Paso 4: Importar el material de claves - AWS Key Management Service
Configuración de una fecha de vencimiento (opcional)Establece la descripción del material claveVolver a importar material de clavesImporte material clave nuevoImportar el material de claves (consola)Importar material clave (AWS KMS API)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: Importar el material de claves

Después de cifrar el material de claves, puede importar el material de claves para usarlo con una AWS KMS key. Para importar el material de claves, debe cargar el material de claves cifrado desde Paso 3: Cifrar el material de claves y el token de importación que ha descargado en Paso 2: descargar la clave pública de encapsulamiento y el token de importación. Debe importar material de claves en la misma clave KMS que ha especificado al descargar la clave pública y el token de importación. Cuando se importa el material de claves, el estado de la clave de KMS cambia a Enabled. Puede usar la clave de KMS en operaciones criptográficas.

Al importar el material de claves de importación, puede establecer una fecha de vencimiento opcional para el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Después de importar el material de claves, no puede establecer, cambiar ni cancelar la fecha de caducidad de la importación actual. Para cambiar estos valores, debes volver a importar el mismo material clave.

En el caso de todas las claves de KMS con EXTERNAL origen, el primer material clave importado pasa a ser el actual y se le asocia permanentemente. Las claves de cifrado simétricas de una sola región con EXTERNAL origen admiten la rotación bajo demanda. Puede asociar varios materiales clave a claves importadas que admitan la rotación bajo demanda. Debe establecer el importType parámetro en NEW_KEY_MATERIAL junto con la ImportKeyMaterialacción para asociar el nuevo material clave a una clave KMS. Este material clave no está asociado permanentemente a la clave hasta que realice la RotateKeyOnDemandacción. Hasta entonces, este material clave estará en buen PENDING_ROTATION estado. El valor por defecto del ImportType parámetro opcional esEXISTING_KEY_MATERIAL. Al omitir el ImportType parámetro o especificarlo comoEXISTING_KEY_MATERIAL, debe importar un material clave que esté previamente asociado a la clave KMS.

En el caso de las claves asimétricas, HMAC o KMS multirregionales con EXTERNAL origen, solo se puede asociar un material clave a la clave. AWS KMS rechazará las solicitudes ImportKeyMaterialde API con el parámetro. ImportType

Cuando se importan todos los materiales clave asociados permanentemente a una clave de KMS, la clave de KMS está disponible para su uso en operaciones criptográficas. Si alguno de estos materiales clave se elimina o se deja que caduque, el estado de la clave KMS cambia PendingImport y la clave no se puede utilizar para operaciones criptográficas.

Para importar material clave, puede usar la AWS KMS consola o la ImportKeyMaterialAPI. Puedes usar la API directamente realizando solicitudes HTTP o usando un AWS SDKs, AWS Command Line Interfaceo Herramientas de AWS para PowerShell.

Al importar el material clave, se agrega una ImportKeyMaterialentrada al AWS CloudTrail registro para registrar la ImportKeyMaterial operación. La CloudTrail entrada es la misma tanto si se utiliza la AWS KMS consola como si se utiliza la AWS KMS API.

Configuración de una fecha de vencimiento (opcional)

Al importar el material de claves para su clave de KMS, puede establecer una fecha y hora de vencimiento opcionales para el material de claves de hasta 365 días a partir de la fecha de importación. Cuando el material clave importado caduca, lo AWS KMS elimina. Esta acción cambia el estado de clave de la clave de KMS a PendingImport, lo que evita que se la utilice en operaciones criptográficas. Para usar la clave de KMS, debe volver a importar una copia del material de claves original.

Garantizar que el material de claves importado venza con frecuencia puede ayudarlo a cumplir con los requisitos normativos, pero supone un riesgo adicional para los datos cifrados con la clave de KMS. Hasta que no se vuelva a importar una copia del material de claves original, no se podrá utilizar una clave de KMS con material de claves vencido y no se podrá acceder a los datos cifrados con la clave de KMS. Si no vuelve a importar el material de claves por cualquier motivo, incluida la pérdida de la copia del material de claves original, la clave de KMS quedará inutilizable de forma permanente y los datos cifrados con la clave de KMS no se podrán recuperar.

