使用金鑰簽署金鑰 (KSKs) - Amazon Route 53
新增金鑰簽署金鑰 (KSK)編輯金鑰簽署金鑰 (KSK)刪除金鑰簽署金鑰 (KSK)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用金鑰簽署金鑰 (KSKs)

當您啟用 DNSSEC 簽署時,Route 53 會為您建立金鑰簽署金鑰 (KSK)。在 Route 53 中,每個託管區域最多可有兩個 KSKs。啟用 DNSSEC 簽署後,您可以新增、移除或編輯 KSKs。

當您使用 KSKs 時,請注意下列事項:

  • 在刪除 KSK 之前,您必須編輯 KSK 以將其狀態設定為非作用中

  • 為託管區域啟用 DNSSEC 簽署時,Route 53 會將 TTL 限制為一週。如果您將託管區域中記錄的 TTL 設定為超過一週,則不會收到錯誤,但 Route 53 會強制執行一週的 TTL。

  • 為了協助防止區域中斷並避免網域無法使用的問題,您必須快速解決並解決 DNSSEC 錯誤。我們強烈建議您設定 a CloudWatch 警示,以便在偵測到 DNSSECInternalFailureDNSSECKeySigningKeysNeedingAction錯誤時提醒您。如需詳細資訊,請參閱使用 Amazon 監控託管區域 CloudWatch

  • 本節所述的 KSK 操作可讓您輪換區域的 KSKs。如需詳細資訊和 a step-by-step 範例,請參閱部落格文章中的 DNSSEC Key Rotation 使用 Amazon Route 53 設定 DNSSEC 簽署和驗證

若要在 中使用 KSKs AWS Management Console,請遵循下列各節中的指示。

新增金鑰簽署金鑰 (KSK)

當您啟用 DNSSEC 簽署時,Route 53 會為您建立金鑰簽署 (KSK)。您也可以個別新增 KSKs。在 Route 53 中,每個託管區域最多可有兩個 KSKs。

建立 KSK 時,您必須提供或請求 Route 53 建立客戶受管客戶受管金鑰,以搭配 KSK 使用。當您提供或建立客戶受管金鑰時,有幾點要求需要滿足。如需詳細資訊,請參閱使用 DNSSEC 的客戶受管金鑰

請依照下列步驟,在 中新增 KSK AWS Management Console。

若要新增 KSK

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC 簽署 索引標籤的鍵簽署金鑰 (KSKs) 下,選擇切換到進階檢視,然後在動作下,選擇新增 KSK

  4. KSK 下,輸入 Route 53 為您建立的 KSK 名稱。名稱僅能包含字母、數字和底線 (_)。它必須獨一無二。

  5. 輸入適用於 DNSSEC 簽署的客戶受管客戶受管金鑰的別名,或輸入 Route 53 為您建立的新客戶受管客戶受管金鑰的別名。

    注意

    如果您選擇讓 Route 53 建立客戶受管金鑰,請注意每個客戶受管金鑰都要分別支付費用。如需詳細資訊,請參閱 AWS Key Management Service 定價

  6. 選擇建立 KSK

編輯金鑰簽署金鑰 (KSK)

您可以編輯 KSK 的狀態為作用中或非作用中。當 KSK 處於作用中狀態時,Route 53 會使用該 KSK 進行 DNSSEC 簽署。在刪除 KSK 之前,您必須編輯 KSK 以將其狀態設定為非作用中

請依照下列步驟,在 中編輯 KSK AWS Management Console。

編輯 KSK

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC 簽署 索引標籤的鍵簽署金鑰 (KSKs) 下,選擇切換到進階檢視,然後在動作下,選擇編輯 KSK

  4. 對 KSK 進行所需的更新,然後選擇儲存

刪除金鑰簽署金鑰 (KSK)

在刪除 KSK 之前,您必須編輯 KSK 以將其狀態設定為非作用中

刪除 KSK 的一個原因,是例行金鑰輪換的一部分。定期輪換密碼編譯金鑰是一種最佳實務。您的組織可能會針對輪換金鑰的頻率提供標準指引。

請依照下列步驟,在 中刪除 KSK AWS Management Console。

若要刪除 KSK

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC 簽署 索引標籤上,在金鑰簽署金鑰 (KSKs) 下,選擇切換到進階檢視,然後在動作下,選擇刪除 KSK

  4. 遵循指引確認刪除 KSK。