Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Habilitación de la rotación automática de claves
De forma predeterminada, cuando se habilita la *rotación automática de claves para una clave* de KMS, se AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. También puede especificar una opción personalizada [rotation-period](rotate-keys.md#rotation-period) para definir el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces.
La rotación automática de claves tiene las siguientes ventajas:
+ Las propiedades de la clave KMS, incluido su [ID de clave](concepts.md#key-id-key-id), [ARN de clave](concepts.md#key-id-key-ARN), región, políticas y permisos, no cambian cuando se rota la clave.
+ No necesita cambiar las aplicaciones ni los alias que hacen referencia al ID o ARN de la clave KMS.
+ El material de claves de rotación no afecta al uso de la clave KMS en ningún Servicio de AWS.
+ Tras activar la rotación de claves, AWS KMS gira la clave KMS automáticamente en la siguiente fecha de rotación definida por el período de rotación. No necesita recordar ni programar la actualización.
Puede activar la rotación automática de las teclas en la AWS KMS consola o mediante esta [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operación. Para habilitar la rotación automática de claves, necesita permisos de `kms:EnableKeyRotation`. Para obtener más información sobre AWS KMS los permisos, consulte la[Referencia de permisos](kms-api-permissions-reference.md).
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).
1. Elija el alias o el ID de clave de una clave KMS.
1. Seleccione la pestaña **Key Rotation (Rotación de claves)**.
La pestaña **Rotación de claves** solo aparece en la página de detalles de las claves KMS de cifrado simétrico con el material clave que AWS KMS se generaron (el **origen** es **AWS\$1KMS**), incluidas las claves KMS de cifrado simétrico [multirregional](rotate-keys.md#multi-region-rotate).
No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con [material de claves importado](importing-keys.md) o las claves KMS en los [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview). Sin embargo, puede [rotarlas manualmente](rotate-keys-manually.md).
1. En la sección **Rotación automática de claves**, seleccione **Editar**.
1. En **Key rotation** (rotación de claves), seleccione **Enable** (Habilitar).
**nota**
Si una clave KMS está deshabilitada o pendiente de ser eliminada, AWS KMS no rota el material de la clave y no se puede actualizar el estado de rotación automática de la clave ni el período de rotación. Para actualizar la configuración de la rotación automática de claves, habilite la clave KMS o cancele la eliminación. Para más detalles, consulte [Cómo funciona la rotación de claves](rotate-keys.md#rotate-keys-how-it-works) y [Estados clave de AWS KMS las claves](key-state.md).
1. (Opcional) Escriba un periodo de rotación de entre 90 y 2560 días. El valor predeterminado es 365 días. Si no especifica un período de rotación personalizado, AWS KMS rotará el material clave todos los años.
Puede utilizar la clave de RotationPeriodInDays condición [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para limitar los valores que los directores pueden especificar para el período de rotación.
1. Seleccione **Save**.
## Uso de la API AWS KMS
Puede utilizar la [API de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para habilitar la rotación automática de claves y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
La [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operación permite la rotación automática de claves para la clave KMS especificada. Para identificar la clave KMS en esta operación, utilice el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN). De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.
Puede usar la clave de [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condición para limitar los valores que los directores pueden especificar para el `RotationPeriodInDays` parámetro de una `EnableKeyRotation` solicitud.
El siguiente ejemplo permite la rotación de claves con un período de rotación de 180 días en la clave KMS de cifrado simétrico especificada y utiliza la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación para ver el resultado.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```