KMSkunci dan ZSK manajemen di Route 53 - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

KMSkunci dan ZSK manajemen di Route 53

Bagian ini menjelaskan praktik saat ini yang digunakan Route 53 untuk zona aktif DNSSEC penandatanganan Anda.

catatan

Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

Bagaimana Route 53 menggunakan AWS KMS yang terkait dengan KSK

DiDNSSEC, KSK digunakan untuk menghasilkan resource record signature (RRSIG) untuk kumpulan catatan DNSKEY sumber daya. Semua ACTIVE KSKs digunakan dalam RRSIG generasi. Route 53 menghasilkan RRSIG dengan memanggil Sign AWS KMS API pada KMS kunci terkait. Untuk informasi selengkapnya, lihat Masuk AWS KMS APIpanduan. Ini RRSIGs tidak dihitung terhadap batas set catatan sumber daya zona.

RRSIGmemiliki kedaluwarsa. Untuk RRSIGs mencegah kedaluwarsa, disegarkan RRSIGs secara teratur dengan meregenerasinya setiap satu hingga tujuh hari.

RRSIGsIni juga disegarkan setiap kali Anda memanggil salah satu dari iniAPIs:

Setiap kali Route 53 melakukan penyegaran, kami menghasilkan 15 RRSIGs untuk mencakup beberapa hari ke depan jika KMS kunci terkait menjadi tidak dapat diakses. Untuk estimasi biaya KMS utama, Anda dapat mengasumsikan penyegaran reguler sekali sehari. KMSKunci mungkin menjadi tidak dapat diakses oleh perubahan yang tidak disengaja pada kebijakan kunci. KMS KMSKunci yang tidak dapat diakses akan mengatur status terkait KSK keACTION_NEEDED. Kami sangat menyarankan agar Anda memantau kondisi ini dengan mengatur CloudWatch alarm setiap kali DNSSECKeySigningKeysNeedingAction kesalahan terdeteksi karena memvalidasi resolver akan mulai gagal pencarian setelah yang terakhir berakhir. RRSIG Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.

Bagaimana Route 53 mengelola zona Anda ZSK

Setiap zona host baru dengan DNSSEC penandatanganan diaktifkan akan memiliki satu ACTIVE zona penandatanganan key (ZSK). ZSKIni dihasilkan secara terpisah untuk setiap zona yang dihosting dan dimiliki oleh Route 53. Algoritma kunci saat ini adalahECDSAP256SHA256.

Kami akan mulai melakukan ZSK rotasi reguler di zona dalam waktu 7-30 hari sejak dimulainya penandatanganan. Saat ini, Route 53 menggunakan metode Pre-Publish Key Rollover. Untuk informasi selengkapnya, lihat Rollover Kunci Penandatanganan Zona Pra-Publikasikan. Metode ini akan memperkenalkan yang lain ZSK ke zona tersebut. Rotasi akan diulang setiap 7-30 hari.

Route 53 akan menangguhkan ZSK rotasi jika salah satu zona KSK berada dalam ACTION_NEEDED status karena Route 53 tidak akan dapat meregenerasi kumpulan catatan DNSKEY sumber daya RRSIGs untuk memperhitungkan perubahan di zona. ZSK ZSKrotasi akan secara otomatis dilanjutkan setelah kondisi dibersihkan.