Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Rotar AWS KMS keys
Para crear nuevo material criptográfico para sus [claves administradas por el cliente](concepts.md#customer-mgn-key), puede crear nuevas claves KMS y, a continuación, cambiar sus aplicaciones o alias para que utilicen las claves. O bien, puede rotar el material de claves asociado a una clave KMS existente habilitando la rotación automática de claves o realizando la rotación bajo demanda.
De forma predeterminada, cuando se habilita la *rotación automática de claves* para una clave de KMS, se AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. También puede especificar una opción personalizada [rotation-period](#rotation-period) para definir el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces. Si necesita iniciar inmediatamente la rotación del material de claves, puede realizar la *rotación bajo demanda*, independientemente de si la rotación automática de claves está habilitada o no. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes.
Puede [realizar un seguimiento de la rotación](#monitor-key-rotation) del material clave de sus claves de KMS en Amazon CloudWatch y en la AWS Key Management Service consola. AWS CloudTrail También puede utilizar la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación para comprobar si la rotación automática está habilitada para una clave de KMS e identificar cualquier rotación que se esté realizando bajo demanda. Puede utilizar la [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operación para ver los detalles de las rotaciones completadas.
La rotación de claves cambia únicamente el *material de claves actual*, que es el secreto criptográfico que se usa en las operaciones de cifrado. Cuando utiliza la clave KMS girada para descifrar el texto cifrado, AWS KMS utiliza el material clave que se utilizó para cifrarlo. No puede seleccionar un material de claves concreto para las operaciones de descifrado; AWS KMS elige automáticamente el material de claves correcto. Como se descifra de AWS KMS forma transparente con el material de clave adecuado, puede utilizar de forma segura una clave KMS girada en las aplicaciones y sin cambios de código. Servicios de AWS
La clave KMS es el mismo recurso lógico, independientemente de si el material de claves cambie o de cuántas veces lo haga. Las propiedades de la clave KMS no cambian, tal y como se muestra en la siguiente imagen.
![\[Key rotation process showing key material change while Key ID remains constant.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/key-rotation-auto.png)
Podría optar por crear una nueva clave KMS y utilizarla en lugar de la clave KMS original. Esto tiene el mismo efecto que rotar el material de claves de una clave KMS existente, así que a menudo se considera una [rotación manual de la clave](rotate-keys-manually.md). [La rotación manual es una buena opción si desea rotar claves KMS que no son aptas para la rotación automática o bajo demanda, incluidas las claves KMS [asimétricas, las claves KMS HMAC y las claves](symmetric-asymmetric.md)[KMS en almacenes](hmac.md) de claves personalizados.](key-store-overview.md#custom-key-store-overview)
**nota**
La rotación de claves automática no afecta a los datos que la clave de KMS protege. No rota las claves de datos que ha generado la clave de KMS ni vuelve a cifrar los datos protegidos por la clave de KMS. La rotación de claves no mitigará el efecto de una clave de datos comprometida.
**Rotación de claves y precios**
AWS KMS cobra una cuota mensual por la primera y la segunda rotación del material clave conservado para tu clave KMS. Este aumento de precio está limitado a la segunda rotación y las rotaciones posteriores no se facturarán. Consulte los [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/) para obtener más información.
**nota**
Puedes usar [AWS Cost Explorer Service](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html) para ver un desglose de los cargos por almacenamiento de claves. Por ejemplo, puede filtrar la vista para ver los cargos totales de las claves facturadas como claves de KMS actuales y rotadas especificando `$REGION-KMS-Keys` en **Tipo de uso** y agrupando los datos por **Operación de la API**.
Es posible que siga viendo instancias de la operación de la API `Unknown` heredada para fechas antiguas.
**Rotación de claves y cuotas**
Cada clave KMS cuenta como una clave para el cálculo de las cuotas de recursos clave, independientemente del número de versiones de material de claves rotadas.
Para obtener información detallada sobre el material de claves y la rotación, consulte los [Detalles criptográficos de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).
**Topics**
+ [¿Por qué rotar las claves de KMS?](#rotating-kms-keys)
+ [Cómo funciona la rotación de claves](#rotate-keys-how-it-works)
+ [Habilitación de la rotación automática de claves](rotating-keys-enable.md)
+ [Deshabilitación de la rotación automática de claves](rotating-keys-disable.md)
+ [Realización de la rotación de claves bajo demanda](rotating-keys-on-demand.md)
+ [Enumeración de las rotaciones y los materiales clave](list-rotations.md)
+ [Rotación manual de claves](rotate-keys-manually.md)
+ [Cambio de la clave principal en un conjunto de claves de varias regiones](multi-region-update.md)
## ¿Por qué rotar las claves de KMS?
Las mejores prácticas criptográficas desaconsejan la reutilización extensiva de las claves que cifran los datos directamente, como las [claves de datos](data-keys.md) que se generan. AWS KMS Cuando las claves de datos de 256 bits cifran millones de mensajes, estas pueden fatigarse y empezar a producir texto cifrado con patrones sutiles que los actores inteligentes pueden aprovechar para descubrir los bits de la clave. Lo mejor es utilizar las claves de datos una vez o solo unas cuantas veces para mitigar el agotamiento de las claves.
Sin embargo, las claves de KMS se utilizan con mayor frecuencia como *claves de encapsulamiento*, también conocidas como *claves de cifrado de claves*. En lugar de cifrar los datos, las claves de encapsulamiento cifran las claves de datos que cifran los datos. Por lo tanto, se utilizan con mucha menos frecuencia que las claves de datos y casi nunca se reutilizan lo suficiente como para correr el riesgo de que se fatiguen las claves.
