Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Importación de material clave para AWS KMS llaves
<a name="importing-keys"></a>

Puede crear una AWS KMS keys (clave KMS) con el material clave que suministre. 

Una clave KMS es una representación lógica de una clave de datos. Los metadatos de una clave KMS incluyen el ID del material de claves que se utiliza para llevar a cabo operaciones criptográficas. Al [crear una clave de KMS](create-keys.md), de forma predeterminada, se AWS KMS genera el material clave para esa clave de KMS. Pero puede crear una clave KMS sin material de claves y, a continuación, importar su propio material de claves en esa clave KMS, una característica que se conoce a menudo como "bring your own key" (BYOK) ("utilice su propia clave").

![\[Icono de clave que resalta el material de claves que representa.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/import-key.png)


**nota**  
AWS KMS no admite el descifrado de ningún AWS KMS texto cifrado mediante una clave KMS de cifrado simétrico fuera de ella AWS KMS, incluso si el texto cifrado se cifró con una clave KMS con material clave importado. AWS KMS no publica el formato de texto cifrado que requiere esta tarea y el formato puede cambiar sin previo aviso.

Cuando utiliza material clave importado, sigue siendo responsable del material clave y permite AWS KMS utilizar una copia del mismo. Puede hacerlo por uno o varios de los motivos siguientes:
+ Para demostrar que ha generado el material de claves con un origen de entropía que cumple sus requisitos. 
+ Para utilizar el material clave de su propia infraestructura con AWS los servicios y AWS KMS para gestionar el ciclo de vida de ese material clave interno AWS.
+ Para utilizar claves existentes y bien establecidas, como las claves para la firma de código AWS KMS, la firma de certificados de PKI y las aplicaciones con certificados anclados
+ Establecer una fecha de caducidad para el material clave AWS y [eliminarlo manualmente](importing-keys-delete-key-material.md), pero también hacer que vuelva a estar disponible en el futuro. Por el contrario, [programar la eliminación de claves](deleting-keys.md#deleting-keys-how-it-works) requiere un periodo de espera de 7 a 30 días, transcurrido el cual no puede recuperar la clave KMS eliminada.
+ Ser propietario de la copia original del material clave y mantenerla fuera de ella AWS para garantizar una mayor durabilidad y recuperación ante desastres durante todo el ciclo de vida del material clave.
+ En el caso de las claves asimétricas y las claves HMAC, la importación crea claves compatibles e interoperables que funcionan dentro y fuera de ellas. AWS

**Tipos de claves KMS compatibles**

AWS KMS admite material clave importado para los siguientes tipos de claves KMS. No puede importar material de claves a una clave de KMS de [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview).
+ [Claves de KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Claves de KMS asimétricas (excepto claves de ML-DSA)](symmetric-asymmetric.md)
+ [Claves KMS HMAC](hmac.md)
+ [Claves de varias regiones](multi-region-keys-overview.md) de todos los tipos compatibles.

**Regiones**

El material clave importado es compatible con todos Regiones de AWS los AWS KMS soportes.

En las regiones de China, los requisitos de material de claves en relación con claves KMS de cifrado simétrico difieren de los de otras regiones. Para obtener más información, consulte [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md).

**Más información**
+ Para crear claves KMS con material de claves importado, consulte [Creación de una clave KMS con material de claves importado](importing-keys-conceptual.md).
+ Para crear una alarma de que le notifique cuando el material de claves importado en una clave KMS se acerca a su fecha de caducidad, consulte [Cree una CloudWatch alarma de caducidad del material clave importado](imported-key-material-expiration-alarm.md).
+ Para volver a importar el material de claves en una clave KMS, consulte [Volver a importar material de claves](importing-keys-import-key-material.md#reimport-key-material).
+ Para importar material de claves nuevo a una clave de KMS para su rotación bajo demanda, consulte [Importación de nuevo material de claves](importing-keys-import-key-material.md#import-new-key-material) y [Realización de la rotación de claves bajo demanda](rotating-keys-on-demand.md). 
+ Para identificar y ver claves KMS con material de claves importado, consulte [Identificación de claves KMS con material de claves importado](identify-key-types.md#identify-imported-keys).
+ Para obtener información acerca de las consideraciones especiales a la hora de eliminar claves KMS con material de claves importado, consulte [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

# Consideraciones especiales en relación con el material de claves importado
<a name="importing-keys-considerations"></a>

Antes de decidir importar material clave a AWS KMS, debe comprender las siguientes características del material clave importado.

