Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 4: Importar el material de claves
Después de cifrar el material de claves, puede importar el material de claves para usarlo con una AWS KMS key. Para importar el material de claves, debe cargar el material de claves cifrado desde Paso 3: Cifrar el material de claves y el token de importación que ha descargado en Paso 2: descargar la clave pública de encapsulamiento y el token de importación. Debe importar material de claves en la misma clave KMS que ha especificado al descargar la clave pública y el token de importación. Cuando se importa el material de claves, el estado de la clave de KMS cambia a Enabled. Puede usar la clave de KMS en operaciones criptográficas.
Al importar el material de claves de importación, puede establecer una fecha de vencimiento opcional para el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Para volver a usar la clave KMS en operaciones criptográfica, debe volver a importar el mismo material de claves. Después de importar el material de claves, no puede establecer, cambiar ni cancelar la fecha de caducidad de la importación actual. Para cambiar estos valores, debe eliminar y volver a importar el mismo material de claves.
Para importar el material de claves, puede utilizar la consola de AWS KMS o la API ImportKeyMaterial. Puede utilizar la API directamente efectuando solicitudes HTTP o mediante un SDK deAWS
Al importar el material de claves, se agrega una entrada ImportKeyMaterial a su registro de AWS CloudTrail para registrar la operación ImportKeyMaterial. La entrada de CloudTrail es la misma si utiliza la consola AWS KMS o la API de AWS KMS.
Configuración de una fecha de vencimiento (opcional)
Al importar el material de claves para su clave de KMS, puede establecer una fecha y hora de vencimiento opcionales para el material de claves de hasta 365 días a partir de la fecha de importación. Cuando el material clave importado vence, AWS KMS lo borra. Esta acción cambia el estado de clave de la clave de KMS a PendingImport, lo que evita que se la utilice en operaciones criptográficas. Para usar la clave de KMS, debe volver a importar una copia del material de claves original.
Garantizar que el material de claves importado venza con frecuencia puede ayudarlo a cumplir con los requisitos normativos, pero supone un riesgo adicional para los datos cifrados con la clave de KMS. Hasta que no se vuelva a importar una copia del material de claves original, no se podrá utilizar una clave de KMS con material de claves vencido y no se podrá acceder a los datos cifrados con la clave de KMS. Si no vuelve a importar el material de claves por cualquier motivo, incluida la pérdida de la copia del material de claves original, la clave de KMS quedará inutilizable de forma permanente y los datos cifrados con la clave de KMS no se podrán recuperar.
Para mitigar este riesgo, asegúrese de que su copia del material de claves importado esté accesible y diseñe un sistema para eliminar y volver a importar el material de claves antes de que venza e interrumpa su carga de trabajo en AWS. Le recomendamos que active una alarma que le indique el vencimiento del material de claves importado para que tenga tiempo suficiente para volver a importarlo antes de que venza. También puede utilizar sus registros de CloudTrail para auditar las operaciones que importan (y reimportan) el material de claves y eliminan el material de claves importado, así como la operación AWS KMS para eliminar el material de claves vencido.
No puede importar material de claves diferente a la clave de KMS y AWS KMS no puede restaurar, recuperar ni reproducir el material de claves eliminado. En lugar de establecer una fecha de vencimiento, puede eliminar y volver a importar periódicamente el material de claves importado mediante programación, pero los requisitos para retener una copia del material de claves original son los mismos.
Usted determina si el material de claves importado vence y cuándo lo hace cuando importa el material de claves. Sin embargo, puede activar y desactivar el vencimiento o establecer una nueva fecha de vencimiento eliminando y volviendo a importar el material de claves. Utilice el parámetro ExpirationModel de ImportKeyMaterial para activar (KEY_MATERIAL_EXPIRES) y desactivar (KEY_MATERIAL_DOES_NOT_EXPIRE) el vencimiento y el parámetro ValidTo para establecer la fecha de vencimiento. El tiempo máximo es de 365 días a partir de los datos de importación; no hay un mínimo, pero la fecha debe ser en el futuro.
Volver a importar material de claves
Si administra una clave KMS con material de clave importado, es posible que tenga que reimportar el material de clave. Puede volver a importar el material de claves para reemplazar el material de claves vencido o eliminado o para cambiar el modelo de vencimiento o la fecha de vencimiento del material de claves.