A pesar de que el riesgo de fatiga es muy bajo, es posible que tenga que cambiar sus claves de KMS debido a normas comerciales o contractuales o a normativas gubernamentales. Cuando se vea en la obligación de rotar las claves de KMS, le recomendamos que utilice la rotación automática de claves cuando se permita, la rotación bajo demanda si la rotación automática no se admite y la rotación manual de claves cuando no se admita la rotación automática de claves ni la rotación bajo demanda.
Podría considerar la realización de rotaciones bajo demanda para demostrar las capacidades de rotación de material de claves o para validar los scripts de automatización. Recomendamos utilizar rotaciones bajo demanda para las rotaciones no planificadas y utilizar la rotación automática de claves con un [periodo de rotación](#rotation-period) personalizado siempre que sea posible.
## Cómo funciona la rotación de claves
AWS KMS La rotación de claves está diseñada para ser transparente y fácil de usar. AWS KMS admite la rotación de claves automática y bajo demanda opcional solo para [las claves administradas por el cliente](concepts.md#customer-mgn-key).
**Rotación automática de claves**
AWS KMS gira la clave KMS automáticamente en la siguiente fecha de rotación definida por su período de rotación. No necesita recordar ni programar la actualización.
La rotación automática de claves solo se admite en las claves KMS de cifrado simétrico con el material de clave que las AWS KMS genera (`AWS_KMS`origen).
La rotación automática es opcional para las claves KMS administradas por el cliente. AWS KMS siempre rota el material clave de las claves de KMS AWS administradas cada año. La rotación de las claves KMS AWS propias la gestiona el Servicio de AWS propietario de la clave.
**Rotación bajo demanda**
Inicie de inmediato la rotación del material de claves asociado a su clave KMS, independientemente de si la rotación automática de claves está habilitada o no.
La rotación de claves bajo demanda se admite en las claves KMS de cifrado simétrico con material clave que AWS KMS genera (`AWS_KMS`origen) y en las claves KMS de cifrado simétrico con material de clave importado (`EXTERNAL`origen).
**Rotación manual**
La rotación automática de claves no es compatible en los siguientes tipos de claves de KMS, pero puede [rotar estas claves de KMS de forma manual](rotate-keys-manually.md).
+ [Claves de KMS asimétricas](symmetric-asymmetric.md)
+ [Claves KMS HMAC](hmac.md)
+ Claves KMS en [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview)
**Administración de material de claves**
AWS KMS conserva todo el material clave de una clave KMS con `AWS_KMS` origen, incluso si la rotación de claves está desactivada. AWS KMS elimina el material clave solo cuando se elimina la clave KMS.
Usted administra los materiales clave de las claves de cifrado simétrico con origen `EXTERNAL`. Puede eliminar cualquier material clave mediante la [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operación o establecer una fecha de caducidad al importar el material. La clave de KMS deja de poder utilizarse en cuanto alguno de sus materiales caduca o se elimina.
**Uso de material de claves**
Cuando utiliza una clave KMS girada para cifrar datos, AWS KMS utiliza el material clave actual. Cuando se utiliza la clave KMS rotada para descifrar el texto cifrado, AWS KMS utiliza la misma versión del material de claves utilizado para cifrarlo. No puede seleccionar una versión concreta del material clave para las operaciones de descifrado, sino que elige AWS KMS automáticamente la versión correcta.
**Periodo de rotación**
El período de rotación define el número de días después de activar la rotación automática de claves que AWS KMS rotarán el material clave y el número de días que transcurrirán entre cada rotación automática de claves a partir de entonces. Si no especifica un valor para `RotationPeriodInDays` al habilitar la rotación automática de claves, el valor predeterminado es de 365 días.
Puede utilizar la clave de RotationPeriodInDays condición [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para restringir aún más los valores que los directores pueden especificar en el `RotationPeriodInDays` parámetro.
**Fecha de rotación**
La fecha de rotación refleja la fecha en que se actualizó el material clave actual de una clave de KMS, ya sea como resultado de una rotación automática (programada) o de una rotación de clave bajo demanda.
**Fecha de rotación**
AWS KMS gira automáticamente la clave KMS en la fecha de rotación definida por su período de rotación. El periodo de rotación predeterminado es de 365 días.
**Claves administradas por el cliente**
Como la rotación automática de claves es opcional en las [claves administradas por el cliente](concepts.md#customer-mgn-key) y se puede habilitar y deshabilitar en cualquier momento, la fecha de rotación depende de la fecha en que se habilitó la rotación por última vez. La fecha puede cambiar si modifica el periodo de rotación de una clave en la que anteriormente había habilitado la rotación automática de claves. La fecha de rotación puede cambiar muchas veces durante la vida de la clave.
Por ejemplo, si crea una clave administrada por el cliente el 1 de enero de 2022 y habilita la rotación automática de claves con el periodo de rotación predeterminado de 365 días el 15 de marzo de 2022, AWS KMS rota el material de claves el 15 de marzo de 2023, el 15 de marzo de 2024 y, a partir de entonces, cada 365 días.
En los siguientes ejemplos se supone que la rotación automática de claves estaba habilitada con el periodo de rotación predeterminado de 365 días. Estos ejemplos muestran casos especiales que podrían afectar al periodo de rotación de una clave.