**Generar el material de clave**  
Es su responsabilidad generar el material de claves con una fuente de aleatoriedad que cumpla sus requisitos de seguridad.

**Usted es responsable de la disponibilidad y durabilidad**  
AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera. Para obtener más información, consulte [Protección del material de claves importado](import-keys-protect.md).

**Puede eliminar el material de clave**  
Puede [eliminar el material de claves importado](importing-keys-delete-key-material.md) de una clave de KMS, al inutilizar inmediatamente la clave de KMS. Además, al importar material de claves en una clave de KMS, puede determinar si la clave vence y [establecer su fecha de vencimiento](importing-keys-import-key-material.md#importing-keys-expiration). Cuando llegue el momento de caducidad, AWS KMS [elimina el material clave.](importing-keys-delete-key-material.md) Sin material de claves, la clave KMS no puede utilizarse en ninguna operación criptográfica. Para restaurar la clave, debe volver a importar el mismo material en la clave. 

**No puede cambiar el material de la clave para las claves asimétricas y HMAC**  
Al importar el material de claves en una clave de KMS, la clave de KMS se asocia de forma permanente a dicho material de claves. Puede [volver a importar el mismo material de claves](importing-keys-import-key-material.md#reimport-key-material), pero no puede importar material de claves diferente en esa clave KMS. Además, no puede [habilitar la rotación automática de claves](rotate-keys.md) para una clave KMS con material de claves importado. Sin embargo, puede [rotar manualmente una clave KMS](rotate-keys-manually.md) con material de claves importado. 

**Puede realizar la rotación bajo demanda en claves de cifrado simétricas**  
Las claves de cifrado simétricas con material clave importado admiten la rotación bajo demanda. Puede [importar varios materiales de claves](importing-keys-import-key-material.md#import-new-key-material) a estas claves y utilizar la [rotación bajo demanda](rotating-keys-on-demand.md) para actualizar el material de claves actual. El material de claves actual se utiliza tanto para el cifrado como para el descifrado, pero otros materiales de claves (no actuales) solo se pueden utilizar para el descifrado. 

**No puede cambiar el origen del material de claves**  
Las claves KMS diseñadas para el material de claves importado tienen un valor de [origen](create-keys.md#key-origin) de `EXTERNAL` que no se puede cambiar. No puede convertir una clave KMS para material clave importado para utilizar material clave de ninguna otra fuente, ni siquiera. AWS KMS Del mismo modo, no puede convertir una clave KMS con material AWS KMS clave en una diseñada para material clave importado.

**No puede exportar el material de claves**  
No puede exportar ningún material clave que haya importado. AWS KMS no puede devolverle el material clave importado de ninguna forma. Debe conservar una copia del material clave importado fuera de AWS, preferiblemente, en un administrador de claves, como un módulo de seguridad de hardware (HSM), de modo que pueda volver a importar el material clave si lo elimina o si caduca.

