Trabajar con claves administradas por el cliente para DNSSEC - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con claves administradas por el cliente para DNSSEC

Al habilitar la firma de DNSSEC en Amazon Route 53, este servicio crea una clave de firma de claves (KSK) por usted. Para crear una KSK, Route 53 debe usar una clave administrada por el cliente AWS Key Management Service que sea compatible con DNSSEC. En esta sección, se describen los detalles y los requisitos de la clave administrada por el cliente que resultan de utilidad al trabajar con DNSSEC.

Tenga en cuenta lo siguiente cuando trabaje con claves administradas por el cliente para DNSSEC:

  • La clave administrada por el cliente que utiliza con la firma de DNSSEC debe estar en la región EE. UU. Este (Norte de Virginia).

  • La clave administrada por el cliente debe ser una clave asimétrica administrada por el cliente con una especificación de clave ECC_NIST_P256. Estas claves administradas por el cliente se utilizan únicamente para firmar y verificar. Para obtener ayuda para crear una clave administrada por el cliente asimétrica, consulte Creación de claves asimétricas administradas por el cliente en la Guía para desarrolladores. AWS Key Management Service Para obtener ayuda para encontrar la configuración criptográfica de una clave gestionada por el cliente existente, consulte Visualización de la configuración criptográfica de las claves gestionadas por el cliente en la Guía para desarrolladores. AWS Key Management Service

  • Si crea una clave administrada por el cliente para usarla con DNSSEC en Route 53, debe incluir instrucciones de política de claves específicas que otorguen a Route 53 los permisos necesarios. Route 53 debe poder acceder a la clave administrada por el cliente a fin de que pueda crear la KSK automáticamente. Para obtener más información, consulte Permisos de clave administrados por el cliente de Route 53 necesarios para firmar DNSSEC.

  • Route 53 puede crear una clave administrada por el cliente AWS KMS para utilizarla con la firma de DNSSEC sin permisos adicionales. AWS KMS No obstante, debe tener permisos específicos si desea editar la clave después de crearla. Los permisos específicos que debe tener son los siguientes: kms:UpdateKeyDescription, kms:UpdateAlias, y kms:PutKeyPolicy.

  • Tenga en cuenta que se aplican cargos aparte por cada clave administrada por el cliente que tenga, independientemente de que usted cree la clave administrada por el cliente o sea Route 53 quien la cree por usted. Para más información, consulte Precios de AWS Key Management Service.