KMSclave y ZSK administración en Route 53 - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

KMSclave y ZSK administración en Route 53

En esta sección se describe la práctica actual que Route 53 utiliza para las zonas habilitadas para la DNSSEC firma.

nota

Route 53 utiliza la siguiente regla que podría cambiar. Cualquier cambio futuro no reducirá la posición de seguridad de su zona ni de Route 53.

Cómo utiliza Route 53 lo AWS KMS asociado a su KSK

EnDNSSEC, KSK se utiliza para generar la firma del registro de recursos (RRSIG) para el conjunto de registros de DNSKEY recursos. Todos ACTIVE KSKs se utilizan en la RRSIG generación. La ruta 53 genera una RRSIG llamándola Sign AWS KMS API en la KMS clave asociada. Para obtener más información, consulte Iniciar sesión en la AWS KMS APIguía. Estos datos RRSIGs no se tienen en cuenta para el límite establecido de registros de recursos de la zona.

RRSIGtiene una fecha de caducidad. Para evitar que caduquen, RRSIGs se refrescan periódicamente regenerándolos cada uno a siete días. RRSIGs

También RRSIGs se actualizan cada vez que llamas a cualquiera de las siguientes opciones: APIs

Cada vez que Route 53 realiza una actualización, generamos 15 RRSIGs para cubrir los próximos días en caso de que no se pueda acceder a la KMS clave asociada. Para estimar los costos KMS clave, puede suponer que se actualiza periódicamente una vez al día. Es posible que no se pueda acceder a una KMS clave si se realizan cambios inadvertidos en la KMS política de claves. La KMS clave inaccesible establecerá el estado del asociado KSK en. ACTION_NEEDED Le recomendamos encarecidamente que controle este estado configurando una CloudWatch alarma cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error, ya que al validar las resoluciones, las búsquedas comenzarán a fallar una vez que caduque la última. RRSIG Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

Cómo administra Route 53 tu zona ZSK

Cada nueva zona alojada con la DNSSEC firma habilitada tendrá una clave de firma de ACTIVE zona (ZSK). ZSKSe genera por separado para cada zona alojada y es propiedad de Route 53. El algoritmo clave actual esECDSAP256SHA256.

Empezaremos a realizar una ZSK rotación regular en la zona en un plazo de 7 a 30 días a partir del inicio de la firma. En la actualidad, Route 53 utiliza el método de transferencia de claves previa a la publicación. Para obtener más información, consulte Pre-Publish Zone Signing Key Rollover (Transferencia de claves de firma de zona previa a la publicación). Este método introducirá otro método en ZSK la zona. La rotación se repetirá cada 7 a 30 días.

La Ruta 53 suspenderá la ZSK rotación si alguna de las zonas KSK está en ACTION_NEEDED estado, ya que la Ruta 53 no podrá regenerar los conjuntos de registros de DNSKEY recursos RRSIGs para tener en cuenta los cambios en la ZSK zona. ZSKla rotación se reanudará automáticamente una vez que se elimine la condición.