As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar uma chave do KMS
<a name="create-keys"></a>

Você pode criar AWS KMS keys no Console de gerenciamento da AWS ou usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação ou o [AWS::KMS::Key AWS CloudFormation recurso](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Durante esse processo, você define a política de chave para a chave do KMS, que pode ser alterada a qualquer momento. Você também seleciona os seguintes valores que definem o tipo de chave do KMS que você cria. Não é possível alterar essas propriedades depois que a chave do KMS é criada. 

**Tipo de chave KMS**  
O *tipo de chave* é uma propriedade que determina qual tipo de chave criptográfica é criada. AWS KMS oferece três tipos principais para proteger os dados:  
+ Chaves simétricas Advanced Encryption Standard (AES)

  Chaves de 256 bits que são usadas no modo Galois Counter Mode (GCM) do AES para fornecer dados autenticados com menos de 4 KB encryption/decryption de tamanho. Esse é o tipo mais comum de chave e é usado para proteger outras chaves de criptografia de dados usadas em seus aplicativos e, com Serviços da AWS isso, criptografar seus dados em seu nome.
+ RSA, curva elíptica ou (somente regiões SM2 da China) chaves assimétricas

  Essas chaves estão disponíveis em vários tamanhos e são compatíveis com vários algoritmos. É possível usá-las para operações de criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados, dependendo da opção de algoritmo.
+ Chaves simétricas para realizar operações de códigos de autenticação de mensagem por hash (HMAC)

  Essas chaves são chaves de 256 bits usadas para operações de assinatura e verificação.

  Não é possível exportar as chaves do KMS do serviço em texto simples. Eles são gerados e só podem ser usados nos módulos de segurança de hardware (HSMs) usados pelo serviço. Essa é a propriedade de segurança fundamental de AWS KMS garantir que as chaves não sejam comprometidas.

**Uso da chave**  
O *uso da chave* é uma propriedade que determina as operações de criptografia compatíveis com a chave. As chaves do KMS podem ter um uso de chave de `ENCRYPT_DECRYPT`, `SIGN_VERIFY`, `GENERATE_VERIFY_MAC` ou `KEY_AGREEMENT`. Cada chave do KMS pode ter apenas um uso de chave. Isso segue as melhores práticas de uso de chaves, de acordo com [Special Publication 800-57 Recommendations for Key Management do National Institute of Standards and Technology (NIST)](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), seção 5.2, Key usage. O uso de uma chave do KMS para mais de um tipo de operação torna o produto de ambas as operações mais vulnerável a ataques.

**Especificação da chave**  
A *especificação da chave* é uma propriedade que representa a configuração criptográfica de uma chave. O significado da especificação de chave difere com o tipo de chave.  
Para chaves do KMS, *especificação da chave* determina se a chave do KMS é simétrica ou assimétrica. Ela também determina o tipo do material de chave e os algoritmos compatíveis.  
A especificação de chaves padrão, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), representa uma chave de criptografia simétrica de 256 bits. Para obter uma descrição detalhada de todas as especificações de chave compatíveis, consulte [Referência de especificação de chave](symm-asymm-choose-key-spec.md).

**Origem do material de chave**  
A *origem do material de chave* é uma propriedade da chave do KMS que identifica a origem do material de chave na chave do KMS. Você escolhe a origem do material de chave ao criar a chave do KMS e não é possível alterá-la. A origem do material de chave afeta as características de segurança, durabilidade, disponibilidade, latência e throughput da chave do KMS.   
Cada chave do KMS inclui uma referência ao material de chave em seus metadados. A origem do material de chave de chaves do KMS de criptografia simétrica pode variar. Você pode usar material de chave gerado pelo AWS KMS , material chave gerado em um [repositório de chaves personalizado](key-store-overview.md#custom-key-store-overview) ou [importar seu próprio material de chave](importing-keys.md).   
Por padrão, cada chave do KMS tem material de chave exclusivo. No entanto, você pode criar um conjunto de [chaves de várias regiões](multi-region-keys-overview.md) com o mesmo material de chave.  
As chaves KMS podem ter um dos seguintes valores de origem do material principal:`AWS_KMS`, `EXTERNAL` ([material de chave importado](importing-keys.md)), `AWS_CLOUDHSM` ([chave KMS em um armazenamento de chaves) ou `EXTERNAL_KEY_STORE` ( AWS CloudHSM chave](keystore-cloudhsm.md) [KMS em um armazenamento de chaves externo](keystore-external.md)).

**Topics**
+ [Permissões para criar chaves do KMS](#create-key-permissions)
+ [Escolher qual tipo de chave do KMS criar](#symm-asymm-choose)
+ [Criar uma chave do KMS de criptografia simétrica](create-symmetric-cmk.md)
+ [Criar uma chave do KMS assimétrica](asymm-create-key.md)
+ [Criar uma chave do KMS HMAC](hmac-create-key.md)
+ [Criar chaves primárias de várias regiões](create-primary-keys.md)
+ [Criar chaves de réplica de várias regiões](multi-region-keys-replicate.md)
+ [Criar uma chave do KMS com material de chave importado](importing-keys-conceptual.md)
+ [Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves](create-cmk-keystore.md)
+ [Criar uma chave do KMS em repositórios de chaves externos](create-xks-keys.md)

## Permissões para criar chaves do KMS
<a name="create-key-permissions"></a>

Para criar uma chave KMS no console ou usando o APIs, você deve ter a seguinte permissão em uma política do IAM. Sempre que possível, use [chaves de condição](policy-conditions.md) para limitar as permissões. Por exemplo, você pode usar a chave de KeySpec condição [kms:](conditions-kms.md#conditions-kms-key-spec) em uma política do IAM para permitir que os diretores criem somente chaves de criptografia simétricas.

Para obter um exemplo de uma política do IAM para entidades principais que criam chaves, consulte [Permitir que um usuário crie chaves do KMS](customer-managed-policies.md#iam-policy-example-create-key).

**nota**  
Tenha cuidado ao conceder permissão a entidades principais para gerenciar etiquetas e aliases. Alterar uma etiqueta ou um alias pode conceder ou negar uma permissão à chave gerenciada pelo cliente. Para obter detalhes, consulte [ABAC para AWS KMS](abac.md).
+ [kms: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) é obrigatório. 
+ [kms: CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) é necessário para criar uma chave KMS no console em que um alias é necessário para cada nova chave KMS.
+ [kms: TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) é necessário adicionar tags ao criar a chave KMS.
+ [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) é necessário para criar chaves primárias multirregionais. Para obter detalhes, consulte [Controlar o acesso a chaves de várias regiões](multi-region-keys-auth.md).

A PutKeyPolicy permissão [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) não é necessária para criar a chave KMS. A permissão `kms:CreateKey` inclui permissão para definir a política de chaves inicial. Porém, você deve adicionar essa permissão à política de chaves ao criar a chave do KMS para garantir que seja possível controlar o acesso à chave do KMS. A alternativa é usar o [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)parâmetro, o que não é recomendado.

As chaves KMS pertencem à AWS conta na qual foram criadas. O usuário do IAM que cria uma chave do KMS não é considerado o proprietário da chave e ele não recebe automaticamente permissão para usar ou gerenciar a chave do KMS que criou. Como qualquer outra entidade principal, o criador da chave precisa obter permissão por meio de uma política de chaves, política do IAM ou concessão. No entanto, as entidades principais que têm a permissão `kms:CreateKey` podem definir a política de chave inicial e conceder a si mesmas permissão para usar ou gerenciar a chave.

## Escolher qual tipo de chave do KMS criar
<a name="symm-asymm-choose"></a>

O tipo de chave do KMS criado depende em grande parte de como você planeja *usar* a chave do KMS e dos seus requisitos de segurança e de autorização. O tipo de chave e o uso de uma chave do KMS determinam quais operações criptográficas a chave poderá realizar. Cada chave do KMS pode ter apenas um uso. O uso de uma chave do KMS para mais de um tipo de operação torna o produto de todas as operações mais vulnerável a ataques.

Para permitir que os diretores criem chaves KMS somente para um determinado uso de chave, use a chave de condição [kms: KeyUsage](conditions-kms.md#conditions-kms-key-usage). Também é possível usar a chave de condição `kms:KeyUsage` para permitir que as entidades principais chamem operações de API para uma chave do KMS baseada em seu uso de chave. Por exemplo, apenas será possível conceder permissão para desabilitar uma chave do KMS se o seu uso de chave for SIGN\$1VERIFY. 

Use as orientações a seguir para determinar o tipo de chave do KMS necessário com base no seu caso de uso.

**Criptografar e descriptografar dados**  
Use uma [chave do KMS simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) para a maioria dos casos de uso que exigem criptografia e descriptografia dos dados. O algoritmo de criptografia simétrica usado pelo AWS KMS é rápido, eficiente e garante a confidencialidade e a autenticidade dos dados. Ele oferece suporte à criptografia autenticada com dados adicionais autenticados (ADD), definidos como um [contexto de criptografia](encrypt_context.md). Esse tipo de chave KMS exige que o remetente e o destinatário dos dados criptografados tenham AWS credenciais válidas para ligar. AWS KMS  
Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, [as chaves KMS assimétricas](symmetric-asymmetric.md) são uma boa opção. Você pode distribuir a parte pública da chave do KMS assimétrica para permitir que esses usuários criptografem dados. Além disso, as aplicações que precisam descriptografar esses dados podem usar a chave privada da chave do KMS assimétrica no AWS KMS.

**Assinar mensagens e verificar assinaturas**  
Para assinar mensagens e verificar assinaturas, é necessário usar uma [chave do KMS assimétrica](symmetric-asymmetric.md). Você pode usar uma chave KMS com uma [especificação de chave](symm-asymm-choose-key-spec.md) que represente um par de chaves RSA, um par de chaves de curva elíptica (ECC), um par de chaves ML-DSA ou um par de chaves (somente regiões da China). SM2 A especificação de chave escolhida é determinada pelo algoritmo de assinatura que você deseja usar. Os algoritmos de assinatura ECDSA compatíveis com os pares de chaves ECC são recomendados em vez dos algoritmos de assinatura RSA. Use um par de chaves ML-DSA ao migrar de chaves RSA ou ECC para chaves pós-quânticas. No entanto, pode ser necessário usar uma especificação de chave e um algoritmo de assinatura específicos para oferecer suporte aos usuários que verificam assinaturas de forma externa à AWS.

**Criptografar com pares de chaves assimétricas**  
[Para criptografar dados com um par de chaves assimétrico, você deve usar uma chave [KMS assimétrica com uma especificação de chave](symmetric-asymmetric.md)[RSA ou uma SM2 especificação de chave (somente regiões](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) da China).](symm-asymm-choose-key-spec.md#key-spec-sm) Para criptografar dados no AWS KMS com a chave pública de um par de chaves do KMS, use a operação [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) (Criptografar). Você também pode [baixar a chave pública](download-public-key.md) e compartilhá-la com as partes que precisam criptografar dados fora dela AWS KMS.  
Ao baixar a chave pública de uma chave do KMS assimétrica, é possível usá-la fora do AWS KMS. Mas ele não está mais sujeito aos controles de segurança que protegem a chave KMS. AWS KMS Por exemplo, você não pode usar políticas ou concessões de AWS KMS chaves para controlar o uso da chave pública. Você também não pode controlar se a chave é usada somente para criptografia e decodificação usando os algoritmos de criptografia compatíveis. AWS KMS Para obter mais detalhes, consulte [Considerações especiais sobre o download de chaves públicas](offline-public-key.md#download-public-key-considerations).  
[Para descriptografar dados que foram criptografados com a chave pública externa AWS KMS, chame a operação Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) A operação `Decrypt` vai falhar se os dados tiverem sido criptografados com uma chave pública de uma chave do KMS com um uso de chave de `SIGN_VERIFY`. Também falhará se for criptografado usando um algoritmo que não AWS KMS suporta a especificação de chave que você selecionou. Para obter mais informações sobre especificações de chaves e algoritmos compatíveis, consulte [Referência de especificação de chave](symm-asymm-choose-key-spec.md).  
Para evitar esses erros, qualquer pessoa que use uma chave pública fora dela AWS KMS deve armazenar a configuração da chave. O AWS KMS console e a [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)resposta fornecem as informações que você deve incluir ao compartilhar a chave pública.

**Derivar segredos compartilhados**  
Para derivar segredos compartilhados, use uma chave KMS com [curva elíptica padrão NIST ou material](symm-asymm-choose-key-spec.md#key-spec-ecc) de chave [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)(somente para regiões da China). AWS KMS usa o [cofator de criptografia de curva elíptica Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH) para estabelecer um acordo de chave entre dois pares, derivando um segredo compartilhado de seus pares de chaves público-privadas de curva elíptica. Você pode usar o segredo compartilhado bruto que a [ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)operação retorna para derivar uma chave simétrica que pode criptografar e descriptografar dados enviados entre duas partes ou gerar e verificar. HMACs AWS KMS recomenda que você siga as [recomendações do NIST para derivação de chaves](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) ao usar o segredo compartilhado bruto para derivar uma chave simétrica.

**Gerar e verificar códigos de HMAC**  
Para gerar e verificar códigos de autenticação de mensagem por hash, use uma chave do KMS de HMAC. Quando você cria uma chave HMAC AWS KMS, AWS KMS cria e protege seu material de chave e garante que você use os algoritmos MAC corretos para sua chave. Também é possível usar os códigos de HMAC como números pseudo-aleatórios e para assinatura simétrica e tokenização em determinados cenários.  
As chaves do KMS de HMAC são chaves simétricas. Ao criar uma chave do KMS de HMAC no console do AWS KMS , escolha o tipo de chave `Symmetric`.

**Use com AWS serviços**  <a name="cmks-aws-service"></a>
Para criar uma chave KMS para uso com um [AWS serviço integrado AWS KMS](service-integration.md), consulte a documentação do serviço. AWS os serviços que criptografam seus dados exigem uma chave [KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks).

Além dessas considerações, as operações criptográficas em chaves do KMS com diferentes especificações de chave têm preços e cotas de solicitação diferentes. Para obter mais informações sobre a definição de preço do AWS KMS , consulte [Definição de preço do AWS Key Management Service](https://aws.amazon.com/kms/pricing/). Para obter mais informações sobre cotas de solicitações, consulte [Cotas de solicitações](requests-per-second.md).

# Criar uma chave do KMS de criptografia simétrica
<a name="create-symmetric-cmk"></a>

Este tópico explica como criar a chave KMS básica, uma chave KMS de [criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) para uma única região com material de chaves de. AWS KMS Você pode usar essa chave do KMS para proteger seus recursos em um AWS service (Serviço da AWS).

[Você pode criar chaves KMS de criptografia simétrica no AWS KMS console, usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou usando o AWS::KMS::Key CloudFormation modelo.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

A especificação de chave padrão, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), é a especificação de chave para chaves do KMS de criptografia simétrica. Quando você seleciona o tipo de chave **simétrica** e o uso da chave de **criptografia e descriptografia** no AWS KMS console, ele seleciona a especificação da chave. `SYMMETRIC_DEFAULT` Na [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação, se você não especificar um `KeySpec` valor, SYMMETRIC\$1DEFAULT será selecionado. Se você não tiver um motivo para usar uma especificação de chave diferente, SYMMETRIC\$1DEFAULT é uma boa escolha.

Para obter informações sobre cotas que se aplicam a chaves do KMS, consulte [Cotas](limits.md).

## Usando o AWS KMS console
<a name="create-keys-console"></a>

Você pode usar o Console de gerenciamento da AWS para criar AWS KMS keys (chaves KMS).

