Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Paso 1: Crea un material AWS KMS key sin clave
<a name="importing-keys-create-cmk"></a>

De forma predeterminada, AWS KMS crea material clave automáticamente al crear una clave de KMS. Para importar su propio material de claves, comience con la creación de una clave de KMS sin material de claves. Después, importe el material de claves. Para crear una clave KMS sin material clave, utilice la AWS KMS consola o la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.

Para crear una clave sin material de claves, especifique un [origen](create-keys.md#key-origin) de `EXTERNAL`. La propiedad de origen de una clave de KMS es inmutable. Una vez creada, no podrá convertir una clave de KMS diseñada para material de claves importado en una clave de KMS con material de clave de origen AWS KMS o de cualquier otra fuente.

El [estado de claves](key-state.md) de una clave de KMS con un origen `EXTERNAL` y ningún material de claves es `PendingImport`. Una clave de KMS puede permanecer en estado `PendingImport` indefinidamente. Sin embargo, no puede utilizar una clave de KMS en estado `PendingImport` en operaciones criptográficas. Cuando importa material de claves, el estado de la clave de KMS cambia a `Enabled` y puede usar la clave de KMS en operaciones criptográficas.

AWS KMS registra un evento en el AWS CloudTrail registro al [crear la clave KMS, descargar la clave](ct-createkey.md) [pública y el token de importación](ct-getparametersforimport.md) [e importar el material de la clave](ct-importkeymaterial.md). AWS KMS también registra un CloudTrail evento cuando se [elimina el material clave importado](ct-deleteimportedkeymaterial.md) o cuando se AWS KMS [elimina el material clave caducado](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Crear una clave KMS sin material de claves (consola)](#importing-keys-create-cmk-console)
+ [Crear una clave de KMS sin material clave (AWS KMS API)](#importing-keys-create-cmk-api)

## Crear una clave KMS sin material de claves (consola)
<a name="importing-keys-create-cmk-console"></a>

Solo tiene que crear una clave de KMS para el material de claves importado una vez. Puede importar y volver a importar el mismo material de claves en la clave de KMS existente siempre que lo necesite, pero no puede importar material de claves diferente en una clave de KMS. Para obtener más información, consulte [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

Para encontrar las claves de KMS existentes con material de claves importado en la tabla de **claves gestionadas por el cliente**, utilice el icono con forma de engranaje situado en la esquina superior derecha para mostrar la columna **Origen** de la lista de claves de KMS. Las claves importadas tienen el valor **Origen** de **Externo (Importar material de claves)**.

Para crear una clave KMS con material de claves importado, siga las [instrucciones para crear una clave KMS del tipo de clave que prefiera](create-keys.md), con la siguiente excepción.

Después de elegir el uso de la clave, haga lo siguiente:

1. Expanda **Advanced options (Opciones avanzadas)**.

1. En **Origen del material de claves**, elija **Externo (Material de claves importado)**.

1. Elija la casilla de verificación situada junto a **Entiendo las implicaciones de seguridad y durabilidad del uso de una clave importada** para indicarnos que entiende las implicaciones de utilizar material de claves importado. Para leer más información acerca de estas implicaciones, consulte [Protección del material de claves importado](import-keys-protect.md).

1. Opcional: para crear una [clave de KMS de varias regiones](multi-region-keys-overview.md) con material de claves importado, en **Regionalidad**, seleccione **Clave de varias regiones**.

1. Vuelva a las instrucciones básicas. Los pasos restantes del procedimiento básico son los mismos para todas las claves de KMS de ese tipo. 

Al elegir **Finalizar**, habrá creado una clave de KMS sin material de claves y con un estado ([estado de la clave](key-state.md)) de **Pendiente de importación**. 

Sin embargo, en lugar de volver a la tabla de **claves administradas por el cliente**, la consola muestra una página en la que puede descargar la clave pública y el token de importación que necesita para importar el material de claves. Puede continuar con el paso de descarga ahora o seleccionar **Cancelar** para detenerse en este momento. Puede volver a este paso de descarga en cualquier momento.

Siguiente: [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

## Crear una clave de KMS sin material clave (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Para usar la [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) para crear una clave KMS de cifrado simétrico sin material clave, envíe una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)solicitud con el `Origin` parámetro establecido en. `EXTERNAL` El siguiente ejemplo muestra cómo hacerlo con la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente. La AWS KMS clave `Origin` es `EXTERNAL` y `KeyState` es`PendingImport`.

**sugerencia**  
Si el comando no se ejecuta correctamente, es posible que aparezca `KMSInvalidStateException` o `NotFoundException`. Puede reintentar la solicitud.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copie el valor `KeyId` del resultado del comando para usarlo en pasos posteriores y, a continuación, vaya a [Paso 2: descargar la clave pública de encapsulamiento y el token de importación](importing-keys-get-public-key-and-token.md).

**nota**  
Este comando crea una clave de KMS de cifrado simétrico con una `KeySpec` de `SYMMETRIC_DEFAULT` y un `KeyUsage` de `ENCRYPT_DECRYPT`. Puede usar los parámetros opcionales `--key-spec` y `--key-usage` crear una clave de KMS asimétrica o HMAC. Para obtener más información, consulte la operación [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).