本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 DNSSEC 的客戶受管金鑰
當您在 Amazon Route 53 中啟用 DNSSEC 簽署時,Route 53 會為您建立金鑰簽署金鑰 (KSK)。若要建立 KSK,Route 53 必須使用 AWS Key Management Service 支援 DNSSEC 的客戶受管金鑰。本節說明客戶受管金鑰的詳細資訊和需求,這些金鑰在您使用 DNSSEC 時有助於了解。
當您使用 DNSSEC 的客戶受管金鑰時,請記住下列事項:
搭配 DNSSEC 簽署使用的客戶受管金鑰必須位於美國東部 (維吉尼亞北部) 區域。
客戶受管金鑰必須是具有 Word_Word_P256 金鑰規格的非對稱客戶受管金鑰。 ECCNIST這些客戶受管金鑰僅用於簽署和驗證。如需建立非對稱客戶受管金鑰的協助,請參閱 AWS Key Management Service 開發人員指南中的建立非對稱客戶受管金鑰。如需尋找現有客戶受管金鑰之密碼編譯組態的協助,請參閱 AWS Key Management Service 開發人員指南中的檢視客戶受管金鑰的密碼編譯組態。
如果您自行建立客戶受管金鑰,以便在 Route 53 中與 DNSSEC 搭配使用,則必須包含特定金鑰政策陳述式,以授予 Route 53 所需的許可。Route 53 必須能夠存取您的客戶受管金鑰,才能為您建立 KSK。如需詳細資訊,請參閱DNSSEC 簽署所需的 Route 53 客戶受管金鑰許可。
Route 53 可以建立客戶受管金鑰 AWS KMS ,讓您在 中使用 搭配 DNSSEC 簽署,而無需其他 AWS KMS 許可。但是,如果您想要在建立金鑰後對其進行編輯,則必須具有特定的許可。您必須擁有的特定許可如下:
kms:UpdateKeyDescription、kms:UpdateAlias以及kms:PutKeyPolicy。請注意,無論是您自己建立客戶受管金鑰,還是 Route 53 為您建立金鑰,都會針對您擁有的每個客戶受管金鑰收取個別費用。如需詳細資訊,請參閱 AWS Key Management Service 定價
。
