本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用客戶管理的金鑰 DNSSEC
當您在 Amazon Route 53 中啟用DNSSEC簽名時,Route 53 會為您創建一個密鑰簽名密鑰(KSK)。若要建立 Route 53KSK,必須使用 AWS Key Management Service 該支援中的客戶管理金鑰DNSSEC。本節說明客戶管理金鑰的詳細資料和需求,這些金鑰在您使用時很有幫助DNSSEC。
使用客戶管理的金鑰時,請記住下列事項DNSSEC:
您在DNSSEC簽署時使用的客戶管理金鑰必須位於美國東部 (維吉尼亞北部) 區域。
客戶管理的金鑰必須是具有 ECC_ NIST _P256 金鑰規格的非對稱客戶管理金鑰。這些客戶受管金鑰僅用於簽署和驗證。如需建立非對稱客戶管理金鑰的協助,請參閱 AWS Key Management Service 開發人員指南中的建立非對稱客戶管理金鑰。如需協助尋找現有客戶受管金鑰的加密組態,請參閱 AWS Key Management Service 開發人員指南中的檢視客戶受管金鑰的加密組態。
如果您自行建立客戶管理的金鑰以便在 Route 53 DNSSEC 中使用,則必須包含特定的金鑰政策陳述式,讓 Route 53 具有必要權限。Route 53 必須能夠存取您的客戶管理金鑰,才能KSK為您建立。如需詳細資訊,請參閱Route 53 DNSSEC 簽署所需的客戶管理金鑰權限。
Route 53 可以建立客戶管理的金鑰,供您在 AWS KMS 沒有其他 AWS KMS 權限的情況下使用DNSSEC簽署。但是,如果您想要在建立金鑰後對其進行編輯,則必須具有特定的許可。您必須擁有的特定許可如下:
kms:UpdateKeyDescription
、kms:UpdateAlias
以及kms:PutKeyPolicy
。請注意,無論是您自己建立客戶受管金鑰,還是 Route 53 為您建立金鑰,都會針對您擁有的每個客戶受管金鑰收取個別費用。如需詳細資訊,請參閱 AWS Key Management Service 定價
。