Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC

Wenn Sie die DNSSEC-Signierung in Amazon Route 53 aktivieren, erstellt Route 53 einen Schlüssel-Signaturschlüssel (KSK). Um einen KSK zu erstellen, muss Route 53 einen vom Kunden verwalteten Schlüssel in verwenden AWS Key Management Service , der DNSSEC unterstützt. In diesem Abschnitt werden die Details und Anforderungen für den vom Kunden verwalteten Schlüssel beschrieben, die bei der Arbeit mit DNSSEC hilfreich sind.

Beachten Sie Folgendes, wenn Sie mit kundenverwalteten Schlüsselverwaltete Schlüssel für DNSSEC arbeiten:

  • Der kundenverwaltete Schlüssel, den Sie mit der DNSSEC-Signatur verwenden, muss sich in der Region USA Ost (Nord-Virginia) befinden.

  • Der vom Kunden verwaltete Schlüssel muss ein Asymmetrische kundenverwaltete Schlüssel mit einem Schlüsselspezifikation ECC_NIST_P256 sein. Diese kundenverwalteten Schlüssel werden nur zur Signatur und Verifizierung verwendet. Hilfe beim Erstellen eines asymmetrischen kundenverwalteten Schlüssels finden Sie unter Erstellen asymmetrischer kundenverwalteter Schlüssel im - AWS Key Management Service Entwicklerhandbuch. Informationen zum Auffinden der kryptografischen Konfiguration eines vorhandenen kundenverwalteten Schlüssels finden Sie unter Anzeigen der kryptografischen Konfiguration von kundenverwalteten Schlüsseln im - AWS Key Management Service Entwicklerhandbuch.

  • Wenn Sie einen vom Kunden verwalteten Schlüssel für die Verwendung mit DNSSEC in Route 53 selbst erstellen, müssen Sie bestimmte Schlüsselrichtlinienanweisungen einschließen, die Route 53 die erforderlichen Berechtigungen erteilen. Route 53 muss auf Ihren vom Kunden verwalteten Schlüssel zugreifen können, damit er eine KSK für Sie erstellen kann. Weitere Informationen finden Sie unter Route 53 vom Kunden verwaltete Schlüsselberechtigungen für DNSSEC-Signierung erforderlich.

  • Route 53 kann einen vom Kunden verwalteten Schlüssel für Sie in erstellen AWS KMS , der mit DNSSEC-Signatur ohne zusätzliche AWS KMS Berechtigungen verwendet werden kann. Sie müssen jedoch über bestimmte Berechtigungen verfügen, wenn Sie den Schlüssel nach der Erstellung bearbeiten möchten. Die spezifischen Berechtigungen, die Sie haben müssen, sind die folgenden:kms:UpdateKeyDescription,kms:UpdateAlias, und kms:PutKeyPolicy.

  • Beachten Sie, dass für jeden Kunden verwalteten Schlüssel, den Sie haben, separate Gebühren anfallen, unabhängig davon, ob Sie den vom Kunden verwalteten Schlüssel erstellen oder Route 53 ihn für Sie erstellt. Weitere Informationen finden Sie unter AWS Key Management Service Preise.