+ Deshabilitar la rotación de claves: si [deshabilita la rotación automática de claves](rotating-keys-disable.md) en cualquier momento, la clave de KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a activar la rotación automática de claves, AWS KMS gira el material clave en función de la nueva fecha de activación de la rotación.
+ Teclas KMS deshabilitadas: mientras una clave KMS esté deshabilitada, AWS KMS no la rota. Sin embargo, el estado de rotación de clave no cambia y no puede cambiarlo mientras la clave KMS esté deshabilitada. Cuando se vuelve a activar la clave KMS, si el material clave ha pasado su última fecha de rotación programada, lo AWS KMS rota inmediatamente. Si el material clave no ha perdido la última fecha de rotación programada, AWS KMS reanuda el programa de rotación clave original.
+ Claves de KMS pendientes de eliminación: mientras una clave de KMS esté pendiente de eliminación, AWS KMS no la rota. El estado de rotación de clave se establece en `false` y no puede cambiarla mientras su eliminación está pendiente. Si se cancela la eliminación, se restaura el estado de rotación de clave anterior. Si el material clave ha pasado su última fecha de rotación programada, lo AWS KMS gira inmediatamente. Si el material clave no ha perdido su última fecha de rotación programada, AWS KMS reanuda la programación de rotación clave original.
**Claves administradas por AWS**
AWS KMS rota automáticamente Claves administradas por AWS cada año (aproximadamente 365 días). No puede habilitar ni desactivar la rotación de claves de [Claves administradas por AWS](concepts.md#aws-managed-key).
El material clave de un objeto Clave administrada de AWS se rota primero un año después de su fecha de creación y, a partir de entonces, todos los años (aproximadamente 365 días a partir de la última rotación).
En mayo de 2022, AWS KMS cambiamos el programa de rotación Claves administradas por AWS de cada tres años (aproximadamente 1095 días) a uno anual (aproximadamente 365 días).
**Claves propiedad de AWS**
No puede habilitar ni desactivar la rotación de claves de Claves propiedad de AWS. La estrategia de [rotación clave](#rotate-keys) de una Clave propiedad de AWS viene determinada por el AWS servicio que crea y administra la clave. Para obtener más detalles, consulte el tema *Cifrado en reposo* en la Guía del usuario o en la Guía para desarrolladores del servicio.
**Rotación de claves de varias regiones**
El comportamiento de rotación varía en función de si el material clave se genera por AWS KMS (`AWS_KMS`origen) o se importa (`EXTERNAL`origen).
**Claves multirregionales con origen `AWS_KMS`**
Puede habilitar y deshabilitar la rotación automática de claves y realizar la rotación bajo demanda del material de claves en [claves de varias regiones](multi-region-keys-overview.md) con origen `AWS_KMS`. La rotación de claves es una [propiedad compartida](multi-region-keys-overview.md#mrk-sync-properties) de claves de varias regiones.
Solo habilita y deshabilita la rotación automática de claves en la clave principal. Inicia la rotación bajo demanda solo en la clave principal.
+ Al AWS KMS sincronizar las claves multirregionales, copia el valor de la propiedad de rotación de claves de la clave principal a todas las claves de réplica relacionadas.
+ Al AWS KMS girar el material clave, crea un nuevo material clave para la clave principal y, a continuación, lo copia más allá de los límites de la región en todas las réplicas de claves relacionadas. El material clave nunca se queda AWS KMS sin cifrar. Este paso se controla cuidadosamente para garantizar que el material clave esté completamente sincronizado antes de utilizar cualquier clave en una operación criptográfica.
+ AWS KMS no cifra ningún dato con el nuevo material clave hasta que dicho material clave esté disponible en la clave principal y en cada una de sus réplicas.
+ Cuando se replica una clave principal que se ha rotado, la nueva clave de réplica tiene el material de clave actual y todas las versiones anteriores del material clave para sus claves de varias regiones relacionadas.
Este patrón garantiza que las claves de varias regiones relacionadas sean totalmente interoperables. Cualquier clave de varias regiones puede descifrar cualquier texto cifrado mediante una clave de varias regiones relacionada, incluso si el texto cifrado se cifró antes de que se creara la clave.
**Claves multirregionales con origen `EXTERNAL`**
Puede realizar la rotación bajo demanda del material clave en [claves multirregionales](multi-region-keys-overview.md) con cifrado simétrico con origen. `EXTERNAL` La rotación de claves es una [propiedad compartida](multi-region-keys-overview.md#mrk-sync-properties) de claves de varias regiones.
La rotación bajo demanda solo se inicia en la clave principal después de importar el nuevo material de claves a la clave principal y a cada clave de réplica.
+ Al importar un nuevo material clave a la clave principal, AWS KMS copia el identificador del material clave y la descripción del material clave de la clave principal a todas las claves de réplica relacionadas. No copia el material clave.
+ Debe importar el mismo material clave en cada clave de réplica de forma individual. Una vez importado el material clave a todas las claves multirregionales relacionadas, puede iniciar la rotación bajo demanda de la clave principal. Esto garantiza que AWS KMS no se cifra ningún dato con el nuevo material clave hasta que dicho material clave esté disponible en la clave principal y en cada una de sus réplicas.
+ Cada material de clave de la clave principal o de cualquier clave de réplica puede caducar o eliminarse independientemente del resto del material de clave de la misma clave o de cualquier otra clave multirregional relacionada.
