Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tags dans AWS KMS
Une *balise* est une étiquette de métadonnées facultative que vous pouvez attribuer (ou AWS attribuer) à une AWS ressource. Chaque balise est constituée d'une *clé de balise* et d'un *valeur de balise*, qui sont toutes deux des chaînes sensibles à la casse. La valeur de balise peut être une chaîne vide (nulle). Chaque balise d'une ressource doit avoir une clé de balise différente, mais vous pouvez ajouter la même balise à plusieurs AWS ressources. Chaque ressource peut avoir jusqu'à 50 balises créées par l'utilisateur.
N'incluez pas d'informations confidentielles ou sensibles dans la clé de balise ou la valeur de balise. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris pour la facturation.
Dans AWS KMS, vous pouvez ajouter des balises à une clé gérée par le client lorsque vous créez la clé KMS, et baliser ou débaliser les clés KMS existantes, sauf si elles sont [en attente de suppression](key-state.md). Vous ne pouvez pas étiqueter les alias Clés gérées par AWS, les banques de clés personnalisées ou Clés détenues par AWS les clés KMS dans d'autres Comptes AWS. Les balises sont facultatives, mais peuvent être très utiles.
Par exemple, vous pouvez ajouter une balise `"Project"="Alpha"` à toutes les clés KMS et compartiments Amazon S3 que vous utilisez pour le projet Alpha.
```
TagKey = "Project"
TagValue = "Alpha"
```
Pour obtenir des informations générales sur les balises, notamment leur format et leur syntaxe, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) dans le *Référence générale d'Amazon Web Services*.
Les balises vous permettent d’effectuer les actions suivantes :
+ Identifiez et organisez vos AWS ressources. De nombreux AWS services prennent en charge le balisage. Vous pouvez donc attribuer le même tag aux ressources de différents services pour indiquer que les ressources sont liées. Par exemple, vous pouvez attribuer la même balise à une clé KMS et à un volume ou à un secret Amazon Elastic Block Store (Amazon EBS). AWS Secrets Manager Vous pouvez également utiliser des balises pour identifier les clés KMS pour l'automatisation.
+ Suivez vos AWS coûts. Lorsque vous ajoutez des balises à vos AWS ressources, AWS génère un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Vous pouvez utiliser cette fonctionnalité pour suivre AWS KMS les coûts d'un projet, d'une application ou d'un centre de coûts.
Pour en savoir plus sur l'utilisation des balises pour la répartition des coûts, veuillez consulter [Utilisation des balises de répartition des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *. Pour obtenir des informations sur les règles des clés et valeurs de balise, veuillez consulter [Restrictions encadrant les balises définies par l'utilisateur](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html) dans le *Guide de l'utilisateur AWS Billing *.
+ Contrôlez l'accès à vos AWS ressources. L'autorisation et le refus d'accès aux clés KMS en fonction de leurs balises font partie de la AWS KMS prise en charge du [contrôle d'accès basé sur les attributs](abac.md) (ABAC). Pour plus d'informations sur le contrôle de l'accès en AWS KMS keys fonction de leurs balises, consultez[Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md). Pour des informations plus générales sur l'utilisation de balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de balises de ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
AWS KMS écrit une entrée dans votre AWS CloudTrail journal lorsque vous utilisez les [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opérations [TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md), ou.
**Topics**
+ [Contrôle de l'accès aux balises](tag-permissions.md)
+ [Ajouter des balises à une clé KMS](add-tags.md)
+ [Modifier les balises associées à une clé KMS](edit-tags.md)
+ [Supprimer les balises associées à une clé KMS](remove-tags.md)
+ [Afficher les balises associées à une clé KMS](view-tags.md)
+ [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md)
# Contrôle de l'accès aux balises
Pour ajouter, afficher et supprimer des balises, que ce soit dans la AWS KMS console ou à l'aide de l'API, les directeurs doivent disposer d'autorisations de balisage. Vous pouvez fournir ces autorisations dans les [politiques de clé](key-policies.md). Vous pouvez également les fournir dans les politiques IAM (y compris les [politiques de point de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)), mais seulement si [la politique de clé le permet](key-policy-default.md#allow-iam-policies). La politique [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gérée permet aux principaux d'étiqueter, de débaliser et de répertorier les balises sur toutes les clés KMS auxquelles le compte peut accéder.
