

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 4: Importar o material de chave
<a name="importing-keys-import-key-material"></a>

Depois de [criptografar o material de chave](importing-keys-encrypt-key-material.md), você pode importá-lo para uso com uma AWS KMS key. Para importar o material de chaves, você faz upload do material de chaves criptografado de [Etapa 3: Criptografar o material de chave](importing-keys-encrypt-key-material.md) e o token de importação que você baixou em [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md). É necessário importar o material de chaves para a mesma chave do KMS que especificou quando você [baixou a chave pública e o token de importação](importing-keys-get-public-key-and-token.md). Quando o material da chaves é importado com êxito, o [estado da chave](key-state.md) da chave do KMS muda para `Enabled`, e você pode usar a chave do KMS em operações de criptografia.

Ao importar material de chaves, é possível [definir uma hora de expiração opcional](#importing-keys-expiration) para ele. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Depois de importar o material de chaves, você não pode definir, alterar ou cancelar a data de expiração da importação atual. Para alterar esses valores, você deve [reimportar](#reimport-key-material) o mesmo material de chave.

Em todas as chaves do KMS com a origem `EXTERNAL`, o primeiro material de chave importado se torna atual e permanentemente associado a ela. Chaves de criptografia simétricas com suporte de `EXTERNAL` origem para rotação sob demanda. Você pode associar vários materiais de chave a chaves importadas compatíveis com rodízio sob demanda. O processo de importação de novo material de chave é diferente para chaves de região única e de várias regiões, conforme descrito na seção [Importar novo](#import-new-key-material) material de chave. Você deve definir o `importType` parâmetro como `NEW_KEY_MATERIAL` com a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)ação para associar o novo material de chave a uma chave KMS. O valor padrão do parâmetro opcional `ImportType` é `EXISTING_KEY_MATERIAL`. Quando você omite o parâmetro `ImportType` ou o especifica como `EXISTING_KEY_MATERIAL`, é necessário importar um material de chave previamente associado à chave do KMS.

Para chaves assimétricas ou HMAC KMS com `EXTERNAL` origem, somente um material de chave pode ser associado à chave. AWS KMS rejeitará solicitações de [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API com o `ImportType` parâmetro.

Quando todos os materiais de chave permanentemente associados a uma chave do KMS são importados, a chave do KMS fica disponível para uso em operações criptográficas. Se algum desses materiais de chave for excluído ou deixado expirar, o estado da chave do KMS mudará para `PendingImport` e a chave ficará inutilizável para operações criptográficas.

Para importar material chave, você pode usar o [AWS KMS console](#importing-keys-import-key-material-console) ou a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Você pode usar a API diretamente fazendo solicitações HTTP ou usando um [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)ou [Ferramentas da AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Quando você importa o material da chave, uma [ImportKeyMaterialentrada](ct-importkeymaterial.md) é adicionada ao seu AWS CloudTrail registro para registrar a `ImportKeyMaterial` operação. A CloudTrail entrada é a mesma se você usa o AWS KMS console ou a AWS KMS API.

## Definir um prazo de validade (opcional)
<a name="importing-keys-expiration"></a>

Ao importar o material de chave para a chave do KMS, você pode definir uma data e hora de validade opcionais para o material de chave de até 365 dias a partir da data de importação. Quando o material de chave importado expira, ele é AWS KMS excluído. Essa ação altera [estado de chave](key-state.md#key-state-table) da chave do KMS para `PendingImport`, impedindo que ela seja usada em operações de criptografia. Para usar a chave do KMS, você deve [reimportar uma cópia do material de chave original](#reimport-key-material). 

Garantir que o material de chave importado expire com frequência pode ajudar a atender aos requisitos regulatórios, mas aumenta o risco dos dados criptografados sob a chave do KMS. Até que você reimporte uma cópia do material da chave original, uma chave do KMS com material de chave expirado ficará inutilizável, e todos os dados criptografados sob a chave do KMS ficarão inacessíveis. Se você não reimportar o material da chave por qualquer motivo, inclusive por perda da cópia do material da chave original, a chave do KMS ficará permanentemente inutilizável, e os dados criptografados sob a chave do KMS ficarão irrecuperáveis. 

Para reduzir esse risco, certifique-se de que sua cópia do material de chave importado esteja acessível e crie um sistema para excluir e reimportar o material de chaves antes que ele expire e interrompa sua carga de trabalho. AWS Recomendamos [definir um alarme](imported-key-material-expiration-alarm.md) para a expiração do material de chave importado, o que lhe dará tempo suficiente para reimportar o material da chave antes que ele expire. Você também pode usar seus CloudTrail registros para auditar operações que [importam (e reimportam) material de chave e excluem material](ct-importkeymaterial.md) [de chave importado, e a AWS KMS operação para excluir material](ct-deleteimportedkeymaterial.md) [de chave expirado](ct-deleteexpiredkeymaterial.md).

