Trabajar con claves de firma de claves (KSK) - Amazon Route 53
Agregar una clave de firma de claves (KSK)Editar una clave de firma de claves (KSK)Eliminar una clave de firma de claves (KSK)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con claves de firma de claves (KSK)

Cuando se habilita la firma de DNSSEC, Route 53 crea una clave de firma de claves (KSK) por usted. Puede tener hasta dos KSK por zona alojada en Route 53. Después de habilitar la firma de DNSSEC, puede agregar, eliminar o editar las KSK.

Tenga en cuenta lo siguiente cuando trabaje con sus KSK:

  • Antes de poder eliminar una KSK, debe editarla para establecer su estado en Inactive (Inactivo).

  • Al habilitar la firma de DNSSEC para una zona alojada, Route 53 limita el TTL a una semana. Si establece un TTL para los registros en la zona alojada en de más de una semana, no aparece ningún error, pero Route 53 aplica un TTL obligatorio de una semana.

  • Para ayudar a evitar una interrupción de la zona y problemas de que el dominio deje de estar disponible, debe abordar y resolver rápidamente los errores de DNSSEC. Le recomendamos encarecidamente que configure una CloudWatch alarma que le avise cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error DNSSECInternalFailure o error. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

  • Las operaciones de KSK descritas en esta sección le permiten rotar las KSK de su zona. Para obtener más información y un step-by-step ejemplo, consulte Rotación de claves de DNSSEC en la entrada del blog Configuración de la firma y la validación de DNSSEC con Amazon Route 53.

Para trabajar con los KSK en el AWS Management Console, siga las instrucciones de las siguientes secciones.

Agregar una clave de firma de claves (KSK)

Cuando se habilita la firma de DNSSEC, Route 53 crea una clave de firma (KSK) por usted. También puede agregar KSK por separado. Puede tener hasta dos KSK por zona alojada en Route 53.

Al crear una KSK, debe proporcionar o solicitar a Route 53 que cree una clave administrada por el cliente para utilizarla con la KSK. Cuando proporciona o crea una clave administrada por el cliente, existen varios requisitos. Para obtener más información, consulte Trabajar con claves administradas por el cliente para DNSSEC.

Siga estos pasos para agregar una KSK en la AWS Management Console.

Para agregar una KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña DNSSEC signing (Firma de DNSSEC), en Key-signing keys (KSKs) (Claves de firma de claves (KSK)), elija Switch to advanced view (Cambiar a vista avanzada) y, a continuación, en Actions (Acciones), elija Add KSK (Agregar KSK).

  4. En KSK, ingrese un nombre para la KSK que Route 53 creará para usted. Los nombres pueden contener letras, números y guiones bajos (_). Deben ser únicos.

  5. Ingrese el alias de una clave administrada por el cliente que se aplique a la firma de DNSSEC o ingrese un alias para una nueva clave administrada por el cliente que Route 53 creará para usted.

    nota

    Si elige que Route 53 cree una clave administrada por el cliente, tenga en cuenta que se aplican cargos aparte por cada clave administrada por el cliente. Para más información, consulte Precios de AWS Key Management Service.

  6. Elija Create KSK (Crear KSK).

Editar una clave de firma de claves (KSK)

Puede editar el estado de una KSK para establecerlo en Active (Activo) o Inactive (Inactivo). Cuando una KSK está activa, Route 53 usa esa KSK para la firma de DNSSEC. Antes de poder eliminar una KSK, debe editarla para establecer su estado en Inactive (Inactivo).

Siga estos pasos para editar una KSK en la AWS Management Console.

Para editar una KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña DNSSEC signing (Firma de DNSSEC), en Key-signing keys (KSK) (Claves de firma de claves), elija Switch to advanced view (Cambiar a vista avanzada) y, a continuación, en Actions (Acciones), elija Edit KSK (Editar KSK).

  4. Realice las actualizaciones que desee para la KSK y elija Save (Guardar).

Eliminar una clave de firma de claves (KSK)

Antes de poder eliminar una KSK, debe editarla para establecer su estado en Inactive (Inactivo).

Una de las razones por las que puede eliminar una KSK es como parte de la rotación rutinaria de claves. Rotar claves criptográficas periódicamente es una práctica recomendada. Es posible que su organización tenga una guía estándar sobre la frecuencia con la que debe rotar las claves.

Siga estos pasos para eliminar una KSK en la AWS Management Console.

Para eliminar una KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Hosted zones (Zonas alojadas) y elija una zona alojada.

  3. En la pestaña DNSSEC signing (Firma de DNSSEC), en Key-signing keys (KSKs) (Claves de firma de claves (KSK)), elija Switch to advanced view (Cambiar a vista avanzada) y, a continuación, en Actions (Acciones), elija Delete KSK (Eliminar KSK).

  4. Siga las instrucciones para confirmar la eliminación de la KSK.