DNSSEC용 고객 관리형 키 작업 - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DNSSEC용 고객 관리형 키 작업

Amazon Route 53에서 DNSSEC 서명을 활성화하면 Route 53에서 키 서명 키(KSK)가 생성됩니다. KSK를 생성하려면 Route 53에서 DNSSEC를 AWS Key Management Service 지원하는의 고객 관리형 키를 사용해야 합니다. 이 섹션에서는 DNSSEC로 작업할 때 유용한 고객 관리형 키의 세부 정보와 요구 사항을 설명합니다.

DNSSEC용 고객 관리형 키를 사용할 때는 다음 사항에 유의하세요.

  • DNSSEC 서명에 사용하는 고객 관리형 키는 미국 동부(버지니아 북부) 리전에 있어야 합니다.

  • 고객 관리형 키는 Word_Word_P256 키 사양이 있는 비대칭 고객 관리형 키여야 합니다. ECCNIST 이러한 고객 관리형 키는 서명 및 확인에만 사용됩니다. 비대칭 고객 관리형 키를 생성하는 데 도움이 필요하면 AWS Key Management Service 개발자 안내서의 비대칭 고객 관리형 키 생성을 참조하세요. 기존 고객 관리형 키의 암호화 구성을 찾는 데 도움이 필요하면 AWS Key Management Service 개발자 안내서의 고객 관리형 키의 암호화 구성 보기를 참조하세요.

  • Route 53에서 DNSSEC와 함께 사용할 고객 관리형 키를 직접 생성하는 경우 Route 53에 필요한 권한을 부여하는 특정 키 정책 설명을 포함해야 합니다. Route 53은 KSK Word를 생성할 수 있도록 고객 관리형 키에 액세스할 수 있어야 합니다. 자세한 내용은 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 단원을 참조하십시오.

  • Route 53은 추가 AWS KMS 권한 없이 DNSSEC 서명과 함께 사용할 수 AWS KMS 있는 고객 관리형 키를 생성할 수 있습니다. 그러나 키를 만든 후 편집하려면 특정 권한이 있어야 합니다. 필요한 특정 사용 권한은 kms:UpdateKeyDescription, kms:UpdateAliaskms:PutKeyPolicy와 같습니다.

  • 고객 관리형 키를 직접 생성하든 Route 53에서 생성하든 관계없이 보유한 각 고객 관리형 키에 대해 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.