Vous pouvez également limiter ces autorisations en utilisant des clés de condition AWS globales pour les balises. Dans AWS KMS, ces conditions peuvent contrôler l'accès aux opérations de marquage, telles que [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)et [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html).
**Note**
Soyez prudent lorsque vous autorisez les principaux à gérer les balises et les alias. La modification d'une balise ou d'un alias permet d'accorder ou de refuser l'autorisation d'utiliser la clé gérée par le client. Pour plus de détails, veuillez consulter [ABAC pour AWS KMS](abac.md) et [Utiliser des balises pour contrôler l'accès aux clés KMS](tag-authorization.md).
Pour obtenir des exemples de politiques et plus d'informations, veuillez consulter [Contrôle de l'accès en fonction des clés de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) dans le *Guide de l'utilisateur IAM*.
Les autorisations de création et de gestion de balises fonctionnent comme suit.
**km : TagResource**
Autorise les principaux à ajouter ou à modifier des balises. Pour ajouter des balises lors de la création d'une clé KMS, le principal doit disposer d'une autorisation dans une politique IAM qui n'est pas limitée à des clés KMS particulières.
**km : ListResourceTags**
Permet aux principaux d'afficher les balises sur les clés KMS.
**km : UntagResource**
Permet aux principaux de supprimer des balises des clés KMS.
## Autorisations de balises dans les politiques
Vous pouvez fournir des autorisations d'étiquetage dans une politique de clé ou une politique IAM. Par exemple, l'exemple de politique de clé suivant donne à certains utilisateurs l'autorisation d'étiqueter la clé KMS. Il accorde à tous les utilisateurs qui peuvent endosser les rôles Administrateur ou Développeur d'exemple l'autorisation d'afficher les balises.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "AllowAllTaggingPermissions",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:user/LeadAdmin",
"arn:aws:iam::111122223333:user/SupportLead"
]},
"Action": [
"kms:TagResource",
"kms:ListResourceTags",
"kms:UntagResource"
],
"Resource": "*"
},
{
"Sid": "AllowRolesViewTags",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:role/Administrator",
"arn:aws:iam::111122223333:role/Developer"
]},
"Action": "kms:ListResourceTags",
"Resource": "*"
}
]
}
```
------
Pour accorder aux principaux l'autorisation d'étiquetage sur plusieurs clés KMS, vous pouvez utiliser une politique IAM. Pour que cette politique soit efficace, la politique de clé pour chaque clé KMS doit autoriser le compte à utiliser des politiques IAM pour contrôler l'accès à la clé KMS.
Par exemple, la politique IAM suivante permet aux principaux de créer des clés KMS. Il leur permet également de créer et de gérer des balises sur toutes les clés KMS du compte spécifié. Cette combinaison permet aux principaux d'utiliser le paramètre [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-Tags) de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération pour ajouter des balises à une clé KMS lors de sa création.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKeys",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource",
"kms:ListResourceTags"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
## Limitation des autorisations de balises
Vous pouvez limiter les autorisations d'étiquetage en utilisant des [conditions de politique](policy-conditions.md). Les conditions de politique suivantes peuvent être appliquées aux autorisations `kms:TagResource` et `kms:UntagResource`. Par exemple, vous pouvez utiliser la condition `aws:RequestTag/tag-key` pour permettre à un principal d'ajouter uniquement des balises particulières, ou empêcher un principal d'ajouter des balises avec des clés de balise particulières. Sinon, vous pouvez utiliser la condition `kms:KeyOrigin` pour empêcher les principaux d'étiqueter ou de désétiqueter les clés KMS avec des [éléments de clé importés](importing-keys.md).
