagKey = "Project"
TagValue = "Alpha"
```
Para obtener información general sobre las etiquetas, incluidos el formato y la sintaxis, consulte [AWS los recursos de etiquetado](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) en. *Referencia general de Amazon Web Services*
Las etiquetas lo ayudan a hacer lo siguiente:
+ Identifique y organice sus AWS recursos. Muchos AWS servicios admiten el etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios para indicar que los recursos están relacionados. Por ejemplo, puede asignar la misma etiqueta a una clave de KMS y a un volumen o secreto de Amazon Elastic Block Store (Amazon EBS). AWS Secrets Manager También puede utilizar etiquetas para identificar claves KMS para la automatización.
+ Realice un seguimiento de sus AWS costes. Cuando agrega etiquetas a sus AWS recursos, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Puede usar esta función para realizar un seguimiento de AWS KMS los costos de un proyecto, aplicación o centro de costos.
Para obtener más información sobre el uso de etiquetas para la asignación de costos, consulte [Uso de etiquetas de asignación de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *. Para obtener información sobre las reglas que se aplican a las claves y los valores de las etiquetas, consulte [Restricciones de las etiquetas definidas por el usuario](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html) en la *Guía del usuario AWS Billing *.
+ Controle el acceso a sus AWS recursos. Permitir y denegar el acceso a las claves de KMS en función de sus etiquetas forma parte de la AWS KMS compatibilidad con el [control de acceso basado en atributos](abac.md) (ABAC). Para obtener información sobre cómo controlar el acceso a AWS KMS keys en función de sus etiquetas, consulte. [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md) Para obtener más información general sobre el uso de etiquetas para controlar el acceso a AWS los recursos, consulte Control del [acceso a AWS los recursos mediante etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*.
AWS KMS escribe una entrada en el AWS CloudTrail registro cuando se utilizan las [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operaciones [TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md), o.
**Topics**
+ [
# Control del acceso a las etiquetas
](tag-permissions.md)
+ [
# Inclusión de etiquetas a una clave de KMS
](add-tags.md)
+ [
# Editar las etiquetas asociadas a una clave KMS
](edit-tags.md)
+ [
# Eliminación de las etiquetas asociadas a una clave de KMS
](remove-tags.md)
+ [
# Ver etiquetas asociadas a una clave KMS
](view-tags.md)
+ [
# Uso de etiquetas para controlar el acceso a las claves KMS
](tag-authorization.md)
# Control del acceso a las etiquetas
Para añadir, ver y eliminar etiquetas, ya sea en la AWS KMS consola o mediante la API, los directores necesitan permisos de etiquetado. Puede proporcionar estos permisos en una [política de claves](key-policies.md). También puede proporcionarlos en las políticas de IAM (incluyendo [Políticas de punto de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)), pero solo si [la política de claves lo permite](key-policy-default.md#allow-iam-policies). La política [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)administrada permite a los directores etiquetar, desetiquetar y enumerar las etiquetas de todas las claves de KMS a las que puede acceder la cuenta.
También puede limitar estos permisos mediante claves de condición AWS globales para las etiquetas. En AWS KMS, estas condiciones pueden controlar el acceso a las operaciones de etiquetado, como [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)y [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html).
**nota**
Tenga cuidado al dar permiso a las entidades principales para administrar etiquetas y alias. El cambio de etiqueta o alias puede permitir o denegar permiso a la clave administrada por el cliente. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md).
Para obtener más información y políticas de ejemplo, consulte [Control del acceso en función de las claves de etiqueta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)en la *Guía del usuario de IAM*.
Los permisos para crear y administrar etiquetas funcionan de la siguiente manera.
**km: TagResource**
Permite a las entidades principales agregar o editar etiquetas. Para agregar etiquetas al crear una clave KMS, la entidad principal debe tener permiso en una política de IAM que no esté restringida a determinadas claves KMS.
**km: ListResourceTags**
Permite a las entidades principales ver etiquetas en claves KMS.
**km: UntagResource**
Permite a las entidades principales eliminar etiquetas de las claves KMS.
