

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Paso 2: descargar la clave pública de encapsulamiento y el token de importación
<a name="importing-keys-get-public-key-and-token"></a>

Tras [crear un material AWS KMS key sin clave](importing-keys-create-cmk.md), descarga una clave pública empaquetadora y un token de importación para esa clave de KMS mediante la AWS KMS consola o la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. La clave pública de encapsulamiento y el token de importación son un conjunto indivisible que deben usarse juntos.

Utilizará la clave pública de encapsulamiento para [cifrar el material de claves](importing-keys-encrypt-key-material.md) para su transferencia. [Antes de descargar un par de claves de empaquetado RSA, seleccione la longitud (especificación de clave) del par de claves de empaquetado RSA y el algoritmo de empaquetado que utilizará para cifrar el material clave importado para su transporte en el paso 3.](importing-keys-encrypt-key-material.md) AWS KMS también es compatible con la especificación clave de SM2 empaquetado (solo en las regiones de China).

Cada conjunto de claves públicas de encapsulamiento y token de importación es válido durante 24 horas. Si no los utiliza para importar material de claves en un plazo de 24 horas después de descargarlos, debe descargar un nuevo conjunto. Puede descargar nuevos conjuntos de claves públicas de encapsulamiento y tokens de importación en cualquier momento. Esto le permite cambiar la longitud de la clave de encapsulamiento RSA (“especificación de clave”) o sustituir un conjunto perdido.

También puede descargar un conjunto de claves públicas de encapsulamiento y un conjunto de tokens de importación para [volver a importar el mismo material de claves](importing-keys-import-key-material.md#reimport-key-material) en una clave de KMS. Puede hacerlo para establecer o cambiar el tiempo de vencimiento del material de claves o para restaurar el material de claves vencidas o eliminadas. Debe descargar y volver a cifrar el material clave cada vez que lo importe a. AWS KMS

**Uso de la clave pública de encapsulamiento**  
La descarga incluye una clave pública exclusiva para usted Cuenta de AWS, también denominada clave *pública empaquetadora*.  
Antes de importar el material clave, cifra el material clave con la clave de empaquetado pública y, a AWS KMS continuación, carga el material clave cifrado en. Cuando AWS KMS recibe el material clave cifrado, lo descifra con la clave privada correspondiente y, a continuación, lo vuelve a cifrar con una clave simétrica AES, todo ello dentro de un módulo de seguridad de AWS KMS hardware (HSM).

**Uso del token de importación**  
La descarga incluye un token de importación que contiene metadatos para garantizar que el material de claves se importa correctamente. Al cargar el material de claves cifradas en AWS KMS, debe cargar el mismo token de importación que descargó en este paso.

## Selección de una especificación de clave pública de encapsulamiento
<a name="select-wrapping-key-spec"></a>

Para proteger el material clave durante la importación, debes cifrarlo mediante la clave pública de empaquetado desde AWS KMS la que lo descargaste y un [algoritmo de empaquetado](#select-wrapping-algorithm) compatible. Debe seleccionar una especificación de claves antes de descargar la clave pública de encapsulamiento y el token de importación. Todos los pares de claves de empaquetado se generan en módulos de seguridad de AWS KMS hardware (HSMs). La clave privada nunca sale del HSM en texto sin formato.

**Especificaciones de claves de encapsulamiento RSA**  
La *especificación de clave* de la clave pública de encapsulamiento determina la longitud de las claves del par de claves RSA que protege el material de la clave durante su transferencia a AWS KMS. En general, se recomienda utilizar la clave pública de encapsulamiento más larga que resulte práctica. Ofrecemos varias especificaciones de empaquetado de claves públicas para dar soporte a una variedad HSMs de administradores clave.  
AWS KMS admite las siguientes especificaciones clave para las claves de empaquetado RSA que se utilizan para importar material clave de todo tipo, excepto cuando se indica lo contrario.   
+ RSA\$14096 (recomendado)
+ RSA\$13072
+ RSA\$12048
**nota**  
NO se admite la siguiente combinación: material de claves ECC\$1NIST\$1P521, la especificación de clave pública de encapsulamiento RSA\$12048 y un algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1.  
No se puede encapsular directamente el material de claves ECC\$1NIST\$1P521 con una clave pública de encapsulamiento RSA\$12048. Utilice una clave de encapsulamiento más grande o un algoritmo de encapsulamiento RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 especificaciones clave de empaquetado (solo en las regiones de China)**  
AWS KMS admite las siguientes especificaciones clave para las claves de SM2 embalaje utilizadas para importar material de clave asimétrico.  
+ SM2

## Seleccionar un algoritmo de encapsulamiento
<a name="select-wrapping-algorithm"></a>

Para proteger su material de claves durante la importación, deberá cifrarlo con la clave pública de encapsulamiento descargada y un algoritmo de encapsulamiento admitido. 

AWS KMS admite varios algoritmos de empaquetado RSA estándar y un algoritmo de empaquetado híbrido de dos pasos. En general, se recomienda utilizar el algoritmo de encapsulamiento más seguro que sea compatible con el material de claves y la [especificación de clave de encapsulamiento](#select-wrapping-key-spec) importados. Normalmente, se elige un algoritmo admitido por el módulo de seguridad de hardware (HSM) o el sistema de administración de claves que protege el material de claves.

