As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como trabalhar com chaves gerenciadas pelo cliente para DNSSEC Quando você habilita a assinatura DNSSEC no Amazon Route 53, o Route 53 cria uma chave de assinatura de chave (KSK). Para criar um KSK, o Route 53 deve usar uma chave gerenciada pelo cliente AWS Key Management Service que ofereça suporte ao DNSSEC. Esta seção descreve os detalhes e os requisitos para a chave gerenciada pelo cliente que são úteis conhecer ao trabalhar com o DNSSEC. Lembre-se do seguinte ao trabalhar com chaves gerenciadas pelo cliente para DNSSEC: + A chave gerenciada pelo cliente que você usa com a assinatura de DNSSEC deve estar na região Leste dos EUA (Norte da Virgínia). + A chave gerenciada pelo cliente deve ser uma [chave assimétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks) com uma [especificação principal ECC\_NIST\_P256](https://docs.aws.amazon.com//kms/latest/developerguide/asymmetric-key-specs.html#key-spec-ecc). Essas chaves gerenciadas pelo cliente são usadas somente para assinatura e verificação. Para obter ajuda na criação de uma chave assimétrica gerenciada pelo cliente, consulte [Criação de chaves assimétricas gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-asymmetric-cmk) no Guia do desenvolvedor. AWS Key Management Service Para obter ajuda para encontrar a configuração criptográfica de uma chave gerenciada pelo cliente existente, consulte [Visualização da configuração criptográfica das chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-crypto-config.html) no Guia do AWS Key Management Service desenvolvedor. + Se você criar uma chave gerenciada pelo cliente para usar com o DNSSEC no Route 53, deverá incluir instruções de política de chave específicas que concedam ao Route 53 as permissões necessárias. O Route 53 deve ser capaz de acessar sua chave gerenciada pelo cliente para que ele possa criar uma KSK para você. Para obter mais informações, consulte [Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC). + O Route 53 pode criar uma chave gerenciada pelo cliente para você usar com AWS KMS a assinatura do DNSSEC sem permissões adicionais AWS KMS . No entanto, você deve ter permissões específicas se quiser editar a chave depois que ela for criada. As permissões específicas que você deve ter são as seguintes: `kms:UpdateKeyDescription`, `kms:UpdateAlias` e `kms:PutKeyPolicy`. + Esteja ciente de que cobranças separadas se aplicam a cada chave gerenciada pelo cliente que você possui, quer você crie a chave gerenciada pelo cliente ou o Route 53 a crie para você. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).