## Permisos de etiquetas en políticas
Puede proporcionar permisos de etiquetas en una política de claves o una política de IAM. Por ejemplo, la siguiente política de claves de ejemplo ofrece permiso de etiquetar a los usuarios seleccionados en la clave KMS. Da permiso a todos los usuarios que pueden asumir los roles de administrador o desarrollador de ejemplo para ver etiquetas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "AllowAllTaggingPermissions",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:user/LeadAdmin",
"arn:aws:iam::111122223333:user/SupportLead"
]},
"Action": [
"kms:TagResource",
"kms:ListResourceTags",
"kms:UntagResource"
],
"Resource": "*"
},
{
"Sid": "AllowRolesViewTags",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:role/Administrator",
"arn:aws:iam::111122223333:role/Developer"
]},
"Action": "kms:ListResourceTags",
"Resource": "*"
}
]
}
```
------
Para conceder permiso de etiquetado de entidades principales en varias claves KMS, puede usar una política de IAM. Para que esta política sea efectiva, la política de claves de cada clave KMS debe permitir a la cuenta utilizar políticas de IAM para controlar el acceso a clave KMS.
Por ejemplo, la siguiente política de IAM permite a las entidades principales crear claves KMS. También les permite crear y administrar etiquetas en todas las claves KMS de la cuenta especificada. Esta combinación permite a los directores utilizar el parámetro [Etiquetas](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags) de la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para añadir etiquetas a una clave de KMS mientras la crean.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKeys",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource",
"kms:ListResourceTags"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
## Limitar los permisos de etiqueta
Puede limitar los permisos de etiquetado mediante [condiciones de política](policy-conditions.md). Las siguientes condiciones de política se pueden aplicar a los permisos `kms:TagResource` y `kms:UntagResource`. Por ejemplo, puede utilizar la condición `aws:RequestTag/tag-key` para permitir que una entidad principal agregue solo etiquetas particulares, o impedir que una entidad principal agregue etiquetas con claves de etiqueta concretas. También puede utilizar la condición `kms:KeyOrigin` para evitar que las entidades principales etiqueten o desetiqueten claves KMS con [material de claves importado](importing-keys.md).
+ [AWS: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws:ResourceTag/*tag-key (solo políticas*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) de IAM)
+ [AWS: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [km: CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [km: KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [km: KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [km: KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [km: ViaService](conditions-kms.md#conditions-kms-via-service)
Como práctica recomendada cuando utilice etiquetas para controlar el acceso a claves KMS, utilice la clave de condición `aws:RequestTag/tag-key` o `aws:TagKeys` para determinar qué etiquetas (o claves de etiqueta) están permitidas.
Por ejemplo, la siguiente política IAM es similar a la anterior. Sin embargo, esta política permite a las entidades principales crear etiquetas (`TagResource`) y eliminar etiquetas `UntagResource` solo para etiquetas con una clave de etiqueta `Project`.
Como `TagResource` las `UntagResource` solicitudes pueden incluir varias etiquetas, debe especificar un operador `ForAllValues` o `ForAnyValue` configurarlo con la TagKeys condición [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). El operador `ForAnyValue` requiere que al menos una de las claves de etiqueta de la solicitud coincida con una de las claves de etiqueta de la política. El operador `ForAllValues` requiere que todas las claves de etiqueta de la solicitud coincidan con una de las claves de etiqueta de la política. El `ForAllValues` operador también devuelve el `true` mensaje si no hay etiquetas en la solicitud, pero TagResource no lo UntagResource hace si no se especifica ninguna etiqueta. Para obtener información detallada sobre los operadores de conjunto, consulte [Usar varias claves y valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKey",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyViewAllTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMPolicyManageTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
}
}
]
}
```
------
# Inclusión de etiquetas a una clave de KMS
Las etiquetas ayudan a identificar y organizar AWS los recursos. Puede agregar etiquetas a una clave administrada por el cliente cuando [crea la clave KMS](create-keys.md) o agregar etiquetas a claves KMS existentes. No puede etiquetar Claves administradas por AWS.
Los siguientes procedimientos muestran cómo añadir etiquetas a las claves administradas por el cliente mediante la AWS KMS consola y la AWS KMS API. Los ejemplos de AWS KMS API usan el [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puedes usar cualquier lenguaje de programación compatible.
