Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitar y deshabilitar claves
<a name="enabling-keys"></a>

Puede habilitar y deshabilitar claves administradas por el cliente. Al crear una clave KMS, está habilitada de forma predeterminada. Si desactiva una clave KMS, no se puede utilizar en ninguna [operación criptográfica](kms-cryptography.md#cryptographic-operations) hasta que lo vuelva a habilitar.

Debido a que es temporal y se deshace fácilmente, desactivar una clave KMS es una alternativa segura a eliminar una clave KMS, una acción destructiva e irreversible. Si está pensando en eliminar una clave KMS, deshabilítela primero y configure una [CloudWatch alarma](deleting-keys-creating-cloudwatch-alarm.md) o un mecanismo similar para asegurarse de que nunca necesitará usar la clave para descifrar datos cifrados. 

Al deshabilitar una clave de KMS, queda inutilizable de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a Servicios de AWS muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).

No puede activar ni desactivar [Claves administradas por AWS](concepts.md#aws-managed-key)o [Claves propiedad de AWS](concepts.md#aws-owned-key). Claves administradas por AWS están habilitados permanentemente para su uso por parte de [los servicios que utilizan AWS KMS](service-integration.md). Claves propiedad de AWS están gestionados únicamente por el servicio propietario de los mismos.

**nota**  
AWS KMS no rota el material clave de las claves administradas por el cliente mientras están deshabilitadas. Para obtener más información, consulte [Cómo funciona la rotación de claves](rotate-keys.md#rotate-keys-how-it-works).

## Uso de la AWS KMS consola
<a name="enabling-keys-console"></a>

Puede utilizar la AWS KMS consola para activar y desactivar [las claves gestionadas por el cliente](concepts.md#customer-mgn-key).

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija la casilla de verificación de las claves de KMS que quiere habilitar o deshabilitar.

1. Para habilitar una clave KMS, elija **Key actions (Acciones de claves)**, **Enable (Habilitar)**. Para deshabilitar una clave KMS, elija **Key actions (Acciones de claves)**, **Disable (Deshabilitar)**.

## Uso de la API AWS KMS
<a name="enabling-keys-api"></a>

La [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)operación habilita a un discapacitado AWS KMS key. En estos ejemplos, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. El parámetro `key-id` es obligatorio.

Esta operación no devuelve ninguna salida. Para ver el estado de la clave, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación.

```
$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

La [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación deshabilita una clave KMS habilitada. El parámetro `key-id` es obligatorio.

```
$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Esta operación no devuelve ninguna salida. Para ver el estado de la clave, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación y consulte el `Enabled` campo.

```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```