Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cambio de la clave principal en un conjunto de claves de varias regiones
<a name="multi-region-update"></a>

Cada conjunto de claves de varias regiones relacionadas debe contar con una clave principal. Pero puede cambiar la clave principal. Esta acción, conocida como *actualización de la región principal*, convierte la clave principal actual en una clave de réplica y convierte una de las claves de réplica relacionadas en la clave principal. Puede hacerlo si necesita eliminar la clave principal actual mientras mantiene las claves de réplica, o para ubicar la clave principal en la misma región que los administradores de claves.

Puede seleccionar cualquier clave de réplica relacionada para que sea la nueva clave principal. Tanto la clave principal como la clave de réplica deben estar en el [estado clave](key-state.md) `Enabled` Cuando se inicia la operación. 

**El estado clave de `Updating`**  
Incluso después de completar la operación `UpdatePrimaryRegion`, es posible que el proceso de actualización de la región principal siga en curso durante unos segundos más. Durante este tiempo, las claves principales antiguas y nuevas tienen un estado de clave transitoria de [Updating](#update-primary-keystate) (Actualizando). Mientras que el estado de clave es `Updating`, puede usar las claves en operaciones criptográficas, pero no puede replicar la nueva clave principal ni realizar determinadas operaciones de administración, como habilitar o desactivar estas claves. Operaciones como, por ejemplo, [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pueden mostrar las claves principales antiguas y nuevas como réplicas. El estado de clave `Enabled` se restaura cuando se haya completado la actualización.   
Para obtener información acerca del efecto del estado de clave `Updating`, consulte [Estados clave de AWS KMS las claves](key-state.md).

**Funcionamiento**  
Suponga que tiene una clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) y una réplica de claves en Europa (Irlanda) (eu-west-1). Puede utilizar la función de actualización para cambiar la clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) a una clave de réplica y cambiar la clave de réplica en Europa (Irlanda) (eu-west-1) a la clave principal.   

![\[Actualización de la clave principal\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-keys-update-sm.png)

Cuando se completa el proceso de actualización, la clave de varias regiones en la región Europa (Irlanda) (eu-west-1) es una clave principal de varias regiones y la clave en la región EE. UU. Este (Norte de Virginia) (us-east-1) es su clave de réplica. Si hay otras claves de réplica relacionadas, se convierten en réplicas de la nueva clave principal. La próxima vez que AWS KMS sincronice las propiedades compartidas de las claves multirregionales, obtendrá las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de la nueva clave principal y las copiará en sus claves de réplica, incluida la clave principal anterior.   
La operación de actualización no modifica el [ARN de clave](concepts.md#key-id-key-ARN) de ninguna clave de varias regiones. Tampoco afecta a las propiedades compartidas, como el material clave, ni a las propiedades independientes, como la política de claves. Sin embargo, es posible que desee [actualice la política de claves](key-policy-modifying.md) de la nueva clave principal. Por ejemplo, es posible que desee añadir el ReplicateKey permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) para entidades de confianza a la nueva clave principal y eliminarlo de la nueva clave de réplica.

## Actualización de la región principal
<a name="update-primary-region"></a>

Puede convertir una clave de réplica en una clave principal, lo que cambia la clave principal anterior en una réplica. Para actualizar la región principal, necesitas el UpdatePrimaryRegion permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) en ambas regiones.

Puede actualizar la región principal en la AWS KMS consola o mediante la [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operación.

### Uso de la AWS KMS consola
<a name="update-primary-console"></a>

Puede actualizar la clave principal de la AWS KMS consola. Comience con la página de detalles de clave de la clave principal actual.

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Seleccione el alias o el ID de clave de la [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key). Esto abre la página de detalles de clave de la clave principal.

   Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna **Regionality (Regionalidad)** de la tabla.

1. Elija la pestaña **Regionality (Regionalidad)**.

1. En la sección **Primary key (Clave principal)**, seleccione **Change primary Region (Cambiar de región principal)**.

1. Elija la región de la nueva clave principal. Solo puede elegir una región del menú. 

   El menú **Change primary Regions (Cambiar las regiones principales)** incluye solo Regiones que tienen una clave de varias regiones relacionada. Es posible que no tenga [permiso para actualizar la región principal](multi-region-keys-auth.md#mrk-auth-update) en todas las regiones del menú.

1. Seleccione **Change primary Region (Cambiar región principal)**.

### Uso de la API AWS KMS
<a name="update-primary-api"></a>

Para cambiar la clave principal de un conjunto de claves multirregionales relacionadas, utilice la [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operación.

Use el parámetro `KeyId` para identificar la clave principal actual. Utilice el `PrimaryRegion` parámetro para indicar Región de AWS la nueva clave principal. Si la clave principal aún no tiene una réplica en la nueva región principal, se produce un error en la operación.

En el ejemplo siguiente se cambia la clave principal de la clave de varias regiones en la región `us-west-2` a su réplica en la región `eu-west-1`. El parámetro `KeyId` identifica la clave principal actual en la región `us-west-2`. El `PrimaryRegion` parámetro especifica Región de AWS la nueva clave principal,`eu-west-1`.

```
$ aws kms update-primary-region \
      --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
      --primary-region eu-west-1
```

Cuando se realiza correctamente, esta operación no devuelve ningún resultado; solo el código de estado HTTP. Para ver el efecto, ejecute la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación en cualquiera de las claves multirregionales. Es posible que desee esperar hasta que el estado de la clave vuelva a `Enabled`. Mientras que el estado de clave es [Updating](#update-primary-keystate) (Actualizando), los valores de la clave aún pueden estar en flujo.

Por ejemplo, la siguiente llamada `DescribeKey` obtiene los detalles acerca de la clave de varias regiones en la región `eu-west-1`. La salida muestra que la clave de varias regiones de la región `eu-west-1` es ahora la clave principal. La clave de varias regiones relacionada (mismo ID de clave) en la región `us-west-2` es ahora una clave de réplica.

```
$ aws kms describe-key \
      --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1609193147.831,
        "Enabled": true,
        "Description": "multi-region-key",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
           "MultiRegionKeyType": "PRIMARY",
           "PrimaryKey": { 
              "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
              "Region": "eu-west-1"
           },
           "ReplicaKeys": [ 
              { 
                 "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                 "Region": "us-west-2"
              }
           ]
        }
    }
}
```