**Topics**
+ [
## Agregar etiquetas al crear una clave KMS
](#tag-on-create)
+ [
## Agregar etiquetas a claves KMS existentes
](#tag-exisiting)
## Agregar etiquetas al crear una clave KMS
Puede agregar etiquetas a una clave de KMS al crear la clave mediante la AWS KMS consola o la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación. Para agregar etiquetas al crear una clave KMS debe tener el permiso `kms:TagResource` en una política de IAM, además de los permisos necesarios para crear claves KMS. Como mínimo, el permiso debe cubrir todas las claves KMS de la cuenta y la región. Para obtener más información, consulte [Control del acceso a las etiquetas](tag-permissions.md).
### Uso de la AWS KMS consola
Para agregar etiquetas al crear una clave KMS en la consola debe tener los permisos necesarios para ver claves KMS en la consola, además de los permisos necesarios para etiquetar y crear claves KMS. Como mínimo, el permiso debe cubrir todas las claves KMS de la cuenta y la región.
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede administrar las etiquetas de una Clave administrada de AWS)
1. Elija el tipo de clave, a continuación, elija **Next (Siguiente)**.
1. Escriba un alias y una descripción opcional.
1. Introduzca una clave de etiqueta y un valor de etiqueta opcional. Para agregar otras etiquetas, elija **Add tag (Agregar etiqueta)**. Para quitar una etiqueta, seleccione **Remove (Eliminar)**. Cuando termine de etiquetar su nueva clave KMS, elija **Next (Siguiente)**.
1. Termine de crear su clave KMS
### Uso de la API AWS KMS
Para especificar etiquetas al crear claves mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación, utilice el `Tags` parámetro de la operación.
El valor del parámetro `Tags` de `CreateKey`es una colección de pares de claves y valores de etiqueta que distinguen mayúsculas y minúsculas. Cada etiqueta de una clave KMS debe tener un nombre de etiqueta diferente. El valor de etiqueta puede ser una cadena vacía o nula.
Por ejemplo, el siguiente AWS CLI comando crea una clave KMS de cifrado simétrico con una `Project:Alpha` etiqueta. Cuando especifique más de un par de clave-valor, utilice un espacio para separar cada par.
```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```
Cuando este comando se ejecuta correctamente, devuelve un objeto `KeyMetadata` con información sobre la nueva clave KMS. Sin embargo, `KeyMetadata` no incluye etiquetas. Para obtener las etiquetas, utilice la [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)operación.
## Agregar etiquetas a claves KMS existentes
Puede añadir etiquetas a las claves de KMS administradas por el cliente existentes en la AWS KMS consola o mediante la [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operación. Para agregar etiquetas necesita permiso de etiquetado en la clave KMS. Puede obtener este permiso de la política de clave para la clave KMS o, si la política de clave lo permite, de una política de IAM que incluya la clave KMS.
### Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede administrar las etiquetas de una Clave administrada de AWS)
1. Puede utilizar el filtro de tabla para mostrar sólo claves KMS con etiquetas concretas. Para obtener más información, consulte [Ver etiquetas mediante la consola de AWS KMS](view-tags.md#view-tag-console).
1. Seleccione la casilla de verificación situada junto al alias de una clave KMS.
1. Elija **Key actions**, **Add or edit tags**.
1. En la página de detalles de la clave KMS, seleccione la pestaña **Tags (Etiquetas)**.
+ Para crear la primera etiqueta, elija **Create tag (Crear etiqueta)**, escriba el nombre (obligatorio) y el valor (opcional) de la etiqueta y, por último, elija **Save (Guardar)**.
Si deja el valor de etiqueta en blanco, el valor de etiqueta real es una cadena nula o vacía.
+ Para agregar una etiqueta, elija **Edit (Editar)**, **Add tag (Agregar etiqueta)**, escriba el nombre y el valor de la etiqueta y, por último, elija **Save (Guardar)**.
1. Para guardar los cambios, elija **Guardar cambios**.
### Uso de la API AWS KMS
La [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operación agrega una o más etiquetas a una clave de KMS. No puede usar esta operación para agregar o editar etiquetas en otra Cuenta de AWS. También puede utilizar la TagResource operación para editar las etiquetas existentes. Para obtener más información, consulte [Editar las etiquetas asociadas a una clave KMS](edit-tags.md).