En la siguiente tabla se muestran los algoritmos de encapsulamiento compatibles con cada tipo de material de claves y clave de KMS. Los algoritmos se muestran en el orden de preferencia.


| Material de claves | Algoritmo y especificaciones de encapsulamiento compatibles | 
| --- | --- | 
| Clave de cifrado simétrica Clave AES de 256 bits    SM4 Clave de 128 bits (solo para regiones de China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave privada RSA asimétrica  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave privada de curva elíptica asimétrica (ECC)   No puede utilizar los algoritmos de encapsulamiento RSAES\$1OAEP\$1SHA\$1\$1 con la especificación de clave de encapsulamiento RSA\$12048 para encapsular el material de claves ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave SM2 privada asimétrica (solo regiones de China) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Clave HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**nota**  
Los algoritmos de encapsulamiento `RSA_AES_KEY_WRAP_SHA_256` y `RSA_AES_KEY_WRAP_SHA_1` no se admiten en las regiones de China.
+ `RSA_AES_KEY_WRAP_SHA_256`: un algoritmo de encapsulamiento híbrido de dos pasos que combina el cifrado del material de claves con una clave simétrica AES que el usuario genere con el cifrado posterior de la clave simétrica AES con la clave de encapsulamiento pública RSA descargada y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$1256.

  Se necesita un algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_*` para encapsular el material de claves privadas RSA, excepto en las regiones de China, donde se debe usar el algoritmo de encapsulamiento `SM2PKE`.
+ `RSA_AES_KEY_WRAP_SHA_1`: un algoritmo de encapsulamiento híbrido de dos pasos que combina el cifrado del material de claves con una clave simétrica AES que el usuario genere con el cifrado posterior de la clave simétrica AES con la clave de encapsulamiento pública RSA descargada y el algoritmo de encapsulamiento RSAES\$1OAEP\$1SHA\$11.

  Se necesita un algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_*` para encapsular el material de claves privadas RSA, excepto en las regiones de China, donde se debe usar el algoritmo de encapsulamiento `SM2PKE`.
+ `RSAES_OAEP_SHA_256`: algoritmo de cifrado RSA con relleno óptimo de cifrado asimétrico (OAEP) con la función hash SHA-256.
+ `RSAES_OAEP_SHA_1`: algoritmo de cifrado RSA con relleno óptimo de cifrado asimétrico (OAEP) con la función hash SHA-1.
+ `RSAES_PKCS1_V1_5`(En desuso; desde el 10 de octubre de 2023, AWS KMS no es compatible con el algoritmo de empaquetado RSAES\$1 PKCS1 \$1V1\$15): el algoritmo de cifrado RSA con el formato de relleno definido en la versión 1.5 del PKCS \$11.
+ `SM2PKE`(Solo regiones de China): algoritmo de cifrado basado en curvas elípticas definido por la OSCCA en GM/T 0003.4-2012.

**Topics**
+ [Selección de una especificación de clave pública de encapsulamiento](#select-wrapping-key-spec)
+ [Seleccionar un algoritmo de encapsulamiento](#select-wrapping-algorithm)
+ [Descarga de la clave pública de encapsulamiento y el token de importación (consola)](#importing-keys-get-public-key-and-token-console)
+ [Descargar la clave pública empaquetadora y el token de importación (AWS KMS API)](#importing-keys-get-public-key-and-token-api)

## Descarga de la clave pública de encapsulamiento y el token de importación (consola)
<a name="importing-keys-get-public-key-and-token-console"></a>

Puede usar la AWS KMS consola para descargar la clave pública de empaquetado y el token de importación.

1. Si acaba de completar los pasos para [crear una clave KMS sin material de claves](importing-keys-create-cmk.md#importing-keys-create-cmk-console) y se encuentra en la página **Download wrapping key and import token (Descargar la clave de encapsulamiento y el token de importación)**, pase a [Step 10](#id-wrap-step).

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.
**sugerencia**  
Solo puede importar el material de claves a una clave de KMS con un **Origen** de **Externo (importar material de claves)**. Esto indica que la clave KMS se ha creado sin material de claves. Para agregar la columna **Origin (Origen)** a la tabla, en la esquina superior derecha de la página, elija el icono de configuración (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/console-icon-settings-new.png)). Active **Origin (Origen)** y, a continuación, elija **Confirm (Confirmar)**.

1. Elija el alias o el ID de clave de la clave KMS que está pendiente de importación.

1. Elija la pestaña **Cryptographic configuration (Configuración criptográfica)** y vea sus valores. Las pestañas están debajo de la sección **General configuration (Configuración general)**.

   Solo se puede importar material de claves a claves de KMS con un **Origen** de **Externo (importar material de claves)**. Para obtener información acerca de cómo crear claves KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).

1. Elige la pestaña adecuada según tu tipo de clave. 
   + Para las claves asimétricas y HMAC, seleccione la pestaña **Material clave.**
   + Para las claves de cifrado simétricas, seleccione la pestaña **Material y rotaciones de la clave**.

