Route 53 中的 KMS 金鑰和 ZSK 管理

在 DNSSEC 中，KSK 用於產生 RRSIG 資源記錄集的資源記錄簽章 (DNSKEY)。所有 ACTIVE KSKs 都用於 RRSIG 產生。Route 53 透過呼叫關聯 RRSIG 金鑰上的 Sign AWS KMS API 產生 KMS。如需詳細資訊，請參閱在 AWS KMS API 指南中簽署。這些 RRSIGs 不會計入區域的資源記錄集限制。

RRSIG 有過期。為了防止 RRSIGs 過期，系統會定期重新整理 RRSIGs，方法是每隔一到七天重新產生一次。

您每次呼叫以下任何 RRSIGs 時，也會重新整理 APIs：

每次 Route 53 執行重新整理時，我們都會產生 15 個 RRSIGs，以涵蓋未來幾天，以防無法存取關聯的 KMS 金鑰。對於 KMS 金鑰成本估算，您可以假設每天定期重新整理一次。KMS 金鑰可能會因為不慎變更 KMS 金鑰政策而無法存取。無法存取的 KMS 金鑰會將相關聯的 KSK 狀態設定為 ACTION_NEEDED。強烈建議您在偵測到DNSSECKeySigningKeysNeedingAction錯誤時設定 a CloudWatch 警示來監控此條件，因為驗證解析程式會在最後一個 RRSIG 過期後開始查詢失敗。如需詳細資訊，請參閱使用 Amazon 監控託管區域 CloudWatch。

每個啟用 DNSSEC 簽署的新託管區域都會有一個ACTIVE區域簽署金鑰 (ZSK)。該 ZSK 會針對每個託管區域單獨產生，並由 Route 53 擁有。目前的金鑰演算法為 ECDSAP256SHA256。

我們會在簽署開始後的 7–30 天內，開始對區域執行定期 ZSK 輪換。目前，Route 53 使用發佈前金鑰滾動法。如需詳細資訊，請參閱發佈前區域簽署金鑰滾動法。此方法會將另一個 ZSK 引入 區域。輪換將每 7-30 天重複一次。

如果區域的任何 ZSKKSK 處於 ACTION_NEEDED 狀態，Route 53 將暫停 Word 輪換，因為 Route 53 將無法重新產生 RRSIGs for DNSKEY 資源記錄集，以考慮區域 ZSK 中的變更。條件清除後，ZSK輪換會自動繼續。