KMSRoute 53의 키 및 ZSK 관리 - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMSRoute 53의 키 및 ZSK 관리

이 섹션에서는 Route 53이 DNSSEC 서명 활성화 영역에 사용하는 현재 방법을 설명합니다.

참고

Route 53는 변경될 수 있는 다음 규칙을 사용합니다. 향후 변경으로 인해 영역 또는 Route 53의 보안 태세가 줄어들지 않습니다.

Route 53이 귀사와 AWS KMS 관련된 데이터를 사용하는 방법 KSK

에서 DNSSEC KSK 는 리소스 레코드 세트에 대한 리소스 레코드 서명 (RRSIG) 을 DNSKEY 생성하는 데 사용됩니다. RRSIG생성 시 ACTIVE KSKs 모두 사용됩니다. Route 53은 관련 Sign AWS KMS API KMS 키에서 를 RRSIG 호출하여 를 생성합니다. 자세한 내용은 로그인AWS KMS API가이드를 참조하십시오. 이는 영역의 리소스 레코드 세트 한도에 포함되지 RRSIGs 않습니다.

RRSIG만료일이 있습니다. 만료되지 않도록 RRSIGs 1~7일마다 파일을 다시 생성하여 정기적으로 새로 고칩니다. RRSIGs

또한 다음 중 RRSIGs 하나를 호출할 때마다 새로 고쳐집니다. APIs

Route 53이 새로 고침을 수행할 때마다 관련 KMS 키에 액세스할 수 없게 되는 경우를 RRSIGs 대비하여 다음 며칠 동안 사용할 수 있는 15개가 생성됩니다. KMS주요 비용 추정의 경우 하루에 한 번 정기적으로 새로 고치는 것으로 가정할 수 있습니다. 실수로 KMS 키 정책을 변경하면 키에 액세스할 수 없게 될 수 있습니다. KMS 액세스할 수 없는 KMS 키는 관련 KSK 상태를 로 설정합니다. ACTION_NEEDED 확인자를 검증하면 마지막 만료 후 조회에 실패하기 시작하므로 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 CloudWatch 경보를 설정하여 이 상태를 모니터링하는 것이 좋습니다. RRSIG 자세한 내용은 Amazon을 사용하여 호스팅 영역 모니터링 CloudWatch 단원을 참조하십시오.

Route 53이 영역을 관리하는 방법 ZSK

DNSSEC서명이 활성화된 각 새 호스팅 영역에는 ACTIVE 영역 서명 키 (ZSK) 가 하나씩 있습니다. ZSK는 각 호스팅 영역에 대해 개별적으로 생성되며 Route 53이 소유합니다. 현재 키 알고리즘은 입니다ECDSAP256SHA256.

서명 시작 후 7~30일 이내에 해당 구역을 정기적으로 ZSK 교체하기 시작할 예정입니다. 현재 Route 53은 사전 게시 키 롤오버 방법을 사용합니다. 자세한 내용은 사전 게시 영역 서명 키 롤오버 단원을 참조하세요. 이 방법을 사용하면 영역에 또 다른 ZSK 방법이 도입됩니다. 회전은 7~30일마다 반복됩니다.

Route KSK 53은 영역의 변경 사항을 반영하기 RRSIGs 위해 DNSKEY 리소스 레코드 세트를 재생성할 수 없기 때문에 영역 중 하나라도 ACTION_NEEDED 상태에 있으면 Route 53은 ZSK 순환을 일시 중단합니다. ZSK ZSK조건이 해결되면 순환이 자동으로 재개됩니다.