本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將標籤新增至 KMS 金鑰
<a name="add-tags"></a>

標籤有助於識別和組織您的 AWS 資源。您可以在[建立 KMS 金鑰時將標籤新增至客戶受管金鑰](create-keys.md)，或將標籤新增至現有的 KMS 金鑰。您無法標記 AWS 受管金鑰。

下列程序示範如何使用 主控台和 AWS KMS API 將 AWS KMS 標籤新增至客戶受管金鑰。 AWS KMS API 範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支援的程式設計語言。

**Topics**
+ [建立 KMS 金鑰時新增標籤](#tag-on-create)
+ [將標籤新增至現有的 KMS 金鑰](#tag-exisiting)

## 建立 KMS 金鑰時新增標籤
<a name="tag-on-create"></a>

當您使用 AWS KMS 主控台或 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 操作建立金鑰時，您可以將標籤新增至 KMS 金鑰。若要在建立 KMS 金鑰時新增標籤，除了建立 KMS 金鑰所需的`kms:TagResource`許可之外，您還必須在 IAM 政策中擁有許可。此許可至少必須涵蓋帳戶和區域中的所有 KMS 金鑰。如需詳細資訊，請參閱[控制對標籤的存取](tag-permissions.md)。

### 使用 AWS KMS 主控台
<a name="tag-on-create-console"></a>

若要在主控台中建立 KMS 金鑰時新增標籤，除了標記和建立 KMS 金鑰所需的許可之外，您還必須具有在主控台中檢視 KMS 金鑰所需的許可。此許可至少必須涵蓋帳戶和區域中的所有 KMS 金鑰。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。(您無法管理 AWS 受管金鑰的標籤)

1. 選擇金鑰類型，然後選擇 **Next** (下一頁)。

1. 輸入別名和選用描述。

1. 輸入標籤索引鍵和選用的標籤值。若要新增其他標籤，請選擇 **Add tag** (新增標籤)。若要移除標籤，請選擇 **Remove** (移除)。標記完新的 KMS 金鑰後，選擇 **Next** (下一頁)。

1. 完成建立 KMS 金鑰。

### 使用 AWS KMS API
<a name="tagging-keys-create-key"></a>

若要在使用 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 操作建立金鑰時指定標籤，請使用 操作的 `Tags` 參數。

`CreateKey` 的 `Tags` 參數值是區分大小寫的標籤鍵和標籤值對的集合。KMS 金鑰上的每個標籤必須有不同的標籤名稱。標籤值可以為 null 或空字串。

例如，下列 AWS CLI 命令會使用 `Project:Alpha`標籤建立對稱加密 KMS 金鑰。指定多個索引鍵/值組時，請使用空格來分隔每一組。

```
$ aws kms create-key --tags TagKey=Project,TagValue=Alpha
```

此命令成功時，會傳回包含新 KMS 金鑰相關資訊的 `KeyMetadata` 物件。但是，`KeyMetadata` 不包含標籤。若要取得標籤，請使用 [ListResourceTags](view-tags.md#tagging-keys-list-resource-tags) 操作。

## 將標籤新增至現有的 KMS 金鑰
<a name="tag-exisiting"></a>

您可以在 AWS KMS 主控台或使用 [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 操作，將標籤新增至現有的客戶受管 KMS 金鑰。若要新增標籤，您需要在 KMS 金鑰上標記許可。您可以從 KMS 金鑰的金鑰政策取得此許可，或者如果金鑰政策允許，則從包含 KMS 金鑰的 IAM 政策取得此許可。

### 使用 AWS KMS 主控台
<a name="tag-existing-console"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。(您無法管理 AWS 受管金鑰的標籤)

1. 您可以使用資料表篩選器，只顯示具有特定標籤的 KMS 金鑰。如需詳細資訊，請參閱[使用 AWS KMS 主控台檢視標籤](view-tags.md#view-tag-console)。

1. 選取 KMS 金鑰別名旁的核取方塊。

1. 選擇 **Key actions (金鑰動作)**、**Add or edit tags (新增或編輯標籤)**。

1. 在 KMS 金鑰的詳細資訊頁面上，選擇 **Tags** (標籤) 索引標籤。
   + 若要建立您的第一個標籤，請選擇 **Cretate tag** (建立標籤)，輸入標籤索引鍵 (必要) 和標籤值 (選用)，然後選擇 **Save** (儲存)。

     如果您將標籤值保留空白，則實際標籤值為 null 或空字串。
   + 若要新增標籤，請選擇 **Edit** (編輯)，選擇 **Add tag** (新增標籤)，輸入標籤索引鍵和標籤值，然後選擇 **Save** (儲存)。

1. 若要儲存您所做的變更，請選擇 **Save changes (儲存變更)**。

### 使用 AWS KMS API
<a name="tagging-keys-tag-resource"></a>

[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 操作會新增一或多個標籤至 KMS 金鑰。您無法使用此操作在不同的 中新增標籤 AWS 帳戶。您也可以使用 TagResource 操作來編輯現有的標籤。如需詳細資訊，請參閱[編輯與 KMS 金鑰相關聯的標籤](edit-tags.md)。

若要新增標籤，請指定新標籤索引鍵和標籤值。KMS 金鑰上的每個標籤必須有不同的標籤索引鍵。標籤值可以為 null 或空字串。

例如，下列命令會將 **Purpose** 和 **Department** 標籤新增至範例 KMS 金鑰。

```
$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance
```

當此命令成功時，不會傳回任何輸出。若要檢視 KMS 金鑰上的標籤，請使用 [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) 操作。