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Para criar uma chave do KMS de criptografia simétrica, em **Key type** (Tipo de chave), selecione **Symmetric** (Simétrica).

1. Em **Uso da chave**, a opção **Criptografar e descriptografar** é selecionada para você.

1. Escolha **Próximo**.

1. Digite um alias para a chave do KMS. O nome do alias não pode começar com **aws/**. O **aws/** prefixo é reservado pela Amazon Web Services para representar Chaves gerenciadas pela AWS em sua conta.
**nota**  
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar aliases para controlar o acesso a chaves do KMS](alias-authorization.md).

    Um alias é um nome de exibição que identifica a chave do KMS. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS. 

    

    Aliases são necessários ao criar uma chave do KMS no Console de gerenciamento da AWS. Eles são opcionais quando você usa a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. 

1. (Opcional) Digite uma descrição para a chave do KMS.

   Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o [estado da chave](key-state.md) seja `Pending Deletion` ou `Pending Replica Deletion`. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS na Console de gerenciamento da AWS ou use a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.

1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione **Adicionar tag**.
**nota**  
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md).

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
**Observações**  
Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte [Política de chaves padrão](key-policy-default.md).  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave em [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na Contas da AWS seção **Outros** na parte inferior da página, escolha **Adicionar outro Conta da AWS** e insira o número de Conta da AWS identificação de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Selecione **Finish** (Concluir) para criar a chave do KMS.

## Usando a AWS KMS API
<a name="create-keys-api"></a>

Você pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar AWS KMS keys de todos os tipos. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Para obter exemplos em várias linguagens de programação, consulte [Use `CreateKey` com um AWS SDK ou CLI](example_kms_CreateKey_section.md).

**Importante**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

A operação a seguir cria uma chave de criptografia simétrica em uma única região com o suporte de material de chave gerado pelo AWS KMS. Essa operação não tem os parâmetros obrigatórios. No entanto, você também pode usar o parâmetro `Policy` para especificar uma política de chaves. Você pode alterar a política de chaves ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) e adicionar elementos opcionais, como uma [descrição](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e [tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), a qualquer momento. Você também pode criar [chaves assimétricas](asymm-create-key.md#create-asymmetric-keys-api), [chaves de várias Regiões](create-primary-keys.md), chaves com [material de chave importado](importing-keys-create-cmk.md#importing-keys-create-cmk-api), e chaves em [armazenamentos de chaves personalizados](create-cmk-keystore.md#create-cmk-keystore-api). Para criar chaves de dados para criptografia do lado do cliente, use a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação.

A `CreateKey` operação não permite que você especifique um alias, mas você pode usar a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para sua nova chave KMS.

Veja a seguir um exemplo de uma chamada para a operação `CreateKey` sem parâmetros. Esse comando usa todos os valores padrão. Ele cria uma chave do KMS de criptografia simétrica com o material de chave gerado pelo AWS KMS.

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Se você não especificar uma política de chaves para sua nova chave do KMS, a [política de chave padrão](key-policy-default.md) aplicada por `CreateKey` será diferente da política de chaves padrão que o console aplica quando você o usa para criar uma nova chave do KMS. 

Por exemplo, essa chamada para a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operação retorna a política de chaves que `CreateKey` se aplica. Ele dá Conta da AWS acesso à chave KMS e permite criar políticas AWS Identity and Access Management (IAM) para a chave KMS. Para obter informações detalhadas sobre as políticas do IAM e as políticas de chaves para chaves do KMS, consulte [Acesso e permissões de chave do KMS](control-access.md)

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Criar uma chave do KMS assimétrica
<a name="asymm-create-key"></a>

[Você pode criar [chaves KMS assimétricas](symmetric-asymmetric.md) no AWS KMS console, usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou usando o modelo. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Uma chave do KMS assimétrica representa um par de chaves pública e privada que pode ser usado para criptografia, assinatura ou derivação de segredos compartilhados. A chave privada permanece dentro AWS KMS. Para baixar a chave pública para uso fora do AWS KMS, consulte[Fazer download de chave pública](download-public-key.md).

Ao criar uma chave do KMS assimétrica, é necessário selecionar sua especificação de chave. Geralmente a especificação de chave escolhida é determinada por requisitos regulatórios, de segurança ou de negócios. Ela também pode ser influenciada pelo tamanho das mensagens que você precisa criptografar ou assinar. Em geral, chaves de criptografia maiores são mais resistentes a ataques de força bruta. Para obter uma descrição detalhada de todas as especificações de chave compatíveis, consulte [Referência de especificação de chave](symm-asymm-choose-key-spec.md).

AWS serviços que se integram com AWS KMS não oferecem suporte a chaves KMS assimétricas. Se você quiser criar uma chave KMS que criptografe os dados que você armazena ou gerencia em um AWS serviço, [crie uma chave KMS de criptografia simétrica](create-symmetric-cmk.md). 

Para obter informações sobre as permissões necessárias para criar chaves do KMS, consulte [Permissões para criar chaves do KMS](create-keys.md#create-key-permissions).

## Usando o AWS KMS console
<a name="create-asymmetric-keys-console"></a>

Você pode usar o Console de gerenciamento da AWS para criar assimetrias AWS KMS keys (chaves KMS). Cada chave do KMS assimétrica representa um par de chaves pública e privada.

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Para criar uma chave do KMS assimétrica, em **Key type** (Tipo de chave), selecione **Asymmetric** (Assimétrica).

1. Para criar uma chave do KMS assimétrica para assinar mensagens e verificar assinaturas, em **Key usage** (Uso de chaves), selecione **Encrypt and decrypt** (Criptografar e descriptografar). 

   Para criar uma chave do KMS assimétrica para assinar mensagens e verificar assinaturas, em **Uso de chave**, selecione **Assinar e verificar**.

   Para criar uma chave do KMS assimétrica para derivar segredos compartilhados, em **Uso da chave**, escolha **Acordo de chave**.

   Para ajudar a escolher um valor de uso de chave, consulte [Escolher qual tipo de chave do KMS criar](create-keys.md#symm-asymm-choose).

1. Escolha uma especificação (**Especificação da chave**) para a chave do KMS assimétrica. 

1. Escolha **Próximo**.

1. Digite um [alias](kms-alias.md) para a chave do KMS. O nome do alias não pode começar com **aws/**. O prefixo **aws/** é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

   Um *alias* é um nome amigável que você pode usar para identificar a chave KMS no console e em alguns. AWS KMS APIs Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS. 

   Aliases são necessários ao criar uma chave do KMS no Console de gerenciamento da AWS. Você não pode especificar um alias ao usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação, mas pode usar o console ou a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para uma chave KMS existente. Para obter detalhes, consulte [Aliases em AWS KMS](kms-alias.md).

1. (Opcional) Digite uma descrição para a chave do KMS.

   Insira uma descrição que explique o tipo de dados que você planeja proteger ou a aplicação que planeja usar com a chave do KMS.

   Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o [estado da chave](key-state.md) seja `Pending Deletion` ou `Pending Replica Deletion`. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS na Console de gerenciamento da AWS ou use a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.

1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione **Adicionar tag**.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
**Observações**  
Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte [Política de chaves padrão](key-policy-default.md).  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Selecione **Finish** (Concluir) para criar a chave do KMS.

## Usando a AWS KMS API
<a name="create-asymmetric-keys-api"></a>

Você pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma assimétrica AWS KMS key. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Ao criar uma chave do KMS assimétrica, você deve especificar o parâmetro `KeySpec`, que determina o tipo de chaves que criado. Além disso, é necessário especificar um valor `KeyUsage` de ENCRYPT\$1DECRYPT, SIGN\$1VERIFY ou KEY\$1AGREEMENT. Não é possível alterar essas propriedades depois que a chave do KMS é criada.

A `CreateKey` operação não permite que você especifique um alias, mas você pode usar a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para sua nova chave KMS.

**Importante**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

**Criar um par de chaves do KMS assimétricas para criptografia pública**  
O exemplo a seguir usa a operação `CreateKey` para criar uma chave do KMS assimétrica de chaves RSA de 4.096 bits projetada para criptografia de chave pública.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Criar um par de chaves do KMS assimétricas para assinatura e verificação**  
O exemplo de comando a seguir cria uma chave do KMS assimétrica que representa um par de chaves ECC usado para assinatura e verificação. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Criar um par de chaves do KMS assimétricas para derivar segredos compartilhados**  
O exemplo de comando a seguir cria uma chave do KMS assimétrica que representa um par de chaves ECDH usado para derivar segredos compartilhados. Não é possível criar um par de chaves de curva elíptica para criptografia e descriptografia.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```

# Criar uma chave do KMS HMAC
<a name="hmac-create-key"></a>

[Você pode criar chaves HMAC KMS no AWS KMS console, usando a [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API ou usando o AWS::KMS::Key CloudFormation modelo.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Ao criar uma chave HMAC KMS, você deve selecionar uma especificação de chave. AWS KMS suporta várias [especificações-chave para chaves HMAC KMS](symm-asymm-choose-key-spec.md#hmac-key-specs). A especificação de chave que você escolhe pode ser determinada por requisitos regulatórios, de segurança ou de negócios. Em geral, chaves maiores são mais resistentes a ataques de força bruta.

Para obter informações sobre as permissões necessárias para criar chaves do KMS, consulte [Permissões para criar chaves do KMS](create-keys.md#create-key-permissions).

## Usando o AWS KMS console
<a name="create-hmac-key-console"></a>

Você pode usar o Console de gerenciamento da AWS para criar chaves HMAC KMS. As chaves do KMS de HMAC são chaves simétricas com um uso de chave para **gerar e verificar Message authentication code (MAC – Código de autenticação de mensagem)**. Você também pode criar chaves de HMAC de várias regiões. 

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Para **Key type (Tipo de chave)**, escolha **Symmetric (Simétrica)**.

   As chaves do KMS de HMAC são simétricas. Você usa a mesma chave para gerar e verificar etiquetas de HMAC.

1. Em **Key usage** (Uso de chave), escolha **Generate and verify MAC** (Gerar e verificar MAC).

   Gerar e verificar MAC é o único uso de chave válido para chaves do KMS de HMAC.
**nota**  
**Key usage** (Uso de chave) é exibido para chaves simétricas somente quando as chaves do KMS de HMAC são compatíveis com a região selecionada.

1. Escolha uma especificação (**Key spec** [Especificação de chave]) para sua chave do KMS de HMAC. 

   A especificação de chave que você escolhe pode ser determinada por requisitos regulatórios, de segurança ou de negócios. Em geral, chaves mais longas são mais seguras.

1. Para criar uma chave de HMAC *primária* de [várias regiões](multi-region-keys-overview.md), em **Advanced options** (Opções avançadas), escolha **Multi-Region key** (Chave de várias regiões). As [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) que você define para essa chave do KMS, como o tipo de chave e o uso de chave, serão compartilhados com suas réplicas de chave.

   Não é possível aplicar esse procedimento para criar uma réplica de chave. Para criar uma *réplica* de chave de HMAC de várias regiões, siga as [instruções para criar uma réplica de chave](multi-region-keys-replicate.md).

1. Escolha **Próximo**.

1. Insira um [alias](kms-alias.md) para a chave do KMS. O nome do alias não pode começar com **aws/**. O prefixo **aws/** é reservado pela Amazon Web Services para representar as Chaves gerenciadas pela AWS na sua conta.

   Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., `HMAC/test-key`. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

   Aliases são necessários ao criar uma chave do KMS no Console de gerenciamento da AWS. Você não pode especificar um alias ao usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação, mas pode usar o console ou a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para uma chave KMS existente. Para obter detalhes, consulte [Aliases em AWS KMS](kms-alias.md).

1. (Opcional) Insira uma descrição para a chave do KMS.

   Insira uma descrição que explique o tipo de dados que você planeja proteger ou a aplicação que planeja usar com a chave do KMS.

   Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o [estado da chave](key-state.md) seja `Pending Deletion` ou `Pending Replica Deletion`. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na página de detalhes da chave KMS Console de gerenciamento da AWS em Console de gerenciamento da AWS ou use a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.

1. (Opcional) Insira uma chave de etiqueta e um valor opcional de etiqueta. Para adicionar mais de uma etiqueta à chave do KMS, selecione **Adicionar tag**.

   Considere a possibilidade de adicionar uma etiqueta que identifique a chave como uma chave de HMAC, p. ex., `Type=HMAC`. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por tags e aliases, mas não por especificação ou uso da chave.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
**Observações**  
Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter detalhes, consulte [Política de chaves padrão](key-policy-default.md).  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Escolha **Finish** (Concluir) para criar a chave do KMS de HMAC.

## Usando a AWS KMS API
<a name="create-keys-api"></a>

Você pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave HMAC KMS. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Ao criar uma chave do KMS de HMAC, você deve especificar o parâmetro `KeySpec`, que determina o tipo de chave do KMS. Além disso, você deve especificar um valor de GENERATE\$1VERIFY\$1MAC para `KeyUsage`, mesmo que seja o único valor válido de uso de chave para chaves de HMAC. Para criar uma chave do KMS de HMAC de [várias regiões](multi-region-keys-overview.md), adicione o parâmetro `MultiRegion` com um valor de `true`. Não é possível alterar essas propriedades depois que a chave do KMS é criada. 

A `CreateKey` operação não permite que você especifique um alias, mas você pode usar a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação para criar um alias para sua nova chave KMS. Recomendamos que você use um alias que identifique a chave do KMS como uma chave de HMAC, p. ex., `HMAC/test-key`. Isso facilitará a identificação das chaves HMAC no AWS KMS console, onde você pode classificar e filtrar as chaves por alias, mas não por especificação ou uso da chave.

Se você tentar criar uma chave HMAC KMS em uma Região da AWS na qual as chaves HMAC não sejam suportadas, a `CreateKey` operação retornará um `UnsupportedOperationException`

O exemplo a seguir usa a operação `CreateKey` para criar uma chave do KMS de HMAC de 512 bits.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

# Criar chaves primárias de várias regiões
<a name="create-primary-keys"></a>

Você pode criar uma [chave primária multirregional](multi-region-keys-overview.md#mrk-primary-key) no AWS KMS console ou usando a AWS KMS API. Você pode criar a chave primária em qualquer Região da AWS lugar que AWS KMS ofereça suporte a chaves multirregionais.

Para criar uma chave primária multirregional, o principal precisa das [mesmas permissões necessárias](create-keys.md#create-key-permissions) para criar qualquer chave KMS, incluindo a CreateKey permissão [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) em uma política do IAM. O diretor também precisa do [objetivo: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) permissão. Você pode usar a chave de MultiRegionKeyType condição [kms:](conditions-kms.md#conditions-kms-multiregion-key-type) para permitir ou negar permissão para criar chaves primárias multirregionais.

**nota**  
Ao criar sua chave primária multirregional, considere cuidadosamente os usuários e os perfis do IAM que você seleciona para administrar e usar a chave. As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usando o AWS KMS console
<a name="create-primary-console"></a>

Para criar uma chave primária multirregional no AWS KMS console, use o mesmo processo que você usaria para criar qualquer chave KMS. Selecione uma chave de várias regiões em **Advanced options** (Opções avançadas). Para obter instruções completas, consulte [Criar uma chave do KMS](create-keys.md).

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Create key (Criar chave)**.

1. Selecione um tipo de chave [simétrica ou assimétrica](symmetric-asymmetric.md). As chaves simétricas são o padrão.

   Você pode criar chaves simétricas e assimétricas de várias regiões, inclusive chaves do KMS de HMAC de várias regiões, que são simétricas. 

