As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 1: criar um material AWS KMS key sem chave
<a name="importing-keys-create-cmk"></a>

Por padrão, AWS KMS cria material de chave para você quando você cria uma chave KMS. Se preferir importar seu próprio material de chave, comece criando uma chave do KMS sem material de chave. Em seguida, importe o material de chave. Para criar uma chave KMS sem material de chave, use o AWS KMS console ou a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.

Para criar uma chave sem material de chave, especifique uma [origem](create-keys.md#key-origin) como `EXTERNAL`. A propriedade de origem de uma chave do KMS é imutável. Depois de criá-la, você não poderá converter uma chave KMS projetada para material de chave importado em uma chave KMS com material de chave de AWS KMS ou de qualquer outra fonte.

O [key state](key-state.md) (estado de chave) de uma chave do KMS com uma origem `EXTERNAL` e sem material chave é `PendingImport`. Uma chave do KMS pode permanecer no estado `PendingImport` indefinidamente. No entanto, não é possível usar uma chave do KMS no estado `PendingImport` em operações criptográficas. Quando o material da chaves é importado, o estado da chave do KMS muda para `Enabled`, e você pode usar a chave do KMS em operações de criptografia.

AWS KMS registra um evento em seu AWS CloudTrail registro quando você [cria a chave KMS](ct-createkey.md), [baixa a chave pública e o token de importação](ct-getparametersforimport.md) [e importa o material da chave](ct-importkeymaterial.md). AWS KMS também registra um CloudTrail evento quando você [exclui material de chave importado](ct-deleteimportedkeymaterial.md) ou quando AWS KMS [exclui material de chave expirado](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Criar uma chave do KMS sem material de chave (console)](#importing-keys-create-cmk-console)
+ [Criação de uma chave KMS sem material de chave (AWS KMS API)](#importing-keys-create-cmk-api)

## Criar uma chave do KMS sem material de chave (console)
<a name="importing-keys-create-cmk-console"></a>

Você somente precisa criar uma chave do KMS para o material de chave importado uma vez. É possível importar reimportar o mesmo material de chaves para as chave s do KMS quantas vezes desejar, mas não é possível importar outro material de chaves para uma chave do KMS. Para obter detalhes, consulte [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

Para encontrar chaves do KMS existentes com material de chave importado em sua tabela **Customer managed keys** (Chaves gerenciadas pelo cliente), use o ícone de engrenagem no canto superior direito para mostrar a coluna **Origin** (Origem) na lista de chaves do KMS. As chaves importadas têm um valor **Origin** (Origem) **External** (Externo) (Importar material de chave).

Para criar uma chave do KMS com material de chave importado, comece seguindo as [instruções para criar uma chave do KMS do seu tipo de chave preferido](create-keys.md), com a exceção a seguir.

Depois de escolher o uso de chave, faça o seguinte:

1. Expanda **Advanced options (Opções avançadas)**.

1. Em **Key material origin** (Origem do material de chave), escolha **External (Import key material)** (Externo [material de chave importado]).

1. Marque a caixa de seleção ao lado de **I understand the security, availability, and durability implications of using an imported key** (Entendo as implicações de segurança, disponibilidade e durabilidade do uso de uma chave importada) para indicar que você compreende as implicações do uso de material de chaves importadas. Para ler sobre essas implicações, consulte [Proteger o material de chave importada](import-keys-protect.md).

1. Opcional: para criar uma [chave do KMS de várias regiões](multi-region-keys-overview.md) com material de chave importado, em **Regionalidade**, selecione **Chave de várias regiões**.

1. Retorne às instruções básicas. As etapas restantes do procedimento básico são as mesmas para todas as chaves do KMS desse tipo. 

Ao escolher **Concluir**, você criou uma chave do KMS sem material de chave e um status ([estado da chave](key-state.md)) de **importação pendente**. 

No entanto, em vez de retornar à tabela de **chaves gerenciadas pelo cliente**, o console exibirá uma página na qual é possível baixar a chave pública e o token de importação necessários para importar o material da chave. É possível continuar com a etapa de download agora ou escolher **Cancelar** para parar nesse momento. É possível retornar a essa etapa de download a qualquer momento.

Próximo: [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

## Criação de uma chave KMS sem material de chave (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

Para usar a [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) para criar uma chave KMS de criptografia simétrica sem material de chave, envie uma [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)solicitação com o `Origin` parâmetro definido como. `EXTERNAL` O exemplo a seguir mostra como fazer isso com a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Quando o comando é bem-sucedido, a saída é semelhante à seguinte. A AWS KMS chave `Origin` é `EXTERNAL` e `KeyState` é`PendingImport`.

**dica**  
Se o comando não for bem-sucedido, você poderá ver uma `KMSInvalidStateException` ou `NotFoundException`. Você poderá repetir a solicitação.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copie o valor `KeyId` da saída do seu comando para usar em etapas posteriores e prossiga para [Etapa 2: Fazer download da chave pública de empacotamento e do token de importação](importing-keys-get-public-key-and-token.md).

**nota**  
Esse comando cria uma chave do KMS de criptografia simétrica com uma `KeySpec` de `SYMMETRIC_DEFAULT` e `KeyUsage` de `ENCRYPT_DECRYPT`. É possível usar os parâmetros opcionais `--key-spec` e `--key-usage` para criar uma chave assimétrica ou HMAC KMS. Para obter mais informações, consulte a operação [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).