AWS KMS não pode restaurar, recuperar ou reproduzir o material de chave excluído. Em vez de definir um prazo de validade, você pode [excluir](importing-keys-delete-key-material.md) e [reimportar](#reimport-key-material) o material de chave importado de maneira programática periodicamente, mas os requisitos para reter uma cópia do material da chave original são os mesmos.

Ao importar o material de chave, você determina se o material de chave importado expirará e quando isso ocorrerá. Mas é possível ativar e desativar a expiração ou definir um novo prazo de validade reimportando o material de chave. Use o `ExpirationModel` parâmetro de [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)para ativar (`KEY_MATERIAL_EXPIRES`) e desativar a expiração (`KEY_MATERIAL_DOES_NOT_EXPIRE`) e o `ValidTo` parâmetro para definir o tempo de expiração. O tempo máximo é de 365 dias a partir da importação de dados. Não há mínimo, mas o tempo deve estar no futuro.

## Definir descrição de material de chave
<a name="set-key-material-description"></a>

As chaves de criptografia simétricas com `EXTERNAL` origem podem ter vários materiais de chave associados a elas. Você pode especificar uma descrição opcional de material de chave ao importar o material de chave para essas chaves. A descrição pode ser usada para rastrear onde o material de chave correspondente é mantido a longo prazo no AWS KMS exterior. 

Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

## Importar novo material de chave
<a name="import-new-key-material"></a>

Primeiro você precisará importar um novo material de chave, não associado anteriormente à chave para realizar um rodízio sob demanda de uma chave do KMS de criptografia simétrica com material de chave importado.
+ **Chaves de região única**
  + Use a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação com o `ImportType` parâmetro definido `NEW_KEY_MATERIAL` para realizar essa tarefa. Esse material de chave não é associado permanentemente à chave até que você execute a [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação ou gire a chave no Console de gerenciamento da AWS. Até lá, esse material de chave fica no estado `PENDING_ROTATION`. Uma chave do KMS nunca pode ter mais que um material de chave no estado `PENDING_ROTATION`. Um material de chave em `PENDING_ROTATION` estado pode ser excluído sem afetar a usabilidade da chave em operações criptográficas.
+ **Chaves de várias regiões**
  + Para importar material chave para uma chave multirregional, você deve primeiro importar o novo material chave para a chave de região primária. Você não pode importar diretamente novos materiais de chave para réplicas de chaves de região. Depois de importar o novo material de chave para a chave de região primária, você pode importar os mesmos materiais de chave para as réplicas de chaves de região.
  + Use a [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação com o `ImportType` parâmetro definido como **NEW\$1KEY\$1MATERIAL** para a chave de região primária para realizar essa tarefa. Para a chave de região da réplica, use o **EXISTING\$1KEY\$1MATERIAL** parâmetro `ImportType` para a `ImportKeyMaterial` operação.
  + O material chave para chaves multirregionais de criptografia simétrica deve ser importado para todas as chaves de região de réplica e chaves de região primárias antes que o estado do material da chave mude para estado. `PENDING_ROTATION` Até lá, o estado do novo material chave é`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. Uma chave KMS pode ter no máximo um material de chave `PENDING_ROTATION` ou `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` estado a qualquer momento (veja a `KeyMaterialState` descrição em [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Um material de chave em `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` ou `PENDING_ROTATION` estado não está associado permanentemente à chave e pode ser excluído sem afetar a usabilidade da chave em operações criptográficas. 

## Reimportar material de chave
<a name="reimport-key-material"></a>

Se você gerencia uma chave do KMS com material de chaves importado, talvez seja necessário importar novamente o material de chave. Você também reimportar o material de chave para substituir material de chave prestes a expirar ou excluído ou para alterar o modelo de expiração ou a data de validade do material de chave.

Você pode reimportar material da chave a qualquer momento, em qualquer programação que atenda aos seus requisitos de segurança. Não é necessário esperar até que o material da chave esteja expirando ou prestes a expirar.

Os procedimentos para reimportar material de chave são iguais ao procedimento que você usou para importar o material de chave a primeira vez, com as exceções a seguir.
+ Utilize uma chave do KMS existente em vez de criar uma nova. Você pode ignorar a [Etapa 1](importing-keys-create-cmk.md) do procedimento de importação.
+ Ao reimportar o material de chave, você pode alterar o modelo de expiração e data de expiração. Para chaves de criptografia simétricas, você também pode alterar a descrição do material da chave.

  Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

Cada vez que você importa o material de chave para uma chave do KMS, é necessário [baixar e usar uma nova chave de empacotamento e token de importação](importing-keys-get-public-key-and-token.md) da chave do KMS. O procedimento de empacotamento não afeta o conteúdo do material de chave, portanto você pode usar diferentes chaves públicas de empacotamento e diferentes algoritmos de empacotamento para importar o mesmo material de chave.

## Importar o material de chave (console)
<a name="importing-keys-import-key-material-console"></a>

Você pode usar o Console de gerenciamento da AWS para importar material chave.

1. Se você estiver na página **Upload your wrapped key material** (Fazer upload de chave empacotada), vá para [Step 10](#id-key-materials-step).

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha o alias ou o ID da chave do KMS para a qual você baixou a chave pública e o token de importação.