**Puede crear claves de varias regiones con material de claves importado**  
Las múltiples regiones con material de claves importado tienen las características de las claves de KMS con material de claves importado y pueden interoperar entre Regiones de AWS. Para crear una clave de varias regiones con material de claves importado, debe importar el mismo material de claves en la clave de KMS principal y en cada clave de réplica. Para obtener más información sobre la importación de materiales clave para claves multirregionales, consulte. [Importación de nuevo material de claves](importing-keys-import-key-material.md#import-new-key-material)

**Las claves asimétricas y las claves HMAC son portátiles e interoperables**  
Puede utilizar el material de clave asimétrico y el material de clave HMAC de forma externa AWS para interoperar con AWS KMS llaves del mismo material de clave importado.   
A diferencia del texto cifrado AWS KMS simétrico, que está inextricablemente vinculado a la clave KMS utilizada en el algoritmo, AWS KMS utiliza formatos HMAC estándar y asimétricos para el cifrado, la firma y la generación de MAC. Como resultado, las claves son portátiles y admiten los escenarios tradicionales de claves de depósito de garantía.  
Si su clave KMS tiene material clave importado, puede usar el material clave importado fuera de él para realizar las siguientes operaciones. AWS   
+ Claves HMAC: puede verificar una etiqueta HMAC generada por la clave HMAC de KMS con material de claves importado. También puede usar la clave HMAC KMS con el material clave importado para verificar una etiqueta HMAC generada por el material clave externo. AWS
+ Claves de cifrado asimétricas: puede utilizar su clave de cifrado asimétrica privada AWS para descifrar un texto cifrado mediante la clave KMS con la clave pública correspondiente. También puedes usar tu clave KMS asimétrica para descifrar un texto cifrado asimétrico que se haya generado fuera de. AWS
+ Claves de firma asimétrica: puedes usar tu clave KMS de firma asimétrica con material clave importado para verificar las firmas digitales generadas por tu clave de firma privada fuera de. AWS También puedes usar tu clave de firma pública asimétrica fuera de ella AWS para verificar las firmas generadas por tu clave KMS asimétrica.
+ Claves de acuerdo de clave asimétrica: puede usar la clave KMS de acuerdo de clave asimétrica con material de claves importado para obtener secretos compartidos con un homólogo fuera de AWS.
Si importa el mismo material de claves en claves de KMS diferentes de la misma Región de AWS, esas claves son también interoperables. Para crear claves KMS interoperables en diferentes regiones Regiones de AWS, cree una clave multirregional con material clave importado.  

**Claves privadas RSA**
+ AWS KMS requiere que las claves privadas de RSA importadas tengan factores primos que cumplan con la prueba descrita en la sección A. 1.3 de la [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). Es posible que otros programas o dispositivos utilicen algoritmos diferentes para validar estos factores principales de las claves privadas de RSA. En raras ocasiones, es posible que las claves validadas con otros algoritmos no sean aceptadas por AWS KMS.

**Las claves de cifrado simétricas no son portátiles ni interoperables**  
Los textos cifrados simétricos que se AWS KMS producen no son portátiles ni interoperables. AWS KMS no publica el formato de texto cifrado simétrico que requiere la portabilidad y el formato puede cambiar sin previo aviso.   
+ AWS KMS no puede descifrar los textos cifrados simétricos que no estén cifrados AWS, incluso si utiliza material clave importado. 
+ AWS KMS no admite el descifrado de ningún texto cifrado AWS KMS simétrico que no sea AWS KMS, incluso si el texto cifrado se ha cifrado con una clave KMS con material clave importado.
+ Las claves de KMS con el mismo material de claves importado no son interoperables. El texto cifrado simétrico que AWS KMS genera el texto cifrado específico de cada clave KMS. Este formato de texto cifrado garantiza que solo la clave de KMS que cifró los datos pueda descifrarlos. 
Además, no puede utilizar ninguna AWS herramienta, como el [cifrado del lado del cliente [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)o Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html), para descifrar AWS KMS textos cifrados simétricos.  
Por lo tanto, no puede utilizar claves con material clave importado para respaldar acuerdos de custodia de claves, en los que un tercero autorizado con acceso condicional al material clave puede descifrar determinados textos cifrados fuera de él. AWS KMS Para admitir el depósito de claves, utilice [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) para cifrar su mensaje bajo una clave que es independiente de AWS KMS.

