Arbeiten mit Schlüsselsignierungsschlüsseln (KSKs) - Amazon Route 53
Hinzufügen eines SchlüsselsignaturschlüsselsBearbeiten eines SchlüsselsignaturschlüsselsLöschen eines Schlüsselsignaturschlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Schlüsselsignierungsschlüsseln (KSKs)

Wenn Sie DNSSEC-Signaturschlüssel aktivieren, erstellt Route 53 einen Schlüssel-Signaturschlüssel (KSK). Sie können pro gehostete Zone bis zu zwei KSKs in Route 53 nutzen. Nachdem Sie die DNSSEC-Signatur aktiviert haben, können Sie KSKs hinzufügen, entfernen oder bearbeiten.

Beachten Sie Folgendes, wenn Sie mit Ihren KSKs arbeiten:

  • Bevor Sie eine KSK löschen können, müssen Sie die KSK bearbeiten, um ihren Status auf Inaktiv einzustellen.

  • Wenn DNSSEC-Signatur für eine gehostete Zone aktiviert ist, begrenzt Route 53 die TTL auf eine Woche. Wenn Sie eine TTL für Datensätze in der gehosteten Zone auf mehr als eine Woche festlegen, erhalten Sie keinen Fehler, aber Route 53 erzwingt eine TTL von einer Woche.

  • Um einen Zonenausfall zu verhindern und Probleme mit der Nichtverfügbarkeit Ihrer Domäne zu vermeiden, müssen Sie DNSSEC-Fehler schnell beheben und beheben. Wir empfehlen dringend, einen CloudWatch Alarm einzurichten, der Sie benachrichtigt, wenn ein - DNSSECInternalFailure oder -DNSSECKeySigningKeysNeedingActionFehler erkannt wird. Weitere Informationen finden Sie unter Überwachung von Hosting-Zonen mit Amazon CloudWatch.

  • Mit den in diesem Abschnitt beschriebenen KSK-Vorgängen können Sie die KSKs Ihrer Zone rotieren. Weitere Informationen und ein step-by-step Beispiel finden Sie unter DNSSEC-Schlüsselrotation im Blogbeitrag Konfigurieren der DNSSEC-Signatur und -Validierung mit Amazon Route 53.

Um mit KSKs in der zu arbeiten AWS Management Console, folgen Sie den Anweisungen in den folgenden Abschnitten.

Hinzufügen eines Schlüsselsignaturschlüssels

Wenn Sie DNSSEC-Signatur aktivieren, erstellt Route 53 eine Schlüsselsignierung (KSK) für Sie. Sie können KSKs auch separat hinzufügen. Sie können pro gehosteter Zone bis zu zwei KSKs in Route 53 nutzen.

Wenn Sie eine KSK erstellen, müssen Sie Route 53 angeben oder anfordern, um einen vom Kunden verwalteten Schlüssel für die Verwendung mit dem KSK zu erstellen. Wenn Sie einen vom Kunden verwalteten, vom Kunden verwalteten Schlüssel bereitstellen oder erstellen, gelten mehrere Anforderungen. Weitere Informationen finden Sie unter Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC.

Gehen Sie folgendermaßen vor, um eine KSK in der AWS Management Console hinzuzufügen.

So fügen Sie eine KSK hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.

  3. Klicken Sie auf derDNSSECunterSchlüsselsignierungsschlüssel (KSKs), wählen SieZur erweiterten Ansicht wechseln, und klicken Sie dann unterAktionen, wählen SieKSK hinzufügenaus.

  4. UNDERKSKeinen Namen für die KSK ein, die Route 53 für Sie erstellt. Namen können nur Buchstaben, Zahlen und Unterstriche enthalten. Dieser Wert muss eindeutig sein.

  5. Geben Sie den Alias für einen vom Kunden verwalteten, vom Kunden verwalteten Schlüssel ein, der für die DNSSEC-Signatur gilt, oder geben Sie einen Alias für einen neuen, vom Kunden verwalteten Schlüssel ein, den Route 53 für Sie erstellt.

    Anmerkung

    Wenn Sie sich dafür entscheiden, dass Route 53 einen vom Kunden verwalteten Schlüssel erstellt, beachten Sie, dass für jeden vom Kunden verwalteten Schlüssel separate Gebühren anfallen. Weitere Informationen finden Sie unter AWS Key Management Service Preise.

  6. Wählen Sie Create stack (Stack erstellen) aus.

Bearbeiten eines Schlüsselsignaturschlüssels

Sie können den Status eines KSK so bearbeiten, dassAktivoderInaktiv ist. Wenn ein KSK aktiv ist, verwendet Route 53 diese KSK für die DNSSEC-Signatur. Bevor Sie eine KSK löschen können, müssen Sie die KSK bearbeiten, um ihren Status auf Inaktiveinzustellen.

Gehen Sie folgendermaßen vor, um eine KSK im AWS Management Console zu editieren.

So bearbeiten Sie ein Tag

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.

  3. Klicken Sie auf der DNSSEC signing (DNSSEC-Signierung) unter Key-signing keys (KSKs) (Schlüsselsignierungsschlüssel (KSKs), wählen Sie Switch to advanced view (Zur erweiterten Ansicht wechseln), und dann unter Actions (Aktionen), wählen Sie Create KSK (KSK erstellen) aus.

  4. Nehmen Sie die gewünschten Aktualisierungen an der KSK vor und wählen SieSaveaus.

Löschen eines Schlüsselsignaturschlüssels

Bevor Sie eine KSK löschen können, müssen Sie die KSK bearbeiten, um ihren Status aufInaktiveinzustellen.

Ein Grund, warum Sie eine KSK löschen können, ist als Teil der Routine Schlüsselrotation. Es ist eine bewährte Methode, kryptografische Schlüssel regelmäßig zu drehen. Ihre Organisation verfügt möglicherweise über Standardanweisungen für das Drehen von Schlüsseln.

Befolgen Sie diese Schritte, um die AWS Management Console-Tabelle zu löschen.

So löschen Sie eine VPC

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im NavigationsbereichGehostete Zonen, und wählen Sie dann eine gehostete Zone aus.

  3. Klicken Sie auf derDNSSECunterSchlüsselsignierungsschlüssel (KSKs), wählen SieZur erweiterten Ansicht wechselnund dann unterAktionen, wählen SieKSK löschenaus.

  4. Folgen Sie den Anweisungen, um das Löschen des KSK zu bestätigen.