Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Paso 4: Importar el material de claves
<a name="importing-keys-import-key-material"></a>

Después de [cifrar el material de claves](importing-keys-encrypt-key-material.md), puede importar el material de claves para usarlo con una AWS KMS key. Para importar el material de claves, debe cargar el material de claves cifrado desde [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md) y el token de importación que ha descargado en [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md). Debe importar material de claves en la misma clave KMS que ha especificado al [descargar la clave pública y el token de importación](importing-keys-get-public-key-and-token.md). Cuando se importa el material de claves, el [estado de la clave](key-state.md) de KMS cambia a `Enabled`. Puede usar la clave de KMS en operaciones criptográficas.

Al importar el material de claves de importación, puede [establecer una fecha de vencimiento opcional](#importing-keys-expiration) para el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Después de importar el material de claves, no puede establecer, cambiar ni cancelar la fecha de caducidad de la importación actual. Para cambiar estos valores, debe [volver a importar](#reimport-key-material) el mismo material de claves.

En el caso de todas las claves de KMS con origen `EXTERNAL`, el primer material de claves importado pasa a ser el actual y se le asocia permanentemente. Las claves de cifrado simétricas con `EXTERNAL` origen admiten la rotación bajo demanda. Puede asociar varios materiales clave con claves importadas que admiten la rotación bajo demanda. El proceso de importación de material clave nuevo es diferente para las claves de una sola región y para las de varias regiones, tal como se describe en la sección [Importación de material clave nuevo](#import-new-key-material). Debe establecer el `importType` parámetro en `NEW_KEY_MATERIAL` junto con la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)acción para asociar el nuevo material clave a una clave KMS. El valor predeterminado del parámetro `ImportType` opcional es `EXISTING_KEY_MATERIAL`. Al omitir el parámetro `ImportType` o especificarlo como `EXISTING_KEY_MATERIAL`, se debe importar un material de claves que esté previamente asociado a la clave de KMS

En el caso de las claves asimétricas o HMAC KMS con `EXTERNAL` origen, solo se puede asociar un material clave a la clave. AWS KMS rechazará las solicitudes [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)de API con el `ImportType` parámetro.

Cuando se importan todos los materiales de claves asociados permanentemente a una clave de KMS, la clave de KMS está disponible para su uso en operaciones criptográficas. Si alguno de estos materiales de claves se elimina o se deja que caduque, el estado de la clave de KMS cambia a `PendingImport` y la clave no se puede utilizar para operaciones criptográficas.

Para importar material clave, puedes usar la [AWS KMS consola](#importing-keys-import-key-material-console) o la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)API. Puedes usar la API directamente realizando solicitudes HTTP o usando un [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)o [Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Al importar el material clave, se agrega una [ImportKeyMaterialentrada](ct-importkeymaterial.md) al AWS CloudTrail registro para registrar la `ImportKeyMaterial` operación. La CloudTrail entrada es la misma tanto si utilizas la AWS KMS consola como la AWS KMS API.

## Configuración de una fecha de vencimiento (opcional)
<a name="importing-keys-expiration"></a>

Al importar el material de claves para su clave de KMS, puede establecer una fecha y hora de vencimiento opcionales para el material de claves de hasta 365 días a partir de la fecha de importación. Cuando el material clave importado caduca, lo AWS KMS elimina. Esta acción cambia el [estado de clave](key-state.md#key-state-table) de la clave de KMS a `PendingImport`, lo que evita que se la utilice en operaciones criptográficas. Para usar la clave de KMS, debe [volver a importar una copia del material de claves original](#reimport-key-material). 

Garantizar que el material de claves importado venza con frecuencia puede ayudarlo a cumplir con los requisitos normativos, pero supone un riesgo adicional para los datos cifrados con la clave de KMS. Hasta que no se vuelva a importar una copia del material de claves original, no se podrá utilizar una clave de KMS con material de claves vencido y no se podrá acceder a los datos cifrados con la clave de KMS. Si no vuelve a importar el material de claves por cualquier motivo, incluida la pérdida de la copia del material de claves original, la clave de KMS quedará inutilizable de forma permanente y los datos cifrados con la clave de KMS no se podrán recuperar. 

Para mitigar este riesgo, asegúrese de poder acceder a su copia del material clave importado y diseñe un sistema para eliminar y volver a importar el material clave antes de que caduque e interrumpa su carga de trabajo. AWS Le recomendamos que [active una alarma](imported-key-material-expiration-alarm.md) que le indique el vencimiento del material de claves importado para que tenga tiempo suficiente para volver a importarlo antes de que venza. También puede utilizar sus CloudTrail registros para auditar las operaciones de [importación (y reimportación) de material clave y eliminar material clave](ct-importkeymaterial.md) [importado, así como la AWS KMS operación de eliminación del material clave](ct-deleteimportedkeymaterial.md) [caducado](ct-deleteexpiredkeymaterial.md).

AWS KMS no puede restaurar, recuperar ni reproducir el material clave eliminado. En lugar de establecer una fecha de vencimiento, puede [eliminar](importing-keys-delete-key-material.md) y [volver a importar](#reimport-key-material) periódicamente el material de claves importado mediante programación, pero los requisitos para retener una copia del material de claves original son los mismos.

