Utilisation de clés gérées par le client pour DNSSEC

La clé gérée par le client que vous utilisez pour DNSSEC signer doit se trouver dans la région USA Est (Virginie du Nord).

La clé gérée par le client doit être une clé asymétrique gérée par le client avec une spécification de clé ECC _ NIST _P256. Ces clés gérées par le client sont uniquement utilisées aux fins de la signature et de la vérification. Pour obtenir de l'aide sur la création d'une clé asymétrique gérée par le client, consultez la section Création de clés asymétriques gérées par le client dans le guide du AWS Key Management Service développeur. Pour obtenir de l'aide pour trouver la configuration cryptographique d'une clé gérée par le client existante, consultez la section Affichage de la configuration cryptographique des clés gérées par le client dans le Guide du AWS Key Management Service développeur.

Si vous créez vous-même une clé gérée par le client à utiliser DNSSEC dans Route 53, vous devez inclure des déclarations de politique clés spécifiques qui accordent à Route 53 les autorisations requises. Route 53 doit pouvoir accéder à votre clé gérée par le client afin de pouvoir en créer une KSK pour vous. Pour de plus amples informations, veuillez consulter Autorisations clés gérées par le client Route 53 requises pour la DNSSEC signature.

Route 53 peut créer une clé gérée par le client que vous pouvez AWS KMS utiliser lors de DNSSEC la signature sans AWS KMS autorisations supplémentaires. Toutefois, vous devez disposer d'autorisations spécifiques si vous souhaitez modifier la clé après sa création. Les autorisations spécifiques dont vous devez disposer sont les suivantes : kms:UpdateKeyDescription, kms:UpdateAlias et kms:PutKeyPolicy.

Vous devez savoir que des frais distincts s'appliquent pour chaque clé gérée par le client que vous possédez, que vous créiez la clé gérée par le client ou que Route 53 la crée pour vous. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).