

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Étape 1 : Création d'un matériau AWS KMS key sans clé
<a name="importing-keys-create-cmk"></a>

Par défaut, AWS KMS crée du matériel clé pour vous lorsque vous créez une clé KMS. Pour importer vos propres éléments de clé à la place, commencez par créer une clé KMS sans élément de clé. Procédez ensuite à l'importation. Pour créer une clé KMS sans élément clé, utilisez AWS KMS la console ou l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.

Pour créer une clé sans élément de clé, spécifiez l'[origine](create-keys.md#key-origin) de `EXTERNAL`. La propriété d'origine d'une clé KMS est immuable. Une fois que vous l'avez créée, vous ne pouvez pas convertir une clé KMS conçue pour le matériel clé importé en clé KMS avec du matériel clé provenant d'une autre source AWS KMS ou de toute autre source.

L'[état d'une clé](key-state.md) KMS avec une origine `EXTERNAL` et aucun élément de clé est `PendingImport`. Une clé KMS peut rester dans l'état `PendingImport` indéfiniment. Toutefois, vous ne pouvez pas utiliser une clé KMS dans l’état `PendingImport` dans le cadre des opérations cryptographiques. Lorsque vous importez l'élément de clé, l'état de la clé KMS passe à `Enabled`, et vous pouvez l’utiliser dans des opérations de chiffrement.

AWS KMS enregistre un événement dans votre AWS CloudTrail journal lorsque vous [créez la clé KMS, que vous téléchargez la clé](ct-createkey.md) [publique et le jeton d'importation, et](ct-getparametersforimport.md) que vous [importez le contenu de la clé](ct-importkeymaterial.md). AWS KMS enregistre également un CloudTrail événement lorsque vous [supprimez du matériel clé importé](ct-deleteimportedkeymaterial.md) ou lorsque vous AWS KMS [supprimez du matériel clé expiré](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Création d'une clé KMS sans élément de clé (console)](#importing-keys-create-cmk-console)
+ [Création d'une clé KMS sans matériel clé (AWS KMS API)](#importing-keys-create-cmk-api)

## Création d'une clé KMS sans élément de clé (console)
<a name="importing-keys-create-cmk-console"></a>

Vous devez créer uniquement une clé KMS pour les éléments de clé importés une seule fois. Vous pouvez importer et réimporter le même élément de clé sur la clé KMS existante aussi souvent que vous avez besoin, mais vous ne pouvez pas importer d’élément de clé différent dans une clé KMS. Pour en savoir plus, consultez [Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).

Pour rechercher des clés KMS existantes contenant des éléments de clé importés dans votre tableau **Customer managed keys** (Clés gérées par le client), utilisez l'icône en forme d'engrenage dans le coin supérieur droit pour afficher la colonne **Origin** (Origine) de la liste des clés KMS. Les clés importées ont une valeur **Origine** égale à **Externe (Importation des éléments de clé)**.

Pour créer une clé KMS avec du matériel de clé importé, commencez par suivre les [instructions de création d'une clé KMS du type de clé que vous préférez](create-keys.md), à l'exception suivante.

Après avoir choisi l'utilisation de la clé, procédez comme suit :

1. (Facultatif) Développez **Options avancées**.

1. Dans le champ **Key material origin** (Origine des éléments de clé), sélectionnez **External (Import key material)** (Externe (Importation des éléments de clé)).

1. Cochez la case à côté de **I understand the security, availability, and durability implications of using an imported key** pour indiquer que vous comprenez les implications de l'utilisation d'éléments de clé importés. Pour de plus amples informations sur ces implications, veuillez consulter [Suppression des éléments de clé importés](import-keys-protect.md).

1. Facultatif : pour créer une [clé KMS multirégionale avec du matériel clé](multi-region-keys-overview.md) importé, sous **Régionalité**, sélectionnez Clé **multirégionale**.

1. Revenez aux instructions de base. Les étapes restantes de la procédure de base sont les mêmes pour toutes les clés KMS de ce type. 

Lorsque vous choisissez **Terminer**, vous avez créé une clé KMS sans élément de clé et un statut ([état de clé](key-state.md)) **En attente d'importation**. 

Cependant, au lieu de retourner au tableau des **clés gérées par le client**, la console affiche une page sur laquelle vous pouvez télécharger la clé publique et le jeton d'importation dont vous avez besoin pour importer l’élément de clé. Vous pouvez poursuivre l'étape de téléchargement dès maintenant ou choisir **Annuler** pour arrêter à ce stade. Vous pouvez revenir à cette étape de téléchargement à tout moment.

Suivant: [Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).

## Création d'une clé KMS sans matériel clé (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Pour utiliser l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) afin de créer une clé KMS de chiffrement symétrique sans clé, envoyez une [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)demande avec le `Origin` paramètre défini sur. `EXTERNAL` L'exemple suivant montre comment procéder avec l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Lorsque la commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit. La AWS KMS clé `Origin` est `EXTERNAL` et elle `KeyState` est`PendingImport`.

**Astuce**  
Si la commande échoue, vous pouvez voir un `KMSInvalidStateException` ou un `NotFoundException`. Vous pouvez réessayer la demande.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copiez la valeur `KeyId` dans la sortie de votre commande pour l'utiliser dans les étapes ultérieures, puis passez à l'[Étape 2 : Téléchargement de la clé publique d’encapsulage et du jeton d'importation](importing-keys-get-public-key-and-token.md).

**Note**  
Cette commande crée une clé KMS de chiffrement symétrique avec un `KeySpec` de `SYMMETRIC_DEFAULT` et `KeyUsage` de`ENCRYPT_DECRYPT`. Vous pouvez utiliser les paramètres facultatifs `--key-spec` et `--key-usage` créer une clé asymétrique ou KMS HMAC. Pour plus d'informations, consultez l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.