Trabalhando com chaves gerenciadas pelo cliente para DNSSEC

A chave gerenciada pelo cliente que você usa com a DNSSEC assinatura deve estar na região Leste dos EUA (Norte da Virgínia).

A chave gerenciada pelo cliente deve ser uma chave assimétrica gerenciada pelo cliente com uma especificação de chave ECC _ NIST _P256. Essas chaves gerenciadas pelo cliente são usadas somente para assinatura e verificação. Para obter ajuda na criação de uma chave assimétrica gerenciada pelo cliente, consulte Criação de chaves assimétricas gerenciadas pelo cliente no Guia do desenvolvedor. AWS Key Management Service Para obter ajuda para encontrar a configuração criptográfica de uma chave gerenciada pelo cliente existente, consulte Visualização da configuração criptográfica das chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Se você mesmo criar uma chave gerenciada pelo cliente para usá-la DNSSEC no Route 53, deverá incluir declarações de política de chaves específicas que forneçam ao Route 53 as permissões necessárias. O Route 53 deve ser capaz de acessar sua chave gerenciada pelo cliente para que possa criar uma KSK para você. Para obter mais informações, consulte Permissões de chave gerenciadas pelo cliente do Route 53 necessárias para DNSSEC assinatura.

O Route 53 pode criar uma chave gerenciada pelo cliente AWS KMS para você usar com a DNSSEC assinatura sem AWS KMS permissões adicionais. No entanto, você deve ter permissões específicas se quiser editar a chave depois que ela for criada. As permissões específicas que você deve ter são as seguintes: kms:UpdateKeyDescription, kms:UpdateAlias e kms:PutKeyPolicy.

Esteja ciente de que cobranças separadas se aplicam a cada chave gerenciada pelo cliente que você possui, quer você crie a chave gerenciada pelo cliente ou o Route 53 a crie para você. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.