Bekerja dengan kunci penandatanganan kunci (KSK) - Amazon Route 53
Menambahkan kunci penandatanganan kunci (KSK)Mengedit kunci penandatanganan kunci (KSK)Menghapus kunci penandatanganan kunci (KSK)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan kunci penandatanganan kunci (KSK)

Jika Anda mengaktifkan pendatanganan DNSSEC, Route 53 membuat kunci penandatanganan kunci (KSK) untuk Anda. Anda dapat memiliki hingga dua KSK per zona yang dihosting di Route 53. Setelah mengaktifkan penandatanganan DNSSEC, Anda dapat menambahkan, menghapus, atau mengedit KSK.

Perhatikan hal berikut ketika Anda bekerja dengan KSK:

  • Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke Tidak aktif.

  • Jika penandatanganan DNSSEC diaktifkan untuk zona yang di-hosting, Route 53 membatasi TTL menjadi satu minggu. Jika Anda menetapkan TTL untuk catatan di zona yang di-hosting ke lebih dari satu minggu, Anda tidak akan mendapatkan kesalahan, namun Route 53 memberlakukan TTL selama satu minggu.

  • Untuk membantu mencegah pemadaman zona dan menghindari masalah dengan domain yang menjadi tidak tersedia, Anda harus cepat mengatasi dan menyelesaikan kesalahan DNSSEC. Kami sangat menyarankan agar Anda mengatur CloudWatch alarm yang memberi tahu Anda setiap kali DNSSECKeySigningKeysNeedingAction kesalahan DNSSECInternalFailure atau terdeteksi. Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.

  • Operasi KSK yang dijelaskan di bagian ini memungkinkan Anda merotasi KSK zona. Untuk informasi selengkapnya dan step-by-step contoh, lihat Rotasi Kunci DNSSEC di posting blog Mengonfigurasi penandatanganan dan validasi DNSSEC dengan Amazon Route 53.

Untuk bekerja dengan KSK di AWS Management Console, ikuti panduan di bagian berikut.

Menambahkan kunci penandatanganan kunci (KSK)

Jika Anda mengaktifkan pendatanganan DNSSEC, Route 53 membuat kunci penandatanganan kunci (KSK) untuk Anda. Anda juga dapat menambahkan KSK secara terpisah. Anda dapat memiliki hingga dua KSK per zona yang dihosting di Route 53.

Saat Anda membuat KSK, Anda harus menyediakan atau meminta Route 53 untuk membuat kunci terkelola pelanggan yang dikelola pelanggan untuk digunakan dengan KSK. Saat Anda memberikan atau membuat kunci terkelola pelanggan yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC.

Ikuti langkah-langkah berikut untuk menambahkan KSK di AWS Management Console.

Cara menambahkan KSK

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Zona yang di-hosting, lalu pilih zona yang di-hosting.

  3. Di tab Penandatanganan DNSSEC, di bawah Kunci penandatanganan kunci (KSK), pilih Beralih ke tampilan lanjutan, lalu di bawah Tindakan, pilih Tambahkan KSK.

  4. Di bawah KSK, masukkan nama untuk KSK yang akan dibuat Route 53 untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (_). Nama ini harus unik.

  5. Masukkan alias untuk kunci terkelola pelanggan yang dikelola pelanggan yang berlaku untuk penandatanganan DNSSEC, atau masukkan alias untuk kunci terkelola pelanggan baru yang dikelola pelanggan yang akan dibuat Route 53 untuk Anda.

    catatan

    Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat harga AWS Key Management Service.

  6. Pilih Buat KSK.

Mengedit kunci penandatanganan kunci (KSK)

Anda dapat mengedit status KSK agar menjadi Aktif atau Tidak aktif. Ketika KSK aktif, Route 53 menggunakan KSK untuk penandatanganan DNSSEC. Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke Tidak aktif.

Ikuti langkah-langkah berikut untuk mengedit KSK di AWS Management Console.

Cara mengedit KSK

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Zona yang di-hosting, lalu pilih zona yang di-hosting.

  3. Pada tab penandatanganan DNSSEC, di bawah Tombol penandatanganan kunci (KSK), pilih Beralih ke tampilan lanjutan, lalu, di bawah Tindakan, pilih Edit KSK.

  4. Lakukan pembaruan yang diinginkan ke KSK, lalu pilih Simpan.

Menghapus kunci penandatanganan kunci (KSK)

Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke Tidak aktif.

Salah satu alasan Anda menghapus KSK adalah sebagai bagian dari rotasi kunci rutin. Memutar kunci kriptografi secara berkala merupakan praktik terbaik. Organisasi mungkin memiliki panduan standar terkait seberapa sering Anda harus merotasi kunci.

Ikuti langkah-langkah berikut untuk menghapus KSK di AWS Management Console.

Cara menghapus KSK

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Zona yang di-hosting, lalu pilih zona yang di-hosting.

  3. Di tab Penandatanganan DNSSEC, di bawah Kunci penandatanganan kunci (KSK), pilih Beralih ke tampilan lanjutan, lalu di bawah Tindakan, pilih Hapus KSK.

  4. Ikuti panduan untuk mengonfirmasi penghapusan KSK.