Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crear una clave de rama activa
<a name="create-branch-keys"></a>

Una *clave de sucursal* es una clave de datos derivada de una AWS KMS key que el conjunto de claves AWS KMS jerárquico utiliza para reducir el número de llamadas realizadas. AWS KMS La clave de rama *activa* es la versión más reciente de la clave de rama. El conjunto de claves jerárquico genera una clave de datos única para cada solicitud de cifrado y cifra cada clave de datos con una clave de empaquetado única derivada de la clave de rama activa.

Para crear una nueva clave de rama activa, debe [configurar de forma estática](keystore-actions.md#static-keystore) las acciones del almacén de claves. `CreateKey`es una operación privilegiada que agrega el ARN de clave KMS especificado en la configuración de acciones del almacén de claves a la lista de permitidos del almacén de claves. A continuación, la clave KMS se utiliza para generar la nueva clave de rama activa. Recomendamos limitar el acceso a esta operación porque, una vez que se agrega una clave KMS al almacén de claves, no se puede eliminar.

Puede permitir incluir una clave de KMS en su almacén de claves o puede incluir varias claves de KMS actualizando el ARN de la clave de KMS que especifique en la configuración de acciones de su almacén de claves y volviendo a llamar. `CreateKey` Si permite incluir en la lista varias claves de KMS, los usuarios de su almacén de claves deben configurar sus acciones de almacenamiento de claves para su detección, de modo que puedan usar cualquiera de las claves permitidas del almacén de claves al que tienen acceso. Para obtener más información, consulte [Configurar las acciones del almacén de claves](keystore-actions.md).

**Permisos necesarios**  
Para crear claves de rama, necesitas los ReEncrypt permisos [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) y [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) en la clave KMS especificada en las acciones de tu almacén de claves.

**Crea una clave de rama**  
La siguiente operación crea una nueva clave de rama activa con la clave KMS que [especificó en la configuración de acciones del almacén de claves](keystore-actions.md#static-keystore) y agrega la clave de rama activa a la tabla de DynamoDB que sirve como almacén de claves.

Al llamar a `CreateKey`, puede optar por especificar los siguientes valores opcionales.
+ `branchKeyIdentifier`: define una `branch-key-id` personalizada.

  Para crear una `branch-key-id` personalizada, también debe incluir un contexto de cifrado adicional con el parámetro `encryptionContext`.
+ `encryptionContext`[: define un conjunto opcional de pares clave-valor no secretos que proporciona datos autenticados (AAD) adicionales en el contexto de cifrado incluido en la llamada kms:. GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)

  Este contexto de cifrado adicional se muestra con el prefijo `aws-crypto-ec:`.

------
#### [ Java ]

```
final Map<String, String> additionalEncryptionContext = Collections.singletonMap("Additional Encryption Context for",
	         "custom branch key id");
	             
	 final String BranchKey = keystore.CreateKey(
	         CreateKeyInput.builder()
	                 .branchKeyIdentifier(custom-branch-key-id) //OPTIONAL
	                 .encryptionContext(additionalEncryptionContext) //OPTIONAL              
	                 .build()).branchKeyIdentifier();
```

------
#### [ C\$1 / .NET ]

```
var additionalEncryptionContext = new Dictionary<string, string>();
	 additionalEncryptionContext.Add("Additional Encryption Context for", "custom branch key id");
	         
	 var branchKeyId = keystore.CreateKey(new CreateKeyInput
	 {
	     BranchKeyIdentifier = "custom-branch-key-id", // OPTIONAL
	     EncryptionContext = additionalEncryptionContext // OPTIONAL
	 });
```

------
#### [ Python ]

```
additional_encryption_context = {"Additional Encryption Context for": "custom branch key id"}

branch_key_id: str = keystore.create_key(
    CreateKeyInput(
        branch_key_identifier = "custom-branch-key-id", # OPTIONAL
        encryption_context = additional_encryption_context, # OPTIONAL
    )
)
```

------
#### [ Rust ]

```
let additional_encryption_context = HashMap::from([
    ("Additional Encryption Context for".to_string(), "custom branch key id".to_string())
]);

let branch_key_id = keystore.create_key()
    .branch_key_identifier("custom-branch-key-id") // OPTIONAL
    .encryption_context(additional_encryption_context) // OPTIONAL
    .send()
    .await?
    .branch_key_identifier
    .unwrap();
```

------
#### [ Go ]

```
encryptionContext := map[string]string{
    "Additional Encryption Context for": "custom branch key id",
}

branchKey, err := keyStore.CreateKey(context.Background(), keystoretypes.CreateKeyInput{
    BranchKeyIdentifier: &customBranchKeyId,
    EncryptionContext:   additional_encryption_context,
})
if err != nil {
    return "", err
}
```

------

En primer lugar, la operación `CreateKey` genera los siguientes valores.
+ Un [identificador único universal](https://www.ietf.org/rfc/rfc4122.txt) (UUID) de la versión 4 para el `branch-key-id` (a menos que haya especificado una `branch-key-id` personalizada).
+ Un UUID de la versión 4 para la versión de clave de rama
+ Una `timestamp` en el [formato de fecha y hora ISO 8601](https://www.iso.org/iso-8601-date-and-time-format.html) en hora universal coordinada (UTC).

A continuación, la `CreateKey` operación llama a [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) mediante la siguiente solicitud.

```
{
	    "EncryptionContext": { 
	       "branch-key-id" : "branch-key-id",
	       "type" : "type",
	       "create-time" : "timestamp",
	       "logical-key-store-name" : "the logical table name for your key store",
	       "kms-arn" : the KMS key ARN,
	       "hierarchy-version" : "1",
	       "aws-crypto-ec:contextKey": "contextValue"
	    },
	    "KeyId": "the KMS key ARN you specified in your key store actions",
	    "NumberOfBytes": "32"
	 }
```

A continuación, la `CreateKey` operación llama a [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/AAPI_ReEncrypt.html) para crear un registro activo para la clave de sucursal mediante la actualización del contexto de cifrado.

Por último, la `CreateKey` operación llama a [ddb: TransactWriteItems](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_TransactWriteItems.html) para escribir un nuevo elemento que conserve la clave de rama en la tabla que creó en el **paso 2**. El objeto tiene los siguientes atributos:

```
{
	     "branch-key-id" : branch-key-id,
	     "type" : "branch:ACTIVE",
	     "enc" : the branch key returned by the GenerateDataKeyWithoutPlaintext call,
	     "version": "branch:version:the branch key version UUID",
	     "create-time" : "timestamp",
	     "kms-arn" : "the KMS key ARN you specified in Step 1",
	     "hierarchy-version" : "1",
	     "aws-crypto-ec:contextKey": "contextValue"
 }
```