1. Expanda a seção **Cryptographic configuration** (Configuração criptográfica) e visualize seus valores. As guias estão na página de detalhes de uma chave do KMS, abaixo da seção **General configuration** (Configuração geral).

   É possível importar material de chaves somente para uma chave do KMS com uma **Origin** (Origem) de **External (Import key material)** (Externa [Importar material de chave]). Para obter informações sobre como criar chaves do KMS com material de chave importado, consulte [Importação de material chave para AWS KMS chaves](importing-keys.md).

1. Escolha a guia apropriada com base no seu tipo de chave.
   + Para chaves assimétricas e HMAC, escolha a guia Material da **chave**.
   + Para chaves de criptografia simétricas, escolha a guia **Material da chave e rotações.**

1. Escolha a ação de importação.
   + Para chaves assimétricas e HMAC, escolha **Importar** material de chave.
   + Para chaves de criptografia simétricas, escolha uma das seguintes opções:
     + **Importar material de chave inicial** (se nenhum material de chave tiver sido importado ainda)
     + **Importar novo material chave** (para adicionar novo material para rotação)
     + **Reimportar material chave** (disponível no menu **Ações** na tabela de materiais principais)
**nota**  
Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, importe o mesmo material de chave em cada chave de região de réplica.  
Para chaves multirregionais primárias, a tabela de **materiais principais** inclui uma coluna de **estado de importação da réplica** que exibe o status da importação em todas as regiões da réplica (por exemplo, “0 de 3 importados”). Escolha o valor do estado de importação da réplica para abrir um modal que mostre o status de importação de cada região da réplica. O modal fornece links de **importação de material de chave** para regiões de réplica onde o novo material de chave não foi importado.

1. Se você baixou o material da chave, o token de importação e criptografou o material da chave, escolha **Next** (Avançar).
**nota**  
Para chaves multirregionais, você deve primeiro importar o novo material de chave para a chave de região primária. Em seguida, você pode importar o mesmo material de chave para as chaves de região da réplica.

1. <a name="id-key-materials-step"></a>Na seção **Encrypted key material and import token** (Material de chave criptografada e token de importação), faça o seguinte:

   1. Em **Wrapped key material** (material de chave empacotada), escolha **Choose file** (Escolher arquivo). Faça upload do arquivo que contém o material de chaves encapsulado (criptografado). 

   1. Em **Import token** (Importar token), escolha **Choose file** (Escolher arquivo). Faça upload do arquivo que contém o token de importação [obtido por download](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. Na seção **Expiration option (Opção de expiração)**, determine se o material de chave expira. Para definir uma data e hora de expiração, escolha **Key material expires (O material de chaves expira)**, e use o calendário para selecionar uma data e hora. Você pode especificar uma data de até 365 dias da data e hora atuais.

1. Para chaves de criptografia simétrica, você tem a opção de especificar uma descrição para o material da chave que está sendo importado. 

1. Escolha **Importar material de chave**.

## Importar material chave (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Para importar material chave, use a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação. O exemplo a seguir usa a [AWS CLI](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível.

Para usar este exemplo:

1. Substitua `1234abcd-12ab-34cd-56ef-1234567890ab` pelo ID da chave do KMS que você especificou quando baixou a chave pública e o token de importação. Para identificar a chave do KMS, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). Você não pode usar um [nome de alias](concepts.md#key-id-alias-name) ou [ARN de alias](concepts.md#key-id-alias-ARN) para esta operação.

1. Substitua `EncryptedKeyMaterial.bin` pelo nome do arquivo que contém o material de chaves criptografado.

1. Substitua `ImportToken.bin` pelo nome do arquivo que contém o token de importação.

1. Se você quiser que o material da chave importada expire, defina o valor do parâmetro `expiration-model` para seu valor padrão, `KEY_MATERIAL_EXPIRES`, ou omita o parâmetro `expiration-model`. Em seguida, substitua o valor do parâmetro `valid-to` com a data e a hora em que você deseja que o material da chave expire. A data e a hora podem ser de até 365 dias a partir do momento da solicitação. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Se você não quiser que o material da chave importada expire, defina o valor do parâmetro `expiration-model` como `KEY_MATERIAL_DOES_NOT_EXPIRE` e omita o parâmetro `valid-to` do comando.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Se você quiser importar novo material de chave, não associado anteriormente à chave do KMS, defina o parâmetro `ImportType` como `NEW_KEY_MATERIAL`. Essa opção só pode ser usada com chaves de criptografia simétricas. Para essas chaves, você também pode usar o parâmetro opcional `KeyMaterialDescription` para definir uma descrição para o material de chave importado no seguinte exemplo de linha de comando: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. Para chaves multirregionais, você pode definir ou alterar a descrição do material da chave somente na chave de região primária. AWS KMS propaga automaticamente a descrição do material chave para réplicas de chaves de região.

**dica**  
Se o comando não for bem-sucedido, você poderá ver uma `KMSInvalidStateException` ou `NotFoundException`. Você poderá repetir a solicitação.