Trabajar con claves de firma de claves () KSKs - Amazon Route 53
Añada una clave de firma () KSKEditar una clave de firma de claves () KSKEliminar una clave de firma clave () KSK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con claves de firma de claves () KSKs

Cuando habilita la DNSSEC firma, Route 53 crea una clave de firma clave () KSK para usted. Puede tener hasta dos KSKs por zona alojada en Route 53. Después de habilitar la DNSSEC firma, puede agregar, eliminar o editar suKSKs.

Tenga en cuenta lo siguiente cuando trabaje con suKSKs:

  • Antes de poder eliminar unKSK, debe editarlo KSK para establecer su estado en Inactivo.

  • Cuando la DNSSEC firma está habilitada en una zona alojada, Route 53 la limita TTL a una semana. Si estableces un TTL registro en la zona alojada en más de una semana, no se producirá ningún error, pero Route 53 aplicará un plazo TTL de una semana.

  • Para evitar una interrupción en la zona y evitar que tu dominio deje de estar disponible, debes abordar y resolver DNSSEC los errores rápidamente. Te recomendamos encarecidamente que configures una CloudWatch alarma que te avise cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error DNSSECInternalFailure o error. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

  • Las KSK operaciones descritas en esta sección le permiten rotar las zonasKSKs. Para obtener más información y un step-by-step ejemplo, consulte Rotación de DNSSEC claves en la entrada del blog Configuración de la DNSSEC firma y la validación con Amazon Route 53.

Para trabajar con KSKs ella AWS Management Console, siga las instrucciones de las siguientes secciones.

Añada una clave de firma () KSK

Cuando habilita la DNSSEC firma, Route 53 crea una firma con clave () KSK para usted. También puede agregarla KSKs por separado. Puede tener hasta dos KSKs por zona hospedada en Route 53.

Al crear unaKSK, debe proporcionar o solicitar a Route 53 que cree una clave gestionada por el cliente para utilizarla con laKSK. Cuando proporciona o crea una clave administrada por el cliente, existen varios requisitos. Para obtener más información, consulte Trabajar con claves gestionadas por el cliente para DNSSEC.

Siga estos pasos para agregar una KSK en el AWS Management Console.

Para añadir un KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña de DNSSECfirma, en Teclas de firma con teclas (KSKs), elija Cambiar a la vista avanzada y, a continuación, en Acciones, elija Agregar. KSK

  4. En la sección KSK, escriba un nombre para el KSK que Route 53 creará para usted. Los nombres pueden contener letras, números y guiones bajos (_). Deben ser únicos.

  5. Introduzca el alias de una clave gestionada por el cliente que se aplique a la DNSSEC firma o introduzca un alias para una nueva clave gestionada por el cliente que Route 53 creará para usted.

    nota

    Si elige que Route 53 cree una clave administrada por el cliente, tenga en cuenta que se aplican cargos aparte por cada clave administrada por el cliente. Para obtener más información, consulte Precios de AWS Key Management Service.

  6. Elija Crear KSK.

Editar una clave de firma de claves () KSK

Puede editar el estado de un KSK para que sea Activo o Inactivo. Cuando a KSK está activo, Route 53 lo usa KSK para DNSSEC firmar. Antes de poder eliminar unKSK, debe editarlo KSK para establecer su estado en Inactivo.

Siga estos pasos para editar un KSK en AWS Management Console.

Para editar una KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña de DNSSECfirma, en Teclas de firma con teclas (KSKs), elija Cambiar a la vista avanzada y, a continuación, en Acciones, elija Editar. KSK

  4. Realiza las actualizaciones que desees en yKSK, a continuación, selecciona Guardar.

Eliminar una clave de firma clave () KSK

Antes de poder eliminar unaKSK, debe editarla KSK para establecer su estado en Inactivo.

Una de las razones por las que puede eliminar un KSK es como parte de la rotación rutinaria de claves. Rotar claves criptográficas periódicamente es una práctica recomendada. Es posible que su organización tenga una guía estándar sobre la frecuencia con la que debe rotar las claves.

Siga estos pasos para eliminar una KSK en el AWS Management Console.

Para eliminar un KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña de DNSSECfirma, en Teclas de firma con teclas (KSKs), elija Cambiar a la vista avanzada y, a continuación, en Acciones, elija Eliminar. KSK

  4. Sigue las instrucciones para confirmar la eliminación de. KSK