Administración de claves KMS y ZSK en Route 53 - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de claves KMS y ZSK en Route 53

En esta sección se describe la práctica actual que Route 53 utiliza para las zonas habilitadas para la firma de DNSSEC.

nota

Route 53 utiliza la siguiente regla que podría cambiar. Cualquier cambio futuro no reducirá la posición de seguridad de su zona ni de Route 53.

Cómo usa Route 53 lo AWS KMS asociado a tu KSK

En DNSSEC, la KSK se utiliza para generar la firma de registro de recursos (RRSIG) del conjunto de registros de recursos DNSKEY. Todos los ACTIVE KSK se utilizan en la generación de RRSIG. Route 53 genera una RRSIG llamando a la Sign AWS KMS API en la clave KMS asociada. Para obtener más información, consulte Sign (Firmar) en la Guía de la API de AWS KMS . Estos RRSIG no se cuentan para el límite establecido de registros de recursos de la zona.

RRSIG tiene fecha de vencimiento. Para evitar el vencimiento de los RRSIG, estos se actualizan regularmente regenerándolos cada uno o siete días.

Los RRSIG también se actualizan cada vez que llama a cualquiera de estas API:

Cada vez que Route 53 realiza una actualización, generamos 15 RRSIG para cubrir los siguientes días en caso de que la clave KMS asociada se vuelva inaccesible. Para la estimación del costo de la clave KMS, puede basarse en una actualización periódica una vez al día. Es posible que no se pueda acceder a una clave KMS debido a cambios involuntarios en la política de claves de KMS. La clave KMS inaccesible establecerá el estado de la KSK asociada en ACTION_NEEDED. Le recomendamos encarecidamente que controle esta condición configurando una CloudWatch alarma cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error, ya que los solucionadores de validación comenzarán a fallar en las búsquedas cuando caduque la última RRSIG. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

Cómo administra Route 53 la ZSK de su zona

Cada nueva zona alojada con firma DNSSEC habilitada tendrá una clave de firma de zona (ZSK) ACTIVE. La ZSK se genera por separado para cada zona alojada y es propiedad de Route 53. El algoritmo clave actual es ECDSAP256SHA256.

Comenzaremos a realizar una rotación ZSK regular en la zona en un plazo de 7 a 30 días desde el inicio de la firma. En la actualidad, Route 53 utiliza el método de transferencia de claves previa a la publicación. Para obtener más información, consulte Pre-Publish Zone Signing Key Rollover (Transferencia de claves de firma de zona previa a la publicación). Este método introducirá otra ZSK en la zona. La rotación se repetirá cada 7 a 30 días.

Route 53 suspenderá la rotación de ZSK si alguna de las KSK de la zona se encuentra en estado ACTION_NEEDED porque Route 53 no podrá regenerar los RRSIG para los conjuntos de registros de recursos DNSKEY para tener en cuenta los cambios en la ZSK de la zona. La rotación de ZSK se reanudará automáticamente después de que se haya borrado la condición.