Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit Schlüsseln zur Schlüsselsignierung () KSKs
Wenn Sie das DNSSEC Signieren aktivieren, erstellt Route 53 einen Schlüssel zur Schlüsselsignatur () KSK für Sie. In Route 53 können Sie bis zu zwei KSKs pro gehosteter Zone haben. Nachdem Sie die DNSSEC Signierung aktiviert haben, können Sie Ihre hinzufügen, entfernen oder bearbeitenKSKs.
Beachten Sie Folgendes, wenn Sie mit Ihrem arbeitenKSKs:
Bevor Sie eine löschen könnenKSK, müssen Sie sie bearbeiten, KSK um ihren Status auf Inaktiv zu setzen.
Wenn das DNSSEC Signieren für eine gehostete Zone aktiviert ist, begrenzt Route 53 das TTL auf eine Woche. Wenn Sie TTL für Datensätze in der Hosting-Zone einen Wert von mehr als einer Woche festlegen, wird keine Fehlermeldung angezeigt, aber Route 53 erzwingt einen Wert TTL von einer Woche.
Um einen Ausfall der Zone zu verhindern und Probleme mit der Nichtverfügbarkeit Ihrer Domain zu vermeiden, müssen Sie Fehler schnell beheben und behebenDNSSEC. Wir empfehlen Ihnen dringend, einen CloudWatch Alarm einzurichten, der Sie benachrichtigt, wenn ein
DNSSECKeySigningKeysNeedingActionFehlerDNSSECInternalFailureoder erkannt wird. Weitere Informationen finden Sie unter Überwachung von Hosting-Zonen mit Amazon CloudWatch.Mit den in diesem Abschnitt beschriebenen KSK Vorgängen können Sie Ihre Zonen rotierenKSKs. Weitere Informationen und ein step-by-step Beispiel finden Sie unter DNSSECSchlüsselrotation im Blogbeitrag Konfiguration von DNSSEC Signierung und Validierung mit Amazon Route 53.
Folgen Sie den Anweisungen KSKs in den folgenden Abschnitten AWS Management Console, um damit zu arbeiten.
Fügen Sie einen Schlüssel zur Tastensignatur hinzu () KSK
Wenn Sie das DNSSEC Signieren aktivieren, erstellt Route 53 eine Tastensignatur () KSK für Sie. Sie können auch separat hinzufügenKSKs. In Route 53 können Sie bis zu zwei KSKs pro gehosteter Zone haben.
Wenn Sie eine erstellenKSK, müssen Sie Route 53 angeben oder anfordern, um einen vom Kunden verwalteten, vom Kunden verwalteten Schlüssel zu erstellen, der mit dem verwendet werden kannKSK. Wenn Sie einen vom Kunden verwalteten, vom Kunden verwalteten Schlüssel bereitstellen oder erstellen, gelten mehrere Anforderungen. Weitere Informationen finden Sie unter Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC.
Gehen Sie wie folgt vor, um einen KSK in der hinzuzufügen AWS Management Console.
Um eine hinzuzufügen KSK
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/
. Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.
Wählen Sie auf der Registerkarte DNSSECSignieren unter Schlüssel zur Schlüsselsignierung (KSKs) die Option Zur erweiterten Ansicht wechseln und dann unter Aktionen die Option Hinzufügen aus. KSK
-
Geben Sie KSKunter einen Namen für das einKSK, das Route 53 für Sie erstellen wird. Namen können nur Buchstaben, Zahlen und Unterstriche enthalten. Dieser Wert muss eindeutig sein.
-
Geben Sie den Alias für einen vom Kunden verwalteten, vom Kunden verwalteten Schlüssel ein, der für das DNSSEC Signieren gilt, oder geben Sie einen Alias für einen neuen kundenverwalteten, kundenverwalteten Schlüssel ein, den Route 53 für Sie erstellt.
Anmerkung
Wenn Sie sich dafür entscheiden, dass Route 53 einen vom Kunden verwalteten Schlüssel erstellt, beachten Sie, dass für jeden vom Kunden verwalteten Schlüssel separate Gebühren anfallen. Weitere Informationen finden Sie unter AWS Key Management Service Preise
. -
Wählen Sie „Erstellen KSK“.
Bearbeiten Sie einen Schlüssel zur Schlüsselsignatur () KSK
Sie können den Status von a KSK auf Aktiv oder Inaktiv ändern. Wenn a aktiv KSK ist, verwendet Route 53 es KSK zum DNSSEC Signieren. Bevor Sie eine löschen könnenKSK, müssen Sie die bearbeiten, KSK um ihren Status auf Inaktiv zu setzen.
Gehen Sie wie folgt vor, um eine KSK in der zu bearbeiten AWS Management Console.
So bearbeiten Sie eine KSK
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/
. Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.
Wählen Sie auf der Registerkarte DNSSECSignieren unter Schlüssel zur Schlüsselsignierung (KSKs) die Option Zur erweiterten Ansicht wechseln und dann unter Aktionen die Option Bearbeiten aus. KSK
-
Nehmen Sie die gewünschten Aktualisierungen an der KSK vor und wählen Sie dann Speichern aus.
Löschen Sie einen Schlüssel zur Schlüsselsignatur () KSK
Bevor Sie einen löschen könnenKSK, müssen Sie den bearbeiten, KSK um seinen Status auf Inaktiv zu setzen.
Ein Grund, warum Sie eine löschen könnten, KSK ist die routinemäßige Schlüsselrotation. Es ist eine bewährte Methode, kryptografische Schlüssel regelmäßig zu drehen. Ihre Organisation verfügt möglicherweise über Standardanweisungen für das Drehen von Schlüsseln.
Gehen Sie wie folgt vor, um eine KSK in der zu löschen AWS Management Console.
Um ein zu löschen KSK
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/
. -
Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.
-
Wählen Sie auf der Registerkarte DNSSECSignieren unter Schlüssel zur Schlüsselsignierung (KSKs) die Option Zur erweiterten Ansicht wechseln und dann unter Aktionen die Option Löschen aus. KSK
-
Folgen Sie den Anweisungen, um das Löschen von zu bestätigen. KSK
