控制對標籤的存取

若要在 AWS KMS 主控台或使用 API 新增、檢視和刪除標籤，委託人需要標記許可。您可以在金鑰政策中提供這些許可。您也可以在 IAM 政策 (包括 VPC 端點政策) 中提供，但僅當金鑰政策允許時。AWSKeyManagementServicePowerUser 受管政策允許主體在帳戶可存取的所有 KMS 金鑰上標記、取消標記和列出標籤。

您也可以使用標籤的 AWS 全域條件索引鍵來限制這些許可。在 AWS KMS中，這些條件可以控制對標記操作的存取，例如 TagResource 和 UntagResource。

注意

授予主體管理標籤和別名的許可時，請務必謹慎。變更標記或別名可允許或拒絕客戶受管金鑰的許可。如需詳細資訊，請參閱 的 ABAC AWS KMS 和 使用標籤來控制對 KMS 金鑰的存取。

如需政策和詳細資訊，請參閱《IAM 使用者指南》中的根據標籤索引鍵控制存取。

建立和管理標籤的許可如下所示。

kms:TagResource

允許主體新增或編輯標籤。若要在建立 KMS 金鑰時新增標籤，主體必須在 IAM 政策中具有不限於特定 KMS 金鑰的許可。

kms:ListResourceTags

允許主體檢視 KMS 金鑰上的標籤。

kms:UntagResource

允許主體從 KMS 金鑰刪除標籤。

標記政策中的許可

您可以在金鑰政策或 IAM 政策中提供標記許可。例如，以下範例金鑰政策會給予精選使用者標記 KMS 金鑰的許可。它為所有可以擔任範例管理員或開發人員角色的使用者提供檢視標籤的許可。

JSON

{
  "Version": "2012-10-17",
  "Id": "example-key-policy",
  "Statement": [
    { 
      "Sid": "EnableIAMUserPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "AllowAllTaggingPermissions",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:user/LeadAdmin",
        "arn:aws:iam::111122223333:user/SupportLead"
      ]},
      "Action": [
          "kms:TagResource",
          "kms:ListResourceTags",
          "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowRolesViewTags",
      "Effect": "Allow",
      "Principal": {"AWS": [
        "arn:aws:iam::111122223333:role/Administrator",
        "arn:aws:iam::111122223333:role/Developer"
      ]},
      "Action": "kms:ListResourceTags",
      "Resource": "*"
    }
  ]
}

若要授予主體在多個 KMS 金鑰上的標記許可，您可以使用 IAM 政策。若要讓此政策生效，每個 KMS 金鑰的金鑰政策必須允許帳戶使用 IAM 政策來控制對 KMS 金鑰的存取。

例如，以下 IAM 政策允許主體建立 KMS 金鑰。它也允許其在指定帳戶中的所有 KMS 金鑰上建立和管理標籤。這種組合允許主體使用 CreateKey 操作的標籤參數在建立 KMS 金鑰時新增標籤。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKeys",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ListResourceTags"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    }    
  ]
}

限制標籤許可

您可以使用政策條件來限制標記許可。下列政策條件可套用至 kms:TagResource 和 kms:UntagResource 許可。例如，您可以使用 aws:RequestTag/tag-key 條件，允許主體僅新增特定標籤，或防止主體新增具有特定標籤索引鍵的標籤。或者，您可以使用 kms:KeyOrigin 條件，以防止主體使用匯入金鑰材料標記或取消標記 KMS 金鑰。

• aws:RequestTag

• aws:ResourceTag/tag-key (僅限 IAM 政策)

• aws:TagKeys

• kms:CallerAccount

• kms:KeySpec

• kms:KeyUsage

• kms:KeyOrigin

• kms:ViaService

最佳實務的做法是，當您使用標籤來控制 KMS 金鑰的存取時，請使用 aws:RequestTag/tag-key 或 aws:TagKeys 條件鍵來確定允許哪些標籤 (或標籤索引鍵)。

例如，下列 IAM 政策與前一個類似。不過，此政策允許主體建立標籤 (TagResource) 並僅為具有 Project 標籤索引鍵的標籤刪除標籤 UntagResource。

由於 TagResource 和 UntagResource 請求可以包含多個標籤，您必須指定具有 aws:TagKeys 條件的 ForAllValues 或 ForAnyValue 集合運算子。ForAnyValue 運算子會要求請求中的至少一個標籤索引鍵與政策中的標籤索引鍵相符。ForAllValues 運算子會要求請求中的所有標籤索引鍵與政策中的其中一個標籤索引鍵相符。ForAllValues 運算子也會傳回 true，如果在請求中沒有標籤，但 TagResource 和 UntagResource 會在未指定標籤時失敗。如需集合運算子的詳細資訊，請參閱《IAM 使用者指南》中的使用多個索引鍵和值。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMPolicyCreateKey",
      "Effect": "Allow",
      "Action": "kms:CreateKey",
      "Resource": "*"
    },
    {
      "Sid": "IAMPolicyViewAllTags",
      "Effect": "Allow",
      "Action": "kms:ListResourceTags",
      "Resource": "arn:aws:kms:*:111122223333:key/*"
    },
    {
      "Sid": "IAMPolicyManageTags",
      "Effect": "Allow",
      "Action": [
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "arn:aws:kms:*:111122223333:key/*",
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "Project"}
      }
    }
  ]
}