API オペレーションで KMS キータグを管理する - AWS Key Management Service
CreateKey: 新しい KMS キーにタグを追加するTagResource: KMS キーのタグを追加または変更するListResourceTags: KMS キーのタグを取得するUntagResource: KMS キーからタグを削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

API オペレーションで KMS キータグを管理する

AWS Key Management Service (AWS KMS) API を使用して、管理する KMS キーのタグを追加、削除、一覧表示できます。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。AWS マネージドキー のタグ付けはできません。

KMS キーのタグを追加、編集、表示、削除するには、アクセス許可が必要です。詳細については、「タグへのアクセスを制御する」を参照してください。

CreateKey: 新しい KMS キーにタグを追加する

カスタマーマネージドキーを作成するときにタグを追加できます。タグを指定するには、 CreateKeyオペレーションの Tagsパラメータを使用します。

KMS キーの作成時にタグを追加するには、発信者が IAM ポリシーで kms:TagResource アクセス許可を取得する必要があります。少なくとも、アクセス許可はアカウントとリージョン内のすべての KMS キーを対象にする必要があります。詳細については、「タグへのアクセスを制御する」を参照してください。

Tags パラメータ値の CreateKey は、大文字と小文字を区別するタグキーとタグ値のペアのコレクションです。KMS キーのそれぞれのタグは、異なるタグ名を持つ必要があります。タグ値は、NULL または空の文字列にすることができます。

例えば、以下の AWS CLI コマンドは、Project:Alpha タグを持つ対称暗号化 KMS キーを作成します。複数のキーと値のペアを指定する場合は、スペースを使用して各ペアを区切ります。

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

このコマンドが成功すると、新しい KMS キーに関する情報を含む KeyMetadata オブジェクトが返されます。ただし、KeyMetadata にはタグは含まれません。タグを取得するには、 ListResourceTagsオペレーションを使用します。

TagResource: KMS キーのタグを追加または変更する

TagResource オペレーションは、KMS キーに 1 つ以上のタグを追加します。このオペレーションを使用して、別の AWS アカウント のタグを追加または編集することはできません。

タグを追加するには、新しいタグキーとタグ値を指定します。タグを編集するには、既存のタグキーと新しいタグ値を指定します。KMS キーのそれぞれのタグは、異なるタグキーを持つ必要があります。タグ値は、NULL または空の文字列にすることができます。

例えば、次のコマンドでは、サンプルの KMS キーに Purpose タグおよび Department タグを追加します。

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Pretest TagKey=Department,TagValue=Finance

このコマンドが成功した場合、出力を返しません。KMS キーのタグを表示するには、 ListResourceTagsオペレーションを使用します。

TagResource を使用して、既存のタグのタグ値を変更することもできます。タグ値を置き換えるには、同じタグキーを異なる値に指定します。

例えば、このコマンドは Purpose タグの値 Pretest をからに変更します Test

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test

ListResourceTags: KMS キーのタグを取得する

ListResourceTags オペレーションは、KMS キーのタグを取得します。KeyId パラメータは必須です。このオペレーションを使用して、別の AWS アカウント の KMS キーのタグを表示することはできません。

例えば、次のコマンドでは、サンプルの KMS キーのタグを取得します。

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
  "Truncated": false,
  "Tags": [
      {
        "TagKey": "Project",
        "TagValue": "Alpha"
     },
     {
       "TagKey": "Purpose",
       "TagValue": "Test"
     },
     {
       "TagKey": "Department",
       "TagValue": "Finance"
     }
  ]
}

UntagResource: KMS キーからタグを削除する

UntagResource オペレーションは、KMS キーからタグを削除します。削除するタグを識別するには、タグキーを指定します。このオペレーションを使用して、別の AWS アカウント の KMS キーからタグを削除することはできません。

成功すると、 UntagResource オペレーションは出力を返しません。また、指定したタグキーが KMS キーで見つからない場合、例外をスローしたり、レスポンスを返したりすることもありません。オペレーションが機能したことを確認するには、 ListResourceTagsオペレーションを使用します。

例えば、このコマンドでは、指定した KMS キーから Purpose タグとその値を削除します。

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose