KMS53 号公路的密钥和ZSK管理

本节介绍了 Route 53 在启用DNSSEC签名的区域中使用的当前做法。

注意

Route 53 将使用以下规则（可能更改）。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。

Route 53 如何使用与您的 AWS KMS 关联的 KSK

在中DNSSEC，KSK用于生成资源记录集的资源记录签名 (RRSIG)。DNSKEY所有这些ACTIVEKSKs都在RRSIG生成中使用。Route 53 RRSIG 通过在关联的KMS密钥Sign AWS KMS API上调用来生成。有关更多信息，请参阅登录AWS KMSAPI指南。这些RRSIGs不计入区域的资源记录集限制。

RRSIG已过期。为防止过期，每隔一RRSIGs到RRSIGs七天对其进行一次再生，从而定期刷新。

每次您拨打RRSIGs以下任一电话时，也会刷新：APIs

每次 Route 53 执行刷新时，我们都会生成 15，RRSIGs以覆盖接下来的几天，以防关联的KMS密钥无法访问。对于KMS关键成本估算，您可以假设每天定期更新一次。无意中更改KMS密钥策略可能会导致无法访问密钥。KMS无法访问的KMS密钥会将关联KSK者的状态设置为。ACTION_NEEDED我们强烈建议您在检测到DNSSECKeySigningKeysNeedingAction错误时通过设置 CloudWatch 警报来监控这种情况，因为验证解析器将在最后一次过期后开始失败查找。RRSIG有关更多信息，请参阅使用 Amazon 监控托管区域 CloudWatch。

53 号公路如何管理您的区域 ZSK

每个启用了DNSSEC签名功能的新托管区域都将有一个ACTIVE区域签名密钥 (ZSK)。ZSK是为每个托管区域单独生成的，归 Route 53 所有。当前的密钥算法是ECDSAP256SHA256。

我们将在签约开始后的7-30天内开始对该区域进行定期ZSK轮换。目前，Route 53 使用“发布前密钥滚动”方法。有关更多信息，请参阅发布前区域签名密钥滚动。此方法将向该区域引入另一种ZSK方法。转动将每 7-30 天重复一次。

如果任何区域ACTION_NEEDED处于状态，Rout KSK e 53 将暂停ZSK轮换，因为 Route 53 将无法重新生成 for DNSKEY 资源记录集以反映该区域的ZSK变化。RRSIGsZSK条件清除后，旋转将自动恢复。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用密钥签名密钥 () KSKs

DNSSECRoute 53 中不存在的证据