Utilisation des clés gérées par le client pour DNSSEC - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des clés gérées par le client pour DNSSEC

Lorsque vous activez la signature DNSSEC dans Amazon Route 53, Route 53 crée une clé KSK pour vous. Pour créer un KSK, Route 53 doit utiliser une clé gérée par le client AWS Key Management Service qui prend en charge le protocole DNSSEC. Cette section décrit les détails et les exigences relatifs à la clé gérée par le client à connaître lorsque vous utilisez DNSSEC.

Gardez à l'esprit ce qui suit lorsque vous utilisez les clés gérées par le client pour DNSSEC :

  • La clé gérée par le client que vous utilisez avec la signature DNSSEC doit se trouver dans la région USA Est (Virginie du Nord).

  • La clé gérée par le client doit être un clé asymétrique gérée par le client dotée d'une spécification de clé ECC_NIST_P256. Ces clés gérées par le client sont uniquement utilisées aux fins de la signature et de la vérification. Pour obtenir de l'aide sur la création d'une clé asymétrique gérée par le client, consultez la section Création de clés asymétriques gérées par le client dans le guide du AWS Key Management Service développeur. Pour obtenir de l'aide pour trouver la configuration cryptographique d'une clé gérée par le client existante, consultez la section Affichage de la configuration cryptographique des clés gérées par le client dans le Guide du AWS Key Management Service développeur.

  • Si vous créez vous-même une clé gérée par le client à utiliser avec DNSSEC dans Route 53, vous devez inclure des instructions de politique de clé spécifiques qui confèrent à Route 53 les autorisations requises. Route 53 doit pouvoir accéder à votre clé gérée par le client afin de pouvoir créer une clé KSK pour vous. Pour plus d’informations, consultez Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC.

  • Route 53 peut créer une clé gérée par le client que vous pouvez utiliser AWS KMS pour la signature DNSSEC sans autorisations supplémentaires AWS KMS . Toutefois, vous devez disposer d'autorisations spécifiques si vous souhaitez modifier la clé après sa création. Les autorisations spécifiques dont vous devez disposer sont les suivantes : kms:UpdateKeyDescription, kms:UpdateAlias et kms:PutKeyPolicy.

  • Vous devez savoir que des frais distincts s'appliquent pour chaque clé gérée par le client que vous possédez, que vous créiez la clé gérée par le client ou que Route 53 la crée pour vous. Pour en savoir plus, consultez AWS Key Management Service Tarification.