Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 4: Importar el material de claves
Después de cifrar el material de claves, puede importar el material de claves para usarlo con una AWS KMS key. Para importar el material de claves, debe cargar el material de claves cifrado desde Paso 3: Cifrar el material de claves y el token de importación que ha descargado en Paso 2: descargar la clave pública de encapsulamiento y el token de importación. Debe importar material de claves en la misma clave KMS que ha especificado al descargar la clave pública y el token de importación. Cuando se importa el material de claves, el estado de la clave de KMS cambia a Enabled. Puede usar la clave de KMS en operaciones criptográficas.
Al importar el material de claves de importación, puede establecer una fecha de vencimiento opcional para el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Después de importar el material de claves, no puede establecer, cambiar ni cancelar la fecha de caducidad de la importación actual. Para cambiar estos valores, debe volver a importar el mismo material de claves.
Consideraciones sobre la importación de material clave por tipo de clave
- Claves de cifrado simétricas
-
En el caso de todas las claves de KMS con origen
EXTERNAL, el primer material de claves importado pasa a ser el actual y se le asocia permanentemente. Las claves de cifrado simétricas conEXTERNALorigen admiten la rotación bajo demanda. Puede asociar varios materiales clave con claves importadas que admiten la rotación bajo demanda. Debe establecer elimportTypeparámetro enNEW_KEY_MATERIALjunto con la ImportKeyMaterialacción para asociar el nuevo material de claves a una clave de KMS. Este material clave no está asociado permanentemente a la clave hasta que realice la RotateKeyOnDemandacción. Hasta entonces, este material de claves estará en el estadoPENDING_ROTATION. El valor predeterminado del parámetroImportTypeopcional esEXISTING_KEY_MATERIAL. Al omitir el parámetroImportTypeo especificarlo comoEXISTING_KEY_MATERIAL, se debe importar un material de claves que esté previamente asociado a la clave de KMS - Teclas asimétricas y HMAC
-
En el caso de las claves asimétricas o HMAC KMS con
EXTERNALorigen, solo se puede asociar un material clave a la clave. AWS KMS rechazará las solicitudes ImportKeyMaterialde API con elImportTypeparámetro. - Claves multirregionales
-
Puede importar nuevos materiales clave a claves simétricas multirregionales. Para ello, debe crear las claves de región principal y de réplica. A continuación, debe importar el nuevo material clave a la clave de región principal. No puede importar directamente nuevos materiales clave para replicar las claves de región. Tras importar el nuevo material clave a la clave de región principal, puede importar el mismo material clave a la réplica de las claves de región.
Si un material clave de una clave de región principal o de réplica se elimina o caduca, solo se verá afectada esa clave específica. Las claves de región de réplica a las que se han importado todos sus materiales clave asociados permanentemente se pueden utilizar en operaciones criptográficas.
Solo puede establecer o cambiar la descripción del material clave de la clave de región principal con claves multirregionales.
- Estados clave al importar material clave
-
Cuando se importan todos los materiales de claves asociados permanentemente a una clave de KMS, la clave de KMS está disponible para su uso en operaciones criptográficas. Si alguno de estos materiales de claves se elimina o se deja que caduque, el estado de la clave de KMS cambia a
PendingImporty la clave no se puede utilizar para operaciones criptográficas.
Para importar material clave, puede usar la AWS KMS consola o la ImportKeyMaterialAPI. Puedes usar la API directamente realizando solicitudes HTTP o usando un AWS SDKs
Al importar el material clave, se agrega una ImportKeyMaterialentrada al AWS CloudTrail registro para registrar la ImportKeyMaterial operación. La CloudTrail entrada es la misma tanto si se utiliza la AWS KMS consola como si se utiliza la AWS KMS API.
Configuración de una fecha de vencimiento (opcional)
Al importar el material de claves para su clave de KMS, puede establecer una fecha y hora de vencimiento opcionales para el material de claves de hasta 365 días a partir de la fecha de importación. Cuando el material clave importado caduca, lo AWS KMS elimina. Esta acción cambia el estado de clave de la clave de KMS a PendingImport, lo que evita que se la utilice en operaciones criptográficas. Para usar la clave de KMS, debe volver a importar una copia del material de claves original.
Garantizar que el material de claves importado venza con frecuencia puede ayudarlo a cumplir con los requisitos normativos, pero supone un riesgo adicional para los datos cifrados con la clave de KMS. Hasta que no se vuelva a importar una copia del material de claves original, no se podrá utilizar una clave de KMS con material de claves vencido y no se podrá acceder a los datos cifrados con la clave de KMS. Si no vuelve a importar el material de claves por cualquier motivo, incluida la pérdida de la copia del material de claves original, la clave de KMS quedará inutilizable de forma permanente y los datos cifrados con la clave de KMS no se podrán recuperar.
