Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
De forma predeterminada, AWS KMS crea material clave automáticamente al crear una clave de KMS. Para importar su propio material de claves, comience con la creación de una clave de KMS sin material de claves. Después, importe el material de claves. Para crear una clave KMS sin material clave, utilice la AWS KMS consola o la CreateKeyoperación.
Para crear una clave sin material de claves, especifique un origen de EXTERNAL. La propiedad de origen de una clave de KMS es inmutable. Una vez creada, no podrá convertir una clave KMS diseñada para material clave importado en una clave KMS con material clave procedente AWS KMS o de cualquier otra fuente.
El estado de claves de una clave de KMS con un origen EXTERNAL y ningún material de claves es PendingImport. Una clave de KMS puede permanecer en estado PendingImport indefinidamente. Sin embargo, no puede utilizar una clave de KMS en estado PendingImport en operaciones criptográficas. Cuando importa material de claves, el estado de la clave de KMS cambia a Enabled y puede usar la clave de KMS en operaciones criptográficas.
AWS KMS registra un evento en el AWS CloudTrail registro al crear la clave KMS, descargar la clave pública y el token de importación e importar el material de la clave. AWS KMS también registra un CloudTrail evento cuando se elimina el material clave importado o cuando se AWS KMS elimina el material clave caducado.
Temas
Crear una clave KMS sin material de claves (consola)
Solo tiene que crear una clave de KMS para el material de claves importado una vez. Puede importar y volver a importar el mismo material de claves en la clave de KMS existente siempre que lo necesite, pero no puede importar material de claves diferente en una clave de KMS. Para obtener más información, consulte Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
Para encontrar las claves de KMS existentes con material de claves importado en la tabla de claves gestionadas por el cliente, utilice el icono con forma de engranaje situado en la esquina superior derecha para mostrar la columna Origen de la lista de claves de KMS. Las claves importadas tienen el valor Origen de Externo (Importar material de claves).
Para crear una clave KMS con material de claves importado, siga las instrucciones para crear una clave KMS del tipo de clave que prefiera, con la siguiente excepción.
Después de elegir el uso de la clave, haga lo siguiente:
-
Expanda Advanced options (Opciones avanzadas).
-
En Origen del material de claves, elija Externo (Material de claves importado).
-
Elija la casilla de verificación situada junto a Entiendo las implicaciones de seguridad y durabilidad del uso de una clave importada para indicarnos que entiende las implicaciones de utilizar material de claves importado. Para leer más información acerca de estas implicaciones, consulte Protección del material de claves importado.
-
Opcional: para crear una clave de KMS de varias regiones con material de claves importado, en Regionalidad, seleccione Clave de varias regiones.
-
Vuelva a las instrucciones básicas. Los pasos restantes del procedimiento básico son los mismos para todas las claves de KMS de ese tipo.
Al elegir Finalizar, habrá creado una clave de KMS sin material de claves y con un estado (estado de la clave) de Pendiente de importación.
Sin embargo, en lugar de volver a la tabla de claves administradas por el cliente, la consola muestra una página en la que puede descargar la clave pública y el token de importación que necesita para importar el material de claves. Puede continuar con el paso de descarga ahora o seleccionar Cancelar para detenerse en este momento. Puede volver a este paso de descarga en cualquier momento.
Siguiente: Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
Crear una clave KMS sin material clave (AWS KMS API)
Para usar la AWS KMS API para crear una clave KMS de cifrado simétrico sin material clave, envíe una CreateKeysolicitud con el Origin parámetro establecido en. EXTERNAL El siguiente ejemplo muestra cómo hacerlo con la AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente. La AWS KMS clave Origin es EXTERNAL y KeyState esPendingImport.
sugerencia
Si el comando no se ejecuta correctamente, es posible que aparezca KMSInvalidStateException o NotFoundException. Puede reintentar la solicitud.
{
"KeyMetadata": {
"Origin": "EXTERNAL",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"Enabled": false,
"MultiRegion": false,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "PendingImport",
"CreationDate": 1568289600.0,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}Copie el valor KeyId del resultado del comando para usarlo en pasos posteriores y, a continuación, vaya a Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
nota
Este comando crea una clave de KMS de cifrado simétrico con una KeySpec de SYMMETRIC_DEFAULT y un KeyUsage de ENCRYPT_DECRYPT. Puede usar los parámetros opcionales --key-spec y --key-usage crear una clave de KMS asimétrica o HMAC. Para obtener más información, consulte la operación CreateKey.
