Utilisation des clés KSK - Amazon Route 53
Ajout d'une clé KSKModification d'une clé KSKSuppression d'une clé KSK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des clés KSK

Lorsque vous activez la signature DNSSEC, Route 53 crée une clé KSK pour vous. Vous pouvez posséder jusqu'à deux clés KSK par zone hébergée dans Route 53. Une fois que vous avez activé la signature DNSSEC, vous pouvez ajouter, supprimer ou modifier vos clés KSK.

Prenez les éléments suivants en considération lorsque vous utilisez vos clés KSK :

  • Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur Inactive (Inactif).

  • Lorsque la signature DNSSEC est activée pour une zone hébergée, Route 53 limite la TTL à une semaine. Si vous définissez une TTL de plus d'une semaine pour les registres dans la zone hébergée, vous n'obtenez pas d'erreur, mais Route 53 applique une TTL d'une semaine.

  • Pour éviter une panne de zone et éviter que votre domaine ne devienne indisponible, vous devez rapidement corriger et résoudre les erreurs DNSSEC. Nous vous recommandons vivement de configurer une CloudWatch alarme qui vous avertira chaque fois qu'une DNSSECInternalFailure DNSSECKeySigningKeysNeedingAction erreur est détectée. Pour plus d’informations, consultez Surveillance des zones hébergées à l'aide d'Amazon CloudWatch.

  • Les opérations KSK décrites dans cette section vous permettent d'exécuter la rotation des clés KSK de votre zone. Pour plus d'informations et un step-by-step exemple, consultez la section Rotation des clés DNSSEC dans le billet de blog Configuration de la signature et de la validation DNSSEC avec Amazon Route 53.

Pour utiliser des KSK dans le AWS Management Console, suivez les instructions des sections suivantes.

Ajout d'une clé KSK

Lorsque vous activez la signature DNSSEC, Route 53 crée une clé KSK pour vous. Vous pouvez également ajouter des clés KSK séparément. Vous pouvez posséder jusqu'à deux clés KSK par zone hébergée dans Route 53.

Lorsque vous créez une clé KSK, vous devez fournir, ou demander à Route 53 d'en créer une, une clé gérée par le client à utiliser avec la clé KSK. Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour plus d’informations, consultez Utilisation des clés gérées par le client pour DNSSEC.

Procédez comme suit pour ajouter une clé KSK dans la AWS Management Console.

Pour ajouter une clé KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSEC signing (Signature DNSSEC), sous Key-signing keys (KSKs) [Clés de signature de clé (KSK)], choisissez Switch to advanced view (Basculer vers l'affichage avancé), puis sous Actions, choisissez Add KSK (Ajouter une clé KSK).

  4. Sous KSK (Clé KSK), saisissez un nom pour la clé KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (_). Il doit être unique.

  5. Saisissez l'alias d'une clé gérée par le client qui s'applique à la signature DNSSEC, ou saisissez un alias pour une nouvelle clé gérée par le client que Route 53 créera pour vous.

    Note

    Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).

  6. Choisissez Create KSK(Créer une clé KSK).

Modification d'une clé KSK

Vous pouvez modifier le statut d'une clé KSK sur Active (Actif) ou Inactive (Inactif). Lorsqu'une clé KSK est active, Route 53 l'utilise aux fins de la signature DNSSEC. Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur Inactive (Inactif).

Procédez comme suit pour modifier une clé KSK dans la AWS Management Console.

Pour modifier une clé KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSEC signing (Signature DNSSEC), sous Key-signing keys (KSKs) [Clés de signature de clé (KSK)], choisissez Switch to advanced view (Basculer vers l'affichage avancé), puis sous Actions, choisissez Edit KSK (Modifier la clé KSK).

  4. Effectuez les mises à jour souhaitées sur la clé KSK, puis choisissez Save (Enregistrer).

Suppression d'une clé KSK

Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur Inactive (Inactif).

Vous pouvez supprimer une clé KSK aux fins de la routine de rotation des clés. Il est recommandé de périodiquement effectuer la rotation des clés de chiffrement. Votre organisation peut disposer d'instructions standard concernant la fréquence de rotation des clés.

Procédez comme suit pour supprimer une clé KSK dans la AWS Management Console.

Pour supprimer une clé KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée.

  3. Dans l'onglet DNSSEC signing (Signature DNSSEC), sous Key-signing keys (KSKs) [Clés de signature de clé (KSK)], choisissez Switch to advanced view (Basculer vers l'affichage avancé), puis sous Actions, choisissez Delete KSK (Supprimer la clé KSK).

  4. Suivez les instructions pour confirmer la suppression de la clé KSK.