Para mitigar este riesgo, asegúrese de poder acceder a su copia del material clave importado y diseñe un sistema para eliminar y volver a importar el material clave antes de que caduque e interrumpa su carga de trabajo. AWS Le recomendamos que active una alarma que le indique el vencimiento del material de claves importado para que tenga tiempo suficiente para volver a importarlo antes de que venza. También puede utilizar sus CloudTrail registros para auditar las operaciones de importación (y reimportación) de material clave y eliminar material clave importado, así como la AWS KMS operación de eliminación del material clave caducado.
AWS KMS no puede restaurar, recuperar ni reproducir el material clave eliminado. En lugar de establecer una fecha de vencimiento, puede eliminar y volver a importar periódicamente el material de claves importado mediante programación, pero los requisitos para retener una copia del material de claves original son los mismos.
Usted determina si el material de claves importado vence y cuándo lo hace cuando importa el material de claves. Puede activar y desactivar el vencimiento o establecer una nueva fecha de vencimiento al volver a importar el material de claves. Utilice el ExpirationModel parámetro ImportKeyMaterialpara activar () y desactivar (KEY_MATERIAL_EXPIRES) la caducidad y el ValidTo parámetro para establecer la hora de caducidad. KEY_MATERIAL_DOES_NOT_EXPIRE El tiempo máximo es de 365 días a partir de los datos de importación; no hay un mínimo, pero la fecha debe ser en el futuro.
Establecimiento de la descripción de material de claves
Las claves de cifrado simétricas con EXTERNAL origen pueden tener varios materiales clave asociados. Puede especificar una descripción del material de claves opcional al importarlo a dichas claves. La descripción se puede utilizar para hacer un seguimiento de dónde se guarda de forma duradera el material de claves correspondiente fuera de AWS KMS.
Solo puede establecer o cambiar la descripción del material clave de la clave de región principal con claves multirregionales.
Volver a importar material de claves
Si administra una clave KMS con material de clave importado, es posible que tenga que reimportar el material de clave. Puede volver a importar el material de claves para reemplazar el material de claves vencido o eliminado o para cambiar el modelo de vencimiento o la fecha de vencimiento del material de claves.
Puede volver a importar material de claves en cualquier momento y en cualquier horario que cumpla con sus requisitos de seguridad. No tiene que esperar hasta que el material de claves esté en su fecha de vencimiento o cerca de ella.
El procedimiento para volver a importar material de claves es el mismo procedimiento que se utilizó para importar el material de claves la primera vez, con las siguientes excepciones.
-
Utilice una clave KMS existente en lugar de crear una nueva clave KMS. Puede omitir el paso 1 del procedimiento de importación.
-
Al volver a importar el material clave, puede cambiar el modelo de caducidad, la fecha de caducidad y la descripción del material clave.
Solo puede establecer o cambiar la descripción del material clave de la clave de región principal con claves multirregionales.
Cada vez que se importa material de claves en una clave KMS, es necesario descargar y utilizar una nueva clave de encapsulamiento y un nuevo token de importación para la clave KMS. El procedimiento de encapsulamiento no afecta al contenido del material de claves, por lo que puede utilizar distintas claves públicas de encapsulamiento y diferentes algoritmos de encapsulamiento para importar el mismo material de claves.
Importación de nuevo material de claves
Para realizar la rotación bajo demanda de una clave de KMS de cifrado simétrico con material de claves importado, primero tendrá que importar un material de claves nuevo, que no esté asociado previamente a la clave.
-
Claves de una sola región
-
Utilice la ImportKeyMaterialoperación con el
ImportTypeparámetro establecido enNEW_KEY_MATERIALpara realizar esta tarea. El material clave importado de esta manera permanecerá en suPENDING_ROTATIONestado hasta que realice la RotateKeyOnDemandoperación o gire la llave en el Consola de administración de AWS. Una clave de KMS puede tener como máximo un material clave en el estadoPENDING_ROTATIONen cualquier momento.
-
-
Claves de varias regiones
-
Para importar material clave a una clave multirregional, primero debe importar el nuevo material clave a la clave de región principal. No puede importar directamente nuevos materiales clave para replicar las claves de región. Tras importar el nuevo material clave a la clave de región principal, puede importar los mismos materiales clave a las réplicas de las claves de región.
