Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crear una clave de KMS.
<a name="create-keys"></a>

Puede crearla AWS KMS keys en Consola de administración de AWS, o mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación o el [AWS::KMS::Key AWS CloudFormation recurso](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Durante este proceso, establece la política de claves para la clave KMS, que puede cambiar en cualquier momento. También puede seleccionar los siguientes valores que definen el tipo de clave KMS que va a crear. No puede cambiar estas propiedades después de que se cree la clave de KMS. 

**Tipo de clave KMS**  
El *tipo de clave* es una propiedad que determina el tipo de clave criptográfica que se crea. AWS KMS ofrece tres tipos de claves para proteger los datos:  
+ Claves simétricas del estándar de cifrado avanzado (AES)

  Claves de 256 bits que se utilizan en el modo Galois Counter Mode (GCM) del AES para proporcionar datos autenticados de menos de 4 KB encryption/decryption de tamaño. Este es el tipo de clave más común y se utiliza para proteger otras claves de cifrado de datos utilizadas en sus aplicaciones y, de este modo, cifrar los datos en su Servicios de AWS nombre.
+ RSA, curva elíptica o claves asimétricas (solo para regiones de SM2 China)

  Estas claves están disponibles en varios tamaños y admiten muchos algoritmos. Se pueden usar para cifrar y descifrar, firmar y verificar u obtener operaciones de secretos compartidos según el algoritmo elegido.
+ Claves simétricas para realizar operaciones de códigos de autenticación de mensajes basados en hash (HMAC)

  Estas claves son claves de 256 bits que se utilizan para las operaciones de firma y verificación.

  Las claves KMS no se pueden exportar desde el servicio en texto sin formato. Las generan los módulos de seguridad de hardware (HSMs) utilizados por el servicio y solo se pueden usar dentro de ellos. Esta es la propiedad de seguridad fundamental AWS KMS para garantizar que las claves no se vean comprometidas.

**Uso de clave**  
El *uso de la clave* es una propiedad que determina las operaciones criptográficas que esta admite. Las claves KMS pueden tener los siguientes usos de clave: `ENCRYPT_DECRYPT`, `SIGN_VERIFY`, `GENERATE_VERIFY_MAC` o `KEY_AGREEMENT`. Cada clave KMS solo puede tener un uso. Esto sigue las prácticas recomendadas de uso de claves según la [publicación especial 800-57 del Instituto Nacional de Estándares y Tecnología (NIST), Recomendaciones para la administración de claves](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), sección 5.2, Uso de claves. El uso de una clave KMS para más de un tipo de operaciones hace que el producto de ambas operaciones sea más vulnerable a ataques.

**Especificación de clave**  
La *especificación de clave* es una propiedad que representa la configuración criptográfica de la clave. El significado de la especificación de clave difiere con el tipo de clave.  
Para las claves KMS, la *especificación de clave* determina si la clave KMS es simétrica o asimétrica. También determina el tipo de su material de clave y los algoritmos que admite.  
La especificación de clave predeterminada, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), representa una clave de cifrado simétrico de 256 bits. Para obtener una descripción detallada de todas las especificaciones de clave compatibles, consulte [Referencia de especificaciones de clave](symm-asymm-choose-key-spec.md).

**Origen del material de claves**  
El *origen del material de claves* es una propiedad de la clave KMS que identifica el origen del material de claves en la clave KMS. Usted elija el origen del material de claves cuando crea la clave KMS y no se puede cambiar. La fuente del material de clave afecta a las características de seguridad, durabilidad, disponibilidad, latencia y rendimiento de la clave de KMS.   
Cada clave KMS incluye una referencia al material de clave en los metadatos. El origen del material de claves de cifrado simétrico, las claves KMS pueden variar. Puede utilizar el material de claves que genera AWS KMS , el material de claves que se genera en un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview), o bien [importar su propio material de claves](importing-keys.md).   
De forma predeterminada, cada clave KMS tiene un material de claves único. Sin embargo, puede crear un conjunto de [claves de varias regiones](multi-region-keys-overview.md) con el mismo material de claves.  
Las claves de KMS pueden tener uno de los siguientes valores de origen del material clave:`AWS_KMS`, `EXTERNAL` ([material de clave importado](importing-keys.md)), `AWS_CLOUDHSM` ([clave de KMS en un almacén de AWS CloudHSM claves](keystore-cloudhsm.md)) o `EXTERNAL_KEY_STORE` ([clave de KMS en un almacén de claves externo](keystore-external.md)).

**Topics**
+ [Permisos para crear claves KMS](#create-key-permissions)
+ [Elección del tipo de clave KMS que se va a crear](#symm-asymm-choose)
+ [Creación de claves de KMS de cifrado simétricas](create-symmetric-cmk.md)
+ [Creación de una clave de KMS asimétrica](asymm-create-key.md)
+ [Creación de una clave KMS HMAC](hmac-create-key.md)
+ [Creación de claves primarias de varias regiones](create-primary-keys.md)
+ [Creación de claves de réplica de varias regiones](multi-region-keys-replicate.md)
+ [Creación de una clave KMS con material de claves importado](importing-keys-conceptual.md)
+ [Crear una clave KMS en un almacén de AWS CloudHSM claves](create-cmk-keystore.md)
+ [Creación de una clave KMS en un almacén de claves externo](create-xks-keys.md)

## Permisos para crear claves KMS
<a name="create-key-permissions"></a>

Para crear una clave KMS en la consola o mediante la APIs, debe tener el siguiente permiso en una política de IAM. Siempre que sea posible, use [claves de condición](policy-conditions.md) para limitar los permisos. Por ejemplo, puede usar la clave de KeySpec condición [kms:](conditions-kms.md#conditions-kms-key-spec) en una política de IAM para permitir que los principales creen solo claves de cifrado simétricas.

Para obtener un ejemplo de una política de IAM para las principales entidades que crean claves, consulte [Permitir a un usuario crear claves KMS](customer-managed-policies.md#iam-policy-example-create-key).

**nota**  
Tenga cuidado al dar permiso a las entidades principales para administrar etiquetas y alias. El cambio de etiqueta o alias puede permitir o denegar permiso a la clave administrada por el cliente. Para obtener más información, consulte [ABAC para AWS KMS](abac.md).
+ [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) es obligatorio. 
+ [kms: CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) es necesario para crear una clave KMS en la consola, donde se requiere un alias para cada nueva clave KMS.
+ [kms: TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) es necesario añadir etiquetas al crear la clave KMS.
+ [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) es necesario para crear claves principales multirregionales. Para obtener más información, consulte [Control del acceso a claves de varias regiones](multi-region-keys-auth.md).

El PutKeyPolicy permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) no es necesario para crear la clave KMS. El permiso `kms:CreateKey` incluye permiso para establecer la política de clave inicial. Pero debe agregar este permiso a la política de clave mientras crea la clave KMS para asegurarse de que puede controlar el acceso a la clave KMS. La alternativa es utilizar el [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)parámetro, lo cual no se recomienda.

Las claves KMS pertenecen a la AWS cuenta en la que se crearon. El usuario de IAM que crea una clave KMS no se considera el propietario de la clave y no tiene permiso automáticamente para usar o administrar la clave KMS que creó. Al igual que cualquier otra entidad principal, el creador de la clave necesita obtener permiso a través de una política de claves, una política de IAM o una concesión. Sin embargo, las entidades principales que tienen el permiso de `kms:CreateKey` pueden establecer la política de clave inicial y darse permiso a ellas mismas para usar o administrar la clave.

## Elección del tipo de clave KMS que se va a crear
<a name="symm-asymm-choose"></a>

El tipo de clave KMS que crea varía en gran medida en función de cómo tiene previsto *utilizar* la clave KMS, los requisitos de seguridad y los requisitos de autorización. El tipo de clave y el uso de la clave de una clave KMS determinan qué operaciones criptográficas puede realizar dicha clave. Cada clave KMS tiene solo un uso de claves. El uso de una clave KMS para más de un tipo de operaciones hace que el producto de todas las operaciones sea más vulnerable a ataques.

Para permitir que los directores creen claves de KMS solo para un uso de clave determinado, utilice la clave de KeyUsage condición [kms:](conditions-kms.md#conditions-kms-key-usage). También puede utilizar la clave de condición `kms:KeyUsage` para permitir que las entidades principales llamen a las operaciones de la API para una clave KMS basada en su uso de claves. Por ejemplo, puede permitir un permiso que deshabilite una clave KMS solo si su uso de clave es SIGN\$1VERIFY. 

Utilice las siguientes directrices para determinar qué tipo de clave KMS necesita en función de su caso de uso.

**Cifrar y descifrar datos**  
Utilice una [clave KMS simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) para la mayoría de los casos de uso que requieren cifrar y descifrar datos. El algoritmo de cifrado simétrico que utiliza AWS KMS es rápido, eficaz y asegura la confidencialidad y la autenticidad de los datos. Admite el cifrado autenticado con datos autenticados adicionales (AAD), definidos como un [contexto de cifrado](encrypt_context.md). Este tipo de clave KMS requiere que tanto el remitente como el destinatario de los datos cifrados dispongan de AWS credenciales válidas para realizar llamadas AWS KMS.  
Si su caso de uso requiere que los usuarios que no pueden llamar AWS los cifren fuera o no AWS KMS, [las claves KMS asimétricas](symmetric-asymmetric.md) son una buena opción. Puede distribuir la parte pública de la clave KMS asimétrica para permitir que estos usuarios cifren los datos. Las aplicaciones que necesitan descifrar estos datos pueden utilizar la parte privada de la clave KMS asimétrica en AWS KMS.

**Firmar mensajes y verificar firmas**  
Para firmar mensajes y verificar firmas, tiene que utilizar una [clave KMS asimétrica](symmetric-asymmetric.md). Puede usar una clave KMS con una [especificación clave que represente un par de claves RSA, un par de claves de curva elíptica (ECC](symm-asymm-choose-key-spec.md)), un par de claves ML-DSA o un par de claves (solo para regiones de China SM2 ). La especificación de clave que seleccione la determina el algoritmo de firma que desea utilizar. Se recomiendan los algoritmos de firma ECDSA que admiten los pares de claves ECC en lugar de los algoritmos de firma RSA. Utilice un par de claves de ML-DSA al migrar de claves de RSA o de ECC a claves poscuánticas. Sin embargo, es posible que necesite utilizar una especificación clave y un algoritmo de firma específicos para ayudar a los usuarios a verificar las firmas fuera de AWS.

**Cifrado con pares de claves asimétricas**  
Para cifrar los datos con un par de claves asimétricas, debe usar una clave [KMS asimétrica con una especificación de clave](symmetric-asymmetric.md) [RSA o una especificación de clave](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) [(solo para regiones de SM2 China](symm-asymm-choose-key-spec.md#key-spec-sm)). Para cifrar los datos de AWS KMS con la clave pública de un par de claves KMS, utilice la operación [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) (Cifrar). También puede [descargar la clave pública](download-public-key.md) y compartirla con las partes que necesiten cifrar los datos fuera de ella. AWS KMS  
Cuando descarga la clave pública de una clave KMS asimétrica, puede utilizarla fuera de AWS KMS. Sin embargo, ya no está sujeta a los controles de seguridad que protegen la clave KMS. AWS KMS Por ejemplo, no puede usar políticas o concesiones AWS KMS clave para controlar el uso de la clave pública. Tampoco puede controlar si la clave se utiliza únicamente para el cifrado y el descifrado mediante los algoritmos de cifrado AWS KMS compatibles. Para obtener más información, consulte [Consideraciones especiales para la descarga de claves públicas](offline-public-key.md#download-public-key-considerations).  
Para descifrar los datos que se cifraron con la clave pública externa AWS KMS, ejecute la operación de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). La operación `Decrypt` falla si los datos se cifran con una clave pública de una clave KMS con un uso de la clave de `SIGN_VERIFY`. También se producirá un error si se cifró mediante un algoritmo que AWS KMS no sea compatible con la especificación de clave que ha seleccionado. Para obtener más información sobre las especificaciones de claves y los algoritmos compatibles, consulte [Referencia de especificaciones de clave](symm-asymm-choose-key-spec.md).  
Para evitar estos errores, cualquier persona que utilice una clave pública fuera de ella AWS KMS debe almacenar la configuración de la clave. La AWS KMS consola y la [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)respuesta proporcionan la información que debe incluir al compartir la clave pública.

**Obtención de secretos compartidos**  
Para obtener secretos compartidos, utilice una clave KMS con una [curva elíptica estándar del NIST](symm-asymm-choose-key-spec.md#key-spec-ecc) o material clave (solo para las regiones de [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)China). AWS KMS utiliza el [cofactor criptográfico de curva elíptica Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH) para establecer un acuerdo de claves entre dos pares mediante la obtención de un secreto compartido a partir de sus pares de claves público-privadas de curva elíptica. Puede utilizar el secreto compartido sin procesar que devuelve la [ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)operación para obtener una clave simétrica que pueda cifrar y descifrar los datos que se envían entre dos partes, o generarlos y verificarlos. HMACs AWS KMS recomienda que siga las [recomendaciones del NIST para la derivación de claves](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) cuando utilice el secreto compartido sin procesar para obtener una clave simétrica.

**Generación y verificación de códigos HMAC**  
Para generar y verificar códigos de autenticación de mensajes basados en hash, utilice una clave KMS HMAC. Al crear una clave HMAC AWS KMS, AWS KMS crea y protege el material de la clave y se asegura de utilizar los algoritmos MAC correctos para la clave. Los códigos HMAC también se pueden utilizar como números pseudoaleatorios y, en ciertos escenarios, para la firma simétrica y la tokenización.  
Las claves KMS HMAC son claves simétricas. Al crear una clave KMS HMAC en la consola de AWS KMS , elija el tipo de clave `Symmetric`.

**Úselo con servicios AWS **  <a name="cmks-aws-service"></a>
Para crear una clave KMS para usarla con un [AWS servicio integrado AWS KMS](service-integration.md), consulte la documentación del servicio. AWS los servicios que cifran los datos requieren una clave [KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks).

Además de estas consideraciones, las operaciones criptográficas en las claves KMS con diferentes especificaciones de clave tienen diferentes precios y diferentes cuotas de solicitud. Para obtener información sobre precios de AWS KMS , consulte [AWS Key Management Service precios](https://aws.amazon.com/kms/pricing/). Para obtener más información acerca de las cuotas de solicitud, consulte [Cuotas de solicitudes](requests-per-second.md).

# Creación de claves de KMS de cifrado simétricas
<a name="create-symmetric-cmk"></a>

En este tema se explica cómo crear la clave KMS básica, una clave [KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks) para una sola región con material de clave de. AWS KMS Puede utilizar esta clave KMS para proteger sus recursos en un Servicio de AWS.

[Puede crear claves KMS de cifrado simétrico en la AWS KMS consola, mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o mediante la AWS::KMS::Key CloudFormation plantilla.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

La especificación de clave predeterminada, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), es la especificación de claves para las claves KMS de cifrado simétricas. Al seleccionar el tipo de clave **simétrica** y el uso de claves de **cifrado y descifrado** en la AWS KMS consola, se selecciona la especificación de la clave. `SYMMETRIC_DEFAULT` En la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación, si no especifica ningún `KeySpec` valor, se selecciona SYMMETRIC\$1DEFAULT. Si no tiene un motivo para utilizar una especificación de clave diferente, SYMMETRIC\$1DEFAULT es una buena opción.

Para obtener información acerca de las cuotas que se aplican a las claves KMS, consulte [Cuotas](limits.md).

## Uso de la consola AWS KMS
<a name="create-keys-console"></a>

Puede usar el Consola de administración de AWS para crear AWS KMS keys (claves KMS).

