本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当您在 Amazon Route 53 中启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。要创建 KSK,Route 53 必须使用支持 DNSSEC AWS Key Management Service 的客户托管密钥。本节介绍了有关客户管理密钥的详细信息和要求,在您使用 DNSSEC 时能够有所帮助。
在使用适用于 DNSSEC 的客户托管密钥时,请牢记以下几点:
与 DNSSEC 签名一起使用的客户托管密钥必须位于美国东部(弗吉尼亚北部)区域。
客户托管密钥必须是采用 ECC_NIST_P256 密钥规格的非对称客户托管密钥。这些客户托管密钥仅用于签名和验证。有关创建非对称客户托管密钥的帮助,请参阅 AWS Key Management Service 开发人员指南中的创建非对称客户托管密钥。要帮助查找现有客户托管密钥的加密配置,请参阅 AWS Key Management Service 开发人员指南中的查看客户托管密钥的加密配置。
如果您在 Route 53 中自行创建客户托管密钥以与 DNSSEC 一起使用,则必须包含特定的密钥策略语句,以便为 Route 53 提供所需的权限。Route 53 必须能够访问您的客户托管密钥,以便它可以为您创建 KSK。有关更多信息,请参阅 DNSSEC 签名所需的 Route 53 客户托管密钥权限。
Route 53 可以创建客户托管密钥供您使用 DNSSEC 签名,无需额外 AWS KMS 权限。 AWS KMS 但是,如果要在创建密钥后对其进行编辑,则必须具有特定的权限。您必须具有以下特定权限:
kms:UpdateKeyDescription、kms:UpdateAlias和kms:PutKeyPolicy。请注意,无论您是创建客户托管密钥还是让 Route 53 为您创建密钥,您拥有的每个客户托管密钥都会单独收取费用。有关更多信息,请参阅 AWS Key Management Service 定价
。
