KMS-Schlüssel- und ZSK-Verwaltung in Route 53 - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMS-Schlüssel- und ZSK-Verwaltung in Route 53

In diesem Abschnitt wird die aktuelle Vorgehensweise beschrieben, die Route 53 für Ihre Zonen mit aktivierter DNSSEC-Signatur verwendet.

Anmerkung

Route 53 verwendet die folgende Regel, die sich ändern könnte. Alle zukünftigen Änderungen werden die Sicherheitslage Ihrer Zone oder die von Route 53 nicht beeinträchtigen.

So verwendet Route 53 die Ihrem KSK AWS KMS zugeordnete

In DNSSEC wird der KSK verwendet, um die Ressourceneintragssignatur (RRSIG) für den DNSKEY-Ressourcendatensatz zu generieren. Alle ACTIVE KSKs werden in der RRSIG-Generation verwendet. Route 53 generiert einen RRSIG, indem die Sign AWS KMS API für den zugeordneten KMS-Schlüssel aufgerufen wird. Weitere Informationen finden Sie unter Signieren im AWS KMS -API-Handbuch. Diese RRSIGs werden nicht auf das Limit für Ressourcendatensätze der Zone angerechet.

Ein RRSIG läuft ab. Um zu verhindern, dass die RRSIGs ablaufen, werden sie regelmäßig aktualisiert, indem sie alle ein bis sieben Tage regeneriert werden.

Die RRSIGs werden außerdem jedes Mal aktualisiert, wenn Sie eine dieser APIs aufrufen:

Jedes Mal, wenn Route 53 eine Aktualisierung durchführt, generieren wir 15 RRSIGs, um die nächsten Tage abzudecken, falls auf den zugehörigen KMS-Schlüssel nicht zugegriffen werden kann. Für die Schätzung der KMS-Schlüsselkosten können Sie von einer regulären Aktualisierung am Tag ausgehen. Ein KMS-Schlüssel könnte durch versehentliche Änderungen der KMS-Schlüsselrichtlinie unzugänglich werden. Der unzugängliche KMS-Schlüssel setzt den Status des zugehörigen KSK auf ACTION_NEEDED. Wir empfehlen dringend, diesen Zustand zu überwachen, indem Sie einen CloudWatch Alarm einrichten, wenn ein DNSSECKeySigningKeysNeedingAction Fehler erkannt wird, da die Validierung von Resolvern nach Ablauf des letzten RRSIG mit dem Fehlschlagen von Nachschlagevorgängen beginnt. Weitere Informationen finden Sie unter Überwachung von Hosting-Zonen mit Amazon CloudWatch.

Wie Route 53 den ZSK Ihrer Zone verwaltet

Jede neue gehostete Zone mit aktivierter DNSSEC-Signatur hat einen ACTIVE Zonensignaturschlüssel (ZSK). Der ZSK wird für jede gehostete Zone separat generiert und gehört Route 53. Der aktuelle Schlüsselalgorithmus ist ECDSAP256SHA256.

Wir werden innerhalb von sieben bis 30 Tagen nach Beginn der Signatur eine regelmäßige ZSK-Rotation in der Zone durchführen. Derzeit verwendet Route 53 die Methode „Schlüssel-Rollover vor der Veröffentlichung“. Weitere Informationen finden Sie unter Zonensignaturschlüssel-Rollover vor der Veröffentlichung. Diese Methode führt einen anderen ZSK in die Zone ein. Die Rotation wird alle sieben bis 30 Tage wiederholt.

Route 53 wird die ZSK-Rotation aussetzen, wenn einer der KSK der Zone im ACTION_NEEDED-Status ist, da Route 53 die RRSIGs für DNSKEY-Ressourcendatensätze nicht regenerieren kann, um die Änderungen im ZSK der Zone zu berücksichtigen. Die ZSK-Rotation wird automatisch fortgesetzt, nachdem die Bedingung gelöscht wurde.