1. Selecione o uso da chave. **Encrypt and decrypt** (Criptografar e descriptografar) é o padrão.

   Para obter ajuda, consulte [Criar uma chave do KMS](create-keys.md), [Criar uma chave do KMS assimétrica](asymm-create-key.md) ou [Criar uma chave do KMS HMAC](hmac-create-key.md).

1. Expanda **Advanced options (Opções avançadas)**.

1. Em **Origem do material da chave**, para AWS KMS gerar o material de chave que suas chaves primária e de réplica compartilharão, escolha **KMS**. Se você estiver [importando material de chave](importing-keys-create-cmk.md) para chaves primárias e de réplica, escolha **External (Import key material)** (Externo [Importar material de chave]). 

1. Em **Regionalidade**, escolha **Chave de várias regiões**.

   Não será possível alterar essa configuração após a criação da chave do KMS. 

1. Digite um [alias](kms-alias.md) para a chave primária. 

   Aliases não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas o mesmo alias ou aliases diferentes. AWS KMS não sincroniza os aliases das chaves multirregionais.
**nota**  
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar aliases para controlar o acesso a chaves do KMS](alias-authorization.md).

1. (Opcional) Digite uma descrição da chave primária.

   Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma descrição ou descrições diferentes. AWS KMS não sincroniza as descrições das chaves de várias regiões.

1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para atribuir mais de uma etiqueta à chave primária, selecione **Add tag** (Adicionar etiqueta).

   Etiquetas não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à chave primária de várias regiões e suas réplicas as mesmas etiquetas ou etiquetas diferentes. AWS KMS não sincroniza as etiquetas de chaves de várias regiões. É possível alterar as etiquetas em chaves do KMS a qualquer momento.
**nota**  
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md).

1. Selecione os usuários e as funções do IAM que podem administrar a chave primária.
**Observações**  
Essa etapa inicia o processo de criação de uma [política de chaves](key-policies.md) para a chave primária. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma política de chaves ou políticas de chave diferentes. AWS KMS não sincroniza as principais políticas das chaves multirregionais. Você pode alterar a política de chaves de uma chave do KMS a qualquer momento.
Ao criar uma chave primária multirregional, considere usar a [política de chave padrão](key-policy-default.md) gerada pelo console. Se você modificar essa política, o console não fornecerá as etapas para selecionar os administradores e usuários das chaves ao criar chaves-réplicas, nem adicionará as instruções de política correspondentes. Assim sendo, você precisará adicioná-los manualmente.
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observações**  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Escolha **Finalizar** para criar a chave primária multirregional.

## Usando a AWS KMS API
<a name="create-primary-api"></a>

Para criar uma chave primária multirregional, use a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. Use também o parâmetro `MultiRegion` com um valor de `True`.

Por exemplo, o comando a seguir cria uma chave primária multirregional na chave do chamador ( Região da AWS us-east-1). Ele aceita valores padrão para todas as outras propriedades, incluindo a política de chaves. Os valores padrão para chaves primárias de várias regiões são os mesmos que os valores padrão para todas as outras chaves do KMS, incluindo a [política de chaves padrão](key-policy-default.md). Este procedimento cria uma chave de criptografia simétrica, a chave padrão do KMS. 

A resposta inclui o elemento `MultiRegion` e o elemento `MultiRegionConfiguration` com subelementos típicos e valores para uma chave primária de várias regiões sem chaves de réplica. O [ID de chave](concepts.md#key-id-key-id) de uma chave de várias regiões sempre começa com `mrk-`.

**Importante**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```

# Criar chaves de réplica de várias regiões
<a name="multi-region-keys-replicate"></a>

[Você pode criar uma [chave de réplica multirregional](multi-region-keys-overview.md#mrk-primary-key) no AWS KMS console, usando a [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operação ou usando um AWS::KMS::ReplicaKey CloudFormation modelo.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Você não pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave de réplica.

Você pode usar esses procedimentos para replicar qualquer chave primária de várias regiões, inclusive uma [chave do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks), uma [chave do KMS de criptografia assimétrica](symmetric-asymmetric.md) ou uma [chave do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash)](hmac.md).

Quando essa operação for concluída, a nova chave de réplica terá um [estado de chave](key-state.md) transitório de `Creating`. Esse estado de chave mudará para `Enabled` (ou `PendingImport` se você criar uma chave de várias regiões com [material de chave importado](importing-keys.md)) após alguns segundos quando o processo de criação da nova chave de réplica estiver concluído. Enquanto o estado da chave for `Creating`, você poderá gerenciar a chave, mas ainda não poderá usá-la em operações de criptografia. Se você estiver criando e usando a chave de réplica programaticamente, tente novamente `KMSInvalidStateException` ou ligue [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)para verificar seu `KeyState` valor antes de usá-la. 

Se você excluir uma chave de réplica por engano, poderá usar esse procedimento para recriá-la. Se você replicar a mesma chave primária na mesma região, a nova chave de réplica criada terá as mesmas [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) que a chave de réplica original.

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Para usar um AWS CloudFormation modelo para criar uma chave de réplica, consulte [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)o *Guia do AWS CloudFormation usuário*.

## Etapa 1: escolher regiões de réplica
<a name="replica-region"></a>

Normalmente, você opta por replicar uma chave multirregional em uma Região da AWS com base em seu modelo de negócios e requisitos regulatórios. Por exemplo, você pode replicar uma chave em regiões nas quais você mantém seus recursos. Ou, para atender a um requisito de recuperação de desastres, você pode replicar uma chave em regiões geograficamente distantes. 

A seguir estão os AWS KMS requisitos para regiões de réplica. Se a região escolhida não atender a esses requisitos, as tentativas de replicar uma chave falharão.
+ **Uma chave de várias regiões relacionada por região** — Não é possível criar uma chave de réplica na mesma região que a chave primária ou na mesma região que outra réplica da chave primária.

  Se você tentar replicar uma chave primária em uma região que já tenha uma réplica dessa chave primária, a tentativa falhará. Se a chave de réplica atual na região estiver no [estado de chave `PendingDeletion`](key-state.md), você poderá [cancelar a exclusão da chave de réplica](deleting-keys-scheduling-key-deletion.md) ou aguardar até que a chave de réplica seja excluída.
+ **Várias chaves de várias regiões não relacionadas na mesma região** — É possível ter várias chaves de várias regiões não relacionadas na mesma região. Por exemplo, você pode ter duas chaves primárias de várias regiões na região `us-east-1`. Cada uma das chaves primárias pode ter uma chave de réplica na região `us-west-2`.
+ **Regiões na mesma partição** — A região da chave de réplica deve estar na mesma [partição da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) que a região da chave primária.
+ **A região deve estar habilitada** — Se uma região estiver [desabilitada por padrão](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), você não poderá criar nenhum recurso nessa região até que ela esteja habilitada para a sua Conta da AWS. 

## Etapa 2: criar chaves de réplica
<a name="create-replica-keys"></a>

**nota**  
Ao criar chaves-réplicas, considere cuidadosamente os usuários e os perfis do IAM que você seleciona para administrar e usar a chave-réplica. As políticas do IAM podem conceder permissão para gerenciar a chave do KMS a outros usuários e funções do IAM.  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

### Usando o AWS KMS console
<a name="replicate-console"></a>

No AWS KMS console, você pode criar uma ou várias réplicas de uma chave primária multirregional na mesma operação. 

Esse procedimento é semelhante à criação de uma chave do KMS de região única padrão no console. No entanto, como uma chave de réplica é baseada na chave primária, você não seleciona valores para [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties), como a especificação da chave (simétrica ou assimétrica), o uso da chave ou a origem da chave. 

Você especifica propriedades que não são compartilhadas, incluindo alias, etiquetas, descrição e política de chaves. Por conveniência, o console mostra os valores de propriedade atuais da chave primária, mas é possível alterá-los. Mesmo que você mantenha os valores da chave primária, AWS KMS não os mantém sincronizados.

**Importante**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Customer managed keys** (Chaves gerenciadas de cliente).

1. Selecione o ID de chave ou alias de uma [chave primária de várias regiões](multi-region-keys-overview.md#mrk-primary-key). Isso abre a página de detalhes da chave do KMS.

   Para identificar uma chave primária de várias regiões, use o ícone de ferramenta no canto superior direito para adicionar a coluna **Regionality** (Regionalidade) à tabela.

1. Escolha a guia **Regionality** (Regionalidade).

1. Na seção **Related multi-Region keys** (Chaves de várias regiões relacionadas), selecione **Create new replica keys** (Criar novas chaves de réplica).

   A seção **Related multi-Region keys** (Chaves de várias regiões relacionadas) mostra a região da chave primária e suas chaves de réplica. Você pode usar essa tela para ajudar a escolher a região da sua nova chave de réplica.

1. Escolha uma ou mais Regiões da AWS. Esse procedimento cria uma chave de réplica em cada uma das regiões selecionadas. 

   O menu inclui somente regiões na mesma AWS partição da chave primária. As regiões que já têm uma chave de várias regiões relacionada são exibidas, mas podem ser selecionadas. Talvez você não tenha permissão para replicar uma chave em todas as regiões no menu.

   Quando terminar de escolher regiões, feche o menu. As regiões escolhidas são exibidas. Para cancelar a replicação em uma região, escolha a opção **X** ao lado do nome da região.

1. Digite um [alias](kms-alias.md) para a chave de réplica. 

   O console exibe um dos aliases atuais da chave primária, mas você pode alterá-lo. Você pode dar à chave primária de várias regiões e suas réplicas o mesmo alias ou alias diferentes. Os aliases não são uma [propriedade compartilhada das chaves](multi-region-keys-overview.md#mrk-sync-properties) multirregionais. AWS KMS não sincroniza os aliases das chaves multirregionais.

   Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar aliases para controlar o acesso a chaves do KMS](alias-authorization.md).

1. (Opcional) Digite uma descrição da chave de réplica.

   O console exibe a descrição atual da chave primária, mas é possível alterá-la. Descrições não são uma propriedade compartilhada de chaves de várias regiões. Você pode dar à sua chave primária multirregional e suas réplicas a mesma descrição ou descrições diferentes. AWS KMS não sincroniza as descrições das chaves de várias regiões.

1. (Opcional) Digite uma chave de etiqueta e um valor de etiqueta opcional. Para atribuir mais de uma etiqueta à chave de réplica, escolha **Add tag** (Adicionar etiqueta).

   O console mostra as etiquetas atualmente anexadas à chave primária, mas é possível alterá-las. Tags não são uma propriedade compartilhada de chaves de várias regiões. Você pode atribuir à sua chave primária multirregional e suas réplicas as mesmas tags ou tags diferentes. AWS KMS não sincroniza as tags das chaves multirregionais. 

   Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter mais detalhes, consulte [ABAC para AWS KMS](abac.md) e [Usar tags para controlar o acesso a chaves do KMS](tag-authorization.md).

1. Selecione os usuários e as funções do IAM que podem administrar a chave de réplica.
**Observações**  
 Se você modificou a política de chave padrão ao criar a chave primária multirregional, o console não solicitará que selecione os administradores ou usuários de chave (etapas 11 a 15) durante a criação da chave-réplica. Nesse caso, você precisará adicionar manualmente as permissões necessárias para administradores e usuários de chave à política de chave selecionando **Editar** na etapa **Editar política de chave** (etapa 17).
Essa etapa inicia o processo de criação de uma [política de chaves](key-policies.md) para a chave de réplica. O console exibe a política de chaves atual da chave primária, mas é possível alterá-la. Políticas de chaves não são uma propriedade compartilhada de chaves de várias regiões. Você pode fornecer à chave primária de várias regiões e suas réplicas a mesma política de chaves ou políticas de chave diferentes. O AWS KMS não sincroniza políticas de chaves. Você pode alterar a política de chaves de qualquer chave do KMS a qualquer momento.
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem usar a chave do KMS para [operações de criptografia](kms-cryptography.md#cryptographic-operations).
**Observação**  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na seção **Outras Contas da AWS**, no fim da página, escolha **Adicionar outra Conta da AWS** e insira o número de identificação de Conta da AWS de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Para permitir que as entidades principais de contas externas usem a chave do KMS, os administradores da conta externa devem criar políticas do IAM que forneçam essas permissões. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Escolha **Finalizar** para criar a chave-réplica multirregional.

### Usando a AWS KMS API
<a name="replicate-api"></a>

Para criar uma chave de réplica multirregional, use a [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operação. Você não pode usar a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave de réplica. Essa operação cria uma chave de réplica por vez. A região que você especificar deve estar em conformidade com os [Requisitos de região](#replica-region) para chaves de réplica.

Ao usar a operação `ReplicateKey`, não especifique valores para [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) de chaves de várias regiões. Valores de propriedades compartilhadas são copiados da chave primária e mantidos sincronizados. No entanto, é possível especificar valores para propriedades não compartilhadas. Caso contrário, AWS KMS aplica os valores padrão padrão para as chaves KMS, não os valores da chave primária.

**nota**  
Se você não especificar valores para os `Tags` parâmetros`Description`, ou`KeyPolicy`, AWS KMS cria a chave de réplica com uma descrição de string vazia, a [política de chaves padrão](key-policy-default.md) e sem tags.  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Por exemplo, o comando a seguir cria uma chave de várias regiões na região Ásia-Pacífico (Sydney) (ap-southeast-2). Essa chave de réplica é modelada na chave primária na região Leste dos EUA (Norte da Virgínia) (us-east-1), identificada pelo valor do parâmetro `KeyId`. Esse exemplo aceita valores padrão para todas as outras propriedades, incluindo a política de chaves.

A resposta descreve a nova chave de réplica. Ela inclui campos para propriedades compartilhadas, como `KeyId`, `KeySpec`, `KeyUsage` e a origem do material de chave (`Origin`). Ela também inclui propriedades que são independentes da chave primária, como `Description`, política de chaves (`ReplicaKeyPolicy`) e etiquetas (`ReplicaTags`). 

A resposta também inclui o ARN de chave e a região da chave primária e todas as suas chaves de réplica, incluindo aquela que acabou de ser criada na região ap-southeast-2. Neste exemplo, o elemento `ReplicaKey` mostra que essa chave primária já foi replicada na região Europa (Irlanda) (eu-west-1).

```
$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
```

# Criar uma chave do KMS com material de chave importado
<a name="importing-keys-conceptual"></a>

O material de chaves importadas permite que você proteja seus AWS recursos com as chaves criptográficas que você gera. A visão geral a seguir explica o processo para importar seu material de chaves para o AWS KMS. Para obter mais detalhes sobre cada etapa no processo, consulte o tópico correspondente.

1. [Crie uma chave do KMS sem material de chave](importing-keys-create-cmk.md) - A origem deve ser `EXTERNAL`. A origem da chave `EXTERNAL` indica que a chave foi projetada para material de chave importado e AWS KMS impede a geração de material de chave para a chave KMS. Em uma etapa posterior, você importará seu próprio material de chave para essa chave do KMS.

   O material da chave que você importa deve ser compatível com a especificação da AWS KMS chave associada. Para obter mais informações sobre compatibilidade, consulte [Requisitos para material de chave importada](#importing-keys-material-requirements).

1. [Baixar a chave pública de empacotamento e o token de importação](importing-keys-get-public-key-and-token.md) – depois de concluir a etapa 1, baixe uma chave publica de empacotamento e um token de importação. Esses itens protegem seu material principal enquanto ele é importado para AWS KMS o.

   Nesta etapa, você escolhe o tipo (“especificação de chave”) para a chave de empacotamento RSA e o algoritmo de empacotamento que você usará para criptografar os dados em trânsito para o AWS KMS. É possível escolher uma especificação de chave de empacotamento e um algoritmo de chave de empacotamento diferentes sempre que importar ou reimportar o mesmo material de chave. 

