Trabajar con claves gestionadas por el cliente para DNSSEC

La clave gestionada por el cliente que utilices al DNSSEC firmar debe estar en la región EE.UU. Este (Norte de Virginia).

La clave gestionada por el cliente debe ser una clave gestionada por el cliente asimétrica con una especificación de clave ECC _ NIST _P256. Estas claves administradas por el cliente se utilizan únicamente para firmar y verificar. Para obtener ayuda para crear una clave administrada por el cliente asimétrica, consulte Creación de claves asimétricas administradas por el cliente en la Guía para desarrolladores. AWS Key Management Service Para obtener ayuda para encontrar la configuración criptográfica de una clave gestionada por el cliente existente, consulte Visualización de la configuración criptográfica de las claves gestionadas por el cliente en la Guía para desarrolladores. AWS Key Management Service

Si crea usted mismo una clave administrada por el cliente para utilizarla DNSSEC en Route 53, debe incluir declaraciones de políticas clave específicas que otorguen a Route 53 los permisos necesarios. Route 53 debe poder acceder a su clave administrada por el cliente para poder crear una KSK para usted. Para obtener más información, consulte Los permisos clave de Route 53 administrados por el cliente son necesarios para firmar DNSSEC.

Route 53 puede crear una clave gestionada por el cliente para que AWS KMS la utilices al DNSSEC firmar sin AWS KMS permisos adicionales. No obstante, debe tener permisos específicos si desea editar la clave después de crearla. Los permisos específicos que debe tener son los siguientes: kms:UpdateKeyDescription, kms:UpdateAlias, y kms:PutKeyPolicy.

Tenga en cuenta que se aplican cargos aparte por cada clave administrada por el cliente que tenga, independientemente de que usted cree la clave administrada por el cliente o sea Route 53 quien la cree por usted. Para obtener más información, consulte Precios de AWS Key Management Service.