**importante**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. Para crear una clave KMS de cifrado simétrica, para **Key type (Tipo de clave)** seleccione **Symmetric (Simétrica)**.

1. En **Key usage** (Uso de claves), se selecciona la opción **Encrypt and decrypt** (Cifrar y descifrar) para usted.

1. Elija **Siguiente**.

1. Escriba un alias para la clave KMS. El nombre del alias no puede empezar por **aws/**. Amazon Web Services se reserva el **aws/** prefijo para representarlo Claves administradas por AWS en su cuenta.
**nota**  
Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de alias para controlar el acceso a las claves KMS](alias-authorization.md).

    Un alias es un nombre de visualización que puede usar para identificar a una clave KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS. 

    

    Los alias son necesarios para crear una clave KMS en la Consola de administración de AWS. Son opcionales cuando se utiliza la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación. 

1. (Opcional) Escriba una descripción de la clave KMS.

   Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el [estado de la clave](key-state.md) sea `Pending Deletion` o `Pending Replica Deletion`. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la clave KMS de la operación Consola de administración de AWS o utilice la [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operación.

1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija **Add tag** (Agregar etiqueta).
**nota**  
Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md).

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
**Notas**  
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte [Política de claves predeterminada](key-policy-default.md).  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración`"Allow access for Key Administrators"`. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden usar la clave en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations)
**Notas**  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección **Otros**, en la parte inferior de la página, selecciona **Añadir otra Cuenta de AWS** e introduce el número de Cuenta de AWS identificación de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Elija **Finalizar** para crear la clave de KMS.

## Uso de la AWS KMS API
<a name="create-keys-api"></a>

Puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear AWS KMS keys de todo tipo. Estos ejemplos utilizan la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Para ver ejemplos en varios lenguajes de programación, consulte [Úselo `CreateKey` con un AWS SDK o CLI](example_kms_CreateKey_section.md).

**importante**  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

La siguiente operación crea una clave de cifrado simétrica en una única región respaldada por material de claves generado por AWS KMS. Esta operación no tiene parámetros obligatorios. Sin embargo, es posible que también desee utilizar el parámetro `Policy` para especificar una política de claves. Puede cambiar la política clave ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) y añadir elementos opcionales, como una [descripción](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) y [etiquetas](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), en cualquier momento. También puede crear [claves asimétricas](asymm-create-key.md#create-asymmetric-keys-api), [claves de varias regiones](create-primary-keys.md), claves con [material de claves importado](importing-keys-create-cmk.md#importing-keys-create-cmk-api), y claves en [almacenes de claves personalizados](create-cmk-keystore.md#create-cmk-keystore-api). Para crear claves de datos para el cifrado del lado del cliente, utilice la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación.

La `CreateKey` operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)nueva clave de KMS.

A continuación se muestra un ejemplo de una llamada a la operación `CreateKey` sin parámetros. Este comando utiliza todos los valores predeterminados. Crea una clave KMS de cifrado simétrica para con material de claves generado por AWS KMS.

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Si no especifica una política de claves para su nueva clave KMS, la [política de claves predeterminada](key-policy-default.md) que aplica `CreateKey` es diferente de la política de claves predeterminada que aplica la consola cuando se utiliza para crear una nueva clave KMS. 

Por ejemplo, esta llamada a la [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operación devuelve la política clave que `CreateKey` se aplica. Da Cuenta de AWS acceso a la clave KMS y le permite crear políticas AWS Identity and Access Management (IAM) para la clave KMS. Para obtener información detallada sobre las políticas de IAM y las políticas de claves para claves KMS, consulte [Permisos y acceso a claves KMS](control-access.md)

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Creación de una clave de KMS asimétrica
<a name="asymm-create-key"></a>

[Puede crear [claves KMS asimétricas](symmetric-asymmetric.md) en la AWS KMS consola, mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o mediante la AWS::KMS::Key CloudFormation plantilla.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Una clave KMS asimétrica representa un par de claves pública y privada que se puede utilizar para el cifrado, la firma o la obtención de secretos compartidos. La clave privada permanece dentro AWS KMS. Para descargar la clave pública para usarla fuera de ella AWS KMS, consulte[Descarga de la clave pública](download-public-key.md).

Cuando crea una clave KMS asimétrica, debe seleccionar una especificación de clave. A menudo, la especificación de clave que seleccione está determinada por requisitos normativos, de seguridad o empresariales. También puede estar influenciado por el tamaño de los mensajes que necesita cifrar o firmar. En general, las claves de cifrado más largas son más resistentes a los ataques de fuerza bruta. Para obtener una descripción detallada de todas las especificaciones de clave admitidas, consulte [Referencia de especificaciones de clave](symm-asymm-choose-key-spec.md).

AWS los servicios que se integran AWS KMS no admiten claves KMS asimétricas. Si desea crear una clave KMS que cifre los datos que almacena o administra en un AWS servicio, [cree una clave KMS de cifrado simétrico](create-symmetric-cmk.md). 

Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte [Permisos para crear claves KMS](create-keys.md#create-key-permissions).

## Uso de la consola AWS KMS
<a name="create-asymmetric-keys-console"></a>

Puede utilizar el Consola de administración de AWS para crear claves asimétricas AWS KMS keys (claves KMS). Cada clave KMS asimétrica representa un par de claves públicas y privadas.

**importante**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. Para crear una clave KMS asimétrica, en **Key Type (Tipo de clave)**, seleccione **Asymmetric (Asimétrica)**.

1. Para crear una clave KMS asimétrica para el cifrado de claves públicas, en **Key Usage (Uso de claves)**, elija **Encrypt and decrypt (Cifrar y descifrar)**. 

   Para crear una clave KMS asimétrica para firmar mensajes y verificar firmas, en **Key Usage (Uso de claves)**, elija **Sign and verify (Firmar y verificar)**.

   Para crear una clave de KMS asimétrica para obtener secretos compartidos, en **Uso de claves**, elija **Acuerdo de claves**.

   Para obtener ayuda sobre cómo elegir un valor de uso de clave, consulte [Elección del tipo de clave KMS que se va a crear](create-keys.md#symm-asymm-choose).

1. Seleccione una especificación (**Key spec [Especificación de clave]**) para su clave KMS asimétrica. 

1. Elija **Siguiente**.

1. Escriba un [alias](kms-alias.md) para la clave KMS El nombre del alias no puede empezar por **aws/**. El prefijo **aws/** está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

   Un *alias* es un nombre descriptivo que se puede utilizar para identificar la clave KMS en la consola y en algunas otras. AWS KMS APIs Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS. 

   Los alias son necesarios para crear una clave KMS en la Consola de administración de AWS. No puede especificar un alias al usar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación, pero puede usar la consola o la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operación para crear un alias para una clave de KMS existente. Para obtener más información, consulte [Alias en AWS KMS](kms-alias.md).

1. (Opcional) Escriba una descripción de la clave KMS.

   Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

   Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el [estado de la clave](key-state.md) sea `Pending Deletion` o `Pending Replica Deletion`. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la clave KMS de la operación Consola de administración de AWS o utilice la [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operación.

1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija **Add tag** (Agregar etiqueta).

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
**Notas**  
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte [Política de claves predeterminada](key-policy-default.md).  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración`"Allow access for Key Administrators"`. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations).
**Notas**  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección **Otras Cuentas de AWS**, elija **Agregar otra Cuenta de AWS** e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Elija **Finalizar** para crear la clave de KMS.

## Uso de la API AWS KMS
<a name="create-asymmetric-keys-api"></a>

Puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una asimétrica AWS KMS key. En estos ejemplos, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Al crear una clave KMS asimétrica, debe especificar el parámetro `KeySpec`, que determina el tipo de claves que cree. Además, debe especificar un valor `KeyUsage` de ENCRYPT\$1DECRYPT, SIGN\$1VERIFY o KEY\$1AGREEMENT. No puede cambiar estas propiedades después de que se cree la clave de KMS.

La `CreateKey` operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)nueva clave de KMS.

**importante**  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

**Creación de una clave KMS asimétrica para el cifrado público**  
En el siguiente ejemplo se utiliza la operación `CreateKey` para crear una clave KMS asimétrica de claves RSA de 4096 bits diseñadas para el cifrado de claves públicas.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Creación de una clave KMS asimétrica para la firma y la verificación**  
El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECC utilizadas para la firma y verificación. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Creación de un par de claves KMS asimétricas para obtener secretos compartidos**  
El comando del siguiente ejemplo crea una clave KMS asimétrica que representa un par de claves ECDH utilizadas para la obtención de secretos compartidos. No se puede crear un par de claves de curva elíptica para el cifrado y el descifrado.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```

# Creación de una clave KMS HMAC
<a name="hmac-create-key"></a>

[Puede crear claves HMAC KMS en la AWS KMS consola, mediante la [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o mediante la AWS::KMS::Key CloudFormation plantilla.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Al crear una clave HMAC KMS, debe seleccionar una especificación clave. AWS KMS admite varias [especificaciones clave para las claves HMAC KMS](symm-asymm-choose-key-spec.md#hmac-key-specs). La especificación de clave que seleccione podría estar determinada por requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más resistentes a los ataques de fuerza bruta.

Para obtener información sobre los permisos necesarios para crear claves de KMS, consulte [Permisos para crear claves KMS](create-keys.md#create-key-permissions).

## Uso de la consola AWS KMS
<a name="create-hmac-key-console"></a>

Puede utilizarla Consola de administración de AWS para crear claves HMAC KMS. Las claves KMS HMAC son claves simétricas con un uso de claves de **Generate and verify MAC** (Generar y verificar MAC). También puede crear claves HMAC de varias regiones. 

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. En **Key type (Tipo de clave)**, elija **Symmetric (Simétrica)**.

   Las claves KMS HMAC son simétricas. Utilice la misma clave para generar y verificar etiquetas HMAC.

1. Para **Key usage** (Uso de claves), elija **Generate and verify MAC** (Generar y verificar MAC).

   Generar y verificar que MAC es el único uso de clave válido para las claves KMS HMAC.
**nota**  
**Key usage** (Uso de claves) se muestra para las claves simétricas solo cuando las claves KMS HMAC son compatibles en la región seleccionada.

1. Seleccione una especificación (**Key spec** [Especificación de clave]) para su clave KMS HMAC. 

   La especificación de clave que seleccione se puede determinar mediante requisitos normativos, de seguridad o empresariales. En general, las claves más largas son más seguras.

1. Para crear una clave HMAC [de varias regiones](multi-region-keys-overview.md) *primaria*, en **Advanced options** (Opciones avanzadas), elija **Multi-Region key** (Clave de varias regiones). Las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que defina para esta clave KMS, como su tipo de clave y uso de claves, se compartirán con sus claves de réplica.

   No puede utilizar este procedimiento para crear una clave de réplica. Para crear una clave HMAC *réplica* de varias regiones, siga las [instrucciones para crear una clave de réplica](multi-region-keys-replicate.md).

1. Elija **Siguiente**.

1. Ingrese un [alias](kms-alias.md) para la clave KMS El nombre del alias no puede empezar por **aws/**. El prefijo **aws/** está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

   Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como `HMAC/test-key`. De este modo, le resultará más fácil identificar sus claves HMAC en la AWS KMS consola, donde podrá ordenar y filtrar las claves por etiquetas y alias, pero no por las especificaciones o el uso de las claves.

   Los alias son necesarios para crear una clave de KMS en la Consola de administración de AWS. No puede especificar un alias al usar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación, pero puede usar la consola o la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operación para crear un alias para una clave de KMS existente. Para obtener más información, consulte [Alias en AWS KMS](kms-alias.md).

1. (Opcional) Ingrese una descripción de la clave KMS.

   Escriba una descripción que explique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave de KMS.

   Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el [estado de la clave](key-state.md) sea `Pending Deletion` o `Pending Replica Deletion`. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la clave KMS Consola de administración de AWS en la operación Consola de administración de AWS o utilice la [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operación.

1. (Opcional) Ingrese una clave de etiqueta y un value de etiqueta opcional. Para agregar más de una etiqueta a la clave de KMS, elija **Agregar etiqueta**.

   Considere agregar una etiqueta que identifique la clave como una clave HMAC, por ejemplo `Type=HMAC`. Esto le permitirá identificar más fácilmente sus claves HMAC en la AWS KMS consola, donde podrá ordenar y filtrar las claves por etiquetas y alias, pero no por especificaciones o uso de las claves.

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
**Notas**  
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte [Política de claves predeterminada](key-policy-default.md).  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración`"Allow access for Key Administrators"`. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations).
**Notas**  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección **Otras Cuentas de AWS**, elija **Agregar otra Cuenta de AWS** e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Elija **Finish** (Finalizar) para crear la clave KMS HMAC.

## Uso de la API AWS KMS
<a name="create-keys-api"></a>

Puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una clave HMAC KMS. En estos ejemplos, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Al crear una clave KMS HMAC, debe especificar el parámetro `KeySpec`, que determina el tipo de clave KMS. Además, debe especificar un valor `KeyUsage` de GENERATE\$1VERIFY\$1MAC, aunque sea el único valor de uso de claves válido para claves HMAC. Para crear una clave KMS HMAC de [múltiples regiones](multi-region-keys-overview.md), agregue el parámetro `MultiRegion` con un valor de `true`. No puede cambiar estas propiedades después de que se cree la clave de KMS. 

La `CreateKey` operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)nueva clave KMS. Le recomendamos que utilice un alias que identifique la clave KMS como clave HMAC, como `HMAC/test-key`. Esto le permitirá identificar sus claves HMAC con más facilidad en la AWS KMS consola, donde podrá ordenar y filtrar las claves por alias, pero no por especificación o uso de claves.

Si intenta crear una clave HMAC KMS Región de AWS en una que no sea compatible con las claves HMAC, la operación devuelve un `CreateKey` `UnsupportedOperationException`

El siguiente ejemplo utiliza la operación `CreateKey` para crear una clave KMS HMAC de 512 bits.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

# Creación de claves primarias de varias regiones
<a name="create-primary-keys"></a>

Puede crear una [clave principal multirregional](multi-region-keys-overview.md#mrk-primary-key) en la AWS KMS consola o mediante la AWS KMS API. Puede crear la clave principal en cualquier Región de AWS lugar que AWS KMS admita claves multirregionales.

Para crear una clave principal multirregional, el director necesita los [mismos permisos](create-keys.md#create-key-permissions) que necesita para crear cualquier clave de KMS, incluido el CreateKey permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) en una política de IAM. El director también necesita el permiso [iam:. CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) Puede usar la clave de MultiRegionKeyType condición [kms:](conditions-kms.md#conditions-kms-multiregion-key-type) para permitir o denegar el permiso para crear claves principales multirregionales.

**nota**  
Al crear su clave principal de varias regiones, considere detenidamente los usuarios y roles de IAM que seleccione para administrar y usar la clave. Las políticas de IAM pueden otorgar permisos a otros usuarios y roles de IAM para que administren la clave KMS.  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.

## Uso de la consola AWS KMS
<a name="create-primary-console"></a>

Para crear una clave principal multirregional en la AWS KMS consola, utilice el mismo proceso que utilizaría para crear cualquier clave de KMS. Seleccione una clave de varias regiones en **Advanced options (Opciones avanzadas)**. Para obtener instrucciones completas, consulte [Crear una clave de KMS.](create-keys.md).

**importante**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. Seleccione un tipo de clave [simétrica o asimétrica](symmetric-asymmetric.md). Las claves simétricas son las predeterminadas.

