As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Esta seção descreve a prática atual que o Route 53 usa em suas zonas habilitadas para assinatura de DNSSEC.
nota
O Route 53 usa a regra a seguir, que pode ser alterada. Alterações futuras não reduzirão o procedimento de segurança de sua zona ou do Route 53.
- Como o Route 53 usa o AWS KMS associado ao seu KSK
No DNSSEC, utiliza-se a KSK para gerar a assinatura de registro do recurso (RRSIG) para o conjunto de registros do recurso da DNSKEY. Todos
ACTIVEKSKs são usados na geração RRSIG. O Route 53 gera um RRSIG chamando aSignAWS KMS API na chave KMS associada. Para obter mais informações, consulte Sign (Assinar) no Guia de referência da API do AWS KMS . Eles RRSIGs não contam para o limite do conjunto de registros de recursos da zona.O RRSIG tem validade. Para evitar que RRSIGs expirem, eles RRSIGs são atualizados regularmente, regenerando-os a cada um a sete dias.
Eles também RRSIGs são atualizados toda vez que você liga para qualquer um desses: APIs
Sempre que o Route 53 realiza uma atualização, geramos 15 RRSIGs para cobrir os próximos dias, caso a chave KMS associada fique inacessível. Para uma estimativa de custo da chave do KMS, considere uma atualização regular uma vez por dia. Uma chave do KMS pode ficar inacessível por alterações inesperadas na política de chaves do KMS. A chave do KMS inacessível definirá o status da KSK associada como
ACTION_NEEDED. É altamente recomendável que você monitore essa condição configurando um CloudWatch alarme sempre que umDNSSECKeySigningKeysNeedingActionerro for detectado, pois a validação dos resolvedores iniciará pesquisas com falha após a expiração do último RRSIG. Para obter mais informações, consulte Monitoramento de zonas hospedadas usando a Amazon CloudWatch.- Como o Route 53 gerencia a ZSK da zona
Cada nova zona hospedada com assinatura DNSSEC ativada terá uma chave de assinatura de zona (ZSK)
ACTIVE. A ZSK é gerada separadamente para cada zona hospedada e pertence ao Route 53. O algoritmo chave atual é ECDSAP256SHA256.Começaremos a executar a alternância regular da ZSK na zona no período de 7 a 30 dias após o início da assinatura. Atualmente, o Route 53 usa o método de sobreposição de chave pré-publicação. Para obter mais informações, consulte Pre-Publish Zone Signing Key Rollover
(Sobreposição de chave de assinatura de zona pré-publicação). Esse método introduzirá outro ZSK à zona. A alternância será repetida a cada período de 7 a 30 dias. O Route 53 suspenderá a rotação do ZSK se algum KSK da zona estiver em
ACTION_NEEDEDstatus, pois o Route 53 não poderá regenerar os conjuntos de registros de recursos do DNSKEY RRSIGs para contabilizar as alterações no ZSK da zona. A alternância da ZSK será retomada automaticamente após a condição ser apagada.
