Gestion des clés KMS et ZSK dans Route 53 - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des clés KMS et ZSK dans Route 53

Cette section décrit la pratique actuelle utilisée par Route 53 pour vos zones activées de signature DNSSEC.

Note

Route 53 utilise la règle suivante qui peut changer. Tout changement futur ne réduira pas la posture de sécurité de votre zone ou de Route 53.

Comment Route 53 utilise les informations AWS KMS associées à votre KSK

Dans DNSSEC, le KSK est utilisé pour générer la signature d'enregistrement de ressources (RRSIG) pour le jeu d'enregistrements de ressources DNSKEY. Tous ACTIVE les KSK sont utilisés dans la génération RRSIG. Route 53 génère un RRSIG en appelant l'Sign AWS KMS API sur la clé KMS associée. Pour plus d'informations, consultez Sign (Signer) dans le AWS KMS Guide de l'API. Ces RRSIG ne sont pas pris en compte dans la limite des jeux d'enregistrements de ressources de la zone.

RRSIG a une expiration. Pour éviter l'expiration des RRSIG, les RRSIG sont actualisées régulièrement en les régénérant tous les un à sept jours.

Les RRSIG sont également actualisés chaque fois que vous appelez l'une de ces API :

Chaque fois que Route 53 effectue une actualisation, nous générons 15 RRSIG pour couvrir les prochains jours au cas où la clé KMS associée deviendrait inaccessible. Pour l'estimation des coûts des clés KMS, vous pouvez supposer une actualisation régulière une fois par jour. Une clé KMS peut devenir inaccessible en raison de modifications involontaires apportées à la politique de clé KMS. La clé KMS inaccessible définira l'état du KSK associé à ACTION_NEEDED. Nous vous recommandons vivement de surveiller cette condition en configurant une CloudWatch alarme chaque fois qu'une DNSSECKeySigningKeysNeedingAction erreur est détectée, car la validation des résolveurs commencera à échouer aux recherches après l'expiration du dernier RRSIG. Pour plus d’informations, consultez Surveillance des zones hébergées à l'aide d'Amazon CloudWatch.

Comment Route 53 gère la ZSK de votre zone

Chaque nouvelle zone hébergée avec la signature DNSSEC activée aura une ACTIVE clé de signature de zone (ZSK). La ZSK est générée séparément pour chaque zone hébergée et appartient à Route 53. L'algorithme de clé actuel est ECDSAP256SHA256.

Nous commencerons à effectuer une rotation ZSK régulière sur la zone dans les 7 à 30 jours suivant le début de la signature. Actuellement, Route 53 utilise la méthode Pre-Publish Key Rollover (Renouvellement de la clé de signature de la zone de pré-publication). Pour plus d'informations, veuillez consulterPre-Publish Zone Signing Key Rollover (Renouvellement de la clé de signature de la zone de pré-publication). Cette méthode va introduire un autre ZSK dans la zone. La rotation sera répétée tous les 7 à 30 jours.

Route 53 suspend la rotation ZSK si l'un des KSK de la zone se trouve dans l'état ACTION_NEEDED car Route 53 ne sera pas en mesure de régénérer les RRSIG pour les jeux d'enregistrements de ressources DNSKEY pour tenir compte des changements dans le ZSK de la zone. La rotation ZSK reprend automatiquement une fois que la condition est effacée.