Al importar el material de claves en una clave de KMS, la clave de KMS se asocia de forma permanente a dicho material de claves. Puede volver a importar el mismo material de claves, pero no puede importar material de claves diferente en esa clave KMS. No puede rotar el material de claves y AWS KMS no puede crear material de claves para una clave de KMS con material de claves importado.
Puede volver a importar material de claves en cualquier momento y en cualquier horario que cumpla con sus requisitos de seguridad. No tiene que esperar hasta que el material de claves esté en su fecha de vencimiento o cerca de ella.
Los procedimientos para volver a importar material de claves son el mismo procedimiento que utilizó para importar el material de claves la primera vez, con las siguientes excepciones.
-
Utilice una clave KMS existente en lugar de crear una nueva clave KMS. Puede omitir el paso 1 del procedimiento de importación.
-
Al volver a importar el material de clave, puede cambiar el modelo de vencimiento y la fecha de vencimiento.
Cada vez que se importa material de claves en una clave KMS, es necesario descargar y utilizar una nueva clave de encapsulamiento y un nuevo token de importación para la clave KMS. El procedimiento de encapsulamiento no afecta al contenido del material de claves, por lo que puede utilizar distintas claves públicas de encapsulamiento y diferentes algoritmos de encapsulamiento para importar el mismo material de claves.
Importar el material de claves (consola)
Puede usar la AWS Management Console para importar el material de claves.
-
Si se encuentra en la página Cargar material de claves encapsulado, vaya a Paso 8.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija el ID de clave o el alias de la clave KMS para los que ha descargado la clave pública y el token de importación.
-
Elija la pestaña Cryptographic configuration (Configuración criptográfica) y vea sus valores. Las pestañas se encuentran en la página de detalles de una clave KMS debajo de la sección General configuration (Configuración general).
Solo se puede importar material de claves a claves de KMS con un Origen de Externo (importar material de claves). Para obtener información sobre cómo crear claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.
-
Elija la pestaña Material de claves y, a continuación, seleccione Importar material de claves. La pestaña Material de claves aparece solo para las claves de KMS con un Origen de Externo (importar material de claves).
Si descargó el material de claves, importó el token y cifró el material de claves, seleccione Siguiente.
-
En la sección Token de importación y material de claves cifrado, haga lo siguiente:
-
En Material de claves encapsulado, seleccione Elegir archivo. A continuación, especifique el archivo que contiene el material de claves encapsulado (cifrado).
-
En Token de importación, seleccione Elegir archivo. Suba el archivo que contenga el token de importación que ha descargado.
-
-
En la sección Expiration option (Opción de vencimiento), determina si vence el material de claves. Para establecer una fecha y una hora de vencimiento, elija El material de claves caduca, y seleccione una fecha y una hora en el calendario. Puede especificar una fecha de hasta 365 días a partir de la hora y fecha actuales.
-
Elija Cargar material de claves.
Importar material de claves (API de AWS KMS)
Para importar material de claves, utilice la operación ImportKeyMaterial. Los ejemplos siguientes utilizan la AWS CLI
Para usar este ejemplo:
-
Sustituya
1234abcd-12ab-34cd-56ef-1234567890ab -
Sustituya
EncryptedKeyMaterial.bin -
Sustituya
ImportToken.bin -
Si desea que el material de claves importado caduque, defina el valor del parámetro
expiration-modela su valor predeterminado,KEY_MATERIAL_EXPIRES, u omita el parámetroexpiration-model. A continuación, sustituya el valor del parámetrovalid-tocon la fecha y la hora en que desea que caduque el material de claves. La fecha y la hora pueden ser hasta 365 días a partir del momento de la solicitud.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_EXPIRES\ --valid-to2023-06-17T12:00:00-08:00Si no desea que el material de claves importado caduque, defina el valor del parámetro
expiration-modelaKEY_MATERIAL_DOES_NOT_EXPIREy omita el parámetrovalid-todel comando.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE
sugerencia
Si el comando no se ejecuta correctamente, es posible que aparezca KMSInvalidStateException o NotFoundException. Puede reintentar la solicitud.