   Puede crear claves simétricas y asimétricas de varias regiones, incluidas las claves de KMS HMAC de varias regiones, que son simétricas. 

1. Seleccione el uso de claves. **Encrypt and decrypt** (Cifrar y descifrar) es el valor predeterminado.

   Para obtener ayuda, consulte [Crear una clave de KMS.](create-keys.md), [Creación de una clave de KMS asimétrica](asymm-create-key.md) o [Creación de una clave KMS HMAC](hmac-create-key.md).

1. Expanda **Advanced options (Opciones avanzadas)**.

1. **En **Origen del material clave**, para AWS KMS generar el material clave que compartirán la clave principal y la de réplica, elija KMS.** Si [importa material de claves](importing-keys-create-cmk.md) en las claves principal y de réplica, elija **External (Import key material)** Externo (material de claves importado). 

1. En **Regionalidad**, seleccione **Clave de varias regiones**.

   No puede cambiar esta configuración después de crear la clave KMS. 

1. Escriba un [alias](kms-alias.md) para la clave principal. 

   Los alias no son una propiedad compartida de claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas el mismo alias o alias diferentes. AWS KMS no sincroniza los alias de las claves multirregionales.
**nota**  
Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de alias para controlar el acceso a las claves KMS](alias-authorization.md).

1. (Opcional) Escriba una descripción de la clave primaria.

   Las descripciones no son una propiedad compartida de las claves de varias regiones. Puede dar a la clave principal multirregional y a sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones clave de las claves multirregionales.

1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave principal, elija **Add tag (Agregar etiqueta)**.

   Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves de varias regiones. Puede cambiar las etiquetas de las claves KMS en cualquier momento.
**nota**  
Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md).

1. Seleccione los usuarios y roles de IAM que pueden administrar la clave principal.
**Notas**  
Este paso inicia el proceso de creación de una [política de claves](key-policies.md) para la clave principal. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas la misma política clave o políticas clave diferentes. AWS KMS no sincroniza las políticas clave de las claves multirregionales. Puede cambiar la política de claves de una clave KMS en cualquier momento.
Al crear una clave principal de varias regiones, considere la posibilidad de utilizar la [política de claves predeterminada](key-policy-default.md) generada por la consola. Si se modifica esta política, la consola no proporcionará los pasos necesarios para seleccionar los administradores y usuarios clave al crear las réplicas de claves, ni agregará las declaraciones de política correspondientes. Como resultado, tendrá que agregarlos de manera manual.
La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración. `"Allow access for Key Administrators"` La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations).
**Notas**  
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección **Otras Cuentas de AWS**, elija **Agregar otra Cuenta de AWS** e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Seleccione **Finalizar** para crear la clave principal de varias regiones.

## Uso de la API AWS KMS
<a name="create-primary-api"></a>

Para crear una clave principal multirregional, utilice la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación. Utilice el parámetro `MultiRegion` con un valor de `True`.

Por ejemplo, el siguiente comando crea una clave principal multirregión en la persona que llama ( Región de AWS us-east-1). Acepta valores predeterminados para todas las demás propiedades, incluida la política de claves. Los valores predeterminados para las claves principales de varias regiones son los mismos que los valores predeterminados para todas las demás claves KMS, incluida la [política de claves predeterminada](key-policy-default.md). Este procedimiento crea una clave de cifrado simétrica, la clave KMS predeterminada. 

La respuesta incluye el elemento `MultiRegion` y el elemento `MultiRegionConfiguration` con subelementos y valores típicos para una clave principal de varias regiones sin claves de réplica. La [ID de clave](concepts.md#key-id-key-id) de una clave de varias regiones siempre comienza con `mrk-`.

**importante**  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en los CloudTrail registros y otros resultados.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```

# Creación de claves de réplica de varias regiones
<a name="multi-region-keys-replicate"></a>

[Puede crear una [clave de réplica multirregional](multi-region-keys-overview.md#mrk-primary-key) en la AWS KMS consola mediante la [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operación o mediante una AWS::KMS::ReplicaKey CloudFormation plantilla.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) No puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una clave de réplica.

Puede utilizar estos procedimientos para replicar cualquier clave principal de varias regiones, incluida una [clave simétrica de KMS de cifrado](symm-asymm-choose-key-spec.md#symmetric-cmks), una [clave asimétrica de KMS](symmetric-asymmetric.md) o una [clave KMS HMAC](hmac.md).

Cuando se completa esta operación, la nueva clave de réplica tiene un valor transitorio de [estado clave](key-state.md) de `Creating`. Este estado de clave cambia a `Enabled` (o `PendingImport` si se crea una clave de varias regiones con [material de claves importado](importing-keys.md)) después de unos segundos cuando se haya completado el proceso de creación de la nueva clave de réplica. Mientras el estado de la clave es `Creating`, puede administrar las claves, pero aún no puede usarlas en operaciones criptográficas. Si va a crear y utilizar la clave de réplica mediante programación, vuelva a intentarlo `KMSInvalidStateException` o llame [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)para comprobar su `KeyState` valor antes de utilizarla. 

En caso de que elimine por error una clave de réplica, puede utilizar este procedimiento para volver a crearla. En caso de que replique la misma clave primaria en la misma región, la nueva clave de réplica que cree tendrá las mismas [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave de réplica original.

**importante**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Para usar una AWS CloudFormation plantilla para crear una clave de réplica, consulte [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)la *Guía del AWS CloudFormation usuario*.

## Paso 1: Elegir Regiones de réplica
<a name="replica-region"></a>

Por lo general, se opta por replicar una clave multirregional en una en Región de AWS función de su modelo de negocio y de los requisitos normativos. Por ejemplo, puede replicar una clave en Regiones donde guarda sus recursos. O bien, para cumplir con un requisito de recuperación de desastres, puede replicar una clave en regiones geográficamente distantes. 

Los siguientes son los AWS KMS requisitos para las réplicas de regiones. Si la región que eliges no cumple con estos requisitos, se producirá un error en los intentos de replicar una clave.
+ **Una clave de varias regiones relacionada por región**: no se puede crear una clave de réplica en la misma Región que su clave principal, o en la misma Región que otra réplica de la clave principal.

  En caso de que intente replicar una clave primaria en una región que ya tiene una réplica de esa clave primaria, el intento producirá un error. En caso de que la clave de réplica actual de la región se encuentre en el [estado de clave `PendingDeletion`](key-state.md), puede [cancelar la eliminación de la clave de réplica](deleting-keys-scheduling-key-deletion.md) o esperar hasta que se elimine.
+ **Múltiples claves de varias regiones no relacionadas en la misma región**: puede tener varias claves de varias regiones no relacionadas en la misma región. Por ejemplo, puede tener dos claves principales de varias regiones en la región `us-east-1`. Cada una de las claves principales puede tener una clave de réplica en la región `us-west-2`.
+ **Regiones en la misma partición**: la región de la clave de réplica debe estar en la misma [partición de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) que la región de claves principal.
+ **La región debe estar habilitada**: si una región está [deshabilitada de forma predeterminada](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), no puede crear ningún recurso en esa región hasta que esté habilitado para su Cuenta de AWS. 

## Paso 2: Crear claves de réplica
<a name="create-replica-keys"></a>

**nota**  
Al crear claves de réplica, considere detenidamente los usuarios y roles de IAM que seleccione para administrar y usar la clave de réplica. Las políticas de IAM pueden otorgar permisos a otros usuarios y roles de IAM para que administren la clave KMS.  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.

### Uso de la AWS KMS consola
<a name="replicate-console"></a>

En la AWS KMS consola, puede crear una o varias réplicas de una clave principal multirregional en la misma operación. 

Este procedimiento es similar a la creación de una clave KMS de una sola región estándar en la consola. Sin embargo, dado que una clave de réplica se basa en la clave principal, no se seleccionan valores para [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties), como la especificación de la clave (simétrica o asimétrica), el uso de la clave u origen de la clave. 

Se especifican propiedades que no se comparten, como un alias, etiquetas, una descripción y una política de clave. Como conveniencia, la consola muestra los valores de propiedad actuales de la clave principal, pero puede cambiarlos. Aunque mantenga los valores de la clave principal, AWS KMS no los mantiene sincronizados.

**importante**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Seleccione el alias o el ID de clave de una [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key). Se abrirá la página de detalles de clave de la clave KMS.

   Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna **Regionality (Regionalidad)** de la tabla.

1. Elija la pestaña **Regionality (Regionalidad)**.

1. En la sección **Related multi-Region keys (Claves de varias regiones relacionadas)**, elija **Create new replica keys (Crear nuevas claves de réplica)**.

   La sección **Related multi-Region keys (Claves de varias regiones relacionadas)** muestra la región de la clave principal y sus claves de réplica. Puede utilizar esta pantalla para ayudarle a elegir la región para su nueva clave de réplica.

1. Seleccione una o más Regiones de AWS. Este procedimiento crea una clave de réplica en cada una de las regiones seleccionadas. 

   El menú incluye solo las regiones de la misma AWS partición que la clave principal. Las regiones que ya tienen una clave de varias regiones relacionadas se muestran, pero no se pueden seleccionar. Es posible que no tenga permiso para replicar una clave en todas las regiones del menú.

   Cuando haya terminado de elegir Regiones, cierre el menú. Aparecerán las regiones elegidas. Para cancelar la replicación en una región, seleccione la **X**que está junto al nombre de la región.

1. Escriba un [alias](kms-alias.md) para la clave de réplica. 

   La consola muestra uno de los alias actuales de la clave principal, pero puede cambiarlo. Puede asignar a su clave principal de varias regiones y sus réplicas el mismo alias o a alias diferentes. Los alias no son una [propiedad compartida de las claves](multi-region-keys-overview.md#mrk-sync-properties) multirregionales. AWS KMS no sincroniza los alias de las claves multirregionales.

   Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de alias para controlar el acceso a las claves KMS](alias-authorization.md).

1. (Opcional) Escriba una descripción de la clave de réplica.

   La consola muestra la descripción actual de la clave principal, pero puede cambiarla. Las descripciones no son una propiedad compartida de las claves de varias regiones. Puede dar a la clave principal multirregional y a sus réplicas la misma descripción o descripciones diferentes. AWS KMS no sincroniza las descripciones clave de las claves multirregionales.

1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para asignar más de una etiqueta a la clave de réplica, elija **Add tag (Agregar etiqueta)**.

   La consola muestra las etiquetas actualmente conectadas a la clave principal, pero puede cambiarlas. Las etiquetas no son una propiedad compartida de las claves de varias regiones. Puede asignar a la clave principal multirregional y a sus réplicas las mismas etiquetas o etiquetas diferentes. AWS KMS no sincroniza las etiquetas de las claves multirregionales. 

   Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md).

1. Seleccione los usuarios y roles de IAM que pueden administrar la clave de réplica.
**Notas**  
 Si modificó la política de claves predeterminada al crear la clave principal de varias regiones, la consola no le presentará una petición para que seleccione administradores o usuarios de claves (pasos 11 a 15) durante la creación de la clave de réplica. En este caso, se deberá agregar manualmente los permisos necesarios para los administradores y usuarios de claves a la política de claves. Para ello, seleccione **Editar** en el paso **Editar la política de claves** (paso 17).
Este paso comienza el proceso de creación de una [política de claves](key-policies.md) para la clave de réplica. La consola muestra la política de clave actual de la clave principal, pero puede cambiarla. Las políticas de clave no son una propiedad compartida de las claves de varias regiones. Puede asignar a su clave principal de varias regiones y sus réplicas la misma política de claves o políticas de claves diferentes. AWS KMS no sincroniza las políticas de claves. Puede cambiar la política de claves de cualquier clave KMS en cualquier momento.
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración. `"Allow access for Key Administrators"` La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.

1. Elija **Siguiente**.

1. Seleccione los usuarios y roles de IAM que pueden usar la clave de KMS en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations).
**Nota**  
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la parte inferior de la página de la sección **Otras Cuentas de AWS**, elija **Agregar otra Cuenta de AWS** e ingrese el número de identificación de Cuenta de AWS de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Seleccione **Finalizar** para crear la clave de réplica de varias regiones.

### Uso de la API AWS KMS
<a name="replicate-api"></a>

Para crear una clave de réplica multirregional, utilice la [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operación. No puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una clave de réplica. Esta operación crea las claves de réplica de una en una. La región que especifique debe cumplir con los [Requisitos de región](#replica-region) para las claves de réplica.

Cuando utiliza la operación `ReplicateKey`, no especifique valores para ninguna [propiedad compartida](multi-region-keys-overview.md#mrk-sync-properties) de claves de varias regiones. Los valores de propiedad compartida se copian de la clave principal y se mantienen sincronizados. Sin embargo, puede especificar valores para las propiedades que no se comparten. De lo contrario, AWS KMS aplica los valores predeterminados estándar para las claves de KMS, no los valores de la clave principal.

**nota**  
Si no especifica valores para los `Tags` parámetros `Description``KeyPolicy`, o AWS KMS crea la clave de réplica con una descripción de cadena vacía, la [política de claves predeterminada](key-policy-default.md) y sin etiquetas.  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

Por ejemplo, el comando siguiente crea una clave de réplica de varias regiones en la región Asia Pacífico (Sídney) (ap-southeast-2). Esta clave de réplica está modelada en la clave principal de la región EE. UU. Este (Norte de Virginia) (us-east-1), que se identifica mediante el valor del parámetro `KeyId`. En este ejemplo se aceptan valores predeterminados para todas las demás propiedades, incluida la política de claves.

La respuesta describe la nueva clave de réplica. Incluye campos para propiedades compartidas, como el `KeyId`, `KeySpec`, `KeyUsage` y el origen del material clave (`Origin`). También incluye propiedades que son independientes de la clave principal, como la `Description`, la política de claves (`ReplicaKeyPolicy`), y las etiquetas (`ReplicaTags`). 

La respuesta también incluye el ARN clave y la región de la clave principal y todas sus claves de réplica, incluida la que se acaba de crear en la región ap-southeast-2. En este ejemplo, el elemento `ReplicaKey` muestra que esta clave principal ya se replicó en la región Europa (Irlanda) (eu-west-1).

```
$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
```

# Creación de una clave KMS con material de claves importado
<a name="importing-keys-conceptual"></a>

El material clave importado le permite proteger sus AWS recursos con las claves criptográficas que genere. En la siguiente información general se explica cómo importar el material de claves en AWS KMS. Para obtener más información sobre cada paso del proceso, consulte los temas correspondiente.

1. [Cree una clave de KMS sin material de claves](importing-keys-create-cmk.md): el origen debe ser `EXTERNAL`. Un origen de clave de `EXTERNAL` indica que la clave está diseñada para material clave importado e AWS KMS impide que se genere material clave para la clave KMS. En un paso posterior importará su propio material de claves en esta clave KMS.

   El material clave que importe debe ser compatible con la especificación clave de la AWS KMS clave asociada. Para obtener más información sobre la compatibilidad, consulte [Requisitos para el material de claves importado](#importing-keys-material-requirements).

1. [Descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md): después de completar el paso 1, descargue una clave pública de encapsulamiento y un token de importación. Estos elementos protegen el material clave mientras se importa a AWS KMS.

   En este paso, elige el tipo (“especificación de clave”) de la clave de encapsulamiento RSA y el algoritmo de encapsulamiento que utilizará para cifrar los datos en tránsito en AWS KMS. Puede elegir una especificación de clave de encapsulamiento y un algoritmo de clave de encapsulamiento diferentes cada vez que importe o vuelva a importar el mismo material de claves. 

1. [Cifrar el material de claves](importing-keys-encrypt-key-material.md): utilice la clave pública de encapsulamiento que ha descargado en el paso 2 para cifrar el material de claves que ha creado en su propio sistema.

