AWS KMS のタグについて

タグ は、AWS リソースに割り当てる (または AWS が割り当てる) ことができるオプションのメタデータラベルです。各タグは、 タグキーとタグ値で構成され、どちらも大文字と小文字が区別される文字列です。タグ値には、空の (null) 文字列を指定できます。リソースのそれぞれのタグには異なるタグキーが必要ですが、同じタグを複数の AWS リソースに追加できます。各リソースには、最大 50 個のユーザーが作成したタグを含めることができます。

タグキーまたはタグ値には、機密情報や重要情報を含めないでください。タグには、請求など、多くの AWS サービス からアクセスできます。

AWS KMS では、KMS キーの作成時に、カスタマーマネージドキーにタグを追加して、削除保留中でない限り、既存の KMS キーにタグ付けまたはタグ解除することができます。他の AWS アカウント で、エイリアス、カスタムキーストア、AWS マネージドキー、AWS 所有のキー、KMS キーにタグ付けはできません。タグはオプションですが、非常に便利です。

例えば、Alpha プロジェクトに使用するすべての KMS キーと Amazon S3 バケットに "Project"="Alpha" タグを追加できます。

TagKey   = "Project"
TagValue = "Alpha"

形式や構文など、タグに関する一般情報については、「Amazon Web Services 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。

タグは、以下のことに役立ちます。

• AWS リソースの特定と整理。多くの AWS サービスではタグ付けがサポートされるため、さまざまなサービスからリソースに同じタグを割り当てて、リソースの関連を示すことができます。例えば、KMS キーおよび Amazon Elastic Block Store (Amazon EBS) ボリュームまたは AWS Secrets Manager シークレットに同じタグを割り当てることができます。タグを使用して、オートメーションのために KMS キーを識別することもできます。

• AWS のコストを追跡します。AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。この機能を使用して、プロジェクト、アプリケーション、またはコストセンターの AWS KMS コストを追跡できます。

  タグを使用したコスト配分の詳細については、AWS Billing ユーザーガイドのコスト配分タグの使用を参照してください。タグキーとタグ値に適用されるルールの詳細については、「AWS Billing ユーザーガイド」の「ユーザー定義タグの制限」を参照してください。

• AWS リソースへのアクセスを制御します。タグに基づく KMS キーへのアクセス許可および拒否は、AWS KMS がサポートする属性ベースのアクセスコントロール (ABAC) の一部です。タグに基づく AWS KMS keys へのアクセス制御の詳細については、タグを使用してKMS キーへのアクセスを制御する を参照してください。AWS リソースへのアクセスを制御するタグ使用の詳細については、IAM ユーザーガイドのリソースタグを使用した AWS リソースへのアクセス制御を参照してください。

AWS KMS は、、TagResource、または ListResourceTagsオペレーションを使用するとUntagResource、AWS CloudTrailログにエントリを書き込みます。