Para mitigar este riesgo, asegúrese de poder acceder a su copia del material clave importado y diseñe un sistema para eliminar y volver a importar el material clave antes de que caduque e interrumpa su carga de trabajo. AWS Le recomendamos que active una alarma que le indique el vencimiento del material de claves importado para que tenga tiempo suficiente para volver a importarlo antes de que venza. También puede utilizar sus CloudTrail registros para auditar las operaciones de importación (y reimportación) de material clave y eliminar material clave importado, así como la AWS KMS operación de eliminación del material clave caducado.

AWS KMS no puede restaurar, recuperar ni reproducir el material clave eliminado. En lugar de establecer una fecha de vencimiento, puede eliminar y volver a importar periódicamente el material de claves importado mediante programación, pero los requisitos para retener una copia del material de claves original son los mismos.

Usted determina si el material de claves importado vence y cuándo lo hace cuando importa el material de claves. Sin embargo, puede activar y desactivar la caducidad o establecer una nueva fecha de caducidad volviendo a importar el material clave. Utilice el ExpirationModel parámetro ImportKeyMaterialpara activar (KEY_MATERIAL_EXPIRES) y desactivar la caducidad (KEY_MATERIAL_DOES_NOT_EXPIRE) y el ValidTo parámetro para configurar la hora de caducidad. El tiempo máximo es de 365 días a partir de los datos de importación; no hay un mínimo, pero la fecha debe ser en el futuro.

Establece la descripción del material clave

Las claves de cifrado simétricas y de una sola región con EXTERNAL origen pueden tener varios materiales clave asociados. Puede especificar una descripción del material clave opcional al importar el material clave a dichas claves. La descripción se puede utilizar para hacer un seguimiento de dónde se guarda de forma duradera el material clave correspondiente en el exterior AWS KMS.

Volver a importar material de claves

Si administra una clave KMS con material de clave importado, es posible que tenga que reimportar el material de clave. Puede volver a importar el material de claves para reemplazar el material de claves vencido o eliminado o para cambiar el modelo de vencimiento o la fecha de vencimiento del material de claves.

Puede volver a importar material de claves en cualquier momento y en cualquier horario que cumpla con sus requisitos de seguridad. No tiene que esperar hasta que el material de claves esté en su fecha de vencimiento o cerca de ella.

El procedimiento para volver a importar el material clave es el mismo que se utiliza para importar el material clave la primera vez, con las siguientes excepciones.

  • Utilice una clave KMS existente en lugar de crear una nueva clave KMS. Puede omitir el paso 1 del procedimiento de importación.

  • Al volver a importar el material de clave, puede cambiar el modelo de vencimiento y la fecha de vencimiento.

Cada vez que se importa material de claves en una clave KMS, es necesario descargar y utilizar una nueva clave de encapsulamiento y un nuevo token de importación para la clave KMS. El procedimiento de encapsulamiento no afecta al contenido del material de claves, por lo que puede utilizar distintas claves públicas de encapsulamiento y diferentes algoritmos de encapsulamiento para importar el mismo material de claves.

Importe material clave nuevo

Para realizar la rotación bajo demanda de una clave KMS de cifrado simétrico con material de clave importado, primero tendrá que importar un material de clave nuevo, que no esté asociado anteriormente a la clave. Utilice la ImportKeyMaterialoperación con el ImportType parámetro establecido en NEW_KEY_MATERIAL para realizar esta tarea. El material clave importado de esta manera permanecerá en su PENDING_ROTATION estado hasta que realice la RotateKeyOnDemandoperación o gire la llave en el AWS Management Console. Una clave KMS puede tener como máximo un material clave en PENDING_ROTATION estado en cualquier momento.

Importar el material de claves (consola)

Puede utilizarla AWS Management Console para importar material clave.