1. [Criptografar o material de chaves](importing-keys-encrypt-key-material.md) – use a chave pública de empacotamento baixada na etapa 2 para criptografar o material de chaves que você criou no seu próprio sistema.

1. [Importar o material de chaves](importing-keys-import-key-material.md) – carregue o material de chave criptografado que você criou na etapa 3 e o token de importação que você baixou na etapa 2.

   Nessa etapa, é possível [definir um prazo de validade opcional](importing-keys-import-key-material.md#importing-keys-expiration). Quando o material da chave importada expira, ele é AWS KMS excluído e a chave KMS fica inutilizável. Para continuar usando a chave do KMS, você deve reimportar o **mesmo** material de chave.

   Quando a operação de importação é concluída com êxito, o estado da chave KMS muda de `PendingImport` para `Enabled`. Agora, você pode usar suas chaves do KMS em operações de criptografia.

AWS KMS registra uma entrada em seu AWS CloudTrail registro quando você [cria a chave KMS, baixa a chave](ct-createkey.md) [pública de empacotamento e o token de importação](ct-getparametersforimport.md) [e importa o material da chave](ct-importkeymaterial.md). AWS KMS também registra uma entrada quando você exclui material de chave importado ou quando AWS KMS [exclui material de chave expirado](ct-deleteexpiredkeymaterial.md). 

## Permissões para importar material de chave
<a name="importing-keys-permissions"></a>

Para criar e gerenciar chaves do KMS com material de chave importado, o usuário precisa de permissão para as operações nesse processo. Você pode fornecer as permissões `kms:GetParametersForImport`, `kms:ImportKeyMaterial` e `kms:DeleteImportedKeyMaterial` na política de chaves ao criar a chave do KMS. No AWS KMS console, essas permissões são adicionadas automaticamente para administradores de chaves quando você cria uma chave com uma origem de material de chave **externa**.

Para criar chaves do KMS com material de chave importado, a entidade principal precisa das permissões a seguir.
+ [kms: CreateKey](customer-managed-policies.md#iam-policy-example-create-key) (política do IAM)
  + Para limitar essa permissão às chaves KMS com material de chave importado, use a condição [kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin) policy com um valor de. `EXTERNAL`

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (Política de chave ou política do IAM)
  + Para limitar essa permissão a solicitações que usam um algoritmo de empacotamento específico e uma especificação de chave de encapsulamento, use as condições de política [kms: WrappingAlgorithm e [kms](conditions-kms.md#conditions-kms-wrapping-key-spec):](conditions-kms.md#conditions-kms-wrapping-algorithm). WrappingKeySpec 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (Política de chave ou política do IAM)
  + Para permitir ou proibir o material chave que expira e controlar a data de expiração, use as condições da política [kms: ExpirationModel](conditions-kms.md#conditions-kms-expiration-model) e [kms](conditions-kms.md#conditions-kms-valid-to):. ValidTo

Para reimportar o material de chave importado, o diretor precisa das permissões [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) e [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html):. ImportKeyMaterial

Para excluir o material de chave importado, o diretor precisa de [kms: DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) permission.

Por exemplo, para permitir que o exemplo `KMSAdminRole` gerencie todos os aspectos de uma chave do KMS com material de chave importado, inclua uma declaração de política de chaves como a seguinte na política de chaves da chave do KMS.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Requisitos para material de chave importada
<a name="importing-keys-material-requirements"></a>

O material da chave que você importa deve ser compatível com a [especificação de chave](create-keys.md#key-spec) da chave do KMS correspondente. Para pares de chaves assimétricas, importe somente a chave privada do par. AWS KMS deriva a chave pública da chave privada.

AWS KMS suporta as seguintes especificações principais para chaves KMS com material de chave importado.
+ **Chaves de criptografia simétrica**
  + **Especificação de chave:**
    + SYMMETRIC\$1DEFAULT.
  + **Requisitos:**
    + 256 bits (32 bytes) de dados binários.
    + Nas regiões da China, elas devem ter 128 bits (16 bytes) de dados binários.
+ **Chaves de HMAC**
  + **Especificações de chave:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Requisitos:**
    + O material da chave de HMAC deve estar em conformidade com a [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104).
    + O tamanho da chave deve corresponder ao especificado pela especificação de chave. O tamanho máximo da chave é de 1024 bits.
    + Se o material da chave exceder 1024 bits, você poderá fazer o hash do material da chave e importar a saída do hash. O algoritmo de hash deve corresponder à especificação de chave do KMS HMAC que você está criando.
  + **Exemplo:**
    + Para importar 2048 bits de material de chave em uma chave HMAC\$1256, primeiro calcule o hash SHA-256 do material de chave de 2048 bits e, em seguida, importe a saída de hash de 256 bits resultante para a chave do KMS.
  + **Comprimentos de chave válidos:**
    + HMAC\$1224: 224 a 1024 bits
    + HMAC\$1256: 256 a 1024 bits
    + HMAC\$1384: 384 a 1024 bits
    + HMAC\$1512: 512 a 1024 bits
+ **Chave privada assimétrica RSA**
  + **Especificações de chave:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Requisitos:**
    + [A chave privada assimétrica RSA que você importa deve fazer parte de um par de chaves que esteja em conformidade com a RFC 3447.](https://datatracker.ietf.org/doc/html/rfc3447/)
    + **Módulo**: 2048 bits, 3072 bits ou 4096 bits
    + **Número de primes**: 2 (chaves RSA com vários primes não são compatíveis)
    + O material de chave assimétrica deve ser codificado em BER ou em DER no formato Public-Key Cryptography Standards (PKCS) n.º 8, compatível com a [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).
+ **Chave privada assimétrica de curva elíptica**
  + **Especificações de chave:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Requisitos:**
    + A chave privada assimétrica ECC que você importa deve fazer parte de um par de chaves que esteja em conformidade com a [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/).
    + **Curva:** NIST P-256, NIST P-384, NIST P-521, SECP256K1, NIST Ed25519.
    + **Parâmetros:** somente curvas nomeadas (chaves ECC com parâmetros explícitos são rejeitadas).
    + **Coordenadas de ponto público:** podem ser compactadas, não compactadas ou projetivas.
    + O material de chave assimétrica deve ser codificado em BER ou em DER no formato Public-Key Cryptography Standards (PKCS) n.º 8, compatível com a [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).
+ **Chave ML-DSA**
  + **Especificações de chave:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**Importante**  
A importação de chaves ML-DSA não é compatível.
+ **SM2 chave privada assimétrica** (somente regiões da China)
  + **Requisitos:**
    + A chave privada SM2 assimétrica que você importa deve fazer parte de um par de chaves que esteja em conformidade com 0003. GM/T 
    + **Curva:** SM2.
    + **Parâmetros:** somente curva nomeada (SM2 chaves com parâmetros explícitos são rejeitadas).
    + **Coordenadas de ponto público:** podem ser compactadas, não compactadas ou projetivas.
    + O material de chave assimétrica deve ser codificado em BER ou em DER no formato Public-Key Cryptography Standards (PKCS) n.º 8, compatível com a [RFC 5208](https://datatracker.ietf.org/doc/html/rfc5208).

# Etapa 1: criar um material AWS KMS key sem chave
<a name="importing-keys-create-cmk"></a>

Por padrão, AWS KMS cria material de chave para você quando você cria uma chave KMS. Se preferir importar seu próprio material de chave, comece criando uma chave do KMS sem material de chave. Em seguida, importe o material de chave. Para criar uma chave KMS sem material de chave, use o AWS KMS console ou a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.

Para criar uma chave sem material de chave, especifique uma [origem](create-keys.md#key-origin) como `EXTERNAL`. A propriedade de origem de uma chave do KMS é imutável. Depois de criá-la, você não poderá converter uma chave KMS projetada para material de chave importado em uma chave KMS com material de chave de AWS KMS ou de qualquer outra fonte.

O [key state](key-state.md) (estado de chave) de uma chave do KMS com uma origem `EXTERNAL` e sem material chave é `PendingImport`. Uma chave do KMS pode permanecer no estado `PendingImport` indefinidamente. No entanto, não é possível usar uma chave do KMS no estado `PendingImport` em operações criptográficas. Quando o material da chaves é importado, o estado da chave do KMS muda para `Enabled`, e você pode usar a chave do KMS em operações de criptografia.

AWS KMS registra um evento em seu AWS CloudTrail registro quando você [cria a chave KMS](ct-createkey.md), [baixa a chave pública e o token de importação](ct-getparametersforimport.md) [e importa o material da chave](ct-importkeymaterial.md). AWS KMS também registra um CloudTrail evento quando você [exclui material de chave importado](ct-deleteimportedkeymaterial.md) ou quando AWS KMS [exclui material de chave expirado](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Criar uma chave do KMS sem material de chave (console)](#importing-keys-create-cmk-console)
+ [Criação de uma chave KMS sem material de chave (AWS KMS API)](#importing-keys-create-cmk-api)

## Criar uma chave do KMS sem material de chave (console)
<a name="importing-keys-create-cmk-console"></a>

Você somente precisa criar uma chave do KMS para o material de chave importado uma vez. É possível importar reimportar o mesmo material de chaves para as chave s do KMS quantas vezes desejar, mas não é possível importar outro material de chaves para uma chave do KMS. Para obter detalhes, consulte [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

Para encontrar chaves do KMS existentes com material de chave importado em sua tabela **Customer managed keys** (Chaves gerenciadas pelo cliente), use o ícone de engrenagem no canto superior direito para mostrar a coluna **Origin** (Origem) na lista de chaves do KMS. As chaves importadas têm um valor **Origin** (Origem) **External** (Externo) (Importar material de chave).

Para criar uma chave do KMS com material de chave importado, comece seguindo as [instruções para criar uma chave do KMS do seu tipo de chave preferido](create-keys.md), com a exceção a seguir.

Depois de escolher o uso de chave, faça o seguinte:

1. Expanda **Advanced options (Opções avançadas)**.

1. Em **Key material origin** (Origem do material de chave), escolha **External (Import key material)** (Externo [material de chave importado]).

1. Marque a caixa de seleção ao lado de **I understand the security, availability, and durability implications of using an imported key** (Entendo as implicações de segurança, disponibilidade e durabilidade do uso de uma chave importada) para indicar que você compreende as implicações do uso de material de chaves importadas. Para ler sobre essas implicações, consulte [Proteger o material de chave importada](import-keys-protect.md).

1. Opcional: para criar uma [chave do KMS de várias regiões](multi-region-keys-overview.md) com material de chave importado, em **Regionalidade**, selecione **Chave de várias regiões**.

1. Retorne às instruções básicas. As etapas restantes do procedimento básico são as mesmas para todas as chaves do KMS desse tipo. 

Ao escolher **Concluir**, você criou uma chave do KMS sem material de chave e um status ([estado da chave](key-state.md)) de **importação pendente**. 

No entanto, em vez de retornar à tabela de **chaves gerenciadas pelo cliente**, o console exibirá uma página na qual é possível baixar a chave pública e o token de importação necessários para importar o material da chave. É possível continuar com a etapa de download agora ou escolher **Cancelar** para parar nesse momento. É possível retornar a essa etapa de download a qualquer momento.

Próximo: [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

## Criação de uma chave KMS sem material de chave (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Para usar a [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) para criar uma chave KMS de criptografia simétrica sem material de chave, envie uma [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)solicitação com o `Origin` parâmetro definido como. `EXTERNAL` O exemplo a seguir mostra como fazer isso com a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Quando o comando é bem-sucedido, a saída é semelhante à seguinte. A AWS KMS chave `Origin` é `EXTERNAL` e `KeyState` é`PendingImport`.

**dica**  
Se o comando não for bem-sucedido, você poderá ver uma `KMSInvalidStateException` ou `NotFoundException`. Você poderá repetir a solicitação.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copie o valor `KeyId` da saída do seu comando para usar em etapas posteriores e prossiga para [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

**nota**  
Esse comando cria uma chave do KMS de criptografia simétrica com uma `KeySpec` de `SYMMETRIC_DEFAULT` e `KeyUsage` de `ENCRYPT_DECRYPT`. É possível usar os parâmetros opcionais `--key-spec` e `--key-usage` para criar uma chave assimétrica ou HMAC KMS. Para obter mais informações, consulte a operação [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).

# Etapa 2: Fazer download da chave pública de empacotamento e do token de importação
<a name="importing-keys-get-public-key-and-token"></a>

Depois de [criar um material AWS KMS key sem chave](importing-keys-create-cmk.md), baixe uma chave pública de empacotamento e um token de importação para essa chave KMS usando o AWS KMS console ou a [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. A chave pública de empacotamento e o token de importação são um conjunto indivisível que deve ser usado em conjunto.

Você usará a chave pública de empacotamento para [criptografar seu material de chave](importing-keys-encrypt-key-material.md) para transporte. [Antes de baixar um par de chaves de agrupamento RSA, você seleciona o comprimento (especificação de chave) do par de chaves de encapsulamento RSA e o algoritmo de empacotamento que você usará para criptografar seu material de chave importado para transporte na etapa 3.](importing-keys-encrypt-key-material.md) AWS KMS também suporta a especificação da chave de SM2 embalagem (somente regiões da China).

Cada conjunto de chave pública de empacotamento e de token de importação é válido por 24 horas. Se você não usá-los para importar material de chaves em até 24 horas após o download, será necessário fazer download de um novo conjunto. É possível fazer download de uma nova chave pública de empacotamento e de conjuntos de tokens de empacotamento a qualquer momento. Isso permitirá que você altere o comprimento da chave de empacotamento RSA (“especificação da chave”) ou substitua um conjunto perdido.

Também é possível baixar uma chave pública de empacotamento e o conjunto de tokens de importação para [reimportar o mesmo material de chave](importing-keys-import-key-material.md#reimport-key-material) para uma chave do KMS. É possível fazer isso para definir ou alterar o tempo de expiração do material de chaves ou para restaurar o material de chaves expirado ou excluído. Você deve baixar e recriptografar seu material de chave toda vez que importá-lo para o. AWS KMS

**Uso da chave pública de empacotamento**  
O download inclui uma chave pública exclusiva para você Conta da AWS, também chamada de *chave pública de empacotamento*.  
Antes de importar o material da chave, você criptografa o material da chave com a chave de empacotamento pública e, em seguida, carrega o material da chave criptografada para. AWS KMS Ao AWS KMS receber seu material de chave criptografada, ele descriptografa o material de chave com a chave privada correspondente e, em seguida, recriptografa o material de chave sob uma chave simétrica AES, tudo dentro de um módulo de segurança de AWS KMS hardware (HSM).

**Uso do token de importação**  
O download inclui um token de importação que contém metadados para garantir que o seu material de chaves seja importado corretamente. Ao carregar seu material de chave criptografada para AWS KMS, você deve carregar o mesmo token de importação que você baixou nesta etapa.

## Selecionar uma especificação de chave pública de empacotamento
<a name="select-wrapping-key-spec"></a>

Para proteger seu material de chaves durante a importação, você o criptografa usando uma chave pública de agrupamento da qual você baixa e um AWS KMS algoritmo de [agrupamento](#select-wrapping-algorithm) compatível. Selecione uma especificação de chave antes de fazer download da chave pública de empacotamento e do token de importação. Todos os pares de chaves de empacotamento são gerados em módulos de segurança de AWS KMS hardware (HSMs). A chave privada nunca sai do HSM em texto simples.

