Kunci KMS dan manajemen ZSK di Rute 53 - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci KMS dan manajemen ZSK di Rute 53

Bagian ini menjelaskan praktik saat ini yang digunakan Route 53 untuk zona aktif penandatanganan DNSSEC Anda.

catatan

Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

Bagaimana Route 53 menggunakan yang AWS KMS terkait dengan KSK Anda

Dalam DNSSEC, KSK digunakan untuk menghasilkan tanda tangan catatan sumber daya (RRSIG) untuk kumpulan catatan sumber daya DNSKEY. Semua ACTIVE KSK digunakan dalam generasi RRSIG. Route 53 menghasilkan RRSIG dengan memanggil Sign AWS KMS API pada kunci KMS terkait. Untuk informasi selengkapnya, lihat Masuk panduan AWS KMS API. RRSIG ini tidak dihitung terhadap batas set catatan sumber daya zona.

RRSIG memiliki kedaluwarsa. Untuk mencegah RRSIG kedaluwarsa, RRSIG disegarkan secara teratur dengan meregenerasinya setiap satu hingga tujuh hari.

RRSIG juga di-refresh setiap kali Anda memanggil salah satu API ini:

Setiap kali Route 53 melakukan penyegaran, kami menghasilkan 15 RRSIG untuk mencakup beberapa hari ke depan jika kunci KMS terkait menjadi tidak dapat diakses. Untuk estimasi biaya utama KMS, Anda dapat mengasumsikan penyegaran reguler sekali sehari. Kunci KMS mungkin menjadi tidak dapat diakses oleh perubahan yang tidak disengaja pada kebijakan kunci KMS. Kunci KMS yang tidak dapat diakses akan mengatur status KSK terkait ke. ACTION_NEEDED Kami sangat menyarankan Anda memantau kondisi ini dengan mengatur CloudWatch alarm setiap kali DNSSECKeySigningKeysNeedingAction kesalahan terdeteksi karena memvalidasi resolver akan mulai gagal pencarian setelah RRSIG terakhir kedaluwarsa. Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.

Bagaimana Route 53 mengelola ZSK zona Anda

Setiap zona host baru dengan penandatanganan DNSSEC diaktifkan akan memiliki satu kunci penandatanganan ACTIVE zona (ZSK). ZSK dibuat secara terpisah untuk setiap zona yang dihosting dan dimiliki oleh Route 53. Algoritma kunci saat ini adalah ECDSAP256SHA256.

Kami akan mulai melakukan rotasi ZSK reguler di zona dalam waktu 7-30 hari sejak dimulainya penandatanganan. Saat ini, Route 53 menggunakan metode Pre-Publish Key Rollover. Untuk informasi selengkapnya, lihat Rollover Kunci Penandatanganan Zona Pra-Publikasikan. Metode ini akan memperkenalkan ZSK lain ke zona tersebut. Rotasi akan diulang setiap 7-30 hari.

Route 53 akan menangguhkan rotasi ZSK jika salah satu zona KSK berada dalam ACTION_NEEDED status karena Route 53 tidak akan dapat meregenerasi RRSIG untuk kumpulan catatan sumber daya DNSKEY untuk memperhitungkan perubahan di ZSK zona. Rotasi ZSK akan secara otomatis dilanjutkan setelah kondisi dibersihkan.