Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación de claves de KMS de cifrado simétricas
En este tema se explica cómo crear la clave KMS básica, una clave [KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks) para una sola región con material de clave de. AWS KMS Puede utilizar esta clave KMS para proteger sus recursos en un Servicio de AWS.
[Puede crear claves KMS de cifrado simétrico en la AWS KMS consola, mediante la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o mediante la AWS::KMS::Key CloudFormation plantilla.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)
La especificación de clave predeterminada, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), es la especificación de claves para las claves KMS de cifrado simétricas. Al seleccionar el tipo de clave **simétrica** y el uso de claves de **cifrado y descifrado** en la AWS KMS consola, se selecciona la especificación de la clave. `SYMMETRIC_DEFAULT` En la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación, si no especifica ningún `KeySpec` valor, se selecciona SYMMETRIC\$1DEFAULT. Si no tiene un motivo para utilizar una especificación de clave diferente, SYMMETRIC\$1DEFAULT es una buena opción.
Para obtener información acerca de las cuotas que se aplican a las claves KMS, consulte [Cuotas](limits.md).
## Uso de la consola AWS KMS
Puede usar el Consola de administración de AWS para crear AWS KMS keys (claves KMS).
**importante**
No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**.
1. Elija **Crear clave**.
1. Para crear una clave KMS de cifrado simétrica, para **Key type (Tipo de clave)** seleccione **Symmetric (Simétrica)**.
1. En **Key usage** (Uso de claves), se selecciona la opción **Encrypt and decrypt** (Cifrar y descifrar) para usted.
1. Elija **Siguiente**.
1. Escriba un alias para la clave KMS. El nombre del alias no puede empezar por **aws/**. Amazon Web Services se reserva el **aws/** prefijo para representarlo Claves administradas por AWS en su cuenta.
**nota**
Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de alias para controlar el acceso a las claves KMS](alias-authorization.md).
Un alias es un nombre de visualización que puede usar para identificar a una clave KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.
Los alias son necesarios para crear una clave KMS en la Consola de administración de AWS. Son opcionales cuando se utiliza la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.
1. (Opcional) Escriba una descripción de la clave KMS.
Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el [estado de la clave](key-state.md) sea `Pending Deletion` o `Pending Replica Deletion`. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la página de detalles de la clave KMS de la operación Consola de administración de AWS o utilice la [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operación.
1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija **Add tag** (Agregar etiqueta).
**nota**
Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para más detalles, consulte [ABAC para AWS KMS](abac.md) y [Uso de etiquetas para controlar el acceso a las claves KMS](tag-authorization.md).
Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](tagging-keys.md) y [ABAC para AWS KMS](abac.md).
1. Elija **Siguiente**.
1. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
**Notas**
Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más información, consulte [Política de claves predeterminada](key-policy-default.md).
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.
La AWS KMS consola agrega administradores de claves a la política de claves bajo el identificador de la declaración`"Allow access for Key Administrators"`. La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.
1. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección **Eliminación de claves** situada en la parte inferior de la página, desactive la casilla **Permitir que los administradores de claves eliminen esta clave**.
1. Elija **Siguiente**.
1. Seleccione los usuarios y roles de IAM que pueden usar la clave en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations)
**Notas**
Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM;*.
La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración `"Allow use of the key"` y`"Allow attachment of persistent resources"`. La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.
1. (Opcional) Puede permitir que otros Cuentas de AWS usen esta clave KMS para operaciones criptográficas. Para ello, en la Cuentas de AWS sección **Otros**, en la parte inferior de la página, selecciona **Añadir otra Cuenta de AWS** e introduce el número de Cuenta de AWS identificación de una cuenta externa. Para agregar varias cuentas externas, repita este paso.
**nota**
Para permitir que las entidades principales de las cuentas externas usen la clave KMS, los administradores de la cuenta externa también deben crear las políticas de IAM que proporcionan estos permisos. Para obtener más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](key-policy-modifying-external-accounts.md).
1. Elija **Siguiente**.
1. Revise las declaraciones de política de claves para ver la clave. Seleccione **Editar** para realizar cambios en la política de claves.
1. Elija **Siguiente**.
1. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.
1. Elija **Finalizar** para crear la clave de KMS.
## Uso de la AWS KMS API
Puede utilizar la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación para crear AWS KMS keys de todo tipo. Estos ejemplos utilizan la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Para ver ejemplos en varios lenguajes de programación, consulte [Úselo `CreateKey` con un AWS SDK o CLI](example_kms_CreateKey_section.md).
**importante**
No incluya información confidencial en los campos `Description` o `Tags`. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.
La siguiente operación crea una clave de cifrado simétrica en una única región respaldada por material de claves generado por AWS KMS. Esta operación no tiene parámetros obligatorios. Sin embargo, es posible que también desee utilizar el parámetro `Policy` para especificar una política de claves. Puede cambiar la política clave ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) y añadir elementos opcionales, como una [descripción](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) y [etiquetas](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), en cualquier momento. También puede crear [claves asimétricas](asymm-create-key.md#create-asymmetric-keys-api), [claves de varias regiones](create-primary-keys.md), claves con [material de claves importado](importing-keys-create-cmk.md#importing-keys-create-cmk-api), y claves en [almacenes de claves personalizados](create-cmk-keystore.md#create-cmk-keystore-api). Para crear claves de datos para el cifrado del lado del cliente, utilice la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación.
La `CreateKey` operación no le permite especificar un alias, pero puede utilizarla para crear un alias para la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)nueva clave de KMS.
A continuación se muestra un ejemplo de una llamada a la operación `CreateKey` sin parámetros. Este comando utiliza todos los valores predeterminados. Crea una clave KMS de cifrado simétrica para con material de claves generado por AWS KMS.
```
$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"MultiRegion": false
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
}
}
```
Si no especifica una política de claves para su nueva clave KMS, la [política de claves predeterminada](key-policy-default.md) que aplica `CreateKey` es diferente de la política de claves predeterminada que aplica la consola cuando se utiliza para crear una nueva clave KMS.
Por ejemplo, esta llamada a la [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operación devuelve la política clave que `CreateKey` se aplica. Da Cuenta de AWS acceso a la clave KMS y le permite crear políticas AWS Identity and Access Management (IAM) para la clave KMS. Para obtener información detallada sobre las políticas de IAM y las políticas de claves para claves KMS, consulte [Permisos y acceso a claves KMS](control-access.md)
```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id" : "key-default-1",
"Statement" : [ {
"Sid" : "EnableIAMUserPermissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : "kms:*",
"Resource" : "*"
} ]
}
```
------