-
Utilice la
ImportKeyMaterialoperación con elImportTypeparámetro establecido enNEW_KEY_MATERIALpara la clave de región principal para realizar esta tarea. Para la clave de región de réplica, utilice elEXISTING_KEY_MATERIALparámetroImportTypefor para laImportKeyMaterialoperación. -
El material clave de las claves multirregionales debe importarse a todas las réplicas de claves de región y claves de región principales antes de que el estado del material clave cambie a
PENDING_ROTATIONestado. Hasta entonces, el estado del nuevo material clave esPENDING_MULTI_REGION_IMPORT_AND_ROTATION. Una clave KMS puede tener como máximo un material clavePENDING_ROTATIONo unPENDING_MULTI_REGION_IMPORT_AND_ROTATIONestado en cualquier momento.
-
Importar el material de claves (consola)
Puede utilizarla Consola de administración de AWS para importar material clave.
-
Si se encuentra en la página Cargar material de claves encapsulado, vaya a Paso 8.
-
Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en https://console.aws.amazon.com/kms.
-
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija el ID de clave o el alias de la clave KMS para los que ha descargado la clave pública y el token de importación.
-
Elija la pestaña Cryptographic configuration (Configuración criptográfica) y vea sus valores. Las pestañas se encuentran en la página de detalles de una clave KMS debajo de la sección General configuration (Configuración general).
Solo se puede importar material de claves a claves de KMS con un Origen de Externo (importar material de claves). Para obtener información sobre cómo crear claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.
-
Para las claves asimétricas y HMAC, selecciona la pestaña Material clave y, a continuación, selecciona Importar material clave. Para las claves de cifrado simétricas, selecciona la pestaña Material de la clave y rotaciones. A continuación, elija Importar material de claves inicial o Importar material de claves nuevo o Volver a importar material de claves. La opción Reimportar el material de claves está disponible en el menú
Actionsde la tabla de materiales de claves.Si descargó el material de claves, importó el token y cifró el material de claves, seleccione Siguiente.
nota
En el caso de las claves multirregionales, primero debe importar el nuevo material de clave a la clave de región principal. A continuación, puede importar el mismo material clave a las réplicas de las claves de región.
-
En la sección Token de importación y material de claves cifrado, haga lo siguiente:
-
En Material de claves encapsulado, seleccione Elegir archivo. A continuación, especifique el archivo que contiene el material de claves encapsulado (cifrado).
-
En Token de importación, seleccione Elegir archivo. Suba el archivo que contenga el token de importación que ha descargado.
-
-
En la sección Expiration option (Opción de vencimiento), determina si vence el material de claves. Para establecer una fecha y una hora de vencimiento, elija El material de claves caduca, y seleccione una fecha y una hora en el calendario. Puede especificar una fecha de hasta 365 días a partir de la hora y fecha actuales.
-
En el caso de las claves de cifrado simétricas, si lo desea, puede especificar una descripción del material de claves que se va a importar.
-
Seleccione Importar material de claves.
Importe material clave (AWS KMS API)
Para importar material clave, utilice la ImportKeyMaterialoperación. Los ejemplos siguientes utilizan la AWS CLI
Para usar este ejemplo:
Solo puede establecer o cambiar la descripción del material clave de la clave de región principal con claves multirregionales.
-
Sustituya
1234abcd-12ab-34cd-56ef-1234567890ab -
Sustituya
EncryptedKeyMaterial.bin -
Sustituya
ImportToken.bin -
Si desea que el material de claves importado caduque, defina el valor del parámetro
expiration-modela su valor predeterminado,KEY_MATERIAL_EXPIRES, u omita el parámetroexpiration-model. A continuación, sustituya el valor del parámetrovalid-tocon la fecha y la hora en que desea que caduque el material de claves. La fecha y la hora pueden ser hasta 365 días a partir del momento de la solicitud.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_EXPIRES\ --valid-to2023-06-17T12:00:00-08:00Si no desea que el material de claves importado caduque, defina el valor del parámetro
expiration-modelaKEY_MATERIAL_DOES_NOT_EXPIREy omita el parámetrovalid-todel comando.$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_DOES_NOT_EXPIRE -
Si desea importar material de claves nuevo, no asociado anteriormente a la clave de KMS, defina el parámetro
ImportTypeenNEW_KEY_MATERIAL. Esta opción solo se puede utilizar con claves de cifrado simétricas. Para estas claves, también puede usar el parámetroKeyMaterialDescriptionopcional para establecer una descripción del material de claves importado en el siguiente ejemplo de línea de comandos:$aws kms import-key-material --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --encrypted-key-material fileb://EncryptedKeyMaterial.bin\ --import-token fileb://ImportToken.bin\ --expiration-modelKEY_MATERIAL_EXPIRES\ --valid-to2023-06-17T12:00:00-08:00\ --import-type NEW_KEY_MATERIAL \ --key-material-description"Q2 2025 Rotation"
sugerencia
Si el comando no se ejecuta correctamente, es posible que aparezca KMSInvalidStateException o NotFoundException. Puede reintentar la solicitud.