+ [lois : RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)
+ [aws :ResourceTag/*tag-key (politiques*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) IAM uniquement)
+ [lois : TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tag-keys)
+ [km : CallerAccount](conditions-kms.md#conditions-kms-caller-account)
+ [km : KeySpec](conditions-kms.md#conditions-kms-key-spec)
+ [km : KeyUsage](conditions-kms.md#conditions-kms-key-usage)
+ [km : KeyOrigin](conditions-kms.md#conditions-kms-key-origin)
+ [km : ViaService](conditions-kms.md#conditions-kms-via-service)
La bonne pratique à adopter lorsque vous utilisez des balises pour contrôler l'accès aux clés KMS consiste à utiliser la clé de condition `aws:RequestTag/tag-key` ou `aws:TagKeys` pour déterminer quelles balises (ou clés de balise) sont autorisées.
Par exemple, la politique IAM suivante est similaire à la précédente. Toutefois, cette politique permet aux principaux de créer des balises (`TagResource`) et de supprimer des balises `UntagResource` uniquement pour les balises avec une clé de balise `Project`.
Étant donné que `TagResource` les `UntagResource` demandes peuvent inclure plusieurs balises, vous devez spécifier un opérateur `ForAllValues` ou un `ForAnyValue` ensemble avec la TagKeys condition [aws :](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys). L'opérateur `ForAnyValue` exige qu'au moins l'une des clés de balise dans la demande corresponde à l'une des clés de balise dans la politique. L'opérateur `ForAllValues` exige que toutes les clés de balise dans la demande correspondent à l'une des clés de balise dans la politique. L'`ForAllValues`opérateur renvoie également `true` si la demande ne contient aucune balise, mais TagResource UntagResource échoue si aucune balise n'est spécifiée. Pour plus de détails sur les opérateurs d'ensemble, veuillez consulter [Utiliser plusieurs clés et valeurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) dans le *Guide de l'utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyCreateKey",
"Effect": "Allow",
"Action": "kms:CreateKey",
"Resource": "*"
},
{
"Sid": "IAMPolicyViewAllTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMPolicyManageTags",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
}
}
]
}
```
------
# Ajouter des balises à une clé KMS
Les balises permettent d'identifier et d'organiser vos AWS ressources. Vous pouvez ajouter des balises à une clé gérée par le client lorsque vous [créez la clé KMS](create-keys.md), ou ajouter des balises aux clés KMS existantes. Vous ne pouvez pas étiqueter Clés gérées par AWS.
Les procédures suivantes montrent comment ajouter des balises aux clés gérées par le client à l'aide de la AWS KMS console et de AWS KMS l'API. Les exemples AWS KMS d'API utilisent le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
**Topics**
+ [Ajouter des balises lors de la création d'une clé KMS](#tag-on-create)
+ [Ajouter des balises aux clés KMS existantes](#tag-exisiting)
## Ajouter des balises lors de la création d'une clé KMS
Vous pouvez ajouter des balises à une clé KMS lorsque vous créez la clé à l'aide de la AWS KMS console ou de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération. Pour ajouter des balises lors de la création d'une clé KMS, vous devez disposer d'une `kms:TagResource` autorisation dans une politique IAM en plus des autorisations requises pour créer des clés KMS. Au minimum, l'autorisation doit couvrir toutes les clés KMS du compte et de la région. Pour en savoir plus, consultez [Contrôle de l'accès aux balises](tag-permissions.md).
### Utilisation de la AWS KMS console
Pour ajouter des balises lors de la création d'une clé KMS dans la console, vous devez disposer des autorisations requises pour afficher les clés KMS dans la console, en plus des autorisations requises pour étiqueter et créer des clés KMS. Au minimum, l'autorisation doit couvrir toutes les clés KMS du compte et de la région.
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas gérer les balises d'une Clé gérée par AWS.)
1. Choisissez le type de clé, puis choisissez **Next (Suivant)**.
1. Saisissez un alias et une description facultative.
1. Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter des balises supplémentaires, sélectionnez **Add tag (Ajouter une balise)**. Pour supprimer une balise, choisissez **Remove (Supprimer)**. Lorsque vous avez terminé d'étiqueter votre nouvelle clé KMS, cliquez sur **Next (Suivant)**.
1. Terminez la création de votre clé KMS.
### Utilisation de l' AWS KMS API
Pour spécifier des balises lors de la création de clés à l'aide de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération, utilisez le `Tags` paramètre de l'opération.