**AWS servicios**
Puede activar la rotación automática de claves en [las claves administradas por el cliente](concepts.md#customer-mgn-key) que utiliza para el cifrado del lado del servidor en AWS los servicios. La rotación anual es transparente y compatible con AWS los servicios.
**Supervisión de la rotación de claves**
[Cuando AWS KMS rota el material clave de una [Clave administrada de AWS](concepts.md#aws-managed-key)[clave gestionada por el cliente](concepts.md#customer-mgn-key), escribe un `KMS CMK Rotation` evento en Amazon EventBridge y otro RotateKey en tu AWS CloudTrail registro.](ct-rotatekey.md) Puede usar estos registros para comprobar que la clave KMS se ha rotado.
Puede usar la AWS Key Management Service consola para ver el número de rotaciones pendientes bajo demanda y una lista de todas las rotaciones de materiales clave completadas para una clave de KMS.
Puede utilizar la [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operación para ver los detalles de las rotaciones completadas.
**Consistencia final**
La rotación de claves está sujeta a los mismos efectos de consistencia final que otras operaciones de administración de AWS KMS . Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. Sin embargo, la rotación de material clave no causa ninguna interrupción o retraso en las operaciones criptográficas. El material clave actual se utiliza en operaciones criptográficas hasta que el nuevo material de claves esté disponible en toda la AWS KMS. Cuando el material clave de una clave multirregional se rota automáticamente, AWS KMS utiliza el material clave actual hasta que el nuevo material clave esté disponible en todas las regiones con una clave multirregional relacionada.
# Habilitación de la rotación automática de claves
De forma predeterminada, cuando se habilita la *rotación automática de claves para una clave* de KMS, se AWS KMS genera nuevo material criptográfico para la clave de KMS cada año. También puede especificar una opción personalizada [rotation-period](rotate-keys.md#rotation-period) para definir el número de días después de activar la rotación automática de claves que AWS KMS rotará el material clave y el número de días que transcurrirán entre cada rotación automática a partir de entonces.
La rotación automática de claves tiene las siguientes ventajas:
+ Las propiedades de la clave KMS, incluido su [ID de clave](concepts.md#key-id-key-id), [ARN de clave](concepts.md#key-id-key-ARN), región, políticas y permisos, no cambian cuando se rota la clave.
+ No necesita cambiar las aplicaciones ni los alias que hacen referencia al ID o ARN de la clave KMS.
+ El material de claves de rotación no afecta al uso de la clave KMS en ningún Servicio de AWS.
+ Tras activar la rotación de claves, AWS KMS gira la clave KMS automáticamente en la siguiente fecha de rotación definida por el período de rotación. No necesita recordar ni programar la actualización.
Puede activar la rotación automática de las teclas en la AWS KMS consola o mediante esta [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operación. Para habilitar la rotación automática de claves, necesita permisos de `kms:EnableKeyRotation`. Para obtener más información sobre AWS KMS los permisos, consulte la[Referencia de permisos](kms-api-permissions-reference.md).
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).
1. Elija el alias o el ID de clave de una clave KMS.
1. Seleccione la pestaña **Key Rotation (Rotación de claves)**.
La pestaña **Rotación de claves** solo aparece en la página de detalles de las claves KMS de cifrado simétrico con el material clave que AWS KMS se generaron (el **origen** es **AWS\$1KMS**), incluidas las claves KMS de cifrado simétrico [multirregional](rotate-keys.md#multi-region-rotate).
No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con [material de claves importado](importing-keys.md) o las claves KMS en los [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview). Sin embargo, puede [rotarlas manualmente](rotate-keys-manually.md).
1. En la sección **Rotación automática de claves**, seleccione **Editar**.
1. En **Key rotation** (rotación de claves), seleccione **Enable** (Habilitar).
**nota**
Si una clave KMS está deshabilitada o pendiente de ser eliminada, AWS KMS no rota el material de la clave y no se puede actualizar el estado de rotación automática de la clave ni el período de rotación. Para actualizar la configuración de la rotación automática de claves, habilite la clave KMS o cancele la eliminación. Para más detalles, consulte [Cómo funciona la rotación de claves](rotate-keys.md#rotate-keys-how-it-works) y [Estados clave de AWS KMS las claves](key-state.md).
1. (Opcional) Escriba un periodo de rotación de entre 90 y 2560 días. El valor predeterminado es 365 días. Si no especifica un período de rotación personalizado, AWS KMS rotará el material clave todos los años.
Puede utilizar la clave de RotationPeriodInDays condición [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para limitar los valores que los directores pueden especificar para el período de rotación.
1. Seleccione **Save**.
## Uso de la API AWS KMS
Puede utilizar la [API de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para habilitar la rotación automática de claves y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
La [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operación permite la rotación automática de claves para la clave KMS especificada. Para identificar la clave KMS en esta operación, utilice el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN). De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.
Puede usar la clave de [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condición para limitar los valores que los directores pueden especificar para el `RotationPeriodInDays` parámetro de una `EnableKeyRotation` solicitud.
El siguiente ejemplo permite la rotación de claves con un período de rotación de 180 días en la clave KMS de cifrado simétrico especificada y utiliza la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación para ver el resultado.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```
# Deshabilitación de la rotación automática de claves
Tras habilitar la rotación automática de claves en una clave administrada por el cliente, puede optar por deshabilitarla en cualquier momento.