**Especificações da chave de empacotamento RSA**  
A *especificação de chave* da chave pública de empacotamento determina o comprimento das chaves no par de chaves RSA que protege o material de chave durante o transporte para o AWS KMS. Em geral, recomendamos o uso da chave pública de empacotamento mais longa possível. Oferecemos várias especificações de chave pública de embalagem para oferecer suporte a uma variedade de gerenciadores HSMs de chaves.  
AWS KMS suporta as seguintes especificações principais para as chaves de empacotamento RSA usadas para importar material de chaves de todos os tipos, exceto conforme indicado.   
+ RSA\$14096 (recomendado)
+ RSA\$13072
+ RSA\$12048
**nota**  
A combinação a seguir NÃO é compatível: material de chave ECC\$1NIST\$1P521, especificação de chave de empacotamento pública RSA\$12048 e um algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1\$1.  
Não é possível empacotar diretamente o material de chave ECC\$1NIST\$1P521 com uma chave de empacotamento pública RSA\$12048. Use uma chave de empacotamento maior ou um algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 especificação da chave de embalagem (somente regiões da China)**  
AWS KMS suporta a seguinte especificação de chave para as chaves de SM2 empacotamento usadas para importar material de chave assimétrico.  
+ SM2

## Selecionar um algoritmo de empacotamento
<a name="select-wrapping-algorithm"></a>

Para proteger o material de chaves durante a importação, criptografe-o usando a chave pública de empacotamento baixada e um algoritmo de empacotamento. 

AWS KMS suporta vários algoritmos de empacotamento RSA padrão e um algoritmo de empacotamento híbrido de duas etapas. Em geral, recomendamos usar o algoritmo de empacotamento mais seguro que seja compatível com o material da chave importada e com a [especificação da chave de empacotamento](#select-wrapping-key-spec). Normalmente, você escolhe um algoritmo que é compatível com o módulo de segurança de hardware (HSM) ou com o sistema de gerenciamento de chaves que protege o material de chaves.

A tabela a seguir mostra os algoritmos de empacotamento compatíveis com cada tipo de material de chave e chave do KMS. Os algoritmos estão listados em ordem de preferência.


| Material de chave | Algoritmo e especificação de empacotamento compatíveis | 
| --- | --- | 
| Chave de criptografia simétrica Chave AES de 256 bits    SM4 Chave de 128 bits (somente regiões da China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chave privada RSA assimétrica  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chave privada assimétrica de curva elíptica (ECC)   Não é possível usar os algoritmos de empacotamento RSAES\$1OAEP\$1SHA\$1\$1 com a especificação da chave de empacotamento RSA\$12048 para empacotar o material da chave ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chave SM2 privada assimétrica (somente regiões da China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chave de HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**nota**  
Os algoritmos de empacotamento `RSA_AES_KEY_WRAP_SHA_256` e `RSA_AES_KEY_WRAP_SHA_1` não são compatíveis em regiões da China.
+ `RSA_AES_KEY_WRAP_SHA_256` - Um algoritmo de empacotamento híbrido de duas etapas que combina a criptografia do seu material de chave com uma chave simétrica AES que você gera e, em seguida, criptografa a chave simétrica AES com a chave de empacotamento pública RSA baixada e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1256.

  É necessário um algoritmo de empacotamento `RSA_AES_KEY_WRAP_SHA_*` para empacotar material de chave privada RSA, exceto em regiões da China, nas quais é necessário usar o algoritmo de empacotamento `SM2PKE`.
+ `RSA_AES_KEY_WRAP_SHA_1` - Um algoritmo de empacotamento híbrido de duas etapas que combina a criptografia do seu material de chave com uma chave simétrica AES que você gera e, em seguida, criptografa a chave simétrica AES com a chave pública de empacotamento RSA baixada e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$11.

  É necessário um algoritmo de empacotamento `RSA_AES_KEY_WRAP_SHA_*` para empacotar material de chave privada RSA, exceto em regiões da China, nas quais é necessário usar o algoritmo de empacotamento `SM2PKE`.
+ `RSAES_OAEP_SHA_256` — O algoritmo de criptografia RSA com Preenchimento da criptografia assimétrica ideal (OAEP) e função de hash SHA-256.
+ `RSAES_OAEP_SHA_1` — O algoritmo de criptografia RSA com Preenchimento da criptografia assimétrica ideal (OAEP) e função de hash SHA-1.
+ `RSAES_PKCS1_V1_5`(Obsoleto; em 10 de outubro de 2023, AWS KMS não oferece suporte ao algoritmo de encapsulamento RSAES\$1 PKCS1 \$1V1\$15) — O algoritmo de criptografia RSA com o formato de preenchimento definido no PKCS \$11 Versão 1.5.
+ `SM2PKE`(Somente regiões da China) — Um algoritmo de criptografia baseado em curva elíptica definido pela OSCCA em 0003.4-2012. GM/T 

**Topics**
+ [Selecionar uma especificação de chave pública de empacotamento](#select-wrapping-key-spec)
+ [Selecionar um algoritmo de empacotamento](#select-wrapping-algorithm)
+ [Fazer download da chave pública de empacotamento e do token de importação (console)](#importing-keys-get-public-key-and-token-console)
+ [Baixando a chave pública de empacotamento e o token de importação (AWS KMS API)](#importing-keys-get-public-key-and-token-api)

## Fazer download da chave pública de empacotamento e do token de importação (console)
<a name="importing-keys-get-public-key-and-token-console"></a>

Você pode usar o AWS KMS console para baixar a chave pública de empacotamento e o token de importação.

1. Se você acabou de concluir as etapas para [criar uma chave do KMS sem material de chave](importing-keys-create-cmk.md#importing-keys-create-cmk-console) e está na página **Download wrapping key and import token** (Baixar chave de empacotamento e token de importação), vá para [Step 10](#id-wrap-step).

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
**dica**  
É possível importar material de chave somente para uma chave do KMS simétrica com uma **Origin** (Origem) de **External (Import key material)** (Externa [Importar material de chave]). Isso indica que a chave do KMS foi criada sem material de chave. Para adicionar a coluna **Origin (Origem)** à tabela, no canto superior direito da página, selecione o ícone de configurações (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/console-icon-settings-new.png)). Ative **Origin (Origem)** e escolha **Confirm (Confirmar)**.

1. Escolha o alias ou o ID da chave do KMS com importação pendente.

1. Expanda a seção **Cryptographic configuration** (Configuração criptográfica) e visualize seus valores. As guias estão abaixo da seção **General configuration** (Configuração geral).

   É possível importar material de chave somente para uma chave do KMS com uma **Origin** (Origem) de **External (Import key material)** (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte [Importação de material chave para AWS KMS chaves](importing-keys.md).

1. Escolha a guia apropriada com base no seu tipo de chave. 
   + Para chaves assimétricas e HMAC, escolha a guia Material da **chave**.
   + Para chaves de criptografia simétricas, escolha a guia **Material da chave e rotações.**

1. Escolha a ação de importação.
   + Para chaves assimétricas e HMAC, escolha **Importar** material de chave.
   + Para chaves de criptografia simétricas, escolha uma das seguintes opções:
     + **Importar material de chave inicial** (se nenhum material de chave tiver sido importado ainda)
     + **Importar novo material chave** (para adicionar novo material para rotação)
     + **Reimportar material chave** (disponível no menu **Ações** na tabela de materiais principais)
**nota**  
Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, importe o mesmo material de chave em cada chave de região de réplica.  
Para chaves multirregionais primárias, a tabela de **materiais principais** inclui uma coluna de **estado de importação da réplica** que exibe o status da importação em todas as regiões da réplica (por exemplo, “0 de 3 importados”). Escolha o valor do estado de importação da réplica para abrir um modal que mostre o status de importação de cada região da réplica. O modal fornece links de **importação de material de chave** para regiões de réplica onde o novo material de chave não foi importado.

1. Em **Selecionar especificação da chave de empacotamento**, escolha a configuração da sua chave do KMS. Após a criação dessa chave, não será possível alterar a especificação da chave. 

1. <a name="id-wrap-step"></a>Para **Select wrapping algorithm**, escolha a opção que você usará para criptografar o material de chaves. Para obter mais informações sobre as opções, consulte [Selecionar um algoritmo de empacotamento](#select-wrapping-algorithm).

1. Escolha **Download wrapping key and import token** (fazer download da chave de empacotamento e token de importação) e salve o arquivo. 

   Se houver a opção **Next (Próximo)**, para continuar o processo agora, selecione **Next (Próximo)**. Para continuar mais tarde, selecione **Cancel (Cancelar)**. 

1. Descompacte o arquivo `.zip` que você salvou na etapa anterior (`Import_Parameters_<key_id>_<timestamp>`).

   A pasta contém os seguintes arquivos:
   + Uma chave pública de empacotamento em um arquivo chamado `WrappingPublicKey.bin`.
   + Um token de importação em um arquivo chamado `ImportToken.bin`.
   + Um arquivo de texto chamado README.txt. Este arquivo contém informações sobre a chave pública de empacotamento, o algoritmo de encapsulamento a ser usado para criptografar o material de chaves e a data e hora em que a chave pública de empacotamento e o token de importação expiram.

1. Para continuar o processo, consulte [criptografe o material de chaves](importing-keys-encrypt-key-material.md). 

## Baixando a chave pública de empacotamento e o token de importação (AWS KMS API)
<a name="importing-keys-get-public-key-and-token-api"></a>

Para baixar a chave pública e o token de importação, use a [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Especifique a chave do KMS que será associada ao material de chave importado. Essa chave do KMS deve ter um valor de [Origem](create-keys.md#key-origin) de `EXTERNAL`.

**nota**  
Não é possível importar material de chave para chaves do KMS ML-DSA.

Este exemplo especifica o algoritmo de empacotamento `RSA_AES_KEY_WRAP_SHA_256`, a especificação de chave pública de empacotamento RSA\$13072 e um exemplo de ID de chave. Substitua esses valores de exemplo por valores válidos para download. Para o ID de chave, é possível usar o [ID da chave](concepts.md#key-id-key-id) ou o [ARN da chave](concepts.md#key-id-key-ARN), mas não um [alias do nome](concepts.md#key-id-alias-name) ou [alias do ARN](concepts.md#key-id-alias-ARN) nessa operação.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Quando o comando é bem-sucedido, a saída é semelhante à seguinte:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Para preparar os dados para a próxima etapa, o base64 decodifica a chave pública e o token de importação e salva os valores decodificados nos arquivos.

Para o base64 decodificar a chave pública e o token de importação:

1. Copie a chave pública codificada em base64 (representada *public key (base64 encoded)* na saída do exemplo), cole-a em um novo arquivo e salve o arquivo. Dê um nome descritivo ao arquivo, como `PublicKey.b64`.

1. Use o [OpenSSL](https://openssl.org/) para decodificar o conteúdo do arquivo base64 e salve os dados decodificados em um novo arquivo. O exemplo a seguir decodifica os dados no arquivo que você salvou na etapa anterior (`PublicKey.b64`) e salva a saída em um novo arquivo chamado `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Copie o token de importação codificado em base64 (representado *import token (base64 encoded)* na saída do exemplo), cole-o em um novo arquivo e salve o arquivo. Dê ao arquivo um nome descritivo, por exemplo `importtoken.b64`.

1. Use o [OpenSSL](https://openssl.org/) para decodificar o conteúdo do arquivo base64 e salve os dados decodificados em um novo arquivo. O exemplo a seguir decodifica os dados no arquivo que você salvou na etapa anterior (`ImportToken.b64`) e salva a saída em um novo arquivo chamado `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Vá para [Etapa 3: Criptografar o material de chave](importing-keys-encrypt-key-material.md).

# Etapa 3: Criptografar o material de chave
<a name="importing-keys-encrypt-key-material"></a>

Depois de [fazer download da chave pública e importar o token](importing-keys-get-public-key-and-token.md), criptografe seu material de chaves usando a chave pública que você baixou e o algoritmo de empacotamento que você especificou. Se precisar substituir a chave pública ou o token de importação, ou alterar o algoritmo de empacotamento, você deverá baixar uma nova chave pública e importar o token. Para obter informações sobre as chaves públicas e os algoritmos de empacotamento que AWS KMS oferecem suporte, consulte [Selecionar uma especificação de chave pública de empacotamento](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) e. [Selecionar um algoritmo de empacotamento](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm)

O material de chaves deve estar em formato binário. Para obter informações detalhadas, consulte [Requisitos para material de chave importada](importing-keys-conceptual.md#importing-keys-material-requirements).

**nota**  
Para pares de chaves assimétricas, criptografe e importe somente a chave privada. AWS KMS deriva a chave pública da chave privada.  
A combinação a seguir NÃO é compatível: material de chave ECC\$1NIST\$1P521, especificação de chave de empacotamento pública RSA\$12048 e um algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1\$1.  
Não é possível empacotar diretamente o material de chave ECC\$1NIST\$1P521 com uma chave de empacotamento pública RSA\$12048. Use uma chave de empacotamento maior ou um algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.  
Os algoritmos de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 e RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 não são compatíveis em regiões da China.

Geralmente, você criptografa o material de chaves ao exportá-lo do HSM (módulo de segurança de hardware) ou do sistema de gerenciamento de chaves. Para obter informações sobre como exportar material de chaves em formato binário, consulte a documentação do HSM ou do sistema de gerenciamento de chaves. Você também pode consultar a seção a seguir, que fornece uma demonstração da prova de conceito usando OpenSSL.

Ao criptografar o material de chaves, use o mesmo algoritmo de empacotamento que você especificou quando [fez download da chave pública e do token de importação](importing-keys-get-public-key-and-token.md). Para encontrar o algoritmo de empacotamento que você especificou, consulte o evento de CloudTrail log da [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)solicitação associada.

## Gerar material de chave para testes
<a name="importing-keys-example-key-material"></a>

Os comandos do OpenSSL a seguir geram material de chave de cada tipo compatível para testes. Esses exemplos são fornecidos somente para testes e proof-of-concept demonstrações. Para sistemas de produção, use um método mais seguro para gerar o material de chaves, como um módulo de segurança de hardware ou um sistema de gerenciamento de chaves.

Para converter as chaves privadas de pares de chaves assimétricas em formato codificado em DER, canalize o comando de geração de material de chave para o comando `openssl pkcs8` a seguir. O parâmetro `topk8` direciona o OpenSSL a usar uma chave privada como entrada e retornar uma chave formatada PKCS\$18. (O comportamento padrão é o oposto.) 

```
openssl pkcs8 -topk8 -outform der -nocrypt
```

Os comandos a seguir geram material de chave de teste para cada tipo de chave compatível.
+ Chave de criptografia simétrica (32 bytes)

  Esse comando gera uma chave simétrica de 256 bits (sequência aleatória de 32 bytes) e a salva no arquivo `PlaintextKeyMaterial.bin`. Não é necessário codificar esse material de chaves. 

  ```
  openssl rand -out PlaintextKeyMaterial.bin 32
  ```

  Somente nas regiões da China, você deve gerar uma chave simétrica de 128 bits (sequência aleatória de 16 bytes).

  ```
  openssl rand -out PlaintextKeyMaterial.bin 16
  ```
+ Chaves de HMAC

  Esse comando gera uma sequência de bytes aleatória do tamanho especificado. Não é necessário codificar esse material de chaves. 