  1. Si se encuentra en la página Cargar material de claves encapsulado, vaya a Paso 8.

  2. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  3. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  4. En el panel de navegación, elija Claves administradas por el cliente.

  5. Elija el ID de clave o el alias de la clave KMS para los que ha descargado la clave pública y el token de importación.

  6. Elija la pestaña Cryptographic configuration (Configuración criptográfica) y vea sus valores. Las pestañas se encuentran en la página de detalles de una clave KMS debajo de la sección General configuration (Configuración general).

    Solo se puede importar material de claves a claves de KMS con un Origen de Externo (importar material de claves). Para obtener información sobre cómo crear claves KMS con material de claves importado, consulte Importación de material clave para AWS KMS llaves.

  7. Para las claves asimétricas, HMAC y multirregionales, selecciona la pestaña Material clave y, a continuación, selecciona Importar material clave. Para las claves de cifrado simétricas y de una sola región, selecciona la pestaña Material de la clave y rotaciones. A continuación, seleccione Importar material clave inicial o Importar material clave nuevo o Volver a importar material clave. La opción Reimportar el material clave está disponible en el Actions menú de la tabla de materiales clave.

    Si descargó el material de claves, importó el token y cifró el material de claves, seleccione Siguiente.

  8. En la sección Token de importación y material de claves cifrado, haga lo siguiente:

    1. En Material de claves encapsulado, seleccione Elegir archivo. A continuación, especifique el archivo que contiene el material de claves encapsulado (cifrado).

    2. En Token de importación, seleccione Elegir archivo. Suba el archivo que contenga el token de importación que ha descargado.

  9. En la sección Expiration option (Opción de vencimiento), determina si vence el material de claves. Para establecer una fecha y una hora de vencimiento, elija El material de claves caduca, y seleccione una fecha y una hora en el calendario. Puede especificar una fecha de hasta 365 días a partir de la hora y fecha actuales.

  10. En el caso de las claves de cifrado simétricas, si lo desea, puede especificar una descripción del material clave que se va a importar.

  11. Seleccione Importar material clave.

Importar material clave (AWS KMS API)

Para importar material clave, utilice la ImportKeyMaterialoperación. Los ejemplos siguientes utilizan la AWS CLI, pero puede usar cualquier lenguaje de programación admitido.

Para usar este ejemplo:

  1. Sustituya 1234abcd-12ab-34cd-56ef-1234567890ab por un ID de clave de la clave KMS que usó cuando descargó la clave pública y el token de importación. Para identificar la clave KMS, utilice su ID de clave o su ARN de clave. No puede utilizar un nombre de alias o un ARN de alias para esta operación.

  2. Sustituya EncryptedKeyMaterial.bin por el nombre del archivo que contiene el material de claves cifradas.

  3. Sustituya ImportToken.bin por el nombre del archivo que contiene el token de importación.

  4. Si desea que el material de claves importado caduque, defina el valor del parámetro expiration-model a su valor predeterminado, KEY_MATERIAL_EXPIRES, u omita el parámetro expiration-model. A continuación, sustituya el valor del parámetro valid-to con la fecha y la hora en que desea que caduque el material de claves. La fecha y la hora pueden ser hasta 365 días a partir del momento de la solicitud. 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    Si no desea que el material de claves importado caduque, defina el valor del parámetro expiration-model a KEY_MATERIAL_DOES_NOT_EXPIRE y omita el parámetro valid-to del comando.

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. Si desea importar material clave nuevo, no asociado anteriormente a la clave KMS, defina el ImportType parámetro enNEW_KEY_MATERIAL. Esta opción solo se puede usar con claves de cifrado simétricas de una sola región. Para estas claves, también puede usar el KeyMaterialDescription parámetro opcional para establecer una descripción del material clave importado en el siguiente ejemplo de línea de comandos: 

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"
sugerencia

Si el comando no se ejecuta correctamente, es posible que aparezca KMSInvalidStateException o NotFoundException. Puede reintentar la solicitud.