Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 1 de la importación de material de claves: Crear una AWS KMS keysin material de claves
De forma predeterminada, AWS KMS crea el material de claves automáticamente al crear una clave de KMS. Para importar su propio material de claves, comience con la creación de una clave de KMS sin material de claves. Después, importe el material de claves. Para crear una clave KMS sin material clave, utilice la AWS KMS consola o la CreateKeyoperación.
Para crear una clave sin material de claves, especifique un origen de EXTERNAL. La propiedad de origen de una clave de KMS es inmutable. Una vez creada, no podrá convertir una clave de KMS diseñada para material de claves importado en una clave de KMS con material de claves de AWS KMS o cualquier otro origen.
El estado de claves de una clave de KMS con un origen EXTERNAL y ningún material de claves es PendingImport. Una clave de KMS puede permanecer en estado PendingImport indefinidamente. Sin embargo, no puede utilizar una clave de KMS en estado PendingImport en operaciones criptográficas. Cuando importa material de claves, el estado de la clave de KMS cambia a Enabled y puede usar la clave de KMS en operaciones criptográficas.
AWS KMSregistra un evento en el AWS CloudTrail registro al crear la clave KMS, descargar la clave pública y el token de importación e importar el material clave. AWS KMStambién registra un CloudTrail evento cuando se elimina el material clave importado o cuando se AWS KMS elimina el material clave caducado.
Para obtener información sobre cómo crear claves de varias regiones con material de claves importado, consulte Importación de material clave en claves de varias regiones.
Temas
Crear una clave KMS sin material de claves (consola)
Solo tiene que crear una clave de KMS para el material de claves importado una vez. Puede importar y volver a importar el mismo material de claves en la clave de KMS existente siempre que lo necesite, pero no puede importar material de claves diferente en una clave de KMS. Para obtener más detalles, consulte Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
Para encontrar las claves de KMS existentes con material de claves importado en la tabla de claves gestionadas por el cliente, utilice el icono con forma de engranaje situado en la esquina superior derecha para mostrar la columna Origen de la lista de claves de KMS. Las claves importadas tienen el valor Origen de Externo (Importar material de claves).
Para crear una clave de KMS con material de claves importado, comience por seguir las instrucciones básicas para crear una clave de KMS del tipo de clave que prefiera, con la siguiente excepción.
Después de elegir el uso de la clave, haga lo siguiente:
-
Expanda Advanced options (Opciones avanzadas).
-
En Origen del material de claves, elija Externo (Material de claves importado).
-
Elija la casilla de verificación situada junto a Entiendo las implicaciones de seguridad y durabilidad del uso de una clave importada para indicarnos que entiende las implicaciones de utilizar material de claves importado. Para leer más información acerca de estas implicaciones, consulte Protección del material de claves importado.
-
Vuelva a las instrucciones básicas. Los pasos restantes del procedimiento básico son los mismos para todas las claves de KMS de ese tipo.
Al elegir Finalizar, habrá creado una clave de KMS sin material de claves y con un estado (estado de la clave) de Pendiente de importación.
Sin embargo, en lugar de volver a la tabla de claves administradas por el cliente, la consola muestra una página en la que puede descargar la clave pública y el token de importación que necesita para importar el material de claves. Puede continuar con el paso de descarga ahora o seleccionar Cancelar para detenerse en este momento. Puede volver a este paso de descarga en cualquier momento.
Siguiente: Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
Crear una clave KMS sin material de claves (API de AWS KMS)
Para usar la AWS KMSAPI para crear una clave KMS de cifrado simétrico sin material clave, envía una CreateKeysolicitud con el Origin parámetro establecido en. EXTERNAL El siguiente ejemplo muestra cómo hacerlo con la AWS Command Line Interface (AWS CLI)
$aws kms create-key --origin EXTERNAL
Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente. El Origin de la clave de AWS KMS es EXTERNAL y su KeyState es PendingImport.
sugerencia
Si el comando no se ejecuta correctamente, es posible que aparezca KMSInvalidStateException o NotFoundException. Puede reintentar la solicitud.
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
Copie el valor KeyId del resultado del comando para usarlo en pasos posteriores y, a continuación, vaya a Paso 2: descargar la clave pública de encapsulamiento y el token de importación.
nota
Este comando crea una clave de KMS de cifrado simétrico con una KeySpec de SYMMETRIC_DEFAULT y un KeyUsage de ENCRYPT_DECRYPT. Puede usar los parámetros opcionales --key-spec y --key-usage crear una clave de KMS asimétrica o HMAC. Para obtener más información, consulte la operación CreateKey.