La valeur du paramètre `Tags` de `CreateKey` est une collection de paires de clés et de valeurs de balises sensibles à la casse. Chaque balise d'une clé KMS doit avoir un nom de balise différent. La valeur de balise peut être une chaîne vide ou nulle.
Par exemple, la AWS CLI commande suivante crée une clé KMS de chiffrement symétrique avec une `Project:Alpha` balise. Lorsque vous spécifiez plusieurs paires clé-valeur, utilisez un espace pour séparer chaque paire.
```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```
Lorsque cette commande aboutit, elle renvoie un objet `KeyMetadata` contenant des informations sur la nouvelle clé KMS. Cependant, l'objet `KeyMetadata` n'inclut pas les balises. Pour obtenir les balises, utilisez l'[ListResourceTags](view-tags.md#tagging-keys-list-resource-tags)opération.
## Ajouter des balises aux clés KMS existantes
Vous pouvez ajouter des balises à vos clés KMS existantes gérées par le client dans la AWS KMS console ou en utilisant l'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)opération. Pour ajouter des balises, vous devez disposer d'une autorisation de balisage sur la clé KMS. Vous pouvez obtenir cette autorisation à partir de la politique de clé pour la clé KMS ou, si la politique de clé l'autorise, à partir d'une politique IAM qui inclut la clé KMS.
### Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas gérer les balises d'une Clé gérée par AWS.)
1. Vous pouvez utiliser le filtre du tableau pour afficher uniquement les clés KMS avec des balises particulières. Pour plus de détails, voir [Afficher les balises à l'aide de la AWS KMS console](view-tags.md#view-tag-console).
1. Sélectionnez la case à cocher en regard de l'alias d'une clé KMS.
1. Sélectionnez **Actions de clé**, **Ajouter ou modifier des balises**.
1. Sur la page de détails de la clé KMS, sélectionnez l'onglet **Tags (Balises)**.
+ Pour créer votre première balise, sélectionnez **Create tag (Créer une balise)**, saisissez une clé et une valeur de balise (requis), puis sélectionnez **Save (Enregistrer)**.
Si vous laissez la valeur de balise vide, la valeur de balise réelle est une chaîne nulle ou vide.
+ Pour ajouter une balise, sélectionnez **Edit (Modifier)**, choisissez **Add tag (Ajouter une balise)**, saisissez une clé et une valeur de balise, puis choisissez **Save (Enregistrer)**.
1. Sélectionnez **Enregistrer** pour enregistrer les modifications.
### Utilisation de l' AWS KMS API
L'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)opération ajoute une ou plusieurs balises à une clé KMS. Vous ne pouvez pas utiliser cette opération pour ajouter des balises dans un autre Compte AWS. Vous pouvez également utiliser cette TagResource opération pour modifier des balises existantes. Pour de plus amples informations, veuillez consulter [Modifier les balises associées à une clé KMS](edit-tags.md).
Pour ajouter une balise, spécifiez de nouvelles clé et valeur de balises. Chaque balise d'une clé KMS doit avoir une clé de balise différente. La valeur de balise peut être une chaîne vide ou nulle.
Par exemple, la commande suivante ajoute les balises **Purpose** et **Department** à un exemple de clé KMS.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```
Lorsque cette commande aboutit, elle ne renvoie pas de sortie. Pour afficher les balises d'une clé KMS, utilisez l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opération.
# Modifier les balises associées à une clé KMS
Les balises permettent d'identifier et d'organiser vos AWS ressources. Vous pouvez modifier les balises associées aux clés KMS gérées par le client dans la AWS KMS console ou en utilisant cette [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)opération. Vous ne pouvez pas modifier les balises d'un Clé gérée par AWS.
Les procédures suivantes montrent comment modifier les balises associées à une clé KMS. Les exemples AWS KMS d'API utilisent le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
## Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas modifier les balises d'un Clé gérée par AWS)
1. Vous pouvez utiliser le filtre du tableau pour afficher uniquement les clés KMS avec des balises particulières. Pour plus de détails, voir [Afficher les balises à l'aide de la AWS KMS console](view-tags.md#view-tag-console).