1. [Importar el material de claves](importing-keys-import-key-material.md): cargue el material de claves cifrado que ha creado en el paso 3 y el token de importación que ha descargado en el paso 2.

   En esta etapa, puede [establecer una fecha de vencimiento opcional](importing-keys-import-key-material.md#importing-keys-expiration). Cuando el material clave importado caduca, lo AWS KMS elimina y la clave KMS queda inutilizable. Para seguir usando la clave de KMS, debe volver a importar el **mismo** material de claves.

   Cuando la operación de importación se completa de manera correcta, el estado de la clave KMS cambia de `PendingImport` a `Enabled`. Ahora puede usar la clave KMS en operaciones criptográficas.

AWS KMS registra una entrada en el AWS CloudTrail registro al [crear la clave KMS, descargar la clave](ct-createkey.md) [pública empaquetadora y el token de importación](ct-getparametersforimport.md) [e importar el material clave](ct-importkeymaterial.md). AWS KMS también registra una entrada cuando se elimina el material clave importado o cuando se AWS KMS [elimina el material clave caducado](ct-deleteexpiredkeymaterial.md). 

## Permisos para importar material de clave
<a name="importing-keys-permissions"></a>

Para crear y administrar claves KMS con material de claves importado, el usuario necesita permiso para las operaciones de este proceso. Puede proporcionar los permisos `kms:GetParametersForImport`, `kms:ImportKeyMaterial`, y `kms:DeleteImportedKeyMaterial` en la política de claves al crear la clave KMS. En la AWS KMS consola, estos permisos se añaden automáticamente a los administradores de claves al crear una clave con un origen de material clave **externo**.

Para crear claves KMS con material de claves importado, la entidad principal necesita los siguientes permisos.
+ [kms: CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (política de IAM)
  + Para limitar este permiso a las claves de KMS con material clave importado, utilice la condición [kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin) policy con un valor de`EXTERNAL`.

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (política clave o política de IAM)
  + Para limitar este permiso a las solicitudes que utilizan un algoritmo de empaquetado y una especificación clave de empaquetado determinados, usa las condiciones de la WrappingKeySpec política [kms: WrappingAlgorithm](conditions-kms.md#conditions-kms-wrapping-algorithm) y [kms:](conditions-kms.md#conditions-kms-wrapping-key-spec). 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (política clave o política de IAM)
  + Para permitir o prohibir que el material clave caduque y controlar la fecha de caducidad, utilice las condiciones de la ValidTo política [kms: ExpirationModel](conditions-kms.md#conditions-kms-expiration-model) [y kms:](conditions-kms.md#conditions-kms-valid-to).

Para volver a importar el material clave importado, el director necesita los ImportKeyMaterial permisos [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) y [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html).

Para eliminar el material clave importado, el director necesita el DeleteImportedKeyMaterial permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html).

Por ejemplo, para dar permiso `KMSAdminRole` al ejemplo y que pueda administrar todos los aspectos de una clave KMS con material de claves importado, incluya una declaración de política clave como la siguiente en la política clave de la clave KMS.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Requisitos para el material de claves importado
<a name="importing-keys-material-requirements"></a>

El material de claves que importa debe ser compatible con la [especificación de clave](create-keys.md#key-spec) de la clave de KMS asociada. Para los pares de claves asimétricas, importe solo la clave privada del par. AWS KMS deriva la clave pública de la clave privada.

AWS KMS admite las siguientes especificaciones clave para las claves de KMS con material de claves importado.
+ **Claves de cifrado simétricas**
  + **Especificación de la clave:**
    + SYMMETRIC\$1DEFAULT.
  + **Requisitos:**
    + 256 bits (32 bytes) de datos binarios
    + En las regiones de China, debe ser un dato binario de 128 bits (16 bytes).
+ **Claves HMAC**
  + **Especificaciones de la clave:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Requisitos:**
    + El material de claves HMAC debe cumplir con la [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104).
    + La longitud de la clave debe coincidir, como mínimo, con la longitud especificada en la especificación de la clave. La longitud máxima de la clave es de 1024 bits.
    + Si el material clave supera los 1024 bits, puede utilizar el hash del material clave e importar la salida del hash. El algoritmo de hash debe coincidir con la especificación de la clave de la clave de KMS de HMAC que está creando.
  + **Ejemplo:**
    + Para importar 2048 bits de material de claves a una clave HMAC\$1256, primero se calcula el hash SHA-256 del material de claves de 2048 bits y, a continuación, se importa el resultado del hash de 256 bits a la clave de KMS.
  + **Longitudes de clave válidas:**
    + HMAC\$1224: 224 a 1024 bits
    + HMAC\$1256: 256 a 1024 bits
    + HMAC\$1384: 384 a 1024 bits
    + HMAC\$1512: 512 a 1024 bits
+ **Clave privada asimétrica RSA**
  + **Especificaciones de la clave:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Requisitos:**
    + La clave privada asimétrica RSA que importe debe formar parte de un par de claves que cumpla con la [RFC 3447](https://datatracker.ietf.org/doc/html/rfc3447/).
    + **Módulo**: 2048 bits, 3072 bits o 4096 bits
    + **Número de números primos**: 2 (no se admiten claves RSA de varios números primos)
    + El material de claves asimétricas debe estar codificado en BER o DER en el formato \$18 de los estándares de criptografía de clave pública (PKCS) que cumple con la [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).
+ **Clave privada asimétrica de curva elíptica**
  + **Especificaciones de la clave:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Requisitos:**
    + La clave privada asimétrica ECC que importe debe formar parte de un par de claves que cumpla con la [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/).
    + **Curva:** NIST P-256, NIST P-384, NIST P-521, SecP256k1, NIST Ed25519.
    + **Parámetros**: solo curvas con nombre (se rechazan las claves de ECC con parámetros explícitos)
    + **Coordenadas de puntos públicos**: pueden estar comprimidas, descomprimidas o ser proyectivas
    + El material de claves asimétricas debe estar codificado en BER o DER en el formato \$18 de los estándares de criptografía de clave pública (PKCS) que cumple con la [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).
+ **Clave de ML-DSA**
  + **Especificaciones de la clave:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**importante**  
No se admite la importación de claves de ML-DSA.
+ **SM2 clave privada asimétrica** (solo regiones de China)
  + **Requisitos:**
    + La clave privada SM2 asimétrica que importe debe formar parte de un key pair que cumpla con 0003. GM/T 
    + **Curva:.** SM2
    + **Parámetros:** solo curva con nombre (se rechazan SM2 las claves con parámetros explícitos).
    + **Coordenadas de puntos públicos**: pueden estar comprimidas, descomprimidas o ser proyectivas
    + El material de claves asimétricas debe estar codificado en BER o DER en el formato \$18 de los estándares de criptografía de clave pública (PKCS) que cumple con la [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).

# Paso 1: Crea un material AWS KMS key sin clave
<a name="importing-keys-create-cmk"></a>

De forma predeterminada, AWS KMS crea material clave automáticamente al crear una clave de KMS. Para importar su propio material de claves, comience con la creación de una clave de KMS sin material de claves. Después, importe el material de claves. Para crear una clave KMS sin material clave, utilice la AWS KMS consola o la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.

Para crear una clave sin material de claves, especifique un [origen](create-keys.md#key-origin) de `EXTERNAL`. La propiedad de origen de una clave de KMS es inmutable. Una vez creada, no podrá convertir una clave de KMS diseñada para material de claves importado en una clave de KMS con material de clave de origen AWS KMS o de cualquier otra fuente.

El [estado de claves](key-state.md) de una clave de KMS con un origen `EXTERNAL` y ningún material de claves es `PendingImport`. Una clave de KMS puede permanecer en estado `PendingImport` indefinidamente. Sin embargo, no puede utilizar una clave de KMS en estado `PendingImport` en operaciones criptográficas. Cuando importa material de claves, el estado de la clave de KMS cambia a `Enabled` y puede usar la clave de KMS en operaciones criptográficas.

AWS KMS registra un evento en el AWS CloudTrail registro al [crear la clave KMS, descargar la clave](ct-createkey.md) [pública y el token de importación](ct-getparametersforimport.md) [e importar el material de la clave](ct-importkeymaterial.md). AWS KMS también registra un CloudTrail evento cuando se [elimina el material clave importado](ct-deleteimportedkeymaterial.md) o cuando se AWS KMS [elimina el material clave caducado](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Crear una clave KMS sin material de claves (consola)](#importing-keys-create-cmk-console)
+ [Crear una clave de KMS sin material clave (AWS KMS API)](#importing-keys-create-cmk-api)

## Crear una clave KMS sin material de claves (consola)
<a name="importing-keys-create-cmk-console"></a>

Solo tiene que crear una clave de KMS para el material de claves importado una vez. Puede importar y volver a importar el mismo material de claves en la clave de KMS existente siempre que lo necesite, pero no puede importar material de claves diferente en una clave de KMS. Para obtener más información, consulte [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

Para encontrar las claves de KMS existentes con material de claves importado en la tabla de **claves gestionadas por el cliente**, utilice el icono con forma de engranaje situado en la esquina superior derecha para mostrar la columna **Origen** de la lista de claves de KMS. Las claves importadas tienen el valor **Origen** de **Externo (Importar material de claves)**.

Para crear una clave KMS con material de claves importado, siga las [instrucciones para crear una clave KMS del tipo de clave que prefiera](create-keys.md), con la siguiente excepción.

Después de elegir el uso de la clave, haga lo siguiente:

1. Expanda **Advanced options (Opciones avanzadas)**.

1. En **Origen del material de claves**, elija **Externo (Material de claves importado)**.

1. Elija la casilla de verificación situada junto a **Entiendo las implicaciones de seguridad y durabilidad del uso de una clave importada** para indicarnos que entiende las implicaciones de utilizar material de claves importado. Para leer más información acerca de estas implicaciones, consulte [Protección del material de claves importado](import-keys-protect.md).

1. Opcional: para crear una [clave de KMS de varias regiones](multi-region-keys-overview.md) con material de claves importado, en **Regionalidad**, seleccione **Clave de varias regiones**.

1. Vuelva a las instrucciones básicas. Los pasos restantes del procedimiento básico son los mismos para todas las claves de KMS de ese tipo. 

Al elegir **Finalizar**, habrá creado una clave de KMS sin material de claves y con un estado ([estado de la clave](key-state.md)) de **Pendiente de importación**. 

Sin embargo, en lugar de volver a la tabla de **claves administradas por el cliente**, la consola muestra una página en la que puede descargar la clave pública y el token de importación que necesita para importar el material de claves. Puede continuar con el paso de descarga ahora o seleccionar **Cancelar** para detenerse en este momento. Puede volver a este paso de descarga en cualquier momento.

Siguiente: [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

## Crear una clave de KMS sin material clave (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Para usar la [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) para crear una clave KMS de cifrado simétrico sin material clave, envíe una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)solicitud con el `Origin` parámetro establecido en. `EXTERNAL` El siguiente ejemplo muestra cómo hacerlo con la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente. La AWS KMS clave `Origin` es `EXTERNAL` y `KeyState` es`PendingImport`.

**sugerencia**  
Si el comando no se ejecuta correctamente, es posible que aparezca `KMSInvalidStateException` o `NotFoundException`. Puede reintentar la solicitud.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copie el valor `KeyId` del resultado del comando para usarlo en pasos posteriores y, a continuación, vaya a [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

**nota**  
Este comando crea una clave de KMS de cifrado simétrico con una `KeySpec` de `SYMMETRIC_DEFAULT` y un `KeyUsage` de `ENCRYPT_DECRYPT`. Puede usar los parámetros opcionales `--key-spec` y `--key-usage` crear una clave de KMS asimétrica o HMAC. Para obtener más información, consulte la operación [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).

# Paso 2: descargar la clave pública de encapsulamiento y el token de importación
<a name="importing-keys-get-public-key-and-token"></a>

Tras [crear un material AWS KMS key sin clave](importing-keys-create-cmk.md), descarga una clave pública empaquetadora y un token de importación para esa clave de KMS mediante la AWS KMS consola o la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. La clave pública de encapsulamiento y el token de importación son un conjunto indivisible que deben usarse juntos.

Utilizará la clave pública de encapsulamiento para [cifrar el material de claves](importing-keys-encrypt-key-material.md) para su transferencia. [Antes de descargar un par de claves de empaquetado RSA, seleccione la longitud (especificación de clave) del par de claves de empaquetado RSA y el algoritmo de empaquetado que utilizará para cifrar el material clave importado para su transporte en el paso 3.](importing-keys-encrypt-key-material.md) AWS KMS también es compatible con la especificación clave de SM2 empaquetado (solo en las regiones de China).

Cada conjunto de claves públicas de encapsulamiento y token de importación es válido durante 24 horas. Si no los utiliza para importar material de claves en un plazo de 24 horas después de descargarlos, debe descargar un nuevo conjunto. Puede descargar nuevos conjuntos de claves públicas de encapsulamiento y tokens de importación en cualquier momento. Esto le permite cambiar la longitud de la clave de encapsulamiento RSA (“especificación de clave”) o sustituir un conjunto perdido.

También puede descargar un conjunto de claves públicas de encapsulamiento y un conjunto de tokens de importación para [volver a importar el mismo material de claves](importing-keys-import-key-material.md#reimport-key-material) en una clave de KMS. Puede hacerlo para establecer o cambiar el tiempo de vencimiento del material de claves o para restaurar el material de claves vencidas o eliminadas. Debe descargar y volver a cifrar el material clave cada vez que lo importe a. AWS KMS

**Uso de la clave pública de encapsulamiento**  
La descarga incluye una clave pública exclusiva para usted Cuenta de AWS, también denominada clave *pública empaquetadora*.  
Antes de importar el material clave, cifra el material clave con la clave de empaquetado pública y, a AWS KMS continuación, carga el material clave cifrado en. Cuando AWS KMS recibe el material clave cifrado, lo descifra con la clave privada correspondiente y, a continuación, lo vuelve a cifrar con una clave simétrica AES, todo ello dentro de un módulo de seguridad de AWS KMS hardware (HSM).

**Uso del token de importación**  
La descarga incluye un token de importación que contiene metadatos para garantizar que el material de claves se importa correctamente. Al cargar el material de claves cifradas en AWS KMS, debe cargar el mismo token de importación que descargó en este paso.

## Selección de una especificación de clave pública de encapsulamiento
<a name="select-wrapping-key-spec"></a>

Para proteger el material clave durante la importación, debes cifrarlo mediante la clave pública de empaquetado desde AWS KMS la que lo descargaste y un [algoritmo de empaquetado](#select-wrapping-algorithm) compatible. Debe seleccionar una especificación de claves antes de descargar la clave pública de encapsulamiento y el token de importación. Todos los pares de claves de empaquetado se generan en módulos de seguridad de AWS KMS hardware (HSMs). La clave privada nunca sale del HSM en texto sin formato.