Para agregar una etiqueta, especifique una clave de etiqueta nueva y un valor de la etiqueta. Cada etiqueta de una clave KMS debe tener una clave de etiqueta distinta. El valor de etiqueta puede ser una cadena vacía o nula.
Por ejemplo, el siguiente comando agrega las etiquetas **Purpose** y **Department** a una clave KMS de ejemplo.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```
Si este comando se realiza correctamente, no devuelve ningún resultado. Para ver las etiquetas de una clave KMS, utilice la [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación.
# Editar las etiquetas asociadas a una clave KMS
Las etiquetas ayudan a identificar y organizar AWS los recursos. Puede editar las etiquetas asociadas a las claves de KMS administradas por el cliente en la AWS KMS consola o mediante esta [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operación. No puede editar las etiquetas de un Clave administrada de AWS.
Los siguientes procedimientos muestran cómo editar las etiquetas asociadas a una clave KMS. En estos ejemplos de API de AWS KMS , se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede editar las etiquetas de un) Clave administrada de AWS
1. Puede utilizar el filtro de tabla para mostrar sólo claves KMS con etiquetas concretas. Para obtener más información, consulte [Ver etiquetas mediante la consola de AWS KMS](view-tags.md#view-tag-console).
1. Seleccione la casilla de verificación situada junto al alias de una clave KMS.
1. Elija **Key actions**, **Add or edit tags**.
1. En la página de detalles de la clave KMS, seleccione la pestaña **Tags (Etiquetas)**.
+ Para modificar el nombre o el valor de una etiqueta, elija **Edit (Editar)**, aplique los cambios y elija **Save (Guardar)**.
1. Para guardar los cambios, elija **Guardar cambios**.
## Uso de la AWS KMS API
La [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operación agrega una o más etiquetas a una clave administrada por el cliente; Sin embargo, también pueden utilizar **TagResource** para cambiar los valores de una etiqueta existente. No puede usar esta operación para agregar o editar etiquetas en una Cuenta de AWS diferente.
Para editar una etiqueta, especifique una clave de etiqueta existente y un nuevo valor de etiqueta. Cada etiqueta de una clave KMS debe tener una clave de etiqueta distinta. El valor de etiqueta puede ser una cadena vacía o nula.
Por ejemplo, este comando cambia el valor de la etiqueta `Purpose` de `Pretest` a `Test`.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Test
```
# Eliminación de las etiquetas asociadas a una clave de KMS
Las etiquetas ayudan a identificar y organizar sus AWS recursos. Puede eliminar las etiquetas asociadas a las claves de KMS administradas por el cliente en la AWS KMS consola o mediante esta [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operación. No puede editar ni eliminar las etiquetas de un Clave administrada de AWS.
En los siguientes procedimientos se muestra cómo eliminar etiquetas de una clave KMS. En estos ejemplos de API de AWS KMS , se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede administrar las etiquetas de una Clave administrada de AWS)
1. Puede utilizar el filtro de tabla para mostrar sólo claves KMS con etiquetas concretas. Para obtener más información, consulte [Ver etiquetas mediante la consola de AWS KMS](view-tags.md#view-tag-console).
1. Seleccione la casilla de verificación situada junto al alias de una clave KMS.
1. Elija **Key actions**, **Add or edit tags**.
1. En la página de detalles de la clave KMS, seleccione la pestaña **Tags (Etiquetas)**.
+ Para eliminar una etiqueta, elija **Edit (Editar)**. En la fila de la etiqueta, elija **Remove (Eliminar)** y, luego, **Save (Guardar)**.
1. Para guardar los cambios, elija **Guardar cambios**.
## Uso de la API AWS KMS
La [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operación elimina las etiquetas de una clave de KMS. Para identificar las etiquetas que desea eliminar, especifique las claves de etiqueta. No puede usar esta operación para eliminar etiquetas de claves KMS una Cuenta de AWS diferente.
Cuando tiene éxito, la operación `UntagResource` no devuelve ningún resultado. Además, si la clave de etiqueta especificada no se encuentra en la clave KMS, no arroja una excepción ni devuelve una respuesta. Para confirmar que la operación ha funcionado, utilice la [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación.
Por ejemplo, este comando elimina la etiqueta **Purpose** y todos sus valores de la clave KMS especificada.