1. Sélectionnez la case à cocher en regard de l'alias d'une clé KMS.
1. Sélectionnez **Actions de clé**, **Ajouter ou modifier des balises**.
1. Sur la page de détails de la clé KMS, sélectionnez l'onglet **Tags (Balises)**.
+ Pour modifier le nom ou la valeur d'une balise, choisissez **Modifier**, effectuez les modifications nécessaires, puis choisissez **Enregistrer**.
1. Sélectionnez **Enregistrer** pour enregistrer les modifications.
## Utilisation de l' AWS KMS API
L'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)opération ajoute une ou plusieurs balises à une clé gérée par le client ;. Toutefois, vous pouvez également l'utiliser **TagResource**pour modifier la valeur d'une balise existante. Vous ne pouvez pas utiliser cette opération pour ajouter ou modifier des balises dans un autre Compte AWS.
Pour modifier une balise, spécifiez une clé de balise existante et une nouvelle valeur de balise. Chaque balise d'une clé KMS doit avoir une clé de balise différente. La valeur de balise peut être une chaîne vide ou nulle.
Par exemple, cette commande modifie la valeur de la balise `Purpose` de `Pretest` en `Test`.
```
$ aws kms tag-resource \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--tags TagKey=Purpose,TagValue=Test
```
# Supprimer les balises associées à une clé KMS
Les balises permettent d'identifier et d'organiser vos AWS ressources. Vous pouvez supprimer les balises associées aux clés KMS gérées par le client dans la AWS KMS console ou en utilisant cette [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)opération. Vous ne pouvez pas modifier ou supprimer les balises d'un Clé gérée par AWS.
Les procédures suivantes montrent comment supprimer des balises d'une clé KMS. Les exemples AWS KMS d'API utilisent le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
## Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas gérer les balises d'une Clé gérée par AWS.)
1. Vous pouvez utiliser le filtre du tableau pour afficher uniquement les clés KMS avec des balises particulières. Pour plus de détails, voir [Afficher les balises à l'aide de la AWS KMS console](view-tags.md#view-tag-console).
1. Sélectionnez la case à cocher en regard de l'alias d'une clé KMS.
1. Sélectionnez **Actions de clé**, **Ajouter ou modifier des balises**.
1. Sur la page de détails de la clé KMS, sélectionnez l'onglet **Tags (Balises)**.
+ Pour supprimer une balise, choisissez **Modifier**. Sur la ligne de la balise, choisissez **Supprimer**, puis choisissez **Enregistrer**.
1. Sélectionnez **Enregistrer** pour enregistrer les modifications.
## Utilisation de l' AWS KMS API
L'[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)opération supprime les balises d'une clé KMS. Pour identifier les balises à supprimer, spécifiez les clés de balise. Vous ne pouvez pas utiliser cette opération pour supprimer des balises des clés KMS dans un autre Compte AWS.
Lorsque l'opération `UntagResource` réussit, elle ne renvoie aucune sortie. En outre, si la clé de balise spécifiée n'est pas trouvée sur la clé KMS, elle ne génère pas d'exception ou ne renvoie pas de réponse. Pour vérifier que l'opération a fonctionné, [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)utilisez-la.
Par exemple, cette commande supprime la balise **Purpose** et sa valeur de la clé KMS spécifiée.
```
$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose
```
# Afficher les balises associées à une clé KMS
Les balises permettent d'identifier et d'organiser vos AWS ressources. Vous pouvez afficher les balises associées aux clés KMS gérées par le client dans la AWS KMS console ou en utilisant l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opération.
Les procédures suivantes montrent comment trouver les balises associées à une clé KMS spécifique. Les exemples AWS KMS d'API utilisent le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.
## Utilisation de la AWS KMS console
1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation, choisissez **Clés gérées par le client**. (Vous ne pouvez pas gérer les balises d'une Clé gérée par AWS.)
1. Vous pouvez utiliser le filtre du tableau pour afficher uniquement les clés KMS avec des balises particulières.
Pour afficher uniquement les clés KMS avec une balise particulière, choisissez la zone de filtre, choisissez la clé de balise, puis choisissez parmi les valeurs réelles de balise. Vous pouvez également saisir l'ensemble ou une partie de la valeur de balise.
