Utilizzo delle chiavi per la firma dei tasti () KSKs - Amazon Route 53
Aggiungi una chiave per la firma dei tasti () KSKModifica una chiave per la firma dei tasti () KSKEliminate una chiave per la firma dei tasti () KSK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle chiavi per la firma dei tasti () KSKs

Quando abiliti la DNSSEC firma, Route 53 crea automaticamente una chiave per la firma dei tasti ()KSK. Puoi averne fino a due KSKs per zona ospitata in Route 53. Dopo aver abilitato la DNSSEC firma, puoi aggiungere, rimuovere o modificare i tuoiKSKs.

Tieni presente quanto segue quando lavori conKSKs:

  • Prima di poter eliminare un fileKSK, è necessario modificarlo KSK per impostarne lo stato su Inattivo.

  • Quando DNSSEC la firma è abilitata per una zona ospitata, Route 53 limita la durata TTL a una settimana. Se imposti un TTL valore per i record nella zona ospitata su più di una settimana, non viene visualizzato alcun errore, ma Route 53 impone una TTL settimana.

  • Per contribuire a prevenire un'interruzione della zona ed evitare problemi di indisponibilità del dominio, è necessario risolvere e risolvere DNSSEC rapidamente gli errori. Ti consigliamo vivamente di impostare un CloudWatch allarme che ti avvisi ogni volta che viene rilevato un DNSSECKeySigningKeysNeedingAction errore DNSSECInternalFailure or. Per ulteriori informazioni, consulta Monitoraggio delle zone ospitate tramite Amazon CloudWatch.

  • Le KSK operazioni descritte in questa sezione consentono di ruotare le zone. KSKs Per ulteriori informazioni e un step-by-step esempio, consulta DNSSECKey Rotation nel post del blog Configuring signature DNSSEC and validation with Amazon Route 53.

Per utilizzare KSKs in AWS Management Console, segui le indicazioni riportate nelle sezioni seguenti.

Aggiungi una chiave per la firma dei tasti () KSK

Quando abiliti la DNSSEC firma, Route 53 crea una chiave () KSK per te. Puoi anche aggiungere KSKs separatamente. Puoi averne fino a due KSKs per zona ospitata in Route 53.

Quando si crea unaKSK, è necessario fornire o richiedere a Route 53 di creare una chiave gestita dal cliente da utilizzare conKSK. Quando fornisci o crei una chiave gestita dal cliente, esistono diversi requisiti da rispettare. Per ulteriori informazioni, consulta Utilizzo delle chiavi gestite dal cliente per DNSSEC.

Segui questi passaggi per aggiungere un KSK AWS Management Console.

Per aggiungere un KSK

  1. Accedi a AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda DNSSECFirma, in Chiavi di firma con tasti (KSKs), scegli Passa alla visualizzazione avanzata, quindi, in Azioni, scegli Aggiungi. KSK

  4. In KSK, inserisci un nome per KSK quello che Route 53 creerà per te. I nomi possono contenere solo lettere, numeri e caratteri di sottolineatura (_). Deve essere univoco.

  5. Inserisci l'alias per una chiave gestita dal cliente che si applica alla DNSSEC firma oppure inserisci un alias per una nuova chiave gestita dal cliente che Route 53 creerà per te.

    Nota

    Se scegli di fare in modo che Route 53 crei una chiave gestita dal cliente, tieni presente che si applicano addebiti separati per ogni chiave gestita dal cliente. Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service.

  6. Scegli Crea. KSK

Modifica una chiave per la firma dei tasti () KSK

È possibile modificare lo stato di un file in KSK modo che sia Attivo o Inattivo. Quando a KSK è attivo, Route 53 lo utilizza KSK per la DNSSEC firma. Prima di poter eliminare un fileKSK, è necessario modificarlo KSK per impostarne lo stato su Inattivo.

Segui questi passaggi per modificare un file KSK in. AWS Management Console

Per modificare una KSK

  1. Accedi a AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda DNSSECFirma, sotto Chiavi per la firma dei tasti (KSKs), scegli Passa alla visualizzazione avanzata, quindi, in Azioni, scegli Modifica. KSK

  4. Apportate gli aggiornamenti desiderati aKSK, quindi scegliete Salva.

Eliminate una chiave per la firma dei tasti () KSK

Prima di poter eliminare unaKSK, è necessario modificarla KSK per impostarne lo stato su Inattivo.

Uno dei motivi per cui potresti eliminare a KSK è come parte della rotazione di routine dei tasti. Una best practice consiste nel ruotare periodicamente le chiavi di crittografia. È possibile che l'organizzazione disponga di indicazioni standard per quanto spesso ruotare le chiavi.

Segui questi passaggi per eliminare un file KSK in AWS Management Console.

Per eliminare un KSK

  1. Accedi a AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda DNSSECFirma, sotto Chiavi per la firma dei tasti (KSKs), scegli Passa alla visualizzazione avanzata, quindi in Azioni, scegli Elimina. KSK

  4. Segui le istruzioni per confermare l'eliminazione di. KSK