**Especificaciones de claves de encapsulamiento RSA**  
La *especificación de clave* de la clave pública de encapsulamiento determina la longitud de las claves del par de claves RSA que protege el material de la clave durante su transferencia a AWS KMS. En general, se recomienda utilizar la clave pública de encapsulamiento más larga que resulte práctica. Ofrecemos varias especificaciones de empaquetado de claves públicas para dar soporte a una variedad HSMs de administradores clave.  
AWS KMS admite las siguientes especificaciones clave para las claves de empaquetado RSA que se utilizan para importar material clave de todo tipo, excepto cuando se indica lo contrario.   
+ RSA\$14096 (recomendado)
+ RSA\$13072
+ RSA\$12048
**nota**  
NO se admite la siguiente combinación: material de claves ECC\$1NIST\$1P521, la especificación de clave pública de encapsulamiento RSA\$12048 y un algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1.  
No se puede encapsular directamente el material de claves ECC\$1NIST\$1P521 con una clave pública de encapsulamiento RSA\$12048. Utilice una clave de encapsulamiento más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 especificaciones clave de empaquetado (solo en las regiones de China)**  
AWS KMS admite las siguientes especificaciones clave para las claves de SM2 embalaje utilizadas para importar material de clave asimétrico.  
+ SM2

## Seleccionar un algoritmo de encapsulamiento
<a name="select-wrapping-algorithm"></a>

Para proteger su material de claves durante la importación, deberá cifrarlo con la clave pública de encapsulamiento descargada y un algoritmo de encapsulamiento admitido. 

AWS KMS admite varios algoritmos de empaquetado RSA estándar y un algoritmo de empaquetado híbrido de dos pasos. En general, se recomienda utilizar el algoritmo de encapsulamiento más seguro que sea compatible con el material de claves y la [especificación de clave de encapsulamiento](#select-wrapping-key-spec) importados. Normalmente, se elige un algoritmo admitido por el módulo de seguridad de hardware (HSM) o el sistema de administración de claves que protege el material de claves.

En la siguiente tabla se muestran los algoritmos de encapsulamiento compatibles con cada tipo de material de claves y clave de KMS. Los algoritmos se muestran en el orden de preferencia.


| Material de claves | Algoritmo y especificaciones de encapsulamiento compatibles | 
| --- | --- | 
| Clave de cifrado simétrica Clave AES de 256 bits    SM4 Clave de 128 bits (solo para regiones de China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave privada RSA asimétrica  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave privada de curva elíptica asimétrica (ECC)   No puede utilizar los algoritmos de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1 con la especificación de clave de encapsulamiento RSA\$12048 para encapsular el material de claves ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave SM2 privada asimétrica (solo regiones de China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**nota**  
Los algoritmos de encapsulamiento `RSA_AES_KEY_WRAP_SHA_256` y `RSA_AES_KEY_WRAP_SHA_1` no se admiten en las regiones de China.
+ `RSA_AES_KEY_WRAP_SHA_256`: un algoritmo de encapsulamiento híbrido de dos pasos que combina el cifrado del material de claves con una clave simétrica AES que el usuario genere con el cifrado posterior de la clave simétrica AES con la clave de encapsulamiento pública RSA descargada y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1256.

  Se necesita un algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_*` para encapsular el material de claves privadas RSA, excepto en las regiones de China, donde se debe usar el algoritmo de encapsulamiento `SM2PKE`.
+ `RSA_AES_KEY_WRAP_SHA_1`: un algoritmo de encapsulamiento híbrido de dos pasos que combina el cifrado del material de claves con una clave simétrica AES que el usuario genere con el cifrado posterior de la clave simétrica AES con la clave de encapsulamiento pública RSA descargada y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$11.

  Se necesita un algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_*` para encapsular el material de claves privadas RSA, excepto en las regiones de China, donde se debe usar el algoritmo de encapsulamiento `SM2PKE`.
+ `RSAES_OAEP_SHA_256`: algoritmo de cifrado RSA con relleno óptimo de cifrado asimétrico (OAEP) con la función hash SHA-256.
+ `RSAES_OAEP_SHA_1`: algoritmo de cifrado RSA con relleno óptimo de cifrado asimétrico (OAEP) con la función hash SHA-1.
+ `RSAES_PKCS1_V1_5`(En desuso; desde el 10 de octubre de 2023, AWS KMS no es compatible con el algoritmo de empaquetado RSAES\$1 PKCS1 \$1V1\$15): el algoritmo de cifrado RSA con el formato de relleno definido en la versión 1.5 del PKCS \$11.
+ `SM2PKE`(Solo regiones de China): algoritmo de cifrado basado en curvas elípticas definido por la OSCCA en GM/T 0003.4-2012.

**Topics**
+ [Selección de una especificación de clave pública de encapsulamiento](#select-wrapping-key-spec)
+ [Seleccionar un algoritmo de encapsulamiento](#select-wrapping-algorithm)
+ [Descarga de la clave pública de encapsulamiento y el token de importación (consola)](#importing-keys-get-public-key-and-token-console)
+ [Descargar la clave pública empaquetadora y el token de importación (AWS KMS API)](#importing-keys-get-public-key-and-token-api)

## Descarga de la clave pública de encapsulamiento y el token de importación (consola)
<a name="importing-keys-get-public-key-and-token-console"></a>

Puede usar la AWS KMS consola para descargar la clave pública de empaquetado y el token de importación.

1. Si acaba de completar los pasos para [crear una clave KMS sin material de claves](importing-keys-create-cmk.md#importing-keys-create-cmk-console) y se encuentra en la página **Download wrapping key and import token (Descargar la clave de encapsulamiento y el token de importación)**, pase a [Step 10](#id-wrap-step).

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.
**sugerencia**  
Solo puede importar el material de claves a una clave de KMS con un **Origen** de **Externo (importar material de claves)**. Esto indica que la clave KMS se ha creado sin material de claves. Para agregar la columna **Origin (Origen)** a la tabla, en la esquina superior derecha de la página, elija el icono de configuración (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-icon-settings-new.png)). Active **Origin (Origen)** y, a continuación, elija **Confirm (Confirmar)**.

1. Elija el alias o el ID de clave de la clave KMS que está pendiente de importación.

1. Elija la pestaña **Cryptographic configuration (Configuración criptográfica)** y vea sus valores. Las pestañas están debajo de la sección **General configuration (Configuración general)**.

   Solo se puede importar material de claves a claves de KMS con un **Origen** de **Externo (importar material de claves)**. Para obtener información acerca de cómo crear claves KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).

1. Elige la pestaña adecuada según tu tipo de clave. 
   + Para las claves asimétricas y HMAC, seleccione la pestaña **Material clave.**
   + Para las claves de cifrado simétricas, seleccione la pestaña **Material y rotaciones de la clave**.

1. Elija la acción de importación.
   + Para las claves asimétricas y HMAC, selecciona **Importar material clave**.
   + Para las claves de cifrado simétricas, elija una de las siguientes opciones:
     + **Importe el material clave inicial** (si aún no se ha importado ningún material clave)
     + **Importe material clave nuevo** (para añadir material nuevo para la rotación)
     + **Vuelva a importar el material clave** (disponible en el menú **Acciones** de la tabla de materiales clave)
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, importe el mismo material clave en cada réplica de clave de región.  
Para las claves principales multirregionales, la tabla de **materiales clave** incluye una columna de **estado de importación de réplicas** que muestra el estado de importación en todas las regiones de réplica (por ejemplo, «0 de 3 importadas»). Elija el valor del estado de importación de la réplica para abrir un modal que muestre el estado de importación de cada región de la réplica. El modal proporciona enlaces de **importación de materiales clave** para las regiones de réplica en las que no se ha importado el nuevo material clave.

1. En **Seleccionar especificación de la clave de encapsulamiento**, elija la configuración de su clave de KMS. Después de crear esta clave, no puede cambiar las especificaciones de clave. 

1. <a name="id-wrap-step"></a>En **Select wrapping algorithm**, elija la opción que usará para cifrar el material de claves. Para obtener más información acerca de estas opciones, consulte [Seleccionar un algoritmo de encapsulamiento](#select-wrapping-algorithm).

1. Elija **Descargar clave de encapsulamiento y token de importación** y, a continuación, guarde el archivo. 

   Si dispone de la opción **Next (Siguiente)** para continuar con el proceso ahora, elija **Next (Siguiente)**. Para continuar más adelante, elija **Cancel (Cancelar)**. 

1. Descomprima el archivo `.zip` que ha guardado en el paso anterior (`Import_Parameters_<key_id>_<timestamp>`).

   La carpeta contiene los siguientes archivos:
   + Una clave pública de encapsulamiento en un archivo llamado `WrappingPublicKey.bin`.
   + Un token de importación en un archivo llamado `ImportToken.bin`.
   + Un archivo de texto denominado README.txt. Este archivo contiene información sobre la clave pública de encapsulamiento, el algoritmo de encapsulamiento que se usará para cifrar el material de claves y la fecha y hora en que vencen la clave pública de encapsulamiento y el token de importación.

1. Para continuar el proceso, consulte [cifrar el material de claves](importing-keys-encrypt-key-material.md). 

## Descargar la clave pública empaquetadora y el token de importación (AWS KMS API)
<a name="importing-keys-get-public-key-and-token-api"></a>

Para descargar la clave pública y el token de importación, usa la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Especifique la clave de KMS que se asociará al material de claves importado. Esta clave de KMS debe tener un valor para [Origin](create-keys.md#key-origin) de `EXTERNAL`.

**nota**  
No puede importar material de claves para las claves de KMS de ML-DSA.

En este ejemplo se especifica el algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_256`, la especificación de clave pública de encapsulamiento RSA\$13072 y un ID de clave de ejemplo. Sustituya estos valores de ejemplo por valores válidos para la descarga. En el ID de la clave puede usar el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN), pero no puede usar un [nombre de alias](concepts.md#key-id-alias-name) ni un [ARN de alias](concepts.md#key-id-alias-ARN) en esta operación.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Para preparar los datos para el siguiente paso, base64 decodifica la clave pública e importa el token y guarda los valores decodificados en los archivos.

Para decodificar en base64 la clave pública y el token de importación:

1. Copie la clave pública codificada en base64 (representada *public key (base64 encoded)* en el resultado del ejemplo), péguela en un archivo nuevo y, a continuación, guárdelo. Póngale al archivo un nombre descriptivo, como por ejemplo `PublicKey.b64`.

1. Utilice [OpenSSL](https://openssl.org/) para decodificar en base64 el contenido del archivo y guarde los datos descodificados en un nuevo archivo. El siguiente ejemplo descodifica los datos del archivo que ha guardado en el paso anterior (`PublicKey.b64`) y guarda el resultado en un nuevo archivo denominado `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Copie el token de importación codificado *import token (base64 encoded)* en base64 (representado por el resultado del ejemplo), péguelo en un archivo nuevo y, a continuación, guárdelo. Asigne un nombre descriptivo al archivo, por ejemplo, `importtoken.b64`.

1. Utilice [OpenSSL](https://openssl.org/) para decodificar en base64 el contenido del archivo y guarde los datos descodificados en un nuevo archivo. El siguiente ejemplo descodifica los datos del archivo que ha guardado en el paso anterior (`ImportToken.b64`) y guarda el resultado en un nuevo archivo denominado `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Continúe en [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md).

# Paso 3: Cifrar el material de claves
<a name="importing-keys-encrypt-key-material"></a>

Después de [descargar la clave pública y el token de importación](importing-keys-get-public-key-and-token.md), cifre el material de claves con la clave pública que descargó y el algoritmo de encapsulamiento que especificó. Si necesita reemplazar la clave pública o el token de importación, o cambiar el algoritmo de encapsulamiento, debe descargar una nueva clave pública y un token de importación. Para obtener información sobre las claves públicas y los algoritmos de empaquetado AWS KMS compatibles, consulte [Selección de una especificación de clave pública de encapsulamiento](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) y[Seleccionar un algoritmo de encapsulamiento](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

El material de claves debe estar en formato binario. Para obtener información detallada, consulta [Requisitos para el material de claves importado](importing-keys-conceptual.md#importing-keys-material-requirements).

**nota**  
Para los pares de claves asimétricas, cifra e importa solo la clave privada. AWS KMS deriva la clave pública de la clave privada.  
NO se admite la siguiente combinación: material de claves ECC\$1NIST\$1P521, la especificación de clave pública de encapsulamiento RSA\$12048 y un algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1.  
No se puede encapsular directamente el material de claves ECC\$1NIST\$1P521 con una clave pública de encapsulamiento RSA\$12048. Utilice una clave de encapsulamiento más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.  
Los algoritmos de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 y RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 no se admiten en las regiones de China.

Normalmente, el material de claves se cifra al exportarlo desde el módulo de seguridad de hardware (HSM) o el sistema de administración de claves. Para obtener información sobre cómo exportar el material de claves en formato binario, consulte la documentación de su HSM o sistema de administración de claves. También puede consultar la siguiente sección que proporciona una demostración de prueba de concepto con OpenSSL.

Al cifrar el material de claves, utilice el mismo algoritmo de encapsulamiento que especificó al [descargar la clave pública y el token de importación](importing-keys-get-public-key-and-token.md). Para encontrar el algoritmo de empaquetado que especificó, consulte el evento de CloudTrail registro de la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)solicitud asociada.

## Generación de material de claves para realizar pruebas
<a name="importing-keys-example-key-material"></a>

Los siguientes comandos de OpenSSL generan material de claves de cada tipo compatible para realizar pruebas. Estos ejemplos se proporcionan únicamente para pruebas y proof-of-concept demostraciones. En el caso de los sistemas de producción, utilice un método más seguro para generar el material de claves, como un módulo de seguridad de hardware o un sistema de administración de claves.

Para convertir las claves privadas de los pares de claves asimétricas a un formato cifrado en DER, transfiera el comando de generación de material de claves al siguiente comando `openssl pkcs8`. El parámetro `topk8` indica a OpenSSL que tome una clave privada como entrada y devuelva una clave con formato PKCS \$18. (El comportamiento predeterminado es el contrario). 

```
openssl pkcs8 -topk8 -outform der -nocrypt
```

Los siguientes comandos generan material de claves de prueba para cada uno de los tipos de clave compatibles.
+ Clave de cifrado simétrica (32 bytes)

  Este comando genera una clave simétrica de 256 bits (cadena aleatoria de 32 bytes) y la guarda en el archivo `PlaintextKeyMaterial.bin`. No es necesario cifrar este material de claves. 

  ```
  openssl rand -out PlaintextKeyMaterial.bin 32
  ```

  Solo en las regiones de China, debe generar una clave simétrica de 128 bits (cadena aleatoria de 16 bytes).

  ```
  openssl rand -out PlaintextKeyMaterial.bin 16
  ```
+ Claves HMAC

  Este comando genera una cadena de bytes aleatorios del tamaño especificado. No es necesario cifrar este material de claves. 

  La longitud de la clave HMAC debe coincidir con la longitud definida en la especificación de clave de la clave de KMS. Por ejemplo, si la clave de KMS es HMAC\$1384, debe importar una clave de 384 bits (48 bytes).

  ```
  openssl rand -out HMAC_224_PlaintextKey.bin 28
  
  openssl rand -out HMAC_256_PlaintextKey.bin 32
  
  openssl rand -out HMAC_384_PlaintextKey.bin 48
  
  openssl rand -out HMAC_512_PlaintextKey.bin 64
  ```
+ Claves privadas RSA

  ```
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
  ```
+ Claves privadas ECC

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
  ```
+ SM2 claves privadas (solo regiones de China)

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
  ```

## Ejemplos de cifrado de material de claves con OpenSSL
<a name="importing-keys-encrypt-key-material-openssl"></a>

Los siguientes ejemplos muestran cómo utilizar [OpenSSL](https://openssl.org/) para cifrar el material de claves con la clave pública que ha descargado. Para cifrar el material clave con una clave SM2 pública (solo para las regiones de China), utilice la [`SM2OfflineOperationHelper`clase](offline-operations.md#key-spec-sm-offline-helper). Para obtener más información sobre los tipos de materiales de claves que admite cada algoritmo de encapsulamiento, consulte [Seleccionar un algoritmo de encapsulamiento](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

**importante**  
Estos ejemplos son solo una demostración de la prueba de concepto. En el caso de los sistemas de producción, utilice un método más seguro (como un HSM o un sistema de administración de claves comercial) para generar y almacenar el material de claves.  
NO se admite la siguiente combinación: material de claves ECC\$1NIST\$1P521, la especificación de clave pública de encapsulamiento RSA\$12048 y un algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1.  
No se puede encapsular directamente el material de claves ECC\$1NIST\$1P521 con una clave pública de encapsulamiento RSA\$12048. Utilice una clave de encapsulamiento más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

------
#### [ RSAES\$1OAEP\$1SHA\$11 ]

AWS KMS admite la RSAES\$1OAEP\$1SHA\$11 para claves de cifrado simétricas (SYMMETRIC\$1DEFAULT), claves privadas de curva elíptica (ECC), claves privadas y claves HMAC. SM2 

RSAES\$1OAEP\$1SHA\$11 no es compatible con las claves privadas RSA. Además, no puede usar una clave de encapsulamiento pública RSA\$12048 con ningún algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1 para encapsular una clave privada ECC\$1NIST\$1P521 (secp521r1). Debe usar una clave de pública de encapsulamiento más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP.

