キーのタグ付け - AWS Key Management Service
CMK タグを管理する (コンソール)CMK タグを管理する (AWS KMS API)

キーのタグ付け

多くの AWS サービスは、リソースタグをサポートしています。タグを使用して、AWS サービス間でリソースのラベル付け、識別、分類を行うことができます。

AWS KMS は、カスタマーマスターキー (CMK) のリソースタグをサポートします。カスタマー管理 CMKのリソースタグを追加、変更、削除できます。AWS KMS はエイリアスのリソースタグをサポートしていないため、AWS 管理 CMK でタグを作成または管理することはできません。

各リソースタグは 1 つのタグキーと 1 つのタグ値で構成されており、いずれもお客様が定義します。たとえば、タグキーは「Cost Center」、タグ値は「87654」などです。 同じタグキーとタグ値を持つ同じタグを複数の CMK にアタッチできます。ただし、CMK 上のすべてのタグには、異なるタグキーが必要です。たとえば、同じ CMK に複数の「Cost Center」タグキーを持つことはできません。リソースタグの詳細については、AWS General Referenceの「AWS リソースのタグ付け」を参照してください。

AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。この機能を使用して、プロジェクト、アプリケーション、またはコストセンターの AWS KMS コストを追跡できます。タグを使ったコスト配分の詳細については、AWS Billing and Cost Management ユーザーガイドコスト配分タグの使用を参照してください。タグキーとタグ値に適用されるルールの詳細については、『AWS Billing and Cost Management ユーザーガイド』の「ユーザー定義タグの制限」を参照してください。

CMK タグを管理する (コンソール)

カスタマー管理 CMK のタグは、AWS マネジメントコンソールでお客様が追加、編集、削除できます。タグは CMK の作成時に追加でき、いつでも編集できます。削除保留中の CMK のタグは編集できません。詳細については、「キーの作成」および「キーの編集」を参照してください。

次の手順は、「カスタマー管理のキー」ページのチェックボックスを使用してタグを管理する方法を示しています。カスタマー管理 CMK の詳細ページの [タグ] タブを使用できます。

既存の CMK のタグを追加、編集、または削除するには

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。 (AWS 管理 CMK のタグを管理することはできません)

  4. CMK のエイリアスの横にあるチェックボックスをオンにします。

  5. [Key actions]、[Add or edit tags] の順に選択します。

  6. コントロールを使用してタグを追加、編集、または削除します。

  7. 変更を保存するには、[変更の保存] を選択します。

CMK タグを管理する (AWS KMS API)

AWS Key Management Service (AWS KMS) API を使用して、管理する CMK に対してタグを追加、削除、およびリスト取得できます。これらの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。

AWS 管理の CMK にタグを付けることはできません。

CreateKey: 新しい CMK にタグを追加する

カスタマー管理の CMK を作成するときに、タグを追加できます。タグを指定するには、CreateKey オペレーションの Tags パラメータを使用します。Tags パラメータの値は、タグのキーと値のペアのコレクションです。

たとえば、次の AWS CLI コマンドは、Project:Alpha タグを持つ対称 CMK を作成します。複数のキーと値のペアを指定する場合は、スペースを使用して各ペアを区切ります。 

$ aws kms create-key --tags TagKey=Project,TagValue=Alpha

このコマンドが成功すると、新しい CMK に関する情報を含む KeyMetadata オブジェクトが返されます。ただし、KeyMetadata にはタグは含まれません。タグを取得するには、ListResourceTags オペレーションを使用します。

TagResource: CMK のタグを追加または変更する

TagResource オペレーションは CMK に 1 つまたは複数のタグを追加します。

また、TagResource を使用して既存のタグの値を変更することもできます。タグを置き換えるには、同じタグキーを別の値で指定します。タグに値を追加するには、新規と既存の値の両方をタグキーに指定します。

たとえば、次のコマンドは、サンプルの CMK に Purpose タグおよび Department タグを追加します。 

$ aws kms tag-resource \
         --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
         --tags TagKey=Purpose,TagValue=Test TagKey=Department,TagValue=Finance

このコマンドが成功した場合、出力を返しません。タグを CMK で表示するには、ListResourceTags オペレーションを使用します。

ListResourceTags: CMK のタグを取得する

ListResourceTags オペレーションは、CMK にタグを取得します。key-id パラメーターが必要です。

たとえば、次のコマンドはサンプルの CMK にタグを取得します。

$ aws kms list-resource-tags --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
       
    "Truncated": false,
    "Tags": [
        {
            "TagKey": "Project",
            "TagValue": "Alpha"
        }
        {
            "TagKey": "Purpose",
            "TagValue": "Test"
        },
        {
            "TagKey": "Department",
            "TagValue": "Finance"
        }
    ]
}

UntagResource: CMK からタグを削除する

UntagResource オペレーションは CMK からタグを削除します。key-id および tag-keys パラメータが必要です。

たとえば、このコマンドは、指定された CMK から Purpose タグとそのすべての値を削除します。 

$ aws kms untag-resource --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --tag-keys Purpose

このコマンドが成功した場合、出力を返しません。