```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```
# Ver etiquetas asociadas a una clave KMS
Las etiquetas ayudan a identificar y organizar AWS los recursos. Puede ver las etiquetas asociadas a las claves de KMS administradas por el cliente en la AWS KMS consola o mediante la [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación.
Los siguientes procedimientos muestran cómo encontrar las etiquetas asociadas a una clave KMS específica. Los ejemplos de AWS KMS API usan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puedes usar cualquier lenguaje de programación compatible.
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede administrar las etiquetas de una Clave administrada de AWS)
1. Puede utilizar el filtro de tabla para mostrar sólo claves KMS con etiquetas concretas.
Para mostrar solo las claves KMS con una etiqueta concreta, elija el cuadro de filtro, elija la clave de etiqueta y, a continuación, elija entre los valores de etiqueta reales. También puede introducir una parte o el valor de la etiqueta completo.
La tabla resultante muestra todas las claves KMS con la etiqueta elegida. Sin embargo, no muestra la etiqueta. Para ver la etiqueta, elija el ID de clave o alias de la clave KMS y, en su página de detalles, elija la pestaña **Tags (Etiquetas)**. Las pestañas aparecen debajo de la sección **General configuration (Configuración general)**.
Este filtro requiere la clave y el valor de la etiqueta. No encontrará claves KMS escribiendo solo la clave de etiqueta o solo su valor. Para filtrar las etiquetas por la totalidad o parte de la clave o el valor de la etiqueta, utilice la [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación para obtener las claves KMS etiquetadas y, a continuación, utilice las funciones de filtrado del lenguaje de programación.
1. Seleccione la casilla de verificación situada junto al alias de una clave KMS.
1. Elija **Key actions**, **Add or edit tags**.
1. En la página de detalles de la clave KMS, seleccione la pestaña **Tags (Etiquetas)**.
## Uso de la AWS KMS API
La [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)operación obtiene las etiquetas de una clave KMS. El parámetro `KeyId` es obligatorio. No puede usar esta operación para ver las etiquetas de claves KMS en una Cuenta de AWS diferente.
Por ejemplo, el comando siguiente obtiene las etiquetas para una clave KMS de ejemplo.
```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
"Truncated": false,
"Tags": [
{
"TagKey": "Project",
"TagValue": "Alpha"
},
{
"TagKey": "Purpose",
"TagValue": "Test"
},
{
"TagKey": "Department",
"TagValue": "Finance"
}
]
}
```
# Uso de etiquetas para controlar el acceso a las claves KMS
Puede controlar el acceso a en AWS KMS keys función de las etiquetas de la clave KMS. Por ejemplo, puede escribir una política de IAM que permita a las entidades principales habilitar y desactivar solo las claves KMS que tienen una etiqueta concreta. O bien, puede utilizar una política de IAM para evitar que las principales entidades utilicen claves KMS en operaciones criptográficas, a menos que la clave KMS tenga una etiqueta concreta.
Esta función forma parte de la AWS KMS compatibilidad con el [control de acceso basado en atributos](abac.md) (ABAC). Para obtener información sobre el uso de etiquetas para controlar el acceso a AWS los recursos, consulte [¿Para qué sirve](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) el ABAC? AWS y Cómo [controlar el acceso a AWS los recursos mediante etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del *usuario de IAM*. Para obtener ayuda para resolver problemas de acceso relacionados con ABAC, consulte [Solución de problemas de ABAC para AWS KMS](troubleshooting-tags-aliases.md).
**nota**
Puede que transcurran cinco minutos hasta que los cambios de etiqueta y alias afecten a la autorización de clave KMS. Los cambios recientes pueden ser visibles en las operaciones de API antes de que afecten a la autorización.
AWS KMS admite la clave [contextual de condición global [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), que permite controlar el acceso a las claves de KMS en función de las etiquetas de la clave de KMS. Dado que varias claves KMS pueden tener la misma etiqueta, esta función le permite aplicar el permiso a un conjunto seleccionado de claves KMS. También puede cambiar fácilmente las claves KMS del conjunto cambiando sus etiquetas.
En AWS KMS, la clave de `aws:ResourceTag/tag-key` condición solo se admite en las políticas de IAM. No se admite en las políticas clave, que solo se aplican a una clave de KMS, ni en las operaciones que no utilizan una clave de KMS concreta, como las [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operaciones [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)o.
