KMSclé et ZSK gestion dans Route 53 - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

KMSclé et ZSK gestion dans Route 53

Cette section décrit les pratiques actuelles utilisées par Route 53 pour vos zones activées pour DNSSEC la signature.

Note

Route 53 utilise la règle suivante qui peut changer. Tout changement futur ne réduira pas la posture de sécurité de votre zone ou de Route 53.

Comment Route 53 utilise les informations AWS KMS associées à votre KSK

DansDNSSEC, le KSK est utilisé pour générer la signature d'enregistrement de ressource (RRSIG) pour le jeu d'enregistrements de DNSKEY ressources. Tous ACTIVE KSKs sont utilisés dans la RRSIG génération. Route 53 génère un RRSIG en appelant Sign AWS KMS API la KMS touche associée. Pour plus d'informations, voir Se connecter dans le AWS KMS APIguide. Ils RRSIGs ne sont pas pris en compte dans le calcul de la limite d'enregistrement des ressources de la zone.

RRSIGa une date d'expiration. Pour éviter qu'ils RRSIGs n'expirent, RRSIGs ils sont rafraîchis régulièrement en les régénérant tous les un à sept jours.

Ils RRSIGs sont également actualisés chaque fois que vous appelez l'un des numéros suivants APIs :

Chaque fois que Route 53 effectue une actualisation, nous en générons 15 RRSIGs pour couvrir les prochains jours au cas où la KMS clé associée deviendrait inaccessible. Pour l'estimation des coûts KMS clés, vous pouvez supposer une actualisation régulière une fois par jour. Une KMS clé peut devenir inaccessible en cas de modification involontaire de la politique des KMS clés. KMSLa clé inaccessible définira le statut KSK de l'associé surACTION_NEEDED. Nous vous recommandons vivement de surveiller cette situation en configurant une CloudWatch alarme chaque fois qu'une DNSSECKeySigningKeysNeedingAction erreur est détectée, car les résolveurs en cours de validation commenceront à échouer aux recherches après la dernière expiration. RRSIG Pour de plus amples informations, veuillez consulter Surveillance des zones hébergées à l'aide d'Amazon CloudWatch.

Comment la Route 53 gère votre zone ZSK

Chaque nouvelle zone hébergée dont DNSSEC la signature est activée aura une clé de signature de ACTIVE zone (ZSK). Le ZSK est généré séparément pour chaque zone hébergée et appartient à Route 53. L'algorithme clé actuel estECDSAP256SHA256.

Nous commencerons à effectuer une ZSK rotation régulière dans la zone dans les 7 à 30 jours suivant le début de la signature. Actuellement, Route 53 utilise la méthode Pre-Publish Key Rollover (Renouvellement de la clé de signature de la zone de pré-publication). Pour plus d'informations, veuillez consulterPre-Publish Zone Signing Key Rollover (Renouvellement de la clé de signature de la zone de pré-publication). Cette méthode en introduira une autre ZSK dans la zone. La rotation sera répétée tous les 7 à 30 jours.

La Route 53 suspendra la ZSK rotation si l'une des zones KSK est en ACTION_NEEDED état, car la Route 53 ne sera pas en mesure de régénérer les ensembles d'enregistrements de DNSKEY ressources RRSIGs pour tenir compte des modifications apportées à la ZSK zone. ZSKla rotation reprendra automatiquement une fois la condition terminée.