翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のカスタマーマネージドキーの使用 DNSSEC
Amazon Route 53 でDNSSEC署名を有効にすると、Route 53 によってキー署名キー (KSK) が作成されます。を作成するにはKSK、Route 53 は AWS Key Management Service をサポートする でカスタマーマネージドキーを使用する必要がありますDNSSEC。このセクションでは、 を使用する際に役立つカスタマーマネージドキーの詳細と要件について説明しますDNSSEC。
のカスタマーマネージドキーを使用する場合は、次の点に注意してくださいDNSSEC。
DNSSEC 署名に使用するカスタマーマネージドキーは、米国東部 (バージニア北部) リージョンにある必要があります。
カスタマーマネージドキーは、__P256 キー仕様 を持つ非対称カスタマーマネージドキーである必要があります。 ECCNISTこれらのカスタマー管理キーは、署名と検証にのみ使用されます。非対称カスタマーマネージドキーの作成については、「 デベロッパーガイド」の「非対称カスタマーマネージドキーの作成」を参照してください。 AWS Key Management Service 既存のカスタマーマネージドキーの暗号化設定を見つける方法については、「 デベロッパーガイド」の「カスタマーマネージドキーの暗号化設定の表示」を参照してください。 AWS Key Management Service
Route 53 DNSSECで で使用するカスタマーマネージドキーを自分で作成する場合は、Route 53 に必要なアクセス許可を付与する特定のキーポリシーステートメントを含める必要があります。Route 53 が を作成できるように、カスタマーマネージドキーにアクセスできる必要がありますKSK。詳細については、「DNSSEC 署名に必要な Route 53 カスタマーマネージドキーのアクセス許可」を参照してください。
Route 53 は、追加の AWS KMS アクセス許可なしで、 でカスタマーマネージドキーを作成してDNSSEC署名 AWS KMS に使用できます。ただし、作成後にキーを編集する場合は、特定のアクセス許可が必要です。ユーザーに必須な特定のアクセス許可は
kms:UpdateKeyDescription
、kms:UpdateAlias
、およびkms:PutKeyPolicy
です。カスタマー管理キーをユーザーが作成したか、あるいは Route 53 により作成されたかにかかわらず、カスタマー管理キーごとに個別の料金が適用されることにご注意ください。詳細については、AWS Key Management Service の料金
を参照してください。