El siguiente ejemplo cifra el material de claves con la [clave pública que ha descargado](importing-keys-get-public-key-and-token.md) y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$11, y lo guarda en el archivo `EncryptedKeyMaterial.bin`. 

En este ejemplo:
+ *`WrappingPublicKey.bin`* es el archivo que contiene la clave pública de encapsulamiento descargada. 
+ *`PlaintextKeyMaterial.bin`* es el archivo que contiene el material de claves que está cifrando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` o `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha1
```

------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]

AWS KMS admite el RSAES\$1OAEP\$1SHA\$1256 para claves de cifrado simétricas (SYMMETRIC\$1DEFAULT), claves privadas de curva elíptica (ECC), claves privadas y claves HMAC. SM2 

RSAES\$1OAEP\$1SHA\$1256 no es compatible con las claves privadas RSA. Además, no puede usar una clave de encapsulamiento pública RSA\$12048 con ningún algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1 para encapsular una clave privada ECC\$1NIST\$1P521 (secp521r1). Debe usar una clave pública más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP.

El siguiente ejemplo cifra el material de claves con la [clave pública que ha descargado](importing-keys-get-public-key-and-token.md) y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1256, y lo guarda en el archivo `EncryptedKeyMaterial.bin`. 

En este ejemplo:
+ *`WrappingPublicKey.bin`* es el archivo que contiene la clave de encapsulamiento pública descargada. Si ha descargado la clave pública desde la consola, este archivo se denomina `wrappingKey_KMS key_key_ID_timestamp` (por ejemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`). 
+ *`PlaintextKeyMaterial.bin`* es el archivo que contiene el material de claves que está cifrando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` o `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha256 \
    -pkeyopt rsa_mgf1_md:sha256
```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]

El algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 implica dos operaciones de cifrado.

1. Cifre el material de claves con una clave simétrica AES que genere y un algoritmo de cifrado simétrico AES.

1. Cifre la clave simétrica AES que utilizó con la clave pública que descargó y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$11.

El algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 requiere la versión 3.*x* de OpenSSL o posterior.

1. 

**Generación de una clave de cifrado simétrica AES de 256 bits**

   Este comando genera una clave de cifrado simétrica AES que consta de 256 bits aleatorios y la guarda en el archivo `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Cifrado del material de claves con la clave de cifrado simétrica AES**

   Este comando cifra el material de claves con la clave de cifrado simétrica AES y guarda el material de claves cifrado en el archivo `key-material-wrapped.bin`.

   En este comando de ejemplo:
   + *`PlaintextKeyMaterial.bin`* es el archivo que contiene el material de claves que está importando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` o `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* es el archivo que contiene la clave de cifrado simétrica AES de 256 bits que generó en el comando anterior.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Cifrado de la clave de cifrado simétrica AES con la clave pública**

   Este comando cifra la clave de cifrado simétrica AES con la clave pública que ha descargado y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$11, la cifra en DER y la guarda en el archivo `aes-key-wrapped.bin`. 

   En este comando de ejemplo:
   + *`WrappingPublicKey.bin`* es el archivo que contiene la clave de encapsulamiento pública descargada. Si ha descargado la clave pública desde la consola, este archivo se denomina `wrappingKey_KMS key_key_ID_timestamp` (por ejemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`).
   + *`aes-key.bin`* es el archivo que contiene la clave de cifrado simétrica AES de 256 bits que generó en el primer comando de esta secuencia de ejemplo.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha1 \
       -pkeyopt rsa_mgf1_md:sha1
   ```

1. 

**Generación del archivo que se va a importar**

   Concatene el archivo con el material de la clave cifrada y el archivo con la clave AES cifrada. Guárdelos en el archivo `EncryptedKeyMaterial.bin`, que es el archivo que va a importar en [Paso 4: Importar el material de claves](importing-keys-import-key-material.md).

   En este comando de ejemplo:
   + *`key-material-wrapped.bin`* es el archivo que contiene el material de claves cifrado.
   + *`aes-key-wrapped.bin`* es el archivo que contiene la clave de cifrado AES cifrada.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]

El algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 implica dos operaciones de cifrado.

1. Cifre el material de claves con una clave simétrica AES que genere y un algoritmo de cifrado simétrico AES.

1. Cifre la clave simétrica AES que utilizó con la clave pública que descargó y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1256.

El algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 requiere la versión 3.*x* de OpenSSL o posterior.

1. 

**Generación de una clave de cifrado simétrica AES de 256 bits**

   Este comando genera una clave de cifrado simétrica AES que consta de 256 bits aleatorios y la guarda en el archivo `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Cifrado del material de claves con la clave de cifrado simétrica AES**

   Este comando cifra el material de claves con la clave de cifrado simétrica AES y guarda el material de claves cifrado en el archivo `key-material-wrapped.bin`.

   En este comando de ejemplo:
   + *`PlaintextKeyMaterial.bin`* es el archivo que contiene el material de claves que está importando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` o `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* es el archivo que contiene la clave de cifrado simétrica AES de 256 bits que generó en el comando anterior.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Cifrado de la clave de cifrado simétrica AES con la clave pública**

   Este comando cifra la clave de cifrado simétrica AES con la clave pública que ha descargado y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1256, la cifra en DER y la guarda en el archivo `aes-key-wrapped.bin`. 

   En este comando de ejemplo:
   + *`WrappingPublicKey.bin`* es el archivo que contiene la clave de encapsulamiento pública descargada. Si ha descargado la clave pública desde la consola, este archivo se denomina `wrappingKey_KMS key_key_ID_timestamp` (por ejemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`).
   + *`aes-key.bin`* es el archivo que contiene la clave de cifrado simétrica AES de 256 bits que generó en el primer comando de esta secuencia de ejemplo.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha256 \
       -pkeyopt rsa_mgf1_md:sha256
   ```

1. 

**Generación del archivo que se va a importar**

   Concatene el archivo con el material de la clave cifrada y el archivo con la clave AES cifrada. Guárdelos en el archivo `EncryptedKeyMaterial.bin`, que es el archivo que va a importar en [Paso 4: Importar el material de claves](importing-keys-import-key-material.md).

   En este comando de ejemplo:
   + *`key-material-wrapped.bin`* es el archivo que contiene el material de claves cifrado.
   + *`aes-key-wrapped.bin`* es el archivo que contiene la clave de cifrado AES cifrada.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------

Continúe en [Paso 4: Importar el material de claves](importing-keys-import-key-material.md).

# Paso 4: Importar el material de claves
<a name="importing-keys-import-key-material"></a>

Después de [cifrar el material de claves](importing-keys-encrypt-key-material.md), puede importar el material de claves para usarlo con una AWS KMS key. Para importar el material de claves, debe cargar el material de claves cifrado desde [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md) y el token de importación que ha descargado en [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md). Debe importar material de claves en la misma clave KMS que ha especificado al [descargar la clave pública y el token de importación](importing-keys-get-public-key-and-token.md). Cuando se importa el material de claves, el [estado de la clave](key-state.md) de KMS cambia a `Enabled`. Puede usar la clave de KMS en operaciones criptográficas.

Al importar el material de claves de importación, puede [establecer una fecha de vencimiento opcional](#importing-keys-expiration) para el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Después de importar el material de claves, no puede establecer, cambiar ni cancelar la fecha de caducidad de la importación actual. Para cambiar estos valores, debe [volver a importar](#reimport-key-material) el mismo material de claves.

En el caso de todas las claves de KMS con origen `EXTERNAL`, el primer material de claves importado pasa a ser el actual y se le asocia permanentemente. Las claves de cifrado simétricas con `EXTERNAL` origen admiten la rotación bajo demanda. Puede asociar varios materiales clave con claves importadas que admiten la rotación bajo demanda. El proceso de importación de material clave nuevo es diferente para las claves de una sola región y para las de varias regiones, tal como se describe en la sección [Importación de material clave nuevo](#import-new-key-material). Debe establecer el `importType` parámetro en `NEW_KEY_MATERIAL` junto con la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)acción para asociar el nuevo material clave a una clave KMS. El valor predeterminado del parámetro `ImportType` opcional es `EXISTING_KEY_MATERIAL`. Al omitir el parámetro `ImportType` o especificarlo como `EXISTING_KEY_MATERIAL`, se debe importar un material de claves que esté previamente asociado a la clave de KMS

En el caso de las claves asimétricas o HMAC KMS con `EXTERNAL` origen, solo se puede asociar un material clave a la clave. AWS KMS rechazará las solicitudes [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)de API con el `ImportType` parámetro.

Cuando se importan todos los materiales de claves asociados permanentemente a una clave de KMS, la clave de KMS está disponible para su uso en operaciones criptográficas. Si alguno de estos materiales de claves se elimina o se deja que caduque, el estado de la clave de KMS cambia a `PendingImport` y la clave no se puede utilizar para operaciones criptográficas.

Para importar material clave, puedes usar la [AWS KMS consola](#importing-keys-import-key-material-console) o la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Puedes usar la API directamente realizando solicitudes HTTP o usando un [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)o [Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Al importar el material clave, se agrega una [ImportKeyMaterialentrada](ct-importkeymaterial.md) al AWS CloudTrail registro para registrar la `ImportKeyMaterial` operación. La CloudTrail entrada es la misma tanto si utilizas la AWS KMS consola como la AWS KMS API.

## Configuración de una fecha de vencimiento (opcional)
<a name="importing-keys-expiration"></a>

Al importar el material de claves para su clave de KMS, puede establecer una fecha y hora de vencimiento opcionales para el material de claves de hasta 365 días a partir de la fecha de importación. Cuando el material clave importado caduca, lo AWS KMS elimina. Esta acción cambia el [estado de clave](key-state.md#key-state-table) de la clave de KMS a `PendingImport`, lo que evita que se la utilice en operaciones criptográficas. Para usar la clave de KMS, debe [volver a importar una copia del material de claves original](#reimport-key-material). 

Garantizar que el material de claves importado venza con frecuencia puede ayudarlo a cumplir con los requisitos normativos, pero supone un riesgo adicional para los datos cifrados con la clave de KMS. Hasta que no se vuelva a importar una copia del material de claves original, no se podrá utilizar una clave de KMS con material de claves vencido y no se podrá acceder a los datos cifrados con la clave de KMS. Si no vuelve a importar el material de claves por cualquier motivo, incluida la pérdida de la copia del material de claves original, la clave de KMS quedará inutilizable de forma permanente y los datos cifrados con la clave de KMS no se podrán recuperar. 

Para mitigar este riesgo, asegúrese de poder acceder a su copia del material clave importado y diseñe un sistema para eliminar y volver a importar el material clave antes de que caduque e interrumpa su carga de trabajo. AWS Le recomendamos que [active una alarma](imported-key-material-expiration-alarm.md) que le indique el vencimiento del material de claves importado para que tenga tiempo suficiente para volver a importarlo antes de que venza. También puede utilizar sus CloudTrail registros para auditar las operaciones de [importación (y reimportación) de material clave y eliminar material clave](ct-importkeymaterial.md) [importado, así como la AWS KMS operación de eliminación del material clave](ct-deleteimportedkeymaterial.md) [caducado](ct-deleteexpiredkeymaterial.md).

AWS KMS no puede restaurar, recuperar ni reproducir el material clave eliminado. En lugar de establecer una fecha de vencimiento, puede [eliminar](importing-keys-delete-key-material.md) y [volver a importar](#reimport-key-material) periódicamente el material de claves importado mediante programación, pero los requisitos para retener una copia del material de claves original son los mismos.

Usted determina si el material de claves importado vence y cuándo lo hace cuando importa el material de claves. Puede activar y desactivar el vencimiento o establecer una nueva fecha de vencimiento al volver a importar el material de claves. Utilice el `ExpirationModel` parámetro [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)para activar () y desactivar (`KEY_MATERIAL_EXPIRES`) la caducidad y el `ValidTo` parámetro para establecer la hora de caducidad. `KEY_MATERIAL_DOES_NOT_EXPIRE` El tiempo máximo es de 365 días a partir de los datos de importación; no hay un mínimo, pero la fecha debe ser en el futuro.

## Establecimiento de la descripción de material de claves
<a name="set-key-material-description"></a>

Las claves de cifrado simétricas con `EXTERNAL` origen pueden tener varios materiales clave asociados. Puede especificar una descripción del material de claves opcional al importarlo a dichas claves. La descripción se puede utilizar para hacer un seguimiento de dónde se guarda de forma duradera el material de claves correspondiente fuera de AWS KMS. 

En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave únicamente en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

## Importación de nuevo material de claves
<a name="import-new-key-material"></a>

Para realizar la rotación bajo demanda de una clave de KMS de cifrado simétrico con material de claves importado, primero tendrá que importar un material de claves nuevo, que no esté asociado previamente a la clave.
+ **Claves de una sola región**
  + Utilice la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación con el `ImportType` parámetro establecido en `NEW_KEY_MATERIAL` para realizar esta tarea. Este material clave no está asociado permanentemente a la tecla hasta que no se realice la [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación o se gire la llave en el Consola de administración de AWS. Hasta entonces, este material de claves estará en el estado `PENDING_ROTATION`. Una clave de KMS puede tener como máximo un material clave en el estado `PENDING_ROTATION` en cualquier momento. Un material clave en `PENDING_ROTATION` estado se puede eliminar sin que ello afecte a la usabilidad de la clave en las operaciones criptográficas.
+ **Claves de varias regiones**
  + Para importar material clave a una clave multirregional, primero debe importar el nuevo material clave a la clave de región principal. No puede importar directamente nuevos materiales clave para replicar las claves de región. Tras importar el nuevo material clave a la clave de región principal, puede importar los mismos materiales clave a las réplicas de las claves de región.
  + Utilice la [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación con el `ImportType` parámetro establecido en **NEW\$1KEY\$1MATERIAL** para la clave de región principal para realizar esta tarea. Para la clave de región de réplica, utilice el **EXISTING\$1KEY\$1MATERIAL** parámetro `ImportType` for para la `ImportKeyMaterial` operación.
  + El material clave para el cifrado simétrico Las claves multirregionales deben importarse a todas las réplicas de claves de región y a las claves de región principales antes de que el estado del material clave cambie a estado. `PENDING_ROTATION` Hasta entonces, el estado del nuevo material clave es. `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Una clave KMS puede tener como máximo un material clave `PENDING_ROTATION` o un `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` estado en cualquier momento (consulte la `KeyMaterialState` descripción en [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Un material clave en `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` o `PENDING_ROTATION` estado no está asociado permanentemente a la clave y se puede eliminar sin que ello afecte a la usabilidad de la clave en las operaciones criptográficas. 

