Utilisation des clés gérées par le client pour DNSSEC

La clé gérée par le client que vous utilisez avec la signature DNSSEC doit se trouver dans la région USA Est (Virginie du Nord).

La clé gérée par le client doit être un clé asymétrique gérée par le client dotée d'une spécification de clé ECC_NIST_P256. Ces clés gérées par le client sont uniquement utilisées aux fins de la signature et de la vérification. Pour obtenir de l'aide sur la création d'une clé asymétrique gérée par le client, consultez la section Création de clés asymétriques gérées par le client dans le guide du AWS Key Management Service développeur. Pour obtenir de l'aide pour trouver la configuration cryptographique d'une clé gérée par le client existante, consultez la section Affichage de la configuration cryptographique des clés gérées par le client dans le Guide du AWS Key Management Service développeur.

Si vous créez vous-même une clé gérée par le client à utiliser avec DNSSEC dans Route 53, vous devez inclure des instructions de politique de clé spécifiques qui confèrent à Route 53 les autorisations requises. Route 53 doit pouvoir accéder à votre clé gérée par le client afin de pouvoir créer une clé KSK pour vous. Pour de plus amples informations, veuillez consulter Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC.

Route 53 peut créer une clé gérée par le client que vous pouvez utiliser AWS KMS pour la signature DNSSEC sans autorisations supplémentaires AWS KMS . Toutefois, vous devez disposer d'autorisations spécifiques si vous souhaitez modifier la clé après sa création. Les autorisations spécifiques dont vous devez disposer sont les suivantes : kms:UpdateKeyDescription, kms:UpdateAlias et kms:PutKeyPolicy.

Vous devez savoir que des frais distincts s'appliquent pour chaque clé gérée par le client que vous possédez, que vous créiez la clé gérée par le client ou que Route 53 la crée pour vous. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).