  O comprimento da chave de HMAC deve corresponder ao comprimento definido pela especificação da chave do KMS. Por exemplo, se a chave do KMS for HMAC\$1384, você deverá importar uma chave de 384 bits (48 bytes).

  ```
  openssl rand -out HMAC_224_PlaintextKey.bin 28
  
  openssl rand -out HMAC_256_PlaintextKey.bin 32
  
  openssl rand -out HMAC_384_PlaintextKey.bin 48
  
  openssl rand -out HMAC_512_PlaintextKey.bin 64
  ```
+ Chaves privadas RSA

  ```
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
  ```
+ Chaves privadas ECC

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
  ```
+ SM2 chaves privadas (somente regiões da China)

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
  ```

## Exemplos de material de chave de criptografia com OpenSSL
<a name="importing-keys-encrypt-key-material-openssl"></a>

Os exemplos a seguir mostram como usar o [OpenSSL](https://openssl.org/) para criptografar seu material de chaves com a chave pública que você baixou. Para criptografar seu material de chave usando uma chave SM2 pública (somente para regiões da China), use a [`SM2OfflineOperationHelper`classe](offline-operations.md#key-spec-sm-offline-helper). Para obter mais informações sobre os tipos de material de chave compatíveis com cada algoritmo de empacotamento, consulte [Selecionar um algoritmo de empacotamento](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm).

**Importante**  
Esses exemplos são apenas uma demonstração da prova de conceito. Para sistemas de produção, use um método mais seguro (tal como um HSM ou sistema de gerenciamento de chaves comercial) para gerar e armazenar seu material de chaves.  
A combinação a seguir NÃO é compatível: material de chave ECC\$1NIST\$1P521, especificação de chave de empacotamento pública RSA\$12048 e um algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1\$1.  
Não é possível empacotar diretamente o material de chave ECC\$1NIST\$1P521 com uma chave de empacotamento pública RSA\$12048. Use uma chave de empacotamento maior ou um algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

------
#### [ RSAES\$1OAEP\$1SHA\$11 ]

AWS KMS suporta o RSAES\$1OAEP\$1SHA\$11 para chaves de criptografia simétricas (SYMMETRIC\$1DEFAULT), chaves privadas de curva elíptica (ECC), chaves privadas e chaves HMAC. SM2 

O RSAES\$1OAEP\$1SHA\$11 não é compatível com chaves privadas de RSA. Além disso, não é possível usar uma chave pública de empacotamento RSA\$12048 com nenhum algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1\$1 para empacotar uma chave privada ECC\$1NIST\$1P521 (secp521r1). Você dever usar uma chave pública de empacotamento maior ou um algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP.

O exemplo a seguir criptografa seu material de chaves com a [chave pública que você baixou](importing-keys-get-public-key-and-token.md) e com o algoritmo de encapsulamento RSAES\$1OAEP\$1SHA\$11 e o salva no arquivo `EncryptedKeyMaterial.bin`. 

Neste exemplo:
+ *`WrappingPublicKey.bin`* é o arquivo que contém a chave pública de empacotamento baixada. 
+ *`PlaintextKeyMaterial.bin`* é o arquivo que contém o material de chave que você está criptografando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` ou `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha1
```

------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]

AWS KMS suporta o RSAES\$1OAEP\$1SHA\$1256 para chaves de criptografia simétricas (SYMMETRIC\$1DEFAULT), chaves privadas de curva elíptica (ECC), chaves privadas e chaves HMAC. SM2 

O RSAES\$1OAEP\$1SHA\$1256 não é compatível com chaves privadas de RSA. Além disso, não é possível usar uma chave pública de empacotamento RSA\$12048 com nenhum algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1\$1 para empacotar uma chave privada ECC\$1NIST\$1P521 (secp521r1). Você dever usar uma chave pública maior ou um algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP.

O exemplo a seguir criptografa o material de chaves com a [chave pública que você baixou](importing-keys-get-public-key-and-token.md) e com o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1256 e o salva no arquivo `EncryptedKeyMaterial.bin`. 

Neste exemplo:
+ *`WrappingPublicKey.bin`* é o arquivo que contém a chave de empacotamento pública baixada. Se você fez download da chave pública do console, esse arquivo será chamado `wrappingKey_KMS key_key_ID_timestamp` (por exemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`). 
+ *`PlaintextKeyMaterial.bin`* é o arquivo que contém o material de chave que você está criptografando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` ou `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha256 \
    -pkeyopt rsa_mgf1_md:sha256
```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]

O algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 envolve duas operações de criptografia.

1. Criptografe o material de chaves com uma chave simétrica AES que você gera e um algoritmo de criptografia simétrica AES.

1. Criptografe a chave simétrica AES que você usou com a chave pública que você baixou e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$11.

O algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 requer OpenSSL versão 3.*x* ou superior.

1. 

**Gerar uma chave de criptografia simétrica AES de 256 bits**

   Esse comando gera uma chave de criptografia simétrica AES que consiste em 256 bits aleatórios e a salva no arquivo `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Criptografar o material de chave com a chave de criptografia simétrica AES**

   Esse comando criptografa o material da chave com a chave de criptografia simétrica AES e salva o material da chave criptografada no arquivo `key-material-wrapped.bin`.

   Neste comando de exemplo:
   + *`PlaintextKeyMaterial.bin`* é o arquivo que contém o material de chave que você está importando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` ou `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* é o arquivo que contém a chave de criptografia simétrica AES de 256 bits que você gerou no comando anterior.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Criptografar a chave de criptografia simétrica AES com a chave pública**

   Esse comando criptografa sua chave de criptografia simétrica AES com a chave pública que você baixou e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$11, a codifica em DER e a salva no arquivo `aes-key-wrapped.bin`. 

   Neste comando de exemplo:
   + *`WrappingPublicKey.bin`* é o arquivo que contém a chave de empacotamento pública baixada. Se você fez download da chave pública do console, esse arquivo será chamado `wrappingKey_KMS key_key_ID_timestamp` (por exemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`* é o arquivo que contém a chave de criptografia simétrica AES de 256 bits que você gerou no primeiro comando dessa sequência de exemplos.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha1 \
       -pkeyopt rsa_mgf1_md:sha1
   ```

1. 

**Gerar o arquivo a ser importado**

   Concatene o arquivo com o material da chave criptografada e o arquivo com a chave AES criptografada. Salve-os no arquivo `EncryptedKeyMaterial.bin`, que é o arquivo que você importará no [Etapa 4: Importar o material de chave](importing-keys-import-key-material.md).

   Neste comando de exemplo:
   + *`key-material-wrapped.bin`* é o arquivo que contém o material de chaves criptografado.
   + *`aes-key-wrapped.bin`* é o arquivo que contém a chave de criptografia AES criptografada.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]

O algoritmo de empacotamento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 envolve duas operações de criptografia.

1. Criptografe o material de chaves com uma chave simétrica AES que você gera e um algoritmo de criptografia simétrica AES.

1. Criptografe a chave simétrica AES que você usou com a chave pública que você baixou e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1256.

O algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1256 requer OpenSSL versão 3.*x* ou superior.

1. 

**Gerar uma chave de criptografia simétrica AES de 256 bits**

   Esse comando gera uma chave de criptografia simétrica AES que consiste em 256 bits aleatórios e a salva no arquivo `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Criptografar o material de chave com a chave de criptografia simétrica AES**

   Esse comando criptografa o material da chave com a chave de criptografia simétrica AES e salva o material da chave criptografada no arquivo `key-material-wrapped.bin`.

   Neste comando de exemplo:
   + *`PlaintextKeyMaterial.bin`* é o arquivo que contém o material de chave que você está importando, como `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` ou `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* é o arquivo que contém a chave de criptografia simétrica AES de 256 bits que você gerou no comando anterior.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Criptografar a chave de criptografia simétrica AES com a chave pública**

   Esse comando criptografa a chave de criptografia simétrica AES com a chave pública que você baixou e o algoritmo de empacotamento RSAES\$1OAEP\$1SHA\$1256, a codifica em DER e a salva no arquivo `aes-key-wrapped.bin`. 

   Neste comando de exemplo:
   + *`WrappingPublicKey.bin`* é o arquivo que contém a chave de empacotamento pública baixada. Se você fez download da chave pública do console, esse arquivo será chamado `wrappingKey_KMS key_key_ID_timestamp` (por exemplo, `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`
   + *`aes-key.bin`* é o arquivo que contém a chave de criptografia simétrica AES de 256 bits que você gerou no primeiro comando dessa sequência de exemplos.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha256 \
       -pkeyopt rsa_mgf1_md:sha256
   ```

1. 

**Gerar o arquivo a ser importado**

   Concatene o arquivo com o material da chave criptografada e o arquivo com a chave AES criptografada. Salve-os no arquivo `EncryptedKeyMaterial.bin`, que é o arquivo que você importará no [Etapa 4: Importar o material de chave](importing-keys-import-key-material.md).

   Neste comando de exemplo:
   + *`key-material-wrapped.bin`* é o arquivo que contém o material de chaves criptografado.
   + *`aes-key-wrapped.bin`* é o arquivo que contém a chave de criptografia AES criptografada.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------

Vá para [Etapa 4: Importar o material de chave](importing-keys-import-key-material.md).

# Etapa 4: Importar o material de chave
<a name="importing-keys-import-key-material"></a>

Depois de [criptografar o material de chave](importing-keys-encrypt-key-material.md), você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de [Etapa 3: Criptografar o material de chave](importing-keys-encrypt-key-material.md) e o token de importação que você baixou em [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md). É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você [baixou a chave pública e o token de importação](importing-keys-get-public-key-and-token.md). Quando o material da chaves é importado com êxito, o [estado da chave](key-state.md) da chave do KMS muda para `Enabled`, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, é possível [definir uma hora de expiração opcional](#importing-keys-expiration) para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve [reimportar](#reimport-key-material) o mesmo material de chave.

Em todas as chaves do KMS com a origem `EXTERNAL`, o primeiro material de chave importado se torna atual e permanentemente associado a ela. Chaves de criptografia simétricas com suporte de `EXTERNAL` origem para rotação sob demanda. Você pode associar vários materiais de chave a chaves importadas compatíveis com rodízio sob demanda. O processo de importação de novo material de chave é diferente para chaves de região única e de várias regiões, conforme descrito na seção [Importar novo](#import-new-key-material) material de chave. Você deve definir o `importType` parâmetro como `NEW_KEY_MATERIAL` com a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)ação para associar o novo material de chave a uma chave KMS. O valor padrão do parâmetro opcional `ImportType` é `EXISTING_KEY_MATERIAL`. Quando você omite o parâmetro `ImportType` ou o especifica como `EXISTING_KEY_MATERIAL`, é necessário importar um material de chave previamente associado à chave do KMS.

Para chaves assimétricas ou HMAC KMS com `EXTERNAL` origem, somente um material de chave pode ser associado à chave. AWS KMS rejeitará solicitações de [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API com o `ImportType` parâmetro.

Quando todos os materiais de chave permanentemente associados a uma chave do KMS são importados, a chave do KMS fica disponível para uso em operações criptográficas. Se algum desses materiais de chave for excluído ou deixado expirar, o estado da chave do KMS mudará para `PendingImport` e a chave ficará inutilizável para operações criptográficas.

Para importar material chave, você pode usar o [AWS KMS console](#importing-keys-import-key-material-console) ou a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Você pode usar a API diretamente fazendo solicitações HTTP ou usando um [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)ou [Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Quando você importa o material da chave, uma [ImportKeyMaterialentrada](ct-importkeymaterial.md) é adicionada ao seu AWS CloudTrail registro para registrar a `ImportKeyMaterial` operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.

## Definir um prazo de validade (opcional)
<a name="importing-keys-expiration"></a>

Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera [estado de chave](key-state.md#key-state-table) da chave do KMS para `PendingImport`, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve [reimportar uma cópia do material de chave original](#reimport-key-material). 

Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis. 

Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos [definir um alarme](imported-key-material-expiration-alarm.md) para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que [importam (e reimportam) material de chave e excluem material](ct-importkeymaterial.md) [de chave importado, e a AWS KMS operação para excluir material](ct-deleteimportedkeymaterial.md) [de chave expirado](ct-deleteexpiredkeymaterial.md).

AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode [excluir](importing-keys-delete-key-material.md) e [reimportar](#reimport-key-material) o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.

Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade reimportando o material de chave. Use o `ExpirationModel` parâmetro de [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)para ativar (`KEY_MATERIAL_EXPIRES`) e desativar a expiração (`KEY_MATERIAL_DOES_NOT_EXPIRE`) e o `ValidTo` parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.

## Definir descrição de material de chave
<a name="set-key-material-description"></a>

As chaves de criptografia simétricas com `EXTERNAL` origem podem ter vários materiais de chave associados a elas. Você pode especificar uma descrição opcional de material de chave ao importar o material de chave para essas chaves. A descrição pode ser usada para rastrear onde o material de chave correspondente é mantido a longo prazo no AWS KMS exterior. 

Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

## Importar novo material de chave
<a name="import-new-key-material"></a>

Primeiro você precisará importar um novo material de chave, não associado anteriormente à chave para realizar um rodízio sob demanda de uma chave do KMS de criptografia simétrica com material de chave importado.
+ **Chaves de região única**
  + Use a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação com o `ImportType` parâmetro definido `NEW_KEY_MATERIAL` para realizar essa tarefa. Esse material de chave não é associado permanentemente à chave até que você execute a [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação ou gire a chave no Console de gerenciamento da AWS. Até lá, esse material de chave fica no estado `PENDING_ROTATION`. Uma chave do KMS nunca pode ter mais que um material de chave no estado `PENDING_ROTATION`. Um material de chave em `PENDING_ROTATION` estado pode ser excluído sem afetar a usabilidade da chave em operações criptográficas.
+ **Chaves de várias regiões**
  + Para importar material chave para uma chave multirregional, você deve primeiro importar o novo material chave para a chave de região primária. Você não pode importar diretamente novos materiais de chave para réplicas de chaves de região. Depois de importar o novo material de chave para a chave de região primária, você pode importar os mesmos materiais de chave para as réplicas de chaves de região.
  + Use a [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação com o `ImportType` parâmetro definido como **NEW\$1KEY\$1MATERIAL** para a chave de região primária para realizar essa tarefa. Para a chave de região da réplica, use o **EXISTING\$1KEY\$1MATERIAL** parâmetro `ImportType` para a `ImportKeyMaterial` operação.
  + O material chave para chaves multirregionais de criptografia simétrica deve ser importado para todas as chaves de região de réplica e chaves de região primárias antes que o estado do material da chave mude para estado. `PENDING_ROTATION` Até lá, o estado do novo material chave é`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. Uma chave KMS pode ter no máximo um material de chave `PENDING_ROTATION` ou `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` estado a qualquer momento (veja a `KeyMaterialState` descrição em [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Um material de chave em `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` ou `PENDING_ROTATION` estado não está associado permanentemente à chave e pode ser excluído sem afetar a usabilidade da chave em operações criptográficas. 

## Reimportar material de chave
<a name="reimport-key-material"></a>

Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.

Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.

Os procedimentos para reimportar material de chave são iguais ao procedimento que você usou para importar o material de chave a primeira vez, com as exceções a seguir.
+ Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a [Etapa 1](importing-keys-create-cmk.md) do procedimento de importação.
+ Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração. Para chaves de criptografia simétricas, você também pode alterar a descrição do material da chave.

  Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

Cada vez que você importa o material de chave para uma chave do KMS, é necessário [baixar e usar uma nova chave de empacotamento e token de importação](importing-keys-get-public-key-and-token.md) da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.

## Importar o material de chave (console)
<a name="importing-keys-import-key-material-console"></a>

Você pode usar o Console de gerenciamento da AWS para importar material chave.

1. Se você estiver na página **Upload your wrapped key material** (Fazer upload de chave empacotada), vá para [Step 10](#id-key-materials-step).