## Volver a importar material de claves
<a name="reimport-key-material"></a>

Si administra una clave KMS con material de clave importado, es posible que tenga que reimportar el material de clave. Puede volver a importar el material de claves para reemplazar el material de claves vencido o eliminado o para cambiar el modelo de vencimiento o la fecha de vencimiento del material de claves.

Puede volver a importar material de claves en cualquier momento y en cualquier horario que cumpla con sus requisitos de seguridad. No tiene que esperar hasta que el material de claves esté en su fecha de vencimiento o cerca de ella.

El procedimiento para volver a importar material de claves es el mismo procedimiento que se utilizó para importar el material de claves la primera vez, con las siguientes excepciones.
+ Utilice una clave KMS existente en lugar de crear una nueva clave KMS. Puede omitir el [paso 1](importing-keys-create-cmk.md) del procedimiento de importación.
+ Al volver a importar el material de clave, puede cambiar el modelo de vencimiento y la fecha de vencimiento. En el caso de las claves de cifrado simétricas, también puede cambiar la descripción del material de la clave.

  En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave solo en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

Cada vez que se importa material de claves en una clave KMS, es necesario [descargar y utilizar una nueva clave de encapsulamiento y un nuevo token de importación](importing-keys-get-public-key-and-token.md) para la clave KMS. El procedimiento de encapsulamiento no afecta al contenido del material de claves, por lo que puede utilizar distintas claves públicas de encapsulamiento y diferentes algoritmos de encapsulamiento para importar el mismo material de claves.

## Importar el material de claves (consola)
<a name="importing-keys-import-key-material-console"></a>

Puede utilizarlos Consola de administración de AWS para importar material clave.

1. Si se encuentra en la página **Cargar material de claves encapsulado**, vaya a [Step 10](#id-key-materials-step).

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija el ID de clave o el alias de la clave KMS para los que ha descargado la clave pública y el token de importación.

1. Elija la pestaña **Cryptographic configuration (Configuración criptográfica)** y vea sus valores. Las pestañas se encuentran en la página de detalles de una clave KMS debajo de la sección **General configuration (Configuración general)**.

   Solo se puede importar material de claves a claves de KMS con un **Origen** de **Externo (importar material de claves)**. Para obtener información sobre cómo crear claves KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).

1. Elige la pestaña adecuada según tu tipo de clave.
   + Para las claves asimétricas y HMAC, seleccione la pestaña **Material clave.**
   + Para las claves de cifrado simétricas, seleccione la pestaña **Material y rotaciones de la clave**.

1. Elija la acción de importación.
   + Para las claves asimétricas y HMAC, selecciona **Importar material clave**.
   + Para las claves de cifrado simétricas, elija una de las siguientes opciones:
     + **Importe el material clave inicial** (si aún no se ha importado ningún material clave)
     + **Importe material clave nuevo** (para añadir material nuevo para la rotación)
     + **Vuelva a importar el material clave** (disponible en el menú **Acciones** de la tabla de materiales clave)
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, importe el mismo material clave en cada réplica de clave de región.  
Para las claves principales multirregionales, la tabla de **materiales clave** incluye una columna de **estado de importación de réplicas** que muestra el estado de importación en todas las regiones de réplica (por ejemplo, «0 de 3 importadas»). Elija el valor del estado de importación de la réplica para abrir un modal que muestre el estado de importación de cada región de la réplica. El modal proporciona enlaces de **importación de materiales clave** para las regiones de réplica en las que no se ha importado el nuevo material clave.

1. Si descargó el material de claves, importó el token y cifró el material de claves, seleccione **Siguiente**.
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, puede importar el mismo material clave a las réplicas de las claves de región.

1. <a name="id-key-materials-step"></a>En la sección **Token de importación y material de claves cifrado**, haga lo siguiente:

   1. En **Material de claves encapsulado**, seleccione **Elegir archivo**. A continuación, especifique el archivo que contiene el material de claves encapsulado (cifrado). 

   1. En **Token de importación**, seleccione **Elegir archivo**. Suba el archivo que contenga el token de importación que ha [descargado](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. En la sección **Expiration option (Opción de vencimiento)**, determina si vence el material de claves. Para establecer una fecha y una hora de vencimiento, elija **El material de claves caduca**, y seleccione una fecha y una hora en el calendario. Puede especificar una fecha de hasta 365 días a partir de la hora y fecha actuales.

1. En el caso de las claves de cifrado simétricas, si lo desea, puede especificar una descripción del material de claves que se va a importar. 

1. Seleccione **Importar material de claves.**

## Importe material clave (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Para importar material clave, utilice la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación. Los ejemplos siguientes utilizan la [AWS CLI](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.

Para usar este ejemplo:

1. Sustituya `1234abcd-12ab-34cd-56ef-1234567890ab` por un ID de clave de la clave KMS que usó cuando descargó la clave pública y el token de importación. Para identificar la clave KMS, utilice su [ID de clave](concepts.md#key-id-key-id) o su [ARN de clave](concepts.md#key-id-key-ARN). No puede utilizar un [nombre de alias](concepts.md#key-id-alias-name) o un [ARN de alias](concepts.md#key-id-alias-ARN) para esta operación.

1. Sustituya `EncryptedKeyMaterial.bin` por el nombre del archivo que contiene el material de claves cifradas.

1. Sustituya `ImportToken.bin` por el nombre del archivo que contiene el token de importación.

1. Si desea que el material de claves importado caduque, defina el valor del parámetro `expiration-model` a su valor predeterminado, `KEY_MATERIAL_EXPIRES`, u omita el parámetro `expiration-model`. A continuación, sustituya el valor del parámetro `valid-to` con la fecha y la hora en que desea que caduque el material de claves. La fecha y la hora pueden ser hasta 365 días a partir del momento de la solicitud. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Si no desea que el material de claves importado caduque, defina el valor del parámetro `expiration-model` a `KEY_MATERIAL_DOES_NOT_EXPIRE` y omita el parámetro `valid-to` del comando.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Si desea importar material de claves nuevo, no asociado anteriormente a la clave de KMS, defina el parámetro `ImportType` en `NEW_KEY_MATERIAL`. Esta opción solo se puede utilizar con claves de cifrado simétricas. Para estas claves, también puede usar el parámetro `KeyMaterialDescription` opcional para establecer una descripción del material de claves importado en el siguiente ejemplo de línea de comandos: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave únicamente en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

**sugerencia**  
Si el comando no se ejecuta correctamente, es posible que aparezca `KMSInvalidStateException` o `NotFoundException`. Puede reintentar la solicitud.

# Crear una clave KMS en un almacén de AWS CloudHSM claves
<a name="create-cmk-keystore"></a>

Después de crear un almacén de AWS CloudHSM claves, puede crearlo AWS KMS keys en su almacén de claves. Deben ser [claves KMS de cifrado simétrico con el material de claves](symm-asymm-choose-key-spec.md#symmetric-cmks) que se AWS KMS generen. No puede crear [claves KMS asimétricas](symmetric-asymmetric.md), [claves KMS HMAC](hmac.md) ni claves KMS con [material clave importado](importing-keys.md) en un almacén de claves personalizado. Además, no puede utilizar claves KMS de cifrado simétricas en un almacén de claves personalizado para generar pares de claves de datos asimétricos. El KMS no puede comunicarse IPv6 con los almacenes de AWS CloudHSM claves.

Para crear una clave KMS en un AWS CloudHSM almacén de AWS CloudHSM claves, el almacén de claves debe estar [conectado al AWS CloudHSM clúster asociado](connect-keystore.md) y el clúster debe contener al menos dos activos HSMs en distintas zonas de disponibilidad. Para averiguar el estado y el número de la conexión HSMs, consulte la [página de almacenes de AWS CloudHSM claves](view-keystore.md#view-keystore-console) en Consola de administración de AWS. Cuando utilice las operaciones de la API, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación para comprobar que el almacén de AWS CloudHSM claves esté conectado. Para verificar la cantidad de activos HSMs en el clúster y sus zonas de disponibilidad, utilice la AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación.

Al crear una clave de KMS en el almacén de AWS CloudHSM claves, AWS KMS crea la clave de KMS AWS KMS. Sin embargo, crea el material clave para la clave KMS en el AWS CloudHSM clúster asociado. En concreto, AWS KMS inicia sesión en el clúster como la [`kmsuser`CU que creó](create-keystore.md#before-keystore). A continuación crea una clave simétrica Advanced Encryption Standard (AES) de 256 bits, no extraíble y persistente en el clúster. AWS KMS establece el valor del [atributo de la etiqueta de claves](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), que solo es visible en el clúster, en el Nombre de recurso de Amazon (ARN) de la clave KMS.

Cuando el comando se ejecuta correctamente, el [estado de clave](key-state.md) de la nueva clave KMS es `Enabled` y su origen es `AWS_CLOUDHSM`. No se puede cambiar el origen de ninguna clave KMS después de crearla. Al ver una clave de KMS en un almacén de AWS CloudHSM claves de la AWS KMS consola o al utilizar la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación, puede ver las propiedades típicas, como el identificador de clave, el estado de la clave y la fecha de creación. Pero también puede ver el ID del almacén de claves personalizado y (de forma opcional) el ID del clúster de AWS CloudHSM . 

Si se produce un error al intentar crear una clave KMS en el almacén de AWS CloudHSM claves, utilice el mensaje de error como ayuda para determinar la causa. Puede indicar que el almacén de AWS CloudHSM claves no está conectado (`CustomKeyStoreInvalidStateException`) o HSMs que el AWS CloudHSM clúster asociado no tiene los dos activos necesarios para esta operación (`CloudHsmClusterInvalidConfigurationException`). Para obtener ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

Para ver un ejemplo del AWS CloudTrail registro de la operación que crea una clave KMS en un almacén de AWS CloudHSM claves, consulte[CreateKey](ct-createkey.md).

## Creación de una nueva clave KMS en su almacén de claves de CloudHSM
<a name="create-key-keystore"></a>

Puede crear una clave KMS de cifrado simétrico en el almacén de AWS CloudHSM claves de la AWS KMS consola o mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.

### Uso de la consola AWS KMS
<a name="create-cmk-keystore-console"></a>

Utilice el siguiente procedimiento para crear una clave KMS de cifrado simétrico en un almacén de AWS CloudHSM claves. 

**nota**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. Seleccione **Symmetric (Simétrica)**.

1. En **Key usage** (Uso de claves), se selecciona la opción **Encrypt and decrypt** (Cifrar y descifrar) para usted. No la cambie. 

1. Elija **Advanced options (Opciones avanzadas)**.

1. En **Origen del material de claves**, elija **Almacén de claves de AWS CloudHSM **.

   No puede crear una clave multirregional en un AWS CloudHSM almacén de claves.

1. Elija **Siguiente**.

1. Seleccione un almacén de AWS CloudHSM claves para su nueva clave KMS. Para crear un nuevo almacén de AWS CloudHSM claves, elija **Crear un almacén de claves personalizado**.

   El almacén de AWS CloudHSM claves que seleccione debe tener el estado **Conectado**. Su AWS CloudHSM clúster asociado debe estar activo y contener al menos dos activos HSMs en distintas zonas de disponibilidad. 

   Si necesita ayuda para conectar un almacén de AWS CloudHSM claves, consulte[Desconectar un almacén de AWS CloudHSM claves](connect-keystore.md). Para obtener ayuda sobre cómo añadir un HSM HSMs, consulte [Añadir un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) en la *Guía del AWS CloudHSM usuario*.

1. Elija **Siguiente**.

1. Escriba un alias y, si lo desea, una descripción para la clave KMS.

1. (Opcional). En la página **agregar etiquetas**, añada etiquetas que identifiquen o categoricen la clave KMS.

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. En la sección **administradores de claves**, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte [Permite que los administradores de claves administren la clave de KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Notas**  
Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola agrega los administradores clave a la política clave bajo el identificador de la declaración`"Allow access for Key Administrators"`. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Para evitar que estos administradores de claves eliminen esta clave KMS, desactive la casilla **Allow key administrators to delete this key (Permitir que los administradores de claves eliminen esta clave)** situada en la parte inferior de la página.

1. Elija **Siguiente**.

1. En la sección **Esta cuenta**, seleccione los usuarios y roles de IAM Cuenta de AWS que pueden usar la clave KMS en operaciones [criptográficas](kms-cryptography.md#cryptographic-operations). Para obtener más información, consulte [Permite a los usuarios de claves utilizar la clave de KMS](key-policy-default.md#key-policy-default-allow-users).
**Notas**  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.  
La AWS KMS consola añade los usuarios clave a la política clave bajo los identificadores `"Allow use of the key"` de la declaración y. `"Allow attachment of persistent resources"` La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección **Otros**, en la parte inferior de la página, selecciona **Añadir otra Cuenta de AWS** e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la clave de KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Cuando haya acabado, elija **Finish (Finalizar)** para crear la clave.

Cuando el procedimiento se complete correctamente, la pantalla mostrará la nueva clave KMS en el almacén de AWS CloudHSM claves que haya elegido. Al elegir el nombre o el alias de la nueva clave de KMS, la pestaña de **configuración criptográfica** de su página de detalles muestra el origen de la clave de KMS (**AWS CloudHSM**), el nombre, el ID y el tipo del almacén de claves personalizado y el ID del clúster. AWS CloudHSM Si el procedimiento falla, aparecerá un mensaje de error que describe el motivo del error.

**sugerencia**  
Para facilitar la identificación de las claves KMS en un almacén de claves personalizado, en la página **Customer managed keys (Claves administradas por el cliente)** agregue la columna **Custom key store ID (ID del almacén de claves personalizado)**. Haga clic en el icono de engranaje en la esquina superior derecha y, a continuación, seleccione **Custom key store ID (ID del almacén de claves personalizado)**. Para obtener más información, consulte [Personalización de la vista de la consola](viewing-console-customize.md).

### Uso de la API AWS KMS
<a name="create-cmk-keystore-api"></a>

Para crear una nueva AWS KMS key (clave KMS) en su almacén de AWS CloudHSM claves, utilice la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación. Use el parámetro `CustomKeyStoreId` para identificar su almacén de claves personalizado y en el valor `Origin` especifique `AWS_CLOUDHSM`. 

Es posible que también desee utilizar el parámetro `Policy` para especificar una política de claves. Puede cambiar la política de claves ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) y añadir elementos opcionales, como una [descripción](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) y [etiquetas](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), en cualquier momento.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

El siguiente ejemplo comienza con una llamada a la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación para comprobar que el almacén de AWS CloudHSM claves está conectado al AWS CloudHSM clúster asociado. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Para describir únicamente un almacén de AWS CloudHSM claves concreto, utilice su `CustomKeyStoreName` parámetro `CustomKeyStoreId` o (pero no ambos).

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

**nota**  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

El siguiente comando de ejemplo utiliza la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación para comprobar que el AWS CloudHSM clúster asociado al `ExampleKeyStore` (cluster-1a23b4cdefg) tiene al menos dos activos. HSMs Si el clúster tiene menos de dos, se produce un error en la operación. HSMs `CreateKey`

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

Este comando de ejemplo usa la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una clave KMS en un almacén de AWS CloudHSM claves. Para crear una clave KMS en un almacén de AWS CloudHSM claves, debe proporcionar el ID del almacén de claves personalizado del almacén de AWS CloudHSM claves y especificar un `Origin` valor de`AWS_CLOUDHSM`.

La respuesta incluye el almacén IDs de claves personalizado y el AWS CloudHSM clúster. 

