Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kunci KMS dan manajemen ZSK di Rute 53

PDF
RSS
Mode fokus
Kunci KMS dan manajemen ZSK di Rute 53 - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagian ini menjelaskan praktik saat ini yang digunakan Route 53 untuk zona aktif penandatanganan DNSSEC Anda.

catatan

Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

Bagaimana Route 53 menggunakan yang AWS KMS terkait dengan KSK Anda

Dalam DNSSEC, KSK digunakan untuk menghasilkan tanda tangan catatan sumber daya (RRSIG) untuk kumpulan catatan sumber daya DNSKEY. Semua ACTIVE KSKs digunakan dalam generasi RRSIG. Route 53 menghasilkan RRSIG dengan memanggil Sign AWS KMS API pada kunci KMS terkait. Untuk informasi selengkapnya, lihat Masuk panduan AWS KMS API. Ini RRSIGs tidak dihitung terhadap batas set catatan sumber daya zona.

RRSIG memiliki kedaluwarsa. Untuk RRSIGs mencegah kedaluwarsa, disegarkan RRSIGs secara teratur dengan meregenerasinya setiap satu hingga tujuh hari.

RRSIGs Ini juga disegarkan setiap kali Anda memanggil salah satu dari ini APIs:

Setiap kali Route 53 melakukan penyegaran, kami menghasilkan 15 RRSIGs untuk mencakup beberapa hari ke depan jika kunci KMS terkait menjadi tidak dapat diakses. Untuk estimasi biaya utama KMS, Anda dapat mengasumsikan penyegaran reguler sekali sehari. Kunci KMS mungkin menjadi tidak dapat diakses oleh perubahan yang tidak disengaja pada kebijakan kunci KMS. Kunci KMS yang tidak dapat diakses akan mengatur status KSK terkait ke. ACTION_NEEDED Kami sangat menyarankan Anda memantau kondisi ini dengan mengatur CloudWatch alarm setiap kali DNSSECKeySigningKeysNeedingAction kesalahan terdeteksi karena memvalidasi resolver akan mulai gagal pencarian setelah RRSIG terakhir kedaluwarsa. Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.

Bagaimana Route 53 mengelola ZSK zona Anda

Setiap zona host baru dengan penandatanganan DNSSEC diaktifkan akan memiliki satu kunci penandatanganan ACTIVE zona (ZSK). ZSK dibuat secara terpisah untuk setiap zona yang dihosting dan dimiliki oleh Route 53. Algoritma kunci saat ini adalah ECDSAP256SHA256.

Kami akan mulai melakukan rotasi ZSK reguler di zona dalam waktu 7-30 hari sejak dimulainya penandatanganan. Saat ini, Route 53 menggunakan metode Pre-Publish Key Rollover. Untuk informasi selengkapnya, lihat Rollover Kunci Penandatanganan Zona Pra-Publikasikan. Metode ini akan memperkenalkan ZSK lain ke zona tersebut. Rotasi akan diulang setiap 7-30 hari.

Route 53 akan menangguhkan rotasi ZSK jika salah satu zona KSK berada dalam ACTION_NEEDED status karena Route 53 tidak akan dapat meregenerasi set catatan sumber daya DNSKEY untuk memperhitungkan perubahan di ZSK zona. RRSIGs Rotasi ZSK akan secara otomatis dilanjutkan setelah kondisi dibersihkan.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.