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

1. Expanda a seção **Cryptographic configuration** (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção **General configuration** (Configuração geral).

   É possível importar material de chaves somente para uma chave do KMS com uma **Origin** (Origem) de **External (Import key material)** (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte [Importação de material chave para AWS KMS chaves](importing-keys.md).

1. Escolha a guia apropriada com base no seu tipo de chave.
   + Para chaves assimétricas e HMAC, escolha a guia Material da **chave**.
   + Para chaves de criptografia simétricas, escolha a guia **Material da chave e rotações.**

1. Escolha a ação de importação.
   + Para chaves assimétricas e HMAC, escolha **Importar** material de chave.
   + Para chaves de criptografia simétricas, escolha uma das seguintes opções:
     + **Importar material de chave inicial** (se nenhum material de chave tiver sido importado ainda)
     + **Importar novo material chave** (para adicionar novo material para rotação)
     + **Reimportar material chave** (disponível no menu **Ações** na tabela de materiais principais)
**nota**  
Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, importe o mesmo material de chave em cada chave de região de réplica.  
Para chaves multirregionais primárias, a tabela de **materiais principais** inclui uma coluna de **estado de importação da réplica** que exibe o status da importação em todas as regiões da réplica (por exemplo, “0 de 3 importados”). Escolha o valor do estado de importação da réplica para abrir um modal que mostre o status de importação de cada região da réplica. O modal fornece links de **importação de material de chave** para regiões de réplica onde o novo material de chave não foi importado.

1. Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha **Next** (Avançar).
**nota**  
Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, você pode importar o mesmo material de chave para as chaves de região da réplica.

1. <a name="id-key-materials-step"></a>Na seção **Encrypted key material and import token** (Material de chave criptografada e token de importação), faça o seguinte:

   1. Em **Wrapped key material** (material de chave empacotada), escolha **Choose file** (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado). 

   1. Em **Import token** (Importar token), escolha **Choose file** (Escolher arquivo). Faça upload do arquivo que contém o token de importação [obtido por download](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. Na seção **Expiration option (Opção de expiração)**, determine se o material de chave expira. Para definir uma data e hora de expiração, escolha **Key material expires (O material de chaves expira)**, e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

1. Para chaves de criptografia simétrica, você tem a opção de especificar uma descrição para o material da chave que está sendo importado. 

1. Escolha **Importar material de chave**.

## Importar material chave (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Para importar material chave, use a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação. O exemplo a seguir usa a [AWS CLI](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

1. Substitua `1234abcd-12ab-34cd-56ef-1234567890ab` pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). Você não pode usar um [nome de alias](concepts.md#key-id-alias-name) ou [ARN de alias](concepts.md#key-id-alias-ARN) para esta operação.

1. Substitua `EncryptedKeyMaterial.bin` pelo nome do arquivo que contém o material de chaves criptografado.

1. Substitua `ImportToken.bin` pelo nome do arquivo que contém o token de importação.

1. Se você quiser que o material da chave importada expire, defina o valor do parâmetro `expiration-model` para seu valor padrão, `KEY_MATERIAL_EXPIRES`, ou omita o parâmetro `expiration-model`. Em seguida, substitua o valor do parâmetro `valid-to` com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Se você não quiser que o material da chave importada expire, defina o valor do parâmetro `expiration-model` como `KEY_MATERIAL_DOES_NOT_EXPIRE` e omita o parâmetro `valid-to` do comando.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Se você quiser importar novo material de chave, não associado anteriormente à chave do KMS, defina o parâmetro `ImportType` como `NEW_KEY_MATERIAL`. Essa opção só pode ser usada com chaves de criptografia simétricas. Para essas chaves, você também pode usar o parâmetro opcional `KeyMaterialDescription` para definir uma descrição para o material de chave importado no seguinte exemplo de linha de comando: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

**dica**  
Se o comando não for bem-sucedido, você poderá ver uma `KMSInvalidStateException` ou `NotFoundException`. Você poderá repetir a solicitação.

# Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves
<a name="create-cmk-keystore"></a>

Depois de criar um armazenamento de AWS CloudHSM chaves, você pode criar AWS KMS keys em seu armazenamento de chaves. Elas devem ser [chaves KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) com material de chave gerado AWS KMS . Não é possível criar [chaves do KMS assimétricas](symmetric-asymmetric.md), [chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash)](hmac.md) ou chaves do KMS com [material de chave importado](importing-keys.md) em um armazenamento personalizado de chave. Além disso, não é possível usar chaves do KMS de criptografia simétrica em um armazenamento personalizado de chaves para gerar pares de chaves assimétricos de dados. O KMS não pode se comunicar IPv6 com as AWS CloudHSM principais lojas.

Para criar uma chave KMS em um armazenamento de AWS CloudHSM chaves, o armazenamento de AWS CloudHSM chaves deve estar [conectado ao AWS CloudHSM cluster associado](connect-keystore.md) e o cluster deve conter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. Para encontrar o estado da conexão e o número de HSMs, consulte a [página de armazenamentos de AWS CloudHSM chaves](view-keystore.md#view-keystore-console) no Console de gerenciamento da AWS. Ao usar as operações da API, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação para verificar se o armazenamento de AWS CloudHSM chaves está conectado. Para verificar o número de ativos HSMs no cluster e suas zonas de disponibilidade, use a AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação.

Quando você cria uma chave KMS em seu armazenamento de AWS CloudHSM chaves, AWS KMS cria a chave KMS em. AWS KMS Porém, ele cria o material chave para a chave KMS no AWS CloudHSM cluster associado. Especificamente AWS KMS , entra no cluster como a [`kmsuser`UC que você criou](create-keystore.md#before-keystore). Em seguida, ele cria uma chave simétrica persistente e não extraível de AES (Advanced Encryption Standard) de 256 bits no cluster. O AWS KMS define o valor do [atributo de rótulo de chave](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), que é visível apenas no cluster, como o nome do recurso da Amazon (ARN) da chave do KMS.

Quando o comando é bem-sucedido, o [estado de chave](key-state.md) da nova chave do KMS é `Enabled` e sua origem é `AWS_CLOUDHSM`. Não é possível alterar a origem de uma chave do KMS após a sua criação. Ao visualizar uma chave KMS em um armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação, você pode ver propriedades típicas, como ID da chave, estado da chave e data de criação. No entanto, você também pode ver o ID do armazenamento de chaves personalizado e (opcionalmente) o ID do cluster do AWS CloudHSM . 

Se sua tentativa de criar uma chave KMS no armazenamento de AWS CloudHSM chaves falhar, use a mensagem de erro para ajudá-lo a determinar a causa. Isso pode indicar que o armazenamento de AWS CloudHSM chaves não está conectado (`CustomKeyStoreInvalidStateException`) ou HSMs que o AWS CloudHSM cluster associado não tem os dois ativos necessários para essa operação (`CloudHsmClusterInvalidConfigurationException`). Para obter ajuda, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Para obter um exemplo do AWS CloudTrail registro da operação que cria uma chave KMS em um armazenamento de AWS CloudHSM chaves, consulte[CreateKey](ct-createkey.md).

## Criar uma nova chave do KMS em seu repositório de chaves do CloudHSM
<a name="create-key-keystore"></a>

Você pode criar uma chave KMS de criptografia simétrica no seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.

### Usando o AWS KMS console
<a name="create-cmk-keystore-console"></a>

Use o procedimento a seguir para criar uma chave KMS de criptografia simétrica em um armazenamento de AWS CloudHSM chaves. 

**nota**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Selecione **Symmetric (Simétrica)**.

1. Em **Key usage** (Uso da chave), a opção **Encrypt and decrypt** (Criptografar e descriptografar) é selecionada para você. Não altere essa opção. 

1. Escolha **Advanced options (Opções avançadas)**.

1. Em **Key material origin** (Origem do material de chave), escolha **AWS CloudHSM key store** (Armazenamento de chaves do ).

   Você não pode criar uma chave multirregional em um armazenamento de AWS CloudHSM chaves.

1. Escolha **Próximo**.

1. Selecione um repositório de AWS CloudHSM chaves para sua nova chave KMS. Para criar um novo armazenamento de AWS CloudHSM chaves, escolha **Criar armazenamento de chaves personalizado**.

   O armazenamento de AWS CloudHSM chaves selecionado deve ter o status **Conectado**. Seu AWS CloudHSM cluster associado deve estar ativo e conter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. 

   Para obter ajuda com a conexão de um armazenamento de AWS CloudHSM chaves, consulte[Desconectar um armazenamento de AWS CloudHSM chaves](connect-keystore.md). Para obter ajuda com a adição HSMs, consulte [Adicionar um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) no *Guia do AWS CloudHSM usuário*.

1. Escolha **Próximo**.

1. Digite um alias e uma descrição opcional para a chave do KMS.

1. (Opcional). Na página **Add Tags** (Adicionar etiquetas), adicione etiquetas que identificam ou categorizam a chave do KMS.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Na seção **Key Administrators** (Administradores de chaves), selecione os usuários e as funções do IAM que podem gerenciar a chave do KMS. Para obter mais informações, consulte [Permite que administradores de chaves administrem a chave do KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Observações**  
As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador `"Allow access for Key Administrators"` de instrução. A modificação desse identificador de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Para evitar que esses administradores de chaves excluam essa chave do KMS, desmarque a caixa na parte inferior da página para **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Na seção **Esta conta**, selecione os usuários e funções do IAM Conta da AWS que podem usar a chave KMS em operações [criptográficas](kms-cryptography.md#cryptographic-operations). Para obter mais informações, consulte [Permite que os usuários de chaves usem a chave do KMS](key-policy-default.md#key-policy-default-allow-users).
**Observações**  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.  
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração `"Allow use of the key"` e. `"Allow attachment of persistent resources"` A modificação desses identificadores de instrução pode afetar a forma como o console exibe as atualizações feitas na instrução.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na Contas da AWS seção **Outros** na parte inferior da página, escolha **Adicionar outro Conta da AWS** e insira o Conta da AWS ID de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Os administradores do outro também Contas da AWS devem permitir o acesso à chave KMS criando políticas do IAM para seus usuários. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Consulte as instruções da política de chave para a chave. Para fazer alterações na política de chave, selecione **Editar**.

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Quando terminar, escolha **Finish** (Terminar) para criar a chave.

Quando o procedimento for bem-sucedido, a tela mostrará a nova chave KMS no armazenamento de AWS CloudHSM chaves que você escolheu. Quando você escolhe o nome ou alias da nova chave KMS, a guia **Configuração criptográfica** em sua página de detalhes exibe a origem da chave KMS (**AWS CloudHSM**), o nome, a ID e o tipo do armazenamento de chaves personalizadas e a ID do cluster. AWS CloudHSM Se houver falha no procedimento, uma mensagem descrevendo a falha será exibida.

**dica**  
Para facilitar a identificação de chaves do KMS em um armazenamento de chaves personalizado, na página **Customer managed keys** (Chaves gerenciadas pelo cliente), adicione a coluna **Custom key store ID** (ID de armazenamento de chaves personalizado) à exibição. Clique no ícone de engrenagem no canto superior direito e selecione **Custom key store ID (ID de armazenamento de chaves personalizado)**. Para obter detalhes, consulte [Personalizar a exibição do console](viewing-console-customize.md).

### Usando a AWS KMS API
<a name="create-cmk-keystore-api"></a>

Para criar uma nova AWS KMS key (chave KMS) em seu armazenamento de AWS CloudHSM chaves, use a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. Use o parâmetro `CustomKeyStoreId` para identificar o armazenamento de chaves personalizado e especificar um valor de `Origin` da `AWS_CLOUDHSM`. 

Você também pode usar o parâmetro `Policy` para especificar uma política de chaves. Você pode alterar a política de chaves ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) e adicionar elementos opcionais, como uma [descrição](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e [tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), a qualquer momento.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

O exemplo a seguir começa com uma chamada para a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação para verificar se o armazenamento de AWS CloudHSM chaves está conectado ao AWS CloudHSM cluster associado. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. Para descrever somente um determinado armazenamento de AWS CloudHSM chaves, use seu `CustomKeyStoreName` parâmetro `CustomKeyStoreId` or (mas não ambos).

Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um ID válido.

**nota**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

O próximo comando de exemplo usa a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação para verificar se o AWS CloudHSM cluster associado ao `ExampleKeyStore` (cluster-1a23b4cdefg) tem pelo menos dois ativos. HSMs Se o cluster tiver menos de dois HSMs, a `CreateKey` operação falhará.

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

Este exemplo de comando usa a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave KMS em um armazenamento de AWS CloudHSM chaves. Para criar uma chave KMS em um armazenamento de AWS CloudHSM chaves, você deve fornecer o ID de armazenamento de chaves personalizado do armazenamento de AWS CloudHSM chaves e especificar um `Origin` valor de`AWS_CLOUDHSM`.

A resposta inclui o armazenamento IDs de chaves personalizadas e o AWS CloudHSM cluster. 

Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um ID válido.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```

# Criar uma chave do KMS em repositórios de chaves externos
<a name="create-xks-keys"></a>

Depois de [criar](create-xks-keystore.md) e [conectar](xks-connect-disconnect.md) seu armazenamento de chaves externo, você pode criar AWS KMS keys em seu armazenamento de chaves. Devem ser [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) com um valor de origem de **armazenamento de chaves externas** (`EXTERNAL_KEY_STORE`). Não é possível criar [chaves do KMS assimétricas](symmetric-asymmetric.md), [chaves do KMS de Hash-based message authentication code (HMAC – Código de autenticação de mensagem por hash)](hmac.md) ou chaves do KMS com [material de chave importado](importing-keys.md) em um armazenamento personalizado de chave. Além disso, não é possível usar chaves do KMS de criptografia simétrica em um armazenamento personalizado de chaves para gerar pares de chaves assimétricos de dados.

Uma chave do KMS em um armazenamento de chaves externas pode ter menor latência, durabilidade e disponibilidade do que uma chave do KMS padrão, pois depende de componentes localizados fora da AWS. Antes de criar ou usar uma chave do KMS em um armazenamento de chaves externas, verifique se você precisa de uma chave com propriedades de armazenamento de chaves externas.

**nota**  
Alguns gerenciadores de chaves externas fornecem um método mais simples de criar chaves do KMS em um armazenamento de chaves externas. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.

Para criar uma chave do KMS no armazenamento de chaves externas, especifique:
+ O ID do armazenamento de chaves externas.
+ A [origem do material de chave](create-keys.md#key-origin) do armazenamento de chaves externas (`EXTERNAL_KEY_STORE`).
+ O ID de uma [chave externa](keystore-external.md#concept-external-key) existente no [gerenciador de chaves externas](keystore-external.md#concept-ekm) associado a seu armazenamento de chaves externas. Essa chave externa serve como material de chave para a chave do KMS. Você pode alterar o ID da chave externa após criar a chave do KMS.

  AWS KMS fornece o ID da chave externa ao proxy externo do armazenamento de chaves nas solicitações de operações de criptografia e descriptografia. AWS KMS não pode acessar diretamente seu gerenciador de chaves externo ou qualquer uma de suas chaves criptográficas.

Além da chave externa, uma chave KMS em um armazenamento de chaves externo também tem material de AWS KMS chave. Todos os dados criptografados sob a chave KMS são primeiro criptografados AWS KMS usando o material de chave da AWS KMS chave e, em seguida, pelo seu gerenciador de chaves externo usando sua chave externa. Esse processo de [criptografia dupla](keystore-external.md#concept-double-encryption) garante que o texto cifrado protegido pela chave do KMS em um armazenamento de chaves externas seja pelo menos tão forte quanto o texto cifrado protegido somente pelo AWS KMS. Para obter detalhes, consulte [Como funcionam os armazenamentos de chaves externas](keystore-external.md#xks-how-it-works).