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```

# Creación de una clave KMS en un almacén de claves externo
<a name="create-xks-keys"></a>

Una vez [creado](create-xks-keystore.md) y [conectado](xks-connect-disconnect.md) el almacén de claves externo, puede crearlo AWS KMS keys en el almacén de claves. Deben ser [claves de KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks) con un valor de origen de **Almacén de claves externo** (`EXTERNAL_KEY_STORE`). No puede crear [claves KMS asimétricas](symmetric-asymmetric.md), [claves KMS HMAC](hmac.md) ni claves KMS con [material clave importado](importing-keys.md) en un almacén de claves personalizado. Además, no puede utilizar claves KMS de cifrado simétricas en un almacén de claves personalizado para generar pares de claves de datos asimétricos.

Una clave de KMS de un almacén de claves externo puede tener una latencia, durabilidad y disponibilidad más bajas que una clave de KMS estándar porque depende de componentes ubicados fuera de AWS. Antes de crear o utilizar una clave de KMS en un almacén de claves externo, compruebe que necesita una clave con las propiedades del almacén de claves externo.

**nota**  
Algunos administradores de claves externos proporcionan un método más sencillo para crear claves de KMS en un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Para crear una clave de KMS en su almacén de claves externo, especifique lo siguiente:
+ El ID de su almacén de claves externo.
+ Un [origen de material de claves](create-keys.md#key-origin) del almacén de claves externo (`EXTERNAL_KEY_STORE`).
+ El ID de una [clave externa](keystore-external.md#concept-external-key) existente en el [administrador de claves externo](keystore-external.md#concept-ekm) asociado al almacén de claves externo. Esta clave externa sirve como material de claves para la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS.

  AWS KMS proporciona el identificador de clave externo al proxy del almacén de claves externo en las solicitudes de operaciones de cifrado y descifrado. AWS KMS no puede acceder directamente a su administrador de claves externo ni a ninguna de sus claves criptográficas.

Además de la clave externa, una clave KMS de un almacén de claves externo también contiene material AWS KMS clave. Todos los datos cifrados con la clave KMS se cifran primero AWS KMS con el material clave de la AWS KMS clave y, a continuación, con el administrador de claves externo con la clave externa. Este proceso de [doble cifrado](keystore-external.md#concept-double-encryption) garantiza que el texto cifrado protegido por una clave de KMS en un almacén de claves externo sea tan seguro como el texto cifrado protegido solo por AWS KMS. Para obtener más información, consulte [Cómo funcionan los almacenes de claves externos](keystore-external.md#xks-how-it-works).

Cuando la operación `CreateKey` se realiza correctamente, el [estado de la clave](key-state.md) de la nueva clave de KMS es `Enabled`. Al [ver una clave de KMS en un almacén de claves externo](identify-key-types.md#view-xks-key), puede ver las propiedades habituales, como el ID de la clave, la [especificación de la clave](create-keys.md#key-spec), el [uso de la clave](create-keys.md#key-usage), el [estado de la clave](key-state.md) y la fecha de creación. Sin embargo, también puede ver el ID y el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo y el ID de la clave externa.

Si intenta crear una clave de KMS en su almacén de claves externo sin éxito, utilice el mensaje de error para identificar la causa. Puede indicar que el almacén de claves externo no está conectado (`CustomKeyStoreInvalidStateException`), que el proxy del almacén de claves externo no puede encontrar una clave externa con el ID de clave externa especificado (`XksKeyNotFoundException`) o que la clave externa ya está asociada a una clave de KMS en el mismo almacén de claves externo (`XksKeyAlreadyInUseException`).

Para ver un ejemplo del AWS CloudTrail registro de la operación que crea una clave KMS en un almacén de claves externo, consulte[CreateKey](ct-createkey.md).

**Topics**
+ [Requisitos para una clave de KMS en un almacén de claves externo](#xks-key-requirements)
+ [Creación de una clave KMS en un almacén de claves externo](#create-key-xks)

## Requisitos para una clave de KMS en un almacén de claves externo
<a name="xks-key-requirements"></a>

Para crear una clave de KMS en un almacén de claves externo, se requieren las siguientes propiedades del almacén de claves externo, la clave de KMS y la clave externa que sirve como material de clave criptográfica externa para la clave de KMS.

**Requisitos de almacenes de claves externos**
+ Debe estar conectado a su proxy del almacén de claves externo.

  Para ver el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) de un almacén de claves externo, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md). Para conectar su almacén de claves externo, consulte [Conexión y desconexión de almacenes de claves externos](xks-connect-disconnect.md). 

**Requisitos de la clave de KMS**

No puede cambiar estas propiedades después de crear la clave de KMS.
+ Especificación de clave: SYMMETRIC\$1DEFAULT
+ Uso de clave: ENCRYPT\$1DECRYPT
+ Origen del material de claves: EXTERNAL\$1KEY\$1STORE
+ Multirregión: FALSE

**Requisitos de clave externa**
+ Clave criptográfica AES de 256 bits (256 bits aleatorios). El `KeySpec` de la clave externa debe ser `AES_256`.
+ Habilitado y disponible para usarse. El `Status` de la clave externa debe ser `ENABLED`.
+ Configurado para el cifrado y descifrado. El `KeyUsage` de la clave externa debe incluir `ENCRYPT` y `DECRYPT`.
+ Se usa solo con esta clave de KMS. Cada `KMS key` de un almacén de claves externo debe estar asociada a una clave externa diferente.

  AWS KMS también recomienda que la clave externa se utilice exclusivamente para el almacén de claves externo. Esta restricción facilita la identificación y la resolución de problemas con la clave.
+ Accesible mediante el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy) para el almacén de claves externo.

  Si el proxy del almacén de claves externo no puede encontrar la clave con el ID de clave externa especificado, se produce un error en la operación `CreateKey`.
+ Puede gestionar el tráfico previsto que Servicios de AWS genera su uso. AWS KMS recomienda que las claves externas estén preparadas para gestionar hasta 1800 solicitudes por segundo.

## Creación de una clave KMS en un almacén de claves externo
<a name="create-key-xks"></a>

Puede crear una nueva clave de KMS en el almacén de claves externo de la AWS KMS consola o mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.

### Uso de la AWS KMS consola
<a name="create-xks-key-console"></a>

Hay dos formas de crear una clave de KMS en un almacén de claves externo.
+ Método 1 (recomendado): elija un almacén de claves externo y, a continuación, cree una clave de KMS en ese almacén de claves externo.
+ Método 2: cree una clave de KMS y, a continuación, indique que está en un almacén de claves externo.

Si usa el método 1, en el que elige el almacén de claves externo antes de crear la clave, AWS KMS elige automáticamente todas las propiedades de clave de KMS requeridas y completa el ID del almacén de claves externo. Este método evita los errores que puede cometer al crear la clave de KMS.

**nota**  
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

**Método 1 (recomendado): comience en su almacén de claves externo**

Para usar este método, elija su almacén de claves externo y, a continuación, cree una clave de KMS. La AWS KMS consola selecciona automáticamente todas las propiedades necesarias y rellena el identificador del almacén de claves externo. Este método evita muchos de los errores que puede cometer al crear la clave de KMS.

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).

1. Elija el nombre del almacén de claves externo.

1. En la esquina superior derecha, seleccione **Create a KMS key in this key store** (Crear una clave de KMS en este almacén de claves).

   Si el almacén de claves externo *no* está conectado, se le pedirá que lo conecte. Si el intento de conexión falla, debe resolver el problema y conectar el almacén de claves externo para poder crear una nueva claves de KMS en él.

   Si el almacén de claves externo está conectado, se redirigirá a la página de **Customer managed keys** (Claves gestionadas por el cliente) para crear una clave. Los valores de **Configuración de claves** requeridos ya están seleccionados. Además, se rellena el identificador del almacén de claves personalizado de su almacén de claves externo, aunque puede cambiarlo.

1. Introduzca el identificador de clave de una [clave externa](keystore-external.md#concept-external-key) en su [administrador de claves externo](keystore-external.md#concept-ekm). Esta clave externa debe [cumplir los requisitos](#xks-key-requirements) para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

   Si la clave externa tiene varias IDs, introduzca el ID de clave que el proxy del almacén de claves externo utiliza para identificar la clave externa. 

1. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

1. Elija **Siguiente**.

   El resto de este procedimiento es el mismo que [para crear una clave de KMS estándar](create-keys.md). 

1. Escriba un alias (requerido) y, una descripción (opcional) para la clave de KMS.

1. (Opcional). En la página **agregar etiquetas**, añada etiquetas que identifiquen o categoricen la clave KMS.

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. En la sección **administradores de claves**, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte [Permite que los administradores de claves administren la clave de KMS](key-policy-default.md#key-policy-default-allow-administrators).
**nota**  
Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.

1. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla **Allow key administrators to delete this key** (Permitir que los administradores de claves eliminen esta clave).

   Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave KMS de un almacén de claves externo, consulte [Consideraciones especiales para eliminar claves](deleting-keys.md#special-considerations-delete).

1. Elija **Siguiente**.

1. En la sección **Esta cuenta**, seleccione los usuarios y roles de IAM Cuenta de AWS que pueden usar la clave KMS en operaciones [criptográficas](kms-cryptography.md#cryptographic-operations). Para obtener más información, consulte [Permite a los usuarios de claves utilizar la clave de KMS](key-policy-default.md#key-policy-default-allow-users).
**nota**  
Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.  
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección **Otros**, en la parte inferior de la página, selecciona **Añadir otra Cuenta de AWS** e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la clave de KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Cuando haya acabado, elija **Finish (Finalizar)** para crear la clave.

**Método 2: Comience con las claves gestionadas por el cliente**

Este procedimiento es el mismo que el procedimiento para crear una clave de cifrado simétrica con material AWS KMS clave. Sin embargo, en este procedimiento, se especifica el ID del almacén de claves personalizado del almacén de claves externo y el ID de clave de la clave externa. También debe especificar los [valores de propiedad requeridos](#xks-key-requirements) para una clave de KMS en un almacén de claves externo, como la especificación de la clave y el uso de la clave.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija **Crear clave**.

1. Seleccione **Symmetric (Simétrica)**.

1. En **Key usage** (Uso de claves), se selecciona la opción **Encrypt and decrypt** (Cifrar y descifrar) para usted. No la cambie. 

1. Elija **Advanced options (Opciones avanzadas)**.

1. En **Key material origin** (Origen del material de claves), elija **External key store** (Almacenes de claves externos).

1. Confirme que va a crear una clave de KMS en el almacén de claves externo especificado.

1. Elija **Siguiente**.

1. Elija la fila que representa el almacén de claves externo para la nueva clave de KMS. 

   No puede elegir un almacén de claves externo desconectado. Para conectar un almacén de claves que está desconectado, elija el nombre del almacén de claves y, a continuación, en **Key store actions** (Acciones del almacén de claves), elija **Connect** (Conectar). Para obtener más información, consulte [Uso de la consola AWS KMS](about-xks-connecting.md#connect-xks-console).

1. Introduzca el identificador de clave de una [clave externa](keystore-external.md#concept-external-key) en su [administrador de claves externo](keystore-external.md#concept-ekm). Esta clave externa debe [cumplir los requisitos](#xks-key-requirements) para su uso con una clave de KMS. No puede cambiar este valor después de crear la clave.

   Si la clave externa tiene varias IDs, introduzca el ID de clave que el proxy del almacén de claves externo utiliza para identificar la clave externa. 

1. Elija **Siguiente**.

   El resto de este procedimiento es el mismo que [para crear una clave de KMS estándar](create-keys.md). 

1. Escriba un alias y, si lo desea, una descripción para la clave KMS.

1. (Opcional). En la página **agregar etiquetas**, añada etiquetas que identifiquen o categoricen la clave KMS.

   Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md). 

1. Elija **Siguiente**.

1. En la sección **administradores de claves**, seleccione los usuarios y roles de IAM que pueden administrar la clave KMS. Para obtener más información, consulte [Permite que los administradores de claves administren la clave de KMS](key-policy-default.md#key-policy-default-allow-administrators).
**nota**  
Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

1. (Opcional) Para evitar que estos administradores de claves eliminen esta claves de KMS, desactive la casilla **Allow key administrators to delete this key** (Permitir que los administradores de claves eliminen esta clave).

   Eliminar una clave de KMS es una operación destructiva e irreversible que puede hacer que el texto cifrado sea irrecuperable. No puede volver a crear una clave de KMS simétrica en un almacén de claves externo, aunque disponga del material de claves externas. Sin embargo, eliminar una clave de KMS no afecta a su clave externa asociada. Para obtener información sobre cómo eliminar una clave de KMS de un almacén de claves externo, consulte [Eliminar un AWS KMS key](deleting-keys.md).

1. Elija **Siguiente**.

1. En la sección **Esta cuenta**, seleccione los usuarios y roles de IAM Cuenta de AWS que pueden usar la clave KMS en operaciones [criptográficas](kms-cryptography.md#cryptographic-operations). Para obtener más información, consulte [Permite a los usuarios de claves utilizar la clave de KMS](key-policy-default.md#key-policy-default-allow-users).
**nota**  
Las políticas de IAM pueden otorgar permisos para usar la clave KMS a otros usuarios y roles de IAM.

1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección **Otros**, en la parte inferior de la página, selecciona **Añadir otra Cuenta de AWS** e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**  
Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la clave de KMS mediante la creación de políticas de IAM para sus usuarios. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).

1. Elija **Siguiente**.

1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

1. Cuando haya acabado, elija **Finish (Finalizar)** para crear la clave.

Si el procedimiento se realiza correctamente, la pantalla mostrará la nueva clave de KMS en el almacén de claves externo de su elección. Al elegir el nombre o alias de la nueva clave de KMS, la pantalla **Cryptographic configuration** (Configuración criptográfica) de su página de detalles mostrará el origen de la clave de KMS (**External key store** [Almacén de claves externo]), el nombre, el ID y el tipo del almacén de claves personalizados, y el ID, el uso de claves y el estado de la clave externa. Si el procedimiento falla, aparecerá un mensaje de error que describe el motivo del error. Para , consulte [Solución de problemas de almacenes de claves externos](xks-troubleshooting.md).

**sugerencia**  
Para facilitar la identificación de las claves de KMS en un almacén de claves personalizado, en la página **Customer managed keys** (Claves administradas por el cliente), agregue la columna **Origin** (Origen) y **Custom key store ID** (ID del almacén de claves personalizado). Para cambiar los campos de la tabla, seleccione el icono de engranaje en la esquina superior derecha de la página. Para obtener más información, consulte [Personalización de la vista de la consola](viewing-console-customize.md).

### Uso de la API AWS KMS
<a name="create-xks-key-api"></a>

Para crear una nueva clave de KMS en un almacén de claves externo, utilice la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación. Se requieren los siguientes parámetros:
+ El valor `Origin` debe ser `EXTERNAL_KEY_STORE`.
+ El parámetro `CustomKeyStoreId` identifica el almacén de claves externo. El [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo especificado debe ser `CONNECTED`. Para encontrar el `CustomKeyStoreId` y `ConnectionState`, utilice la operación `DescribeCustomKeyStores`.
+ El parámetro `XksKeyId` identifica las claves externas. Esta clave externa debe [cumplir con los requisitos](#xks-key-requirements) para la asociación con una clave de KMS. 

También puede utilizar cualquiera de los parámetros opcionales de la operación `CreateKey`, como los parámetros `Policy` o [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) (Etiquetas).

**nota**  
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Este comando de ejemplo utiliza la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear una clave KMS en un almacén de claves externo. La respuesta incluye las propiedades de las claves de KMS, el ID del almacén de claves externo y el ID, el uso y el estado de la clave externa.

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```