Utilisation de clés de signature () KSKs - Amazon Route 53
Ajouter une clé de signature () KSKModifier une clé de signature () KSKSupprimer une clé de signature () KSK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de clés de signature () KSKs

Lorsque vous activez DNSSEC la signature, Route 53 crée une clé de signature par clé (KSK) pour vous. Vous pouvez en avoir jusqu'à deux KSKs par zone hébergée dans Route 53. Après avoir activé DNSSEC la signature, vous pouvez ajouter, supprimer ou modifier votreKSKs.

Tenez compte des points suivants lorsque vous travaillez avec votre KSKs :

  • Avant de pouvoir supprimer unKSK, vous devez le modifier KSK pour lui attribuer le statut Inactif.

  • Lorsque DNSSEC la signature est activée pour une zone hébergée, Route 53 limite le TTL délai à une semaine. Si vous définissez une TTL durée supérieure à une semaine pour les enregistrements dans la zone hébergée, aucune erreur ne s'affiche, mais Route 53 impose une durée TTL d'une semaine.

  • Pour éviter une interruption de zone et éviter les problèmes liés à l'indisponibilité de votre domaine, vous devez traiter et résoudre rapidement DNSSEC les erreurs. Nous vous recommandons vivement de configurer une CloudWatch alarme qui vous avertira chaque fois qu'une DNSSECInternalFailure DNSSECKeySigningKeysNeedingAction erreur est détectée. Pour de plus amples informations, veuillez consulter Surveillance des zones hébergées à l'aide d'Amazon CloudWatch.

  • Les KSK opérations décrites dans cette section vous permettent de faire pivoter celles de votre zoneKSKs. Pour plus d'informations et un step-by-step exemple, consultez Rotation des DNSSEC clés dans le billet de blog Configuration de la DNSSEC signature et de la validation avec Amazon Route 53.

Pour travailler avec KSKs dans le AWS Management Console, suivez les instructions des sections suivantes.

Ajouter une clé de signature () KSK

Lorsque vous activez DNSSEC la signature, Route 53 crée une signature par clé (KSK) pour vous. Vous pouvez également les ajouter KSKs séparément. Vous pouvez en avoir jusqu'à deux KSKs par zone hébergée dans Route 53.

Lorsque vous créez unKSK, vous devez fournir ou demander à Route 53 de créer une clé gérée par le client à utiliser avec leKSK. Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter Utilisation de clés gérées par le client pour DNSSEC.

Procédez comme suit pour ajouter un KSK dans le AWS Management Console.

Pour ajouter un KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSECSignature, sous Clés de signature par clé (KSKs), choisissez Passer à l'affichage avancé, puis, sous Actions, choisissez Ajouter. KSK

  4. Sous KSK, entrez le nom KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (_). Il doit être unique.

  5. Entrez l'alias d'une clé gérée par le client qui s'applique à la DNSSEC signature, ou entrez un alias pour une nouvelle clé gérée par le client que Route 53 créera pour vous.

    Note

    Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).

  6. Choisissez Créer KSK.

Modifier une clé de signature () KSK

Vous pouvez modifier le statut KSK d'un comme actif ou inactif. Lorsqu'un KSK est actif, Route 53 l'utilise KSK pour DNSSEC signer. Avant de pouvoir supprimer unKSK, vous devez le modifier KSK pour lui attribuer le statut Inactif.

Procédez comme suit pour modifier un KSK dans le AWS Management Console.

Pour modifier une KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSECSignature, sous Clés de signature par clé (KSKs), choisissez Passer à l'affichage avancé, puis, sous Actions, choisissez Modifier. KSK

  4. Apportez les mises à jour souhaitées auKSK, puis choisissez Enregistrer.

Supprimer une clé de signature () KSK

Avant de pouvoir supprimer unKSK, vous devez le modifier KSK pour lui attribuer le statut Inactif.

L'une des raisons pour lesquelles vous pouvez supprimer un KSK est dans le cadre de la rotation de routine des touches. Il est recommandé de périodiquement effectuer la rotation des clés de chiffrement. Votre organisation peut disposer d'instructions standard concernant la fréquence de rotation des clés.

Procédez comme suit pour supprimer un KSK dans le AWS Management Console.

Pour supprimer un KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSECSignature, sous Clés de signature par clé (KSKs), choisissez Passer à l'affichage avancé, puis sous Actions, choisissez Supprimer. KSK

  4. Suivez les instructions pour confirmer la suppression duKSK.