使用密钥签名密钥 () KSKs - Amazon Route 53
添加密钥签名密钥 () KSK编辑密钥签名密钥 () KSK删除密钥签名密钥 () KSK

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用密钥签名密钥 () KSKs

启用DNSSEC签名后,Route 53 会为您创建密钥签名密钥 (KSK)。在 Route 53 中,KSKs每个托管区域最多可以有两个。启用DNSSEC签名后,您可以添加、删除或编辑您的KSKs。

使用您的设备时,请注意以下几点KSKs:

  • 在删除之前KSK,必须先对其进行编辑,将其状态设置为 “非活动”。KSK

  • 为托管区域启用DNSSEC签名后,Route 53 会将签名限制TTL为一周。如果您将托管区域中的记录设置TTL为超过一周,则不会出现错误,但是 Route 53 会强制执行一周TTL的记录。

  • 为了帮助防止区域中断并避免域名不可用时出现问题,您必须快速处理和解决DNSSEC错误。我们强烈建议您设置 CloudWatch 警报,在检测到DNSSECInternalFailureDNSSECKeySigningKeysNeedingAction错误时提醒您。有关更多信息,请参阅 使用 Amazon 监控托管区域 CloudWatch

  • 本节中描述的KSK操作允许您轮换区域KSKs。有关更多信息和 step-by-step示例,请参阅博客文章使用 Amazon Route 53 配置DNSSEC签名和验证中的DNSSEC密钥轮换

要KSKs在中使用 AWS Management Console,请按照以下各节中的指导进行操作。

添加密钥签名密钥 () KSK

启用DNSSEC签名后,Route 53 会为您创建密钥签名 (KSK)。您也可以KSKs单独添加。在 Route 53 中,KSKs每个托管区域最多可以有两个。

创建时KSK,必须提供 Route 53 或请求 Route 53 来创建客户托管的客户托管密钥以与一起使用KSK。当您提供或创建客户托管密钥时,有几个要求。有关更多信息,请参阅 使用客户托管的密钥 DNSSEC

按照以下步骤在KSK中添加 AWS Management Console。

要添加 KSK

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. 在 “DNSSEC签名” 选项卡上的 “密钥签名密钥” (KSKs) 下,选择 “切换到高级视图”,然后在 “操作” 下选择 “添加”。KSK

  4. 在下方 KSK,输入 Rout KSK e 53 将为您创建的名称。名称只能包含字母、数字和下划线 (_)。此名称必须唯一。

  5. 输入适用于DNSSEC签名的客户托管客户托管密钥的别名,或者输入 Route 53 将为您创建的新客户托管客户托管密钥的别名。

    注意

    如果您选择让 Route 53 创建客户托管密钥,请注意,每个客户托管密钥都会单独收取费用。有关更多信息,请参阅 AWS Key Management Service 定价

  6. 选择 “创建” KSK。

编辑密钥签名密钥 () KSK

您可以将 a KSK 的状态编辑为 “活动” 或 “非活动”当 a KSK 处于活动状态时,Route 53 会使用它KSK进行DNSSEC签名。在删除之前KSK,必须先对其进行编辑,将其状态设置为 “非活动”。KSK

请按照以下步骤在KSK中编辑 AWS Management Console。

编辑 KSK

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. 在 “DNSSEC签名” 选项卡上的 “密钥签名密钥” (KSKs) 下,选择 “切换到高级视图”,然后在 “操作” 下选择 “编辑”。KSK

  4. 对进行所需的更新KSK,然后选择 “保存”。

删除密钥签名密钥 () KSK

在删除之前KSK,必须先对其进行编辑,将其状态设置为 “非活动”。KSK

删除的原因之一KSK是作为例行密钥轮换的一部分。定期转动加密密钥是最佳实践。您的组织可能有关于转动密钥频率的标准指导。

请按照以下步骤在KSK中删除 AWS Management Console。

要删除 KSK

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. 在 “DNSSEC签名” 选项卡上的 “密钥签名密钥” (KSKs) 下,选择 “切换到高级视图”,然后在 “操作” 下选择 “删除”。KSK

  4. 按照指南确认删除KSK。