Le tableau résultant affiche toutes les clés KMS avec la balise choisie. Cependant, il n'affiche pas la balise. Pour afficher la balise, choisissez l'ID de clé ou l'alias de la clé KMS et, sur sa page de détails, choisissez l'option **Tags (Balises)**. Les onglets apparaissent sous la section **General configuration (Configuration générale)**.
Ce filtre nécessite à la fois la clé de balise et la valeur de balise. Il ne trouvera pas de clés KMS en tapant uniquement la clé de balise ou seulement sa valeur. Pour filtrer les balises en fonction de la totalité ou d'une partie de la clé ou de la valeur de balise, utilisez l'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opération pour obtenir les clés KMS balisées, puis utilisez les fonctionnalités de filtrage de votre langage de programmation.
1. Sélectionnez la case à cocher en regard de l'alias d'une clé KMS.
1. Sélectionnez **Actions de clé**, **Ajouter ou modifier des balises**.
1. Sur la page de détails de la clé KMS, sélectionnez l'onglet **Tags (Balises)**.
## Utilisation de l' AWS KMS API
L'[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html)opération obtient les balises d'une clé KMS. Le paramètre `KeyId` est obligatoire. Vous ne pouvez pas utiliser cette opération pour afficher les balises sur les clés KMS dans un autre Compte AWS.
Par exemple, la commande suivante obtient les balises pour un exemple de clé KMS.
```
$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
"Truncated": false,
"Tags": [
{
"TagKey": "Project",
"TagValue": "Alpha"
},
{
"TagKey": "Purpose",
"TagValue": "Test"
},
{
"TagKey": "Department",
"TagValue": "Finance"
}
]
}
```
# Utiliser des balises pour contrôler l'accès aux clés KMS
Vous pouvez contrôler l'accès à AWS KMS keys en fonction des balises figurant sur la clé KMS. Par exemple, vous pouvez écrire une politique IAM qui permet aux principaux d'activer et de désactiver uniquement les clés KMS possédant une balise particulière. Vous pouvez également utiliser une politique IAM pour empêcher les principaux d'utiliser des clés KMS dans les opérations de chiffrement, sauf si la clé KMS possède une balise particulière.
Cette fonctionnalité fait partie de la AWS KMS prise en charge du [contrôle d'accès basé sur les attributs](abac.md) (ABAC). Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux AWS ressources, voir À [quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) et [le contrôle de l'accès aux AWS ressources à l'aide de balises de ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*. Pour obtenir de l'aide pour résoudre les problèmes d'accès liés à l'ABAC, veuillez consulter [Résolution des problèmes liés à ABAC pour AWS KMS](troubleshooting-tags-aliases.md).
**Note**
Les modifications d'alias et de balises peuvent prendre jusqu'à cinq minutes pour affecter l'autorisation de clé KMS. Les modifications récentes peuvent être visibles dans les opérations d'API avant qu'elles n'affectent l'autorisation.
AWS KMS prend en charge la clé [contextuelle de condition globale [aws :ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), qui vous permet de contrôler l'accès aux clés KMS en fonction des balises figurant sur la clé KMS. Étant donné que plusieurs clés KMS peuvent avoir la même balise, cette fonction vous permet d'appliquer l'autorisation à un ensemble sélectionné de clés KMS. Vous pouvez également facilement modifier les clés KMS dans l'ensemble en changeant leurs balises.
Dans AWS KMS, la clé de `aws:ResourceTag/tag-key` condition n'est prise en charge que dans les politiques IAM. Il n'est pas pris en charge dans les politiques clés, qui ne s'appliquent qu'à une seule clé KMS, ni dans les opérations qui n'utilisent pas une clé KMS particulière, telles que les [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)opérations [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)or.
Le contrôle de l'accès à l'aide de balises offre un moyen simple, évolutif et flexible de gérer les autorisations. Toutefois, s'il n'est pas correctement conçu et géré, il peut autoriser ou refuser l'accès à vos clés KMS par inadvertance. Si vous utilisez des balises pour contrôler l'accès, tenez compte des pratiques suivantes.