Si deshabilita la rotación automática de claves, la clave KMS seguirá utilizando la versión del material de claves que utilizaba cuando la rotación estaba deshabilitada. Si vuelve a activar la rotación automática de claves, AWS KMS rota el material de clave en función de la nueva fecha de activación de la rotación.
La deshabilitación de la rotación automática no afecta a su capacidad para [realizar rotaciones bajo demanda](rotating-keys-on-demand.md) ni cancela ninguna rotación bajo demanda en curso.
Puede desactivar la rotación automática de las teclas en la AWS KMS consola o mediante esta operación. [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) Para deshabilitar la rotación automática de claves, necesita permisos de `kms:DisableKeyRotation`. Para obtener más información sobre AWS KMS los permisos, consulte la[Referencia de permisos](kms-api-permissions-reference.md).
## Uso de la AWS KMS consola
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede habilitar o desactivar la rotación de Claves administradas por AWS. Estas rotan cada año de forma automática).
1. Elija el alias o el ID de clave de una clave KMS.
1. Seleccione la pestaña **Key Rotation (Rotación de claves)**.
La pestaña **Rotación de claves** solo aparece en la página de detalles de las claves KMS de cifrado simétrico con el material clave que AWS KMS se generaron (el **origen** es **AWS\$1KMS**), incluidas las claves KMS de cifrado simétrico [multirregional](rotate-keys.md#multi-region-rotate).
No puede rotar de forma automática las claves KMS asimétricas, las claves KMS HMAC, las claves KMS con [material de claves importado](importing-keys.md) o las claves KMS en los [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview). Sin embargo, puede [rotarlas manualmente](rotate-keys-manually.md).
1. En la sección **Rotación automática de claves**, seleccione **Editar**.
1. En **Key rotation** (rotación de claves), seleccione **Disable** (Deshabilitar).
**nota**
Si una clave KMS está deshabilitada o pendiente de ser eliminada, AWS KMS no rota el material de la clave y no se puede actualizar el estado de rotación automática de la clave ni el período de rotación. Para actualizar la configuración de la rotación automática de claves, habilite la clave KMS o cancele la eliminación. Para más detalles, consulte [Cómo funciona la rotación de claves](rotate-keys.md#rotate-keys-how-it-works) y [Estados clave de AWS KMS las claves](key-state.md).
1. Seleccione **Save**.
## Uso de la AWS KMS API
Puede utilizar la [API de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para deshabilitar la rotación automática de claves y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
La [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operación desactiva la rotación automática de las teclas. Para identificar la clave KMS en esta operación, utilice el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN). De forma predeterminada, la rotación de claves está desactivada para las claves KMS administradas por el cliente.
El siguiente ejemplo desactiva la rotación automática de claves en la clave KMS de cifrado simétrico especificada y utiliza la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación para ver el resultado.
```
$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false
}
```
# Realización de la rotación de claves bajo demanda
Puede realizar la rotación bajo demanda del material de claves en las claves KMS administradas por el cliente, independientemente de si la rotación automática de claves está habilitada o no. La desactivación de la rotación automática ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) no afecta a su capacidad para realizar rotaciones bajo demanda ni cancela ninguna rotación bajo demanda en curso. Las rotaciones bajo demanda no cambian los programas de rotación automática existentes. Por ejemplo, pensemos en una clave KMS que tenga habilitada la rotación automática de claves con un período de rotación de 730 días. Si la clave está programada para rotar automáticamente el 14 de abril de 2024 y realiza una rotación bajo demanda el 10 de abril de 2024, la clave rotará automáticamente, según lo programado, el 14 de abril de 2024 y, a partir de entonces, cada 730 días.
Puede realizar la rotación de claves bajo demanda un máximo de 25 veces por clave KMS. Puede utilizar la AWS KMS consola para ver el número de rotaciones bajo demanda restantes disponibles para una clave KMS.
La rotación de claves bajo demanda solo se admite en las [claves KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks). No puede realizar la rotación bajo demanda de [claves KMS asimétricas, claves KMS](symmetric-asymmetric.md) [de HMAC o claves](hmac.md) KMS en un almacén de claves [personalizado](key-store-overview.md#custom-key-store-overview). Para realizar la rotación bajo demanda de un conjunto de [claves de varias regiones](rotate-keys.md#multi-region-rotate) relacionadas, invoque la rotación bajo demanda en la clave principal.
Los usuarios autorizados con `kms:GetKeyRotationStatus` permisos `kms:RotateKeyOnDemand` y permisos pueden usar la AWS KMS consola y la AWS KMS API para iniciar la rotación de claves bajo demanda y ver el estado de la rotación de claves. Se utiliza [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)para ver las rotaciones completadas de una clave KMS.
**Topics**
+ [Inicio de la rotación de claves bajo demanda (consola)](#rotate-on-demand-console)
+ [Iniciar la rotación de claves (AWS KMS API) bajo demanda](#rotate-on-demand-api)
## Inicio de la rotación de claves bajo demanda (consola)
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**. (No puede realizar la rotación bajo demanda de Claves administradas por AWS. Estas rotan cada año de forma automática).
1. Elija el alias o el ID de clave de una clave KMS.
1. Seleccione la pestaña **Material y rotaciones de las claves**.
La pestaña **Material y rotaciones de las claves** solo aparece en la página de detalles de las claves de KMS de cifrado simétrico que admiten la rotación automática o bajo demanda. Esto incluye las claves de KMS con el material clave que AWS KMS se generó (**AWS\$1KMS**origen) y las claves de KMS con el material de clave importado (origen **EXTERNO**)
No puede realizar la rotación bajo demanda de claves KMS asimétricas, claves KMS de HMAC o claves KMS en almacenes de [claves personalizados](key-store-overview.md#custom-key-store-overview). Sin embargo, puede [rotarlas manualmente](rotate-keys-manually.md).