Usted determina si el material de claves importado vence y cuándo lo hace cuando importa el material de claves. Puede activar y desactivar el vencimiento o establecer una nueva fecha de vencimiento al volver a importar el material de claves. Utilice el `ExpirationModel` parámetro [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)para activar () y desactivar (`KEY_MATERIAL_EXPIRES`) la caducidad y el `ValidTo` parámetro para establecer la hora de caducidad. `KEY_MATERIAL_DOES_NOT_EXPIRE` El tiempo máximo es de 365 días a partir de los datos de importación; no hay un mínimo, pero la fecha debe ser en el futuro.

## Establecimiento de la descripción de material de claves
<a name="set-key-material-description"></a>

Las claves de cifrado simétricas con `EXTERNAL` origen pueden tener varios materiales clave asociados. Puede especificar una descripción del material de claves opcional al importarlo a dichas claves. La descripción se puede utilizar para hacer un seguimiento de dónde se guarda de forma duradera el material de claves correspondiente fuera de AWS KMS. 

En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave únicamente en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

## Importación de nuevo material de claves
<a name="import-new-key-material"></a>

Para realizar la rotación bajo demanda de una clave de KMS de cifrado simétrico con material de claves importado, primero tendrá que importar un material de claves nuevo, que no esté asociado previamente a la clave.
+ **Claves de una sola región**
  + Utilice la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación con el `ImportType` parámetro establecido en `NEW_KEY_MATERIAL` para realizar esta tarea. Este material clave no está asociado permanentemente a la tecla hasta que no se realice la [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación o se gire la llave en el Consola de administración de AWS. Hasta entonces, este material de claves estará en el estado `PENDING_ROTATION`. Una clave de KMS puede tener como máximo un material clave en el estado `PENDING_ROTATION` en cualquier momento. Un material clave en `PENDING_ROTATION` estado se puede eliminar sin que ello afecte a la usabilidad de la clave en las operaciones criptográficas.
+ **Claves de varias regiones**
  + Para importar material clave a una clave multirregional, primero debe importar el nuevo material clave a la clave de región principal. No puede importar directamente nuevos materiales clave para replicar las claves de región. Tras importar el nuevo material clave a la clave de región principal, puede importar los mismos materiales clave a las réplicas de las claves de región.
  + Utilice la [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación con el `ImportType` parámetro establecido en **NEW\$1KEY\$1MATERIAL** para la clave de región principal para realizar esta tarea. Para la clave de región de réplica, utilice el **EXISTING\$1KEY\$1MATERIAL** parámetro `ImportType` for para la `ImportKeyMaterial` operación.
  + El material clave para el cifrado simétrico Las claves multirregionales deben importarse a todas las réplicas de claves de región y a las claves de región principales antes de que el estado del material clave cambie a estado. `PENDING_ROTATION` Hasta entonces, el estado del nuevo material clave es. `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Una clave KMS puede tener como máximo un material clave `PENDING_ROTATION` o un `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` estado en cualquier momento (consulte la `KeyMaterialState` descripción en [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Un material clave en `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` o `PENDING_ROTATION` estado no está asociado permanentemente a la clave y se puede eliminar sin que ello afecte a la usabilidad de la clave en las operaciones criptográficas. 

## Volver a importar material de claves
<a name="reimport-key-material"></a>

Si administra una clave KMS con material de clave importado, es posible que tenga que reimportar el material de clave. Puede volver a importar el material de claves para reemplazar el material de claves vencido o eliminado o para cambiar el modelo de vencimiento o la fecha de vencimiento del material de claves.

Puede volver a importar material de claves en cualquier momento y en cualquier horario que cumpla con sus requisitos de seguridad. No tiene que esperar hasta que el material de claves esté en su fecha de vencimiento o cerca de ella.

El procedimiento para volver a importar material de claves es el mismo procedimiento que se utilizó para importar el material de claves la primera vez, con las siguientes excepciones.
+ Utilice una clave KMS existente en lugar de crear una nueva clave KMS. Puede omitir el [paso 1](importing-keys-create-cmk.md) del procedimiento de importación.
+ Al volver a importar el material de clave, puede cambiar el modelo de vencimiento y la fecha de vencimiento. En el caso de las claves de cifrado simétricas, también puede cambiar la descripción del material de la clave.

  En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave solo en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

Cada vez que se importa material de claves en una clave KMS, es necesario [descargar y utilizar una nueva clave de encapsulamiento y un nuevo token de importación](importing-keys-get-public-key-and-token.md) para la clave KMS. El procedimiento de encapsulamiento no afecta al contenido del material de claves, por lo que puede utilizar distintas claves públicas de encapsulamiento y diferentes algoritmos de encapsulamiento para importar el mismo material de claves.

## Importar el material de claves (consola)
<a name="importing-keys-import-key-material-console"></a>

Puede utilizarlos Consola de administración de AWS para importar material clave.

