Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC

Saat Anda mengaktifkan penandatanganan DNSSEC di Amazon Route 53, Route 53 akan membuat kunci penandatanganan kunci (KSK) untuk Anda. Untuk membuat KSK, Route 53 harus menggunakan kunci yang dikelola pelanggan AWS Key Management Service yang mendukung DNSSEC. Bagian ini menjelaskan detail dan persyaratan untuk kunci yang dikelola pelanggan yang berguna untuk diketahui saat Anda bekerja dengan DNSSEC.

Ingatlah hal-hal berikut saat Anda bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC:

  • Kunci terkelola pelanggan yang Anda gunakan dengan penandatanganan DNSSEC harus berada di Wilayah AS Timur (Virginia N.).

  • Kunci yang dikelola pelanggan harus berupa kunci yang dikelola pelanggan asimetris dengan spesifikasi kunci ECC_NIST_P256. Kunci yang dikelola pelanggan ini hanya digunakan untuk penandatanganan dan verifikasi. Untuk bantuan membuat kunci terkelola pelanggan asimetris, lihat Membuat kunci terkelola pelanggan asimetris di Panduan AWS Key Management Service Pengembang. Untuk bantuan menemukan konfigurasi kriptografi dari kunci terkelola pelanggan yang ada, lihat Melihat konfigurasi kriptografi kunci yang dikelola pelanggan di Panduan AWS Key Management Service Pengembang.

  • Jika Anda membuat sendiri kunci terkelola pelanggan untuk digunakan dengan DNSSEC di Route 53, Anda harus menyertakan pernyataan kebijakan kunci tertentu yang memberi Route 53 izin yang diperlukan. Route 53 harus dapat mengakses kunci yang dikelola pelanggan Anda sehingga dapat membuat KSK untuk Anda. Untuk informasi selengkapnya, lihat Route 53 izin kunci terkelola pelanggan yang diperlukan untuk penandatanganan DNSSEC.

  • Route 53 dapat membuat kunci terkelola pelanggan untuk Anda gunakan dengan penandatanganan DNSSEC tanpa izin tambahan AWS KMS . AWS KMS Namun, Anda harus memiliki izin khusus jika ingin mengedit kunci setelah dibuat. Izin khusus yang harus Anda miliki adalah sebagai berikut: kms:UpdateKeyDescription, kms:UpdateAlias, dan kms:PutKeyPolicy.

  • Ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci terkelola pelanggan yang Anda miliki, apakah Anda membuat kunci yang dikelola pelanggan atau Route 53 membuatnya untuk Anda. Untuk informasi selengkapnya, lihat harga AWS Key Management Service.