# Protección del material de claves importado
<a name="import-keys-protect"></a>

El material de claves que importa está protegido en tránsito y en reposo. Antes de importar el material clave, cifra (o «envuelve») el material clave con la clave pública de un par de claves RSA generado en módulos de seguridad de AWS KMS hardware (HSMs) validados según el programa de validación de módulos [criptográficos FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Puede cifrar el material de claves directamente con la clave pública que envuelve o cifrar el material de claves con una clave simétrica AES y, a continuación, cifrar la clave simétrica AES con la clave pública RSA.

Al recibirlo, AWS KMS descifra el material de claves con la clave privada correspondiente en un AWS KMS HSM y lo vuelve a cifrar con una clave simétrica AES que solo existe en la memoria volátil del HSM. El material de claves nunca sale del HSM en texto sin formato. Solo se descifra mientras está en uso y solo dentro. AWS KMS HSMs

El uso de la clave de KMS con el material de claves importado viene determinado únicamente por las [políticas de control de acceso](control-access.md) que se establezcan en la clave de KMS. Además, puede usar [alias](kms-alias.md) y [etiquetas](tagging-keys.md) para identificar y [controlar el acceso](abac.md) a la clave de KMS. Puede [habilitar y deshabilitar](enabling-keys.md) la clave, [verla](viewing-keys.md) y [supervisarla](monitoring-overview.md) mediante servicios como AWS CloudTrail. 

Sin embargo, usted conserva la única copia de seguridad de su material de claves. A cambio de esta medida de control adicional, usted es responsable de la durabilidad y la disponibilidad general del material clave importado. AWS KMS está diseñado para mantener una alta disponibilidad del material clave importado. Sin embargo, AWS KMS no mantiene la durabilidad del material clave importado al mismo nivel que el material clave que se AWS KMS genera.

Esta diferencia relativa a la durabilidad es importante en los casos siguientes:
+ Al [establecer una fecha de caducidad](importing-keys-import-key-material.md#importing-keys-expiration) para el material clave importado, AWS KMS elimina el material clave una vez que caduque. AWS KMS no elimina la clave KMS ni sus metadatos. Puedes [crear una CloudWatch alarma de Amazon](imported-key-material-expiration-alarm.md) que te notifique cuando el material clave importado se acerca a su fecha de caducidad.

  No puede eliminar el material clave que se AWS KMS genera para una clave de KMS ni puede configurar el material AWS KMS clave para que caduque.
+ Al [eliminar manualmente el material clave importado](importing-keys-delete-key-material.md), AWS KMS elimina el material clave pero no elimina la clave KMS ni sus metadatos. Por el contrario, [programar la eliminación de claves](deleting-keys.md#deleting-keys-how-it-works) requiere un período de espera de 7 a 30 días, tras el cual se eliminan AWS KMS permanentemente la clave de KMS, sus metadatos y su material clave.
+ En el improbable caso de que se produzcan algunos fallos en toda la región AWS KMS (por ejemplo, una pérdida total de energía), AWS KMS no podrá restaurar automáticamente el material clave importado. Sin embargo, AWS KMS puede restaurar la clave KMS y sus metadatos.

*Debe* conservar una copia del material clave importado fuera del AWS sistema que controle. Se recomienda almacenar una copia exportable del material de claves importado en un sistema de administración de claves, como un HSM. Como práctica recomendada, debe almacenar una referencia al ARN de la clave de KMS y al ID del material de claves generado por AWS KMS junto con la copia exportable del material de claves. Si el material de claves importado se elimina o vence, la clave de KMS asociada quedará inutilizable hasta que vuelva a importar el mismo material de claves. Si el material de claves importado se pierde de forma permanente, cualquier texto cifrado con la clave de KMS será irrecuperable. 

**importante**  
Las claves de cifrado simétricas pueden tener varios materiales clave asociados. La clave KMS completa queda inutilizable en cuanto se elimina uno de esos materiales clave o si alguno de esos materiales clave caduca (a menos que el material clave eliminado o que caduque). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Debe volver a importar cualquier material de claves caducado o eliminado asociado a dicha clave antes de que la clave pueda utilizarse para operaciones criptográficas.