本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用客户托管的密钥 DNSSEC
当您在 Amazon Route 53 中启用DNSSEC登录功能时,Route 53 会为您创建密钥签名密钥 (KSK)。要创建KSK,Route 53 必须使用中 AWS Key Management Service 支持的客户托管密钥DNSSEC。本节介绍客户托管密钥的详细信息和要求,这些细节和要求有助于您在使用时了解DNSSEC。
在使用客户管理的密钥时,请记住以下几点DNSSEC:
您在DNSSEC签名时使用的客户托管密钥必须位于美国东部(弗吉尼亚北部)区域。
客户托管的密钥必须是非对称的客户托管密钥,密钥规格为 ECC_ NIST _P256。这些客户托管密钥仅用于签名和验证。有关创建非对称客户托管密钥的帮助,请参阅 AWS Key Management Service 开发人员指南中的创建非对称客户托管密钥。要帮助查找现有客户托管密钥的加密配置,请参阅 AWS Key Management Service 开发人员指南中的查看客户托管密钥的加密配置。
如果您自己创建客户托管密钥以DNSSEC在 Route 53 中使用,则必须包括特定的密钥策略声明,以授予 Route 53 所需的权限。Route 53 必须能够访问您的客户托管密钥,这样它才能KSK为您创建。有关更多信息,请参阅 DNSSEC签名所需的 Route 53 客户托管密钥权限。
Route 53 可以创建客户托管密钥供您使用 AWS KMS ,无需额外 AWS KMS 权限即可进行DNSSEC签名。但是,如果要在创建密钥后对其进行编辑,则必须具有特定的权限。您必须具有以下特定权限:
kms:UpdateKeyDescription、kms:UpdateAlias和kms:PutKeyPolicy。请注意,无论您是创建客户托管密钥还是让 Route 53 为您创建密钥,您拥有的每个客户托管密钥都会单独收取费用。有关更多信息,请参阅 AWS Key Management Service 定价
。