1. Elija **Rotar ahora**. Para las claves de cifrado simétricas con material de clave importado, la opción **Rotar ahora** solo está disponible si ha [importado anteriormente un material de clave nuevo](importing-keys-import-key-material.md#import-new-key-material) y se encuentra en estado de rotación **pendiente**.
**nota**
En el caso de las claves multirregionales, solo se puede girar la clave de región principal.
1. Lea y tenga en cuenta la advertencia y la información sobre el número de rotaciones bajo demanda restantes de la clave. También verá información como el identificador, la descripción y la fecha de caducidad del material de claves que se actualizará tras la rotación. Si decide que no desea continuar con la rotación bajo demanda, seleccione **Cancelar**.
1. Seleccione **Rotar clave** para confirmar la rotación bajo demanda.
**nota**
La rotación bajo demanda está sujeta a los mismos posibles efectos de coherencia que otras operaciones AWS KMS de gestión. Es posible que haya un ligero retraso antes de que el nuevo material de claves esté disponible en AWS KMS. El banner en la parte superior de la consola le notifica cuando la rotación bajo demanda ha finalizado.
## Iniciar la rotación de claves (AWS KMS API) bajo demanda
Puede utilizar la [API de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para iniciar la rotación de claves bajo demanda y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
La [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación inicia inmediatamente la rotación de claves bajo demanda para la clave de KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN).
En el siguiente ejemplo, se inicia la rotación de claves bajo demanda en la clave KMS de cifrado simétrico especificada y se utiliza la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación para comprobar que la rotación bajo demanda está en curso. La `OnDemandRotationStartDate` en la respuesta de `kms:GetKeyRotationStatus` identifica la fecha y la hora en que se inició una rotación bajo demanda en curso. En este ejemplo, la clave de KMS también tiene habilitada la rotación automática con un período de 365 días.
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
```
Si la clave de KMS no admite la rotación automática o no tiene habilitada la rotación automática, la respuesta de `kms:GetKeyRotationStatus` tendría menos campos, como se muestra en el siguiente ejemplo:
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false,
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```
# Enumeración de las rotaciones y los materiales clave
Las claves de KMS que admiten la rotación de claves automática o bajo demanda pueden tener varios materiales clave asociados. Estas claves tienen un material clave inicial y un material clave adicional para cada rotación automática o bajo demanda.
Los usuarios autorizados con `kms:ListKeyRotations` permiso pueden usar la AWS KMS consola y la [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API para enumerar todos los materiales clave asociados a una clave KMS, incluidos los de las rotaciones automáticas y bajo demanda completadas.
**Topics**
+ [Enumere las rotaciones y los materiales de claves (consola)](#list-rotations-console)
+ [Enumere las rotaciones y los materiales clave (AWS KMS API)](#list-rotations-api)
## Enumere las rotaciones y los materiales de claves (consola)
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**.
1. Elija el alias o el ID de clave de una clave KMS.
1. Seleccione la pestaña **Material y rotaciones de las claves**.
+ La pestaña **Material y rotaciones de las claves** solo aparece en la página de detalles de las claves de KMS de cifrado simétrico que admiten la rotación automática o bajo demanda. Esto incluye las claves de KMS con el material clave que AWS KMS se generó (`AWS_KMS`origen) y las claves de KMS con el material de clave importado (`EXTERNAL`origen).
+ La tabla de **materiales de claved** de la pestaña **Material de claves y rotaciones** muestra todos los materiales de claves asociados a la clave de KMS. Para cada material de claves, la entrada correspondiente muestra su identificador único asignado por AWS KMS, la fecha de rotación y el estado del material de claves. La fecha de rotación identifica cuándo se actualizó el material de claves tras una rotación de claves automática o bajo demanda. No hay ninguna fecha de rotación asociada al primer material ni al material de claves `Pending rotation`. El estado del material clave determina cómo se AWS KMS usa el material clave. El material de claves actual se utiliza tanto para el cifrado como para el descifrado. El material de claves no actual solo se utiliza para el descifrado. Un estado del material de claves de `Pending rotation` indica que el material de claves está preparado para su rotación. Este material de claves no se utiliza para ninguna operación criptográfica hasta que una rotación de claves bajo demanda lo convierte en el material de claves actual. La información adicional que se muestra en el material de claves depende del tipo de clave de KMS.
+ En el caso de las claves de KMS de cifrado simétrico con origen `AWS_KMS`, cada fila también muestra el tipo de rotación, `On-demand` o `Automatic`.
+ Las claves KMS de cifrado simétrico con material de clave importado (`EXTERNAL`origen) solo admiten la `On-demand` rotación, por lo que no hay ninguna columna de tipo de rotación. En su lugar, cada fila muestra un estado de importación, una descripción especificada por el usuario, información de caducidad y un menú **Acciones.** El estado de importación es **Importado**, lo que indica que el material clave está disponible en el interior AWS KMS o **Pendiente de importación**, lo que indica que el material clave no está disponible en el interior AWS KMS. El menú **Acciones** se puede utilizar para eliminar el material de claves importado o volver a importar el material de claves. La acción **Eliminar material de claves** está desactivada si el estado de importación del material de claves es **Pendiente de importación**. La acción **Reimportar el material de claves** siempre está disponible. No es necesario esperar a que un material de claves caduque o se elimine antes de volver a importarlo.