+ Utilisez des balises pour renforcer la bonne pratique de l'[accès le moins privilégié](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Accordez uniquement aux principaux IAM les autorisations dont ils ont besoin sur les clés KMS qu'ils doivent utiliser ou gérer. Par exemple, utilisez des balises pour étiqueter les clés KMS utilisées pour un projet. Donnez ensuite à l'équipe de projet l'autorisation d'utiliser uniquement les clés KMS avec la balise de projet.
+ Soyez prudent lorsque vous donnez aux principaux les autorisations `kms:TagResource` et `kms:UntagResource` qui leur permettent d'ajouter, de modifier et de supprimer des balises. Lorsque vous utilisez des balises pour contrôler l'accès aux clés KMS, la modification d'une balise peut donner aux principaux l'autorisation d'utiliser des clés KMS qu'ils n'avaient alors pas l'autorisation d'utiliser. Elle peut également refuser l'accès aux clés KMS dont d'autres principaux ont besoin pour réaliser leurs tâches. Les administrateurs de clés qui n'ont pas l'autorisation de modifier les politiques de clé ou de créer des octrois peuvent contrôler l'accès aux clés KMS s'ils sont autorisés à gérer les balises.
Dans la mesure du possible, utilisez une condition de politique, telle que `aws:RequestTag/tag-key` ou `aws:TagKeys` pour [limiter les autorisations d'étiquetage d'un principal](tag-permissions.md#tag-permissions-conditions) à des balises ou des modèles de balises spécifiques sur des clés KMS particulières.
+ Passez en revue les principes Compte AWS qui disposent actuellement d'autorisations de balisage et de débalisage et ajustez-les si nécessaire. Par exemple, la [politique de clé par défaut pour les administrateurs de clés](key-policy-default.md#key-policy-default-allow-administrators) de la console inclut les autorisations `kms:TagResource` et `kms:UntagResource` sur cette clé KMS. Les politiques IAM peuvent autoriser les autorisations d'étiquetage et de désétiquetage sur toutes les clés KMS. Par exemple, la politique [AWSKeyManagementServicePowerUser](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser)gérée permet aux principaux de baliser, de débaliser et de répertorier les balises sur toutes les clés KMS.
+ Avant de définir une politique qui dépend d'une balise, passez en revue les balises figurant sur les clés KMS de votre Compte AWS. Assurez-vous que votre politique s'applique uniquement aux balises que vous avez l'intention d'inclure. Utilisez [CloudTrail les journaux et les CloudWatch ](logging-using-cloudtrail.md) [alarmes](monitoring-overview.md) pour vous avertir des modifications de balises susceptibles d'affecter l'accès à vos clés KMS.
+ Les conditions de politique de balise utilisent la correspondance de modèles ; elles ne sont pas liées à une instance particulière d'une balise. Une politique qui utilise des clés de condition basées sur des balises affecte toutes les balises nouvelles et existantes qui correspondent au modèle. Si vous supprimez et recréez une balise qui correspond à une condition de politique, la condition s'applique à la nouvelle balise, comme elle l'a fait pour l'ancienne.
Prenons l'exemple de la politique IAM suivante : Il permet aux principaux d'appeler les opérations [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)et de [déchiffrer](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) uniquement sur les clés KMS de votre compte appartenant à la région Asie-Pacifique (Singapour) et dotées d'un tag. `"Project"="Alpha"` Vous pouvez attacher cette politique à des rôles dans l'exemple de projet Alpha.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMPolicyWithResourceTag",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-southeast-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Alpha"
}
}
}
]
}
```
------
L'exemple de politique IAM suivant autorise les principaux à utiliser n'importe quelle clé KMS dans le compte pour les opérations de chiffrement. Mais il interdit aux principaux d'utiliser ces opérations de chiffrement sur les clés KMS avec une identification `"Type"="Reserved"` ou sans identification `"Type"`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IAMAllowCryptographicOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
},
{
"Sid": "IAMDenyOnTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Type": "Reserved"
}
}
},
{
"Sid": "IAMDenyNoTag",
"Effect": "Deny",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*",
"Condition": {
"Null": {
"aws:ResourceTag/Type": "true"
}
}
}
]
}
```
------