Controlar el acceso con etiquetas proporciona una forma sencilla, escalable y flexible de administrar los permisos. Sin embargo, si no está diseñado y administrado correctamente, puede permitir o denegar el acceso a sus claves KMS inadvertidamente. Si utiliza etiquetas para controlar el acceso, tenga en cuenta las siguientes prácticas.
+ Utilice etiquetas para reforzar la práctica recomendada de [acceso menos privilegiado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Proporcione a las entidades principales de IAM solo los permisos que necesitan y únicamente en las claves KMS que deben usar o administrar. Por ejemplo, utilice etiquetas para etiquetar las claves KMS utilizadas en un proyecto. A continuación, dé permiso al equipo del proyecto para usar solo claves KMS con la etiqueta de proyecto.
+ Tenga cuidado al dar a las principales entidades los permisos `kms:TagResource` y `kms:UntagResource` que les permiten agregar, editar y eliminar etiquetas. Cuando utiliza etiquetas para controlar el acceso a las claves KMS, cambiar una etiqueta puede dar permiso a las principales entidades para usar claves KMS que de otro modo no tenían permiso para usar. También puede denegar el acceso a las claves KMS que otras entidades principales requieren para realizar sus trabajos. Los administradores de claves que no tienen permiso para cambiar políticas de claves o crear concesiones pueden controlar el acceso a claves KMS si tienen permiso para administrar etiquetas.
Siempre que sea posible, utilice una condición de política, como `aws:RequestTag/tag-key`o `aws:TagKeys` para [limitar los permisos de etiquetado de una entidad](tag-permissions.md#tag-permissions-conditions) a determinadas etiquetas o patrones de etiquetas en determinadas claves KMS.
+ Revisa las entidades principales Cuenta de AWS que actualmente tienen permisos para etiquetar y desetiquetar y ajústalas si es necesario. Por ejemplo, la consola [Política de claves predeterminada para administradores de claves](key-policy-default.md#key-policy-default-allow-administrators) incluye el permiso `kms:TagResource` y `kms:UntagResource` en esa clave KMS. Las políticas de IAM pueden habilitar permisos de etiqueta y desetiqueta en todas las claves KMS. Por ejemplo, la política [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)administrada permite a los directores etiquetar, desetiquetar y enumerar las etiquetas de todas las claves de KMS.
+ Antes de establecer una política que dependa de una etiqueta, revisa las etiquetas de las claves KMS de tu. Cuenta de AWS Asegúrese de que su política solo se aplique a las etiquetas que desea incluir. Usa [CloudTrail registros](logging-using-cloudtrail.md) y [CloudWatch alarmas](monitoring-overview.md) para avisarte de los cambios en las etiquetas que puedan afectar al acceso a tus claves de KMS.
+ Las condiciones de política basadas en etiquetas utilizan la coincidencia de patrones; no están vinculadas a una instancia concreta de una etiqueta. Una política que utiliza claves de condición basadas en etiquetas afecta a todas las etiquetas nuevas y existentes que coincidan con el patrón. Si elimina y vuelve a crear una etiqueta que coincida con una condición de política, la condición se aplica a la nueva etiqueta, igual que a la anterior.
Por ejemplo, tomemos el siguiente ejemplo de política de IAM. Permite a los directores realizar llamadas a las operaciones [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)y [descifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) únicamente en las claves de KMS de su cuenta que pertenezcan a la región de Asia Pacífico (Singapur) y tengan una etiqueta. `"Project"="Alpha"` Puede adjuntar esta política a roles del ejemplo de proyecto Alpha.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyWithResourceTag",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Alpha"
}
}
}
]
}
```
------
La siguiente política de IAM de ejemplo permite a la entidad principal utilizar la clave KMS en la cuenta para operaciones criptográficas. Pero prohíbe a las principales entidades usar estas operaciones criptográficas en claves KMS con una etiqueta `"Type"="Reserved"` o sin etiqueta `"Type"`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMAllowCryptographicOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMDenyOnTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Type": "Reserved"
}
}
},
{
"Sid": "IAMDenyNoTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"Null": {
"aws:ResourceTag/Type": "true"
}
}
}
]
}
```
------