Route 53의 KMS 키 및 ZSK 관리

DNSSEC에서 KSK는 DNSKEY 리소스 레코드 세트에 대한 리소스 레코드 서명(RRSIG)을 생성하는 데 사용됩니다. 모든 ACTIVE KSKs는 RRSIG 생성에 사용됩니다. Route 53은 연결된 RRSIG 키에서 Sign AWS KMS API를 호출하여 KMS를 생성합니다. 자세한 내용은 Word 로그인 안내서를 참조하세요. AWS KMS API 이 RRSIGs는 영역의 리소스 레코드 세트 제한에 포함되지 않습니다.

RRSIG에 만료가 있습니다. RRSIGs의 만료를 방지하기 위해 RRSIGs는 1~7일마다 재생성하여 정기적으로 새로 고쳐집니다.

RRSIGs는 다음 APIs를 호출할 때마다 새로 고쳐집니다.

Route 53에서 새로 고침을 수행할 때마다 연결된 RRSIGs 키에 액세스할 수 없게 되는 경우를 대비하여 다음 며칠 동안 사용할 수 있도록 15 KMS를 생성합니다. KMS 키 비용 추정의 경우 하루에 한 번 정기적으로 새로 고칠 수 있습니다. KMS 키 정책을 실수로 변경하면 KMS 키에 액세스할 수 없게 될 수 있습니다. 액세스할 수 없는 KMS 키는 연결된 KSK의 상태를 로 설정합니다ACTION_NEEDED. 마지막 RRSIG가 만료된 후 해석기 검증이 조회 실패하기 시작하므로 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 a CloudWatch 경보를 설정하여이 조건을 모니터링하는 것이 좋습니다. 자세한 내용은 Amazon을 사용하여 호스팅 영역 모니터링 CloudWatch 단원을 참조하십시오.

DNSSEC 서명이 활성화된 각 새 호스팅 영역에는 하나의 ACTIVE 영역 서명 키(ZSK)가 있습니다. ZSK는 각 호스팅 영역에 대해 별도로 생성되며 Route 53에서 소유합니다. 현재 키 알고리즘은 ECDSAP256SHA256입니다.

서명 시작 후 7~30일 이내에 영역에 대해 정기적으로 ZSK 교체를 시작합니다. 현재 Route 53는 사전 게시 키 롤오버 방법을 사용합니다. 자세한 내용은 사전 게시 영역 서명 키 롤오버 단원을 참조하세요. 이 메서드는 영역에 다른 ZSK를 도입합니다. 회전은 7~30일마다 반복됩니다.

Route 53은 Word RRSIGs for DNSKEY 리소스 레코드 세트를 재생성하여 영역의 ZSK 변경 사항을 처리할 수 없기 때문에 영역의 KSK 중 하나가 ACTION_NEEDED 상태인 경우 Route 53은 ZSK 교체를 일시 중지합니다. 조건이 삭제되면 ZSK 교체가 자동으로 재개됩니다.