Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC
Saat Anda mengaktifkan DNSSEC penandatanganan di Amazon Route 53, Route 53 akan membuat kunci penandatanganan kunci (KSK) untuk Anda. Untuk membuatKSK, Route 53 harus menggunakan kunci yang dikelola pelanggan dalam mendukung AWS Key Management Service ituDNSSEC. Bagian ini menjelaskan rincian dan persyaratan untuk kunci yang dikelola pelanggan yang berguna untuk diketahui saat Anda bekerja denganDNSSEC.
Ingatlah hal berikut saat Anda bekerja dengan kunci yang dikelola pelanggan untukDNSSEC:
Kunci terkelola pelanggan yang Anda gunakan dengan DNSSEC penandatanganan harus berada di Wilayah AS Timur (Virginia N.).
Kunci yang dikelola pelanggan harus berupa kunci yang dikelola pelanggan asimetris dengan spesifikasi kunci ECC _ NIST _P256. Kunci yang dikelola pelanggan ini hanya digunakan untuk penandatanganan dan verifikasi. Untuk bantuan membuat kunci terkelola pelanggan asimetris, lihat Membuat kunci terkelola pelanggan asimetris di Panduan AWS Key Management Service Pengembang. Untuk bantuan menemukan konfigurasi kriptografi dari kunci terkelola pelanggan yang ada, lihat Melihat konfigurasi kriptografi kunci yang dikelola pelanggan di Panduan AWS Key Management Service Pengembang.
Jika Anda membuat sendiri kunci terkelola pelanggan untuk digunakan DNSSEC di Route 53, Anda harus menyertakan pernyataan kebijakan kunci tertentu yang memberi Route 53 izin yang diperlukan. Route 53 harus dapat mengakses kunci yang dikelola pelanggan Anda sehingga dapat membuat KSK untuk Anda. Untuk informasi selengkapnya, lihat Route 53 izin kunci terkelola pelanggan yang diperlukan untuk DNSSEC penandatanganan.
Route 53 dapat membuat kunci terkelola pelanggan untuk Anda gunakan dengan DNSSEC penandatanganan tanpa AWS KMS izin tambahan. AWS KMS Namun, Anda harus memiliki izin khusus jika ingin mengedit kunci setelah dibuat. Izin khusus yang harus Anda miliki adalah sebagai berikut:
kms:UpdateKeyDescription
,kms:UpdateAlias
, dankms:PutKeyPolicy
.Ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci terkelola pelanggan yang Anda miliki, apakah Anda membuat kunci yang dikelola pelanggan atau Route 53 membuatnya untuk Anda. Untuk informasi selengkapnya, lihat harga AWS Key Management Service
.