1. Elija la acción de importación.
   + Para las claves asimétricas y HMAC, selecciona **Importar material clave**.
   + Para las claves de cifrado simétricas, elija una de las siguientes opciones:
     + **Importe el material clave inicial** (si aún no se ha importado ningún material clave)
     + **Importe material clave nuevo** (para añadir material nuevo para la rotación)
     + **Vuelva a importar el material clave** (disponible en el menú **Acciones** de la tabla de materiales clave)
**nota**  
En el caso de las claves multirregionales, primero debe importar el nuevo material clave a la clave de región principal. A continuación, importe el mismo material clave en cada réplica de clave de región.  
Para las claves principales multirregionales, la tabla de **materiales clave** incluye una columna de **estado de importación de réplicas** que muestra el estado de importación en todas las regiones de réplica (por ejemplo, «0 de 3 importadas»). Elija el valor del estado de importación de la réplica para abrir un modal que muestre el estado de importación de cada región de la réplica. El modal proporciona enlaces de **importación de materiales clave** para las regiones de réplica en las que no se ha importado el nuevo material clave.

1. En **Seleccionar especificación de la clave de encapsulamiento**, elija la configuración de su clave de KMS. Después de crear esta clave, no puede cambiar las especificaciones de clave. 

1. <a name="id-wrap-step"></a>En **Select wrapping algorithm**, elija la opción que usará para cifrar el material de claves. Para obtener más información acerca de estas opciones, consulte [Seleccionar un algoritmo de encapsulamiento](#select-wrapping-algorithm).

1. Elija **Descargar clave de encapsulamiento y token de importación** y, a continuación, guarde el archivo. 

   Si dispone de la opción **Next (Siguiente)** para continuar con el proceso ahora, elija **Next (Siguiente)**. Para continuar más adelante, elija **Cancel (Cancelar)**. 

1. Descomprima el archivo `.zip` que ha guardado en el paso anterior (`Import_Parameters_<key_id>_<timestamp>`).

   La carpeta contiene los siguientes archivos:
   + Una clave pública de encapsulamiento en un archivo llamado `WrappingPublicKey.bin`.
   + Un token de importación en un archivo llamado `ImportToken.bin`.
   + Un archivo de texto denominado README.txt. Este archivo contiene información sobre la clave pública de encapsulamiento, el algoritmo de encapsulamiento que se usará para cifrar el material de claves y la fecha y hora en que vencen la clave pública de encapsulamiento y el token de importación.

1. Para continuar el proceso, consulte [cifrar el material de claves](importing-keys-encrypt-key-material.md). 

## Descargar la clave pública empaquetadora y el token de importación (AWS KMS API)
<a name="importing-keys-get-public-key-and-token-api"></a>

Para descargar la clave pública y el token de importación, usa la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Especifique la clave de KMS que se asociará al material de claves importado. Esta clave de KMS debe tener un valor para [Origin](create-keys.md#key-origin) de `EXTERNAL`.

**nota**  
No puede importar material de claves para las claves de KMS de ML-DSA.

En este ejemplo se especifica el algoritmo de encapsulamiento `RSA_AES_KEY_WRAP_SHA_256`, la especificación de clave pública de encapsulamiento RSA\$13072 y un ID de clave de ejemplo. Sustituya estos valores de ejemplo por valores válidos para la descarga. En el ID de la clave puede usar el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN), pero no puede usar un [nombre de alias](concepts.md#key-id-alias-name) ni un [ARN de alias](concepts.md#key-id-alias-ARN) en esta operación.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Si el comando se ejecuta correctamente, verá un resultado parecido al siguiente:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Para preparar los datos para el siguiente paso, base64 decodifica la clave pública e importa el token y guarda los valores decodificados en los archivos.

Para decodificar en base64 la clave pública y el token de importación:

1. Copie la clave pública codificada en base64 (representada *public key (base64 encoded)* en el resultado del ejemplo), péguela en un archivo nuevo y, a continuación, guárdelo. Póngale al archivo un nombre descriptivo, como por ejemplo `PublicKey.b64`.

1. Utilice [OpenSSL](https://openssl.org/) para decodificar en base64 el contenido del archivo y guarde los datos descodificados en un nuevo archivo. El siguiente ejemplo descodifica los datos del archivo que ha guardado en el paso anterior (`PublicKey.b64`) y guarda el resultado en un nuevo archivo denominado `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Copie el token de importación codificado *import token (base64 encoded)* en base64 (representado por el resultado del ejemplo), péguelo en un archivo nuevo y, a continuación, guárdelo. Asigne un nombre descriptivo al archivo, por ejemplo, `importtoken.b64`.

1. Utilice [OpenSSL](https://openssl.org/) para decodificar en base64 el contenido del archivo y guarde los datos descodificados en un nuevo archivo. El siguiente ejemplo descodifica los datos del archivo que ha guardado en el paso anterior (`ImportToken.b64`) y guarda el resultado en un nuevo archivo denominado `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Continúe en [Paso 3: Cifrar el material de claves](importing-keys-encrypt-key-material.md).