翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 での KMS キーと ZSK 管理
このセクションでは、Route 53 が DNSSEC 署名が有効なゾーンに使用する現在のプラクティスについて説明します。
注記
Route 53 は、変更される可能性がある次のルールを使用します。将来変更があっても、お客様のゾーンまたは Route 53 のセキュリティ体制が減少することはありません。
- Route 53 が KSK AWS KMS に関連付けられた を使用する方法
DNSSEC では、KSK は Word リソースレコードセットのリソースレコード署名 (DNSKEYRRSIG) を生成するために使用されます。すべての KSKs
ACTIVEは RRSIG 生成で使用されます。Route 53 は、関連付けられた RRSIGSignAWS KMS キーで API を呼び出すことで KMS を生成します。詳細については、「 AWS KMS API ガイド」の「署名」を参照してください。これらのRRSIGsは、ゾーンのリソースレコードセットの制限にはカウントされません。RRSIG には有効期限があります。RRSIGsの有効期限が切れないように、RRSIGsは 1~7 日ごとに再生成することで定期的に更新されます。
RRSIGs は、これらのAPIsを呼び出すたびに更新されます。
Route 53 が更新を実行するたびに、関連付けられた RRSIGs キーにアクセスできなくなった場合に備えて、次の数日間をカバーする 15 KMS が生成されます。KMS キーのコスト見積もりでは、1 日 1 回定期的に更新すると想定できます。KMS キーポリシーを誤って変更すると、KMS キーにアクセスできなくなる可能性があります。アクセスできない KMS キーは、関連付けられた KSK のステータスを に設定します
ACTION_NEEDED。最後の CloudWatch の有効期限が切れた後にリゾルバーの検証がルックアップの失敗を開始するため、DNSSECKeySigningKeysNeedingActionエラーが検出されるたびに aRRSIG アラームを設定して、この状態をモニタリングすることを強くお勧めします。詳細については、「Amazon を使用したホストゾーンのモニタリング CloudWatch」を参照してください。- Route 53 がゾーンの ZSK を管理する方法
DNSSEC 署名が有効になっている新しいホストゾーンには、それぞれ 1 つの
ACTIVEゾーン署名キー (ZSK) があります。ZSK はホストゾーンごとに個別に生成され、Route 53 によって所有されます。現在のキーアルゴリズムは ECDSAP256SHA256 です。署名の開始から 7~30 日以内にゾーンで定期的なZSKローテーションを開始します。現在、Route 53 は事前公開キーロールオーバー方式を使用しています。詳細については、「Pre-Publish Zone Signing Key Rollover (事前公開ゾーン署名キーのロールオーバー)
」を参照してください。この方法では、ゾーンに別のZSKが導入されます。ローテーションは 7~30 日ごとに繰り返されます。 Route 53 は、ゾーンの ZSK のいずれかKSKが
ACTION_NEEDEDステータスの場合、Word ローテーションを停止します。これは、Route 53 がゾーンの RRSIGs の変更を考慮して Word for DNSKEY リソースレコードセットを再生成できないためですZSK。条件がクリアされると、ZSKのローテーションが自動的に再開されます。