## Enumere las rotaciones y los materiales clave (AWS KMS API)
Puede utilizar la [API de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para iniciar la rotación de claves bajo demanda y ver el estado de rotación actual de cualquier clave administrada por el cliente. En estos ejemplos se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
La [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operación muestra todas las rotaciones y los materiales clave de la clave KMS especificada. Para identificar la clave KMS en estas operaciones, utilice el [ID de la clave](concepts.md#key-id-key-id) o el [ARN de la clave](concepts.md#key-id-key-ARN).
Esta operación admite un parámetro `IncludeKeyMaterial` opcional. El valor predeterminado de este parámetro es `ROTATIONS_ONLY`. Si omite este parámetro, AWS KMS devuelve información sobre los materiales clave creados mediante la rotación de claves automática o bajo demanda. Al especificar un valor de `ALL_KEY_MATERIAL`, AWS KMS agrega a la respuesta el primer material de claves y cualquier material de claves importado que esté pendiente de rotación. Este parámetro solo se puede usar con claves de KMS que admitan la rotación de claves automática o bajo demanda.
```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--inlcude-key-material ALL_KEY_MATERIAL
{
"Rotations": [
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
"KeyMaterialDescription": "KeyMaterialA",
"ImportState": "PENDING_IMPORT",
"KeyMaterialState": "NON_CURRENT"
},
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
"ImportState": "IMPORTED",
"KeyMaterialState": "CURRENT",
"ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
"RotationDate": "2025-05-01T15:50:51.045000-07:00",
"RotationType": "ON_DEMAND"
}
],
"Truncated": false
}
```
# Rotación manual de claves
Es posible que le interese crear una nueva clave de KMS y utilizarla en sustitución de una clave de KMS actual en lugar de activar la rotación automática de claves. Cuando la nueva clave KMS tiene diferente material criptográfico que la clave KMS actual, el uso de la nueva clave KMS tiene el mismo efecto que cambiar el material de claves de una clave KMS existente. El proceso de sustitución de una clave KMS por otra se denomina *rotación manual de claves*.
![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/key-rotation-manual.png)
La rotación manual es una buena opción si desea rotar claves KMS que no son aptas para la rotación automática o bajo demanda, como las claves KMS asimétricas, las claves KMS HMAC y las claves KMS en almacenes de claves [personalizados](key-store-overview.md#custom-key-store-overview).
**nota**
Cuando empiece a usar la nueva clave KMS, asegúrese de mantener la clave KMS original habilitada para AWS KMS poder descifrar los datos cifrados por la clave KMS original.
Cuando rota las claves KMS de forma manual, también debe actualizar las referencias al ID de la clave KMS o al ARN de la clave en sus aplicaciones. Los [alias](kms-alias.md), que asocian un nombre descriptivo a una clave KMS, pueden facilitar este proceso. Utilice un alias para hacer referencia a una clave KMS en sus aplicaciones. Después, cuando desee cambiar la clave KMS que utiliza la aplicación, en lugar editar su código de aplicación, cambie la clave KMS de destino del alias. Para obtener más información, consulte [Obtención de información sobre cómo utilizar alias en las aplicaciones](alias-using.md).
**nota**
[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Los alias no están permitidos en las operaciones que administran claves de KMS, como o. [DisableKey[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)
Al realizar la operación de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) en claves KMS de cifrado simétrico rotadas manualmente, omita el parámetro en el `KeyId` comando. AWS KMS utiliza automáticamente la clave KMS que cifró el texto cifrado.
El `KeyId` parámetro es obligatorio cuando se llama `Decrypt` o se [verifica](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) con una clave KMS asimétrica, o cuando se llama [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)con una clave HMAC KMS. Estas solicitudes fallan cuando el valor del parámetro `KeyId` es un alias que ya no apunta a la clave de KMS que realizó la operación criptográfica, por ejemplo, cuando se rota una clave de forma manual. Para evitar este error, debe realizar un seguimiento y especificar la clave de KMS correcta para cada operación.
Para cambiar la clave KMS de destino de un alias, usa la [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operación en la AWS KMS API. Por ejemplo, este comando actualiza el alias `alias/TestKey` para apuntar hacia una nueva clave KMS. Como la operación no devuelve ningún resultado, en el ejemplo se usa la [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operación para mostrar que el alias ahora está asociado a una clave de KMS diferente y que el `LastUpdatedDate` campo está actualizado. Los ListAliases comandos utilizan el [`query`parámetro](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) de AWS CLI para obtener únicamente el `alias/TestKey` alias.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}
```
# Cambio de la clave principal en un conjunto de claves de varias regiones
Cada conjunto de claves de varias regiones relacionadas debe contar con una clave principal. Pero puede cambiar la clave principal. Esta acción, conocida como *actualización de la región principal*, convierte la clave principal actual en una clave de réplica y convierte una de las claves de réplica relacionadas en la clave principal. Puede hacerlo si necesita eliminar la clave principal actual mientras mantiene las claves de réplica, o para ubicar la clave principal en la misma región que los administradores de claves.
Puede seleccionar cualquier clave de réplica relacionada para que sea la nueva clave principal. Tanto la clave principal como la clave de réplica deben estar en el [estado clave](key-state.md) `Enabled` Cuando se inicia la operación.