Quando a operação `CreateKey` é bem-sucedida, o [estado da chave](key-state.md) da nova chave do KMS é `Enabled`. Quando você [visualiza uma chave do KMS em um repositório de chaves externo](identify-key-types.md#view-xks-key), pode ver as propriedades comuns, como ID da chave, [especificação da chave](create-keys.md#key-spec), [uso da chave](create-keys.md#key-usage), [estado da chave](key-state.md) e a data da criação. Mas você também pode ver o ID e o [estado da conexão](xks-connect-disconnect.md#xks-connection-state) do armazenamento de chaves externas e o ID da chave externa.

Se ocorrer uma falha na tentativa de criar uma chave do KMS no seu armazenamento de chaves externas, use a mensagem de erro para identificar a causa. Isso pode indicar que o armazenamento de chaves externas não está conectado (`CustomKeyStoreInvalidStateException`), que o proxy de armazenamento de chaves externas não consegue encontrar uma chave externa com o ID da chave externa especificada (`XksKeyNotFoundException`) ou que a chave externa já está associada a uma chave do KMS no mesmo armazenamento de chaves externas `XksKeyAlreadyInUseException`.

Para obter um exemplo do AWS CloudTrail registro da operação que cria uma chave KMS em um armazenamento de chaves externo, consulte[CreateKey](ct-createkey.md).

**Topics**
+ [Requisitos para uma chave do KMS em um armazenamento de chaves externas](#xks-key-requirements)
+ [Criar uma nova chave do KMS em seu repositório de chaves externo](#create-key-xks)

## Requisitos para uma chave do KMS em um armazenamento de chaves externas
<a name="xks-key-requirements"></a>

Para criar uma chave do KMS em um armazenamento de chaves externas, as seguintes propriedades são obrigatórias no armazenamento de chaves externas, na chave do KMS e na chave externa que serve como material de chave de criptografia externa para a chave do KMS.

**Requisitos de armazenamento de chaves externas**
+ Deve estar conectado ao proxy de armazenamento de chaves externas.

  Para visualizar o [estado da conexão](xks-connect-disconnect.md#xks-connection-state) do armazenamento de chaves externas, consulte [Visualizar repositórios de chaves externos](view-xks-keystore.md). Para conectar o armazenamento de chaves externas, consulte [Conectar e desconectar repositórios de chaves externos](xks-connect-disconnect.md). 

**Requisitos de chaves do KMS**

Você não pode alterar essas propriedades após criar a chave do KMS.
+ Especificação da chave: SYMMETRIC\$1DEFAULT
+ Uso da chave: ENCRYPT\$1DECRYPT
+ Origem do material de chave: EXTERNAL\$1KEY\$1STORE
+ Várias regiões: FALSE

**Requisitos de chaves externas**
+ Chave de criptografia AES de 256 bits (256 bits aleatórios). O `KeySpec` da chave externa deve ser `AES_256`.
+ Habilitadas e disponíveis para uso. O `Status` da chave externa deve ser `ENABLED`.
+ Configurada para criptografia e descriptografia. O `KeyUsage` da chave externa deve incluir `ENCRYPT` e `DECRYPT`.
+ Usado somente com essa chave do KMS. Cada `KMS key` em um armazenamento de chaves externas deve estar associada a uma chave externa diferente.

  AWS KMS também recomenda que a chave externa seja usada exclusivamente para o armazenamento externo de chaves. Essa restrição facilita identificar e resolver problemas da chave.
+ Acessível pelo [proxy de armazenamento de chaves externas](keystore-external.md#concept-xks-proxy) para o armazenamento de chaves externas.

  Se o proxy de armazenamento de chaves externas não conseguir encontrar a chave usando o ID de chave externa especificado, a operação `CreateKey` falhará.
+ Pode lidar com o tráfego previsto que seu uso Serviços da AWS gera. AWS KMS recomenda que as chaves externas estejam preparadas para lidar com até 1800 solicitações por segundo.

## Criar uma nova chave do KMS em seu repositório de chaves externo
<a name="create-key-xks"></a>

Você pode criar uma nova chave KMS em seu armazenamento externo de chaves no AWS KMS console ou usando a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.

### Usando o AWS KMS console
<a name="create-xks-key-console"></a>

Há duas maneiras de criar uma chave do KMS em um armazenamento de chaves externas.
+ Método 1 (recomendado): escolha um armazenamento de chaves externas e crie uma chave do KMS nesse armazenamento de chaves externo.
+ Método 2: crie uma chave do KMS e indique que ela está em um armazenamento de chaves externo.

Se você usar o Método 1, em que escolhe seu armazenamento de chaves externo antes de criar sua chave, AWS KMS escolhe todas as propriedades de chave KMS necessárias para você e preenche a ID do seu armazenamento de chaves externo. Esse método evita erros que você possa cometer ao criar sua chave do KMS.

**nota**  
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

**Método 1 (recomendado): comece com o armazenamento de chaves externo**

Para usar esse método, escolha seu armazenamento de chaves externas e crie uma chave do KMS. O AWS KMS console escolhe todas as propriedades necessárias para você e preenche o ID do seu armazenamento de chaves externo. Esse método evita muitos erros que você possa cometer ao criar sua chave do KMS.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Armazenamentos de chaves personalizados), **External key stores** (Armazenamentos de chaves externas).

1. Escolha o nome do armazenamento de chaves externas.

1. No canto superior direito, escolha **Create a KMS key in this key store** (Criar uma chave do KMS neste armazenamento de chaves).

   Se o armazenamento de chaves externas *não* estiver conectado, você verá um aviso para conectá-lo. Se a tentativa de conexão falhar, será necessário resolver o problema e conectar o armazenamento de chaves externas antes de criar uma nova chave do KMS nele.

   Se o armazenamento de chaves externas estiver conectado, você será redirecionado para a página **Customer managed keys** (Chaves gerenciadas pelo cliente) para criar uma chave. Os valores de **Key configuration** (Configuração de chave) obrigatórios já foram escolhidos para você. Além disso, o ID de armazenamento de chaves personalizado do armazenamento de chaves externas está preenchido, mas é possível alterá-lo.

1. Insira o ID da [chave externa](keystore-external.md#concept-external-key) no [gerenciador de chaves externas](keystore-external.md#concept-ekm). Essa chave externa deve [atender aos requisitos](#xks-key-requirements) para uso com uma chave do KMS. Você não pode alterar o valor depois que a chave é criada.

   Se a chave externa tiver várias IDs, insira a ID da chave que o proxy do armazenamento de chaves externo usa para identificar a chave externa. 

1. Confirme que você pretende criar uma chave do KMS no armazenamento de chaves externas especificado.

1. Escolha **Próximo**.

   O restante desse procedimento é o mesmo que a [criação de uma chave do KMS padrão](create-keys.md). 

1. Digite um alias (obrigatório) e uma descrição (opcional) para a chave do KMS.

1. (Opcional). Na página **Add Tags** (Adicionar etiquetas), adicione etiquetas que identificam ou categorizam a chave do KMS.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Na seção **Key Administrators** (Administradores de chaves), selecione os usuários e as funções do IAM que podem gerenciar a chave do KMS. Para obter mais informações, consulte [Permite que administradores de chaves administrem a chave do KMS](key-policy-default.md#key-policy-default-allow-administrators).
**nota**  
As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

1. (Opcional) Para evitar que esses administradores de chaves excluam essa chave do KMS, desmarque a caixa de seleção **Allow key administrators to delete this key** (Permitir que os administradores de chaves excluam essa chave).

   Excluir uma chave do KMS é uma operação destrutiva e irreversível que pode tornar o texto cifrado irrecuperável. Você não pode recriar uma chave do KMS simétrica em um armazenamento de chaves externas, mesmo que você tenha o material de chave externa. No entanto, a exclusão de uma chave do KMS não afeta a chave externa associada. Para obter informações sobre como excluir uma chave do KMS de um repositório de chaves externo, consulte [Considerações especiais para a exclusão de chaves](deleting-keys.md#special-considerations-delete).

1. Escolha **Próximo**.

1. Na seção **Esta conta**, selecione os usuários e funções do IAM Conta da AWS que podem usar a chave KMS em operações [criptográficas](kms-cryptography.md#cryptographic-operations). Para obter mais informações, consulte [Permite que os usuários de chaves usem a chave do KMS](key-policy-default.md#key-policy-default-allow-users).
**nota**  
As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.  
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na Contas da AWS seção **Outros** na parte inferior da página, escolha **Adicionar outro Conta da AWS** e insira o Conta da AWS ID de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Os administradores do outro também Contas da AWS devem permitir o acesso à chave KMS criando políticas do IAM para seus usuários. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Quando terminar, escolha **Finish** (Terminar) para criar a chave.

**Método 2: comece com chaves gerenciadas pelo cliente**

Esse procedimento é igual ao procedimento para criar uma chave de criptografia simétrica com material de AWS KMS chave. Mas, nesse procedimento, você especificará o ID de armazenamento de chaves personalizado do armazenamento de chaves externas e o ID da chave externa. Também é necessário especificar os [valores de propriedade obrigatórios](#xks-key-requirements) para uma chave do KMS em um armazenamento de chaves externas, como a especificação da chave e o uso da chave.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Selecione **Symmetric (Simétrica)**.

1. Em **Key usage** (Uso da chave), a opção **Encrypt and decrypt** (Criptografar e descriptografar) é selecionada para você. Não altere essa opção. 

1. Escolha **Advanced options (Opções avançadas)**.

1. Para **Key material origin** (Origem do material de chave), escolha **External key store** (Armazenamento de chaves externas).

1. Confirme que você pretende criar uma chave do KMS no armazenamento de chaves externas especificado.

1. Escolha **Próximo**.

1. Escolha a linha que representa o armazenamento de chaves externas para a nova chave do KMS. 

   Você pode escolher um armazenamento de chaves externas desconectado. Para conectar um armazenamento de chaves que esteja desconectado, escolha o nome do armazenamento de chaves e, em **Key store actions** (Ações do armazenamento de chaves), escolha **Connect** (Conectar). Para obter detalhes, consulte [Usando o AWS KMS console](about-xks-connecting.md#connect-xks-console).

1. Insira o ID da [chave externa](keystore-external.md#concept-external-key) no [gerenciador de chaves externas](keystore-external.md#concept-ekm). Essa chave externa deve [atender aos requisitos](#xks-key-requirements) para uso com uma chave do KMS. Você não pode alterar o valor depois que a chave é criada.

   Se a chave externa tiver várias IDs, insira a ID da chave que o proxy do armazenamento de chaves externo usa para identificar a chave externa. 

1. Escolha **Próximo**.

   O restante desse procedimento é o mesmo que a [criação de uma chave do KMS padrão](create-keys.md). 

1. Digite um alias e uma descrição opcional para a chave do KMS.

1. (Opcional). Na página **Add Tags** (Adicionar etiquetas), adicione etiquetas que identificam ou categorizam a chave do KMS.

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Etiquetas também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Etiquetas em AWS KMS](tagging-keys.md) e [ABAC para AWS KMS](abac.md). 

1. Escolha **Próximo**.

1. Na seção **Key Administrators** (Administradores de chaves), selecione os usuários e as funções do IAM que podem gerenciar a chave do KMS. Para obter mais informações, consulte [Permite que administradores de chaves administrem a chave do KMS](key-policy-default.md#key-policy-default-allow-administrators).
**nota**  
As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.

1. (Opcional) Para evitar que esses administradores de chaves excluam essa chave do KMS, desmarque a caixa de seleção **Allow key administrators to delete this key** (Permitir que os administradores de chaves excluam essa chave).

   Excluir uma chave do KMS é uma operação destrutiva e irreversível que pode tornar o texto cifrado irrecuperável. Você não pode recriar uma chave do KMS simétrica em um armazenamento de chaves externas, mesmo que você tenha o material de chave externa. No entanto, a exclusão de uma chave do KMS não afeta a chave externa associada. Para obter informações sobre como excluir uma chave do KMS de um armazenamento de chaves externas, consulte [Excluir um AWS KMS key](deleting-keys.md).

1. Escolha **Próximo**.

1. Na seção **Esta conta**, selecione os usuários e funções do IAM Conta da AWS que podem usar a chave KMS em operações [criptográficas](kms-cryptography.md#cryptographic-operations). Para obter mais informações, consulte [Permite que os usuários de chaves usem a chave do KMS](key-policy-default.md#key-policy-default-allow-users).
**nota**  
As políticas do IAM podem conceder permissão para usar a chave do KMS a outros usuários e funções do IAM.

1. (Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa chave KMS para operações criptográficas. Para fazer isso, na Contas da AWS seção **Outros** na parte inferior da página, escolha **Adicionar outro Conta da AWS** e insira o Conta da AWS ID de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
**nota**  
Os administradores do outro também Contas da AWS devem permitir o acesso à chave KMS criando políticas do IAM para seus usuários. Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave do KMS](key-policy-modifying-external-accounts.md).

1. Escolha **Próximo**.

1. Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.

1. Quando terminar, escolha **Finish** (Terminar) para criar a chave.

Se o procedimento for bem-sucedido, a tela exibirá a nova chave do KMS no armazenamento de chaves externas que você escolheu. Ao escolher o nome ou alias para a nova chave do KMS, a guia **Cryptographic configuration** (Configuração criptográfica) da página de detalhes exibe a origem da chave do KMS (**External key store** [Armazenamento de chaves externas]), o nome, o ID e o tipo de armazenamento de chaves personalizado, o uso da chave e o status da chave externa. Se houver falha no procedimento, uma mensagem descrevendo a falha será exibida. Em , consulte [Solução de problemas de armazenamentos de chaves externas](xks-troubleshooting.md).

**dica**  
Para facilitar a identificação de chaves do KMS em um armazenamento de chaves personalizado, na página **Customer managed keys** (Chaves gerenciadas pelo cliente), adicione a coluna **Origin** (Origem) e **Custom key store ID** (ID de armazenamento de chaves personalizado) à exibição. Para alterar os campos da tabela, escolha o ícone de engrenagem no canto superior direito da página. Para obter detalhes, consulte [Personalizar a exibição do console](viewing-console-customize.md).

### Usando a AWS KMS API
<a name="create-xks-key-api"></a>

Para criar uma nova chave KMS em um armazenamento de chaves externo, use a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação. Os seguintes parâmetros são obrigatórios:
+ O valor de `Origin` deve ser `EXTERNAL_KEY_STORE`.
+ O parâmetro `CustomKeyStoreId` identifica o armazenamento de chaves externas. O [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) do armazenamento de chaves externas especificado deve ser `CONNECTED`. Para encontrar `CustomKeyStoreId` e `ConnectionState`, use a operação `DescribeCustomKeyStores`.
+ O parâmetro `XksKeyId` identifica a chave externa. Essa chave externa deve [atender aos requisitos](#xks-key-requirements) para associação com uma chave do KMS. 

Você também pode usar qualquer um dos parâmetros opcionais da operação `CreateKey`, como usar os parâmetros de `Policy` ou de [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) (Etiquetas).

**nota**  
Não inclua informações confidenciais ou sigilosas nos campos `Description` ou `Tags`. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Este exemplo de comando usa a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação para criar uma chave KMS em um armazenamento de chaves externo. A resposta inclui as propriedades das chaves do KMS, o ID do armazenamento de chaves externas e o ID, uso e status da chave externa.

Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um ID válido.

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```