1. Si se encuentra en la página **Cargar material de claves encapsulado**, vaya a [Step 10](#id-key-materials-step).

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija el ID de clave o el alias de la clave KMS para los que ha descargado la clave pública y el token de importación.

1. Elija la pestaña **Cryptographic configuration (Configuración criptográfica)** y vea sus valores. Las pestañas se encuentran en la página de detalles de una clave KMS debajo de la sección **General configuration (Configuración general)**.

   Solo se puede importar material de claves a claves de KMS con un **Origen** de **Externo (importar material de claves)**. Para obtener información sobre cómo crear claves KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).

1. Elige la pestaña adecuada según tu tipo de clave.
   + Para las claves asimétricas y HMAC, seleccione la pestaña **Material clave.**
   + Para las claves de cifrado simétricas, seleccione la pestaña **Material y rotaciones de la clave**.

1. Elija la acción de importación.
   + Para las claves asimétricas y HMAC, selecciona **Importar material clave**.
   + Para las claves de cifrado simétricas, elija una de las siguientes opciones:
     + **Importe el material clave inicial** (si aún no se ha importado ningún material clave)
     + **Importe material clave nuevo** (para añadir material nuevo para la rotación)
     + **Vuelva a importar el material clave** (disponible en el menú **Acciones** de la tabla de materiales clave)
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, importe el mismo material clave en cada réplica de clave de región.  
Para las claves principales multirregionales, la tabla de **materiales clave** incluye una columna de **estado de importación de réplicas** que muestra el estado de importación en todas las regiones de réplica (por ejemplo, «0 de 3 importadas»). Elija el valor del estado de importación de la réplica para abrir un modal que muestre el estado de importación de cada región de la réplica. El modal proporciona enlaces de **importación de materiales clave** para las regiones de réplica en las que no se ha importado el nuevo material clave.

1. Si descargó el material de claves, importó el token y cifró el material de claves, seleccione **Siguiente**.
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, puede importar el mismo material clave a las réplicas de las claves de región.

1. <a name="id-key-materials-step"></a>En la sección **Token de importación y material de claves cifrado**, haga lo siguiente:

   1. En **Material de claves encapsulado**, seleccione **Elegir archivo**. A continuación, especifique el archivo que contiene el material de claves encapsulado (cifrado). 

   1. En **Token de importación**, seleccione **Elegir archivo**. Suba el archivo que contenga el token de importación que ha [descargado](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. En la sección **Expiration option (Opción de vencimiento)**, determina si vence el material de claves. Para establecer una fecha y una hora de vencimiento, elija **El material de claves caduca**, y seleccione una fecha y una hora en el calendario. Puede especificar una fecha de hasta 365 días a partir de la hora y fecha actuales.

1. En el caso de las claves de cifrado simétricas, si lo desea, puede especificar una descripción del material de claves que se va a importar. 

1. Seleccione **Importar material de claves.**

## Importe material clave (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Para importar material clave, utilice la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación. Los ejemplos siguientes utilizan la [AWS CLI](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.

Para usar este ejemplo:

1. Sustituya `1234abcd-12ab-34cd-56ef-1234567890ab` por un ID de clave de la clave KMS que usó cuando descargó la clave pública y el token de importación. Para identificar la clave KMS, utilice su [ID de clave](concepts.md#key-id-key-id) o su [ARN de clave](concepts.md#key-id-key-ARN). No puede utilizar un [nombre de alias](concepts.md#key-id-alias-name) o un [ARN de alias](concepts.md#key-id-alias-ARN) para esta operación.

1. Sustituya `EncryptedKeyMaterial.bin` por el nombre del archivo que contiene el material de claves cifradas.

1. Sustituya `ImportToken.bin` por el nombre del archivo que contiene el token de importación.

1. Si desea que el material de claves importado caduque, defina el valor del parámetro `expiration-model` a su valor predeterminado, `KEY_MATERIAL_EXPIRES`, u omita el parámetro `expiration-model`. A continuación, sustituya el valor del parámetro `valid-to` con la fecha y la hora en que desea que caduque el material de claves. La fecha y la hora pueden ser hasta 365 días a partir del momento de la solicitud. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Si no desea que el material de claves importado caduque, defina el valor del parámetro `expiration-model` a `KEY_MATERIAL_DOES_NOT_EXPIRE` y omita el parámetro `valid-to` del comando.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Si desea importar material de claves nuevo, no asociado anteriormente a la clave de KMS, defina el parámetro `ImportType` en `NEW_KEY_MATERIAL`. Esta opción solo se puede utilizar con claves de cifrado simétricas. Para estas claves, también puede usar el parámetro `KeyMaterialDescription` opcional para establecer una descripción del material de claves importado en el siguiente ejemplo de línea de comandos: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. En el caso de las claves multirregionales, puede establecer o cambiar la descripción del material de la clave únicamente en la clave de región principal. AWS KMS propaga automáticamente la descripción del material clave a las réplicas de las claves de región.

**sugerencia**  
Si el comando no se ejecuta correctamente, es posible que aparezca `KMSInvalidStateException` o `NotFoundException`. Puede reintentar la solicitud.