KMSchiave e ZSK gestione in Route 53 - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

KMSchiave e ZSK gestione in Route 53

Questa sezione descrive la pratica corrente utilizzata da Route 53 per le zone abilitate DNSSEC alla firma.

Nota

Route 53 utilizza la seguente regola, che potrebbe essere modificata. Qualsiasi modifica futura non ridurrà la posizione di sicurezza della tua zona o di Route 53.

In che modo Route 53 utilizza ciò che AWS KMS è associato al KSK

InDNSSEC, KSK viene utilizzato per generare la firma del record di risorse (RRSIG) per il set di record di DNSKEY risorse. Tutti ACTIVE KSKs vengono utilizzati nella RRSIG generazione. Route 53 genera un RRSIG richiamandolo Sign AWS KMS API sulla KMS chiave associata. Per ulteriori informazioni, consulta Accedere alla AWS KMS APIguida. Questi dati RRSIGs non vengono conteggiati ai fini del limite stabilito per il record di risorse della zona.

RRSIGha una scadenza. Per RRSIGs evitare che scadano, RRSIGs vengono rinfrescati regolarmente rigenerandoli ogni uno-sette giorni.

RRSIGsVengono inoltre aggiornati ogni volta che si chiama uno di questi: APIs

Ogni volta che Route 53 esegue un aggiornamento, ne generiamo 15 RRSIGs per coprire i prossimi giorni nel caso in cui la KMS chiave associata diventi inaccessibile. Per una stima dei costi KMS principali, puoi ipotizzare un aggiornamento regolare una volta al giorno. Una KMS chiave potrebbe diventare inaccessibile a causa di modifiche involontarie alla politica chiave. KMS La KMS chiave inaccessibile imposterà lo stato dell'associato KSK su. ACTION_NEEDED Ti consigliamo vivamente di monitorare questa condizione impostando un CloudWatch allarme ogni volta che viene rilevato un DNSSECKeySigningKeysNeedingAction errore, perché i resolver di convalida inizieranno a non riuscire nelle ricerche dopo l'ultima scadenza. RRSIG Per ulteriori informazioni, consulta Monitoraggio delle zone ospitate tramite Amazon CloudWatch.

In che modo Route 53 gestisce le tue zone ZSK

Ogni nuova zona ospitata con DNSSEC la firma abilitata avrà una chiave di firma della ACTIVE zona (ZSK). ZSKViene generato separatamente per ogni zona ospitata ed è di proprietà di Route 53. L'algoritmo chiave corrente èECDSAP256SHA256.

Inizieremo a eseguire una ZSK rotazione regolare della zona entro 7—30 giorni dall'inizio della firma. Attualmente, Route 53 utilizza il metodo di sostituzione periodica delle chiavi previa pubblicazione. Per ulteriori informazioni, consulta la sezione Sostituzione periodica delle chiavi previa pubblicazione. Questo metodo ne introdurrà un altro nella ZSK zona. La rotazione viene ripetuta ogni 7-30 giorni.

Route 53 sospenderà la ZSK rotazione se una delle zone KSK è in ACTION_NEEDED stato, perché Route 53 non sarà in grado di rigenerare i set di record di DNSKEY risorse RRSIGs per tenere conto delle modifiche apportate alla zona. ZSK ZSKla rotazione riprenderà automaticamente dopo la cancellazione della condizione.