**El estado clave de `Updating`**
Incluso después de completar la operación `UpdatePrimaryRegion`, es posible que el proceso de actualización de la región principal siga en curso durante unos segundos más. Durante este tiempo, las claves principales antiguas y nuevas tienen un estado de clave transitoria de [Updating](#update-primary-keystate) (Actualizando). Mientras que el estado de clave es `Updating`, puede usar las claves en operaciones criptográficas, pero no puede replicar la nueva clave principal ni realizar determinadas operaciones de administración, como habilitar o desactivar estas claves. Operaciones como, por ejemplo, [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)pueden mostrar las claves principales antiguas y nuevas como réplicas. El estado de clave `Enabled` se restaura cuando se haya completado la actualización.
Para obtener información acerca del efecto del estado de clave `Updating`, consulte [Estados clave de AWS KMS las claves](key-state.md).
**Funcionamiento**
Suponga que tiene una clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) y una réplica de claves en Europa (Irlanda) (eu-west-1). Puede utilizar la función de actualización para cambiar la clave principal en EE. UU. Este (Norte de Virginia) (us-east-1) a una clave de réplica y cambiar la clave de réplica en Europa (Irlanda) (eu-west-1) a la clave principal.
![\[Actualización de la clave principal\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/multi-region-keys-update-sm.png)
Cuando se completa el proceso de actualización, la clave de varias regiones en la región Europa (Irlanda) (eu-west-1) es una clave principal de varias regiones y la clave en la región EE. UU. Este (Norte de Virginia) (us-east-1) es su clave de réplica. Si hay otras claves de réplica relacionadas, se convierten en réplicas de la nueva clave principal. La próxima vez que AWS KMS sincronice las propiedades compartidas de las claves multirregionales, obtendrá las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de la nueva clave principal y las copiará en sus claves de réplica, incluida la clave principal anterior.
La operación de actualización no modifica el [ARN de clave](concepts.md#key-id-key-ARN) de ninguna clave de varias regiones. Tampoco afecta a las propiedades compartidas, como el material clave, ni a las propiedades independientes, como la política de claves. Sin embargo, es posible que desee [actualice la política de claves](key-policy-modifying.md) de la nueva clave principal. Por ejemplo, es posible que desee añadir el ReplicateKey permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) para entidades de confianza a la nueva clave principal y eliminarlo de la nueva clave de réplica.
## Actualización de la región principal
Puede convertir una clave de réplica en una clave principal, lo que cambia la clave principal anterior en una réplica. Para actualizar la región principal, necesitas el UpdatePrimaryRegion permiso [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) en ambas regiones.
Puede actualizar la región principal en la AWS KMS consola o mediante la [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operación.
### Uso de la AWS KMS consola
Puede actualizar la clave principal de la AWS KMS consola. Comience con la página de detalles de clave de la clave principal actual.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**.
1. Seleccione el alias o el ID de clave de la [clave principal de varias regiones](multi-region-keys-overview.md#mrk-primary-key). Esto abre la página de detalles de clave de la clave principal.
Para identificar una clave principal de varias regiones, utilice el icono de herramienta situado en la esquina superior derecha para agregar la columna **Regionality (Regionalidad)** de la tabla.
1. Elija la pestaña **Regionality (Regionalidad)**.
1. En la sección **Primary key (Clave principal)**, seleccione **Change primary Region (Cambiar de región principal)**.
1. Elija la región de la nueva clave principal. Solo puede elegir una región del menú.
El menú **Change primary Regions (Cambiar las regiones principales)** incluye solo Regiones que tienen una clave de varias regiones relacionada. Es posible que no tenga [permiso para actualizar la región principal](multi-region-keys-auth.md#mrk-auth-update) en todas las regiones del menú.
1. Seleccione **Change primary Region (Cambiar región principal)**.
### Uso de la API AWS KMS
Para cambiar la clave principal de un conjunto de claves multirregionales relacionadas, utilice la [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operación.
Use el parámetro `KeyId` para identificar la clave principal actual. Utilice el `PrimaryRegion` parámetro para indicar Región de AWS la nueva clave principal. Si la clave principal aún no tiene una réplica en la nueva región principal, se produce un error en la operación.
En el ejemplo siguiente se cambia la clave principal de la clave de varias regiones en la región `us-west-2` a su réplica en la región `eu-west-1`. El parámetro `KeyId` identifica la clave principal actual en la región `us-west-2`. El `PrimaryRegion` parámetro especifica Región de AWS la nueva clave principal,`eu-west-1`.
```
$ aws kms update-primary-region \
--key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--primary-region eu-west-1
```
Cuando se realiza correctamente, esta operación no devuelve ningún resultado; solo el código de estado HTTP. Para ver el efecto, ejecute la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación en cualquiera de las claves multirregionales. Es posible que desee esperar hasta que el estado de la clave vuelva a `Enabled`. Mientras que el estado de clave es [Updating](#update-primary-keystate) (Actualizando), los valores de la clave aún pueden estar en flujo.
Por ejemplo, la siguiente llamada `DescribeKey` obtiene los detalles acerca de la clave de varias regiones en la región `eu-west-1`. La salida muestra que la clave de varias regiones de la región `eu-west-1` es ahora la clave principal. La clave de varias regiones relacionada (mismo ID de clave) en la región `us-west-2` es ahora una clave de réplica.
```
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}
```