Utilizzo delle chiavi di firma delle chiavi (KSK) - Amazon Route 53
Aggiunta di una chiave di firma delle chiavi (KSK)Modifica di una chiave di firma delle chiavi (KSK)Eliminazione di una chiave di firma delle chiavi (KSK)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle chiavi di firma delle chiavi (KSK)

Quando abiliti la firma DNSSEC, Route 53 crea una chiave per la firma delle chiavi (KSK) per tuo conto. Puoi avere fino a due KSK per zona ospitata in Route 53. Dopo aver abilitato la firma DNSSEC, potrai aggiungere, rimuovere o modificare le KSK.

Quando utilizzi le KSK, tieni presente quanto segue:

  • Prima di poter eliminare una KSK, è necessario modificare la KSK per impostarne lo stato su Inattivo.

  • Quando la firma DNSSEC è abilitata per una zona ospitata, Route 53 limita il TTL a una settimana. Se imposti un TTL per i record nella zona ospitata su più di una settimana, non viene visualizzato un errore ma Route 53 applica un TTL di una settimana.

  • Per evitare interruzioni di una zona e che il dominio diventi indisponibile, è necessario risolvere rapidamente gli errori DNSSEC. Ti consigliamo vivamente di impostare un CloudWatch allarme che ti avvisi ogni volta che viene rilevato un errore DNSSECInternalFailure orDNSSECKeySigningKeysNeedingAction. Per ulteriori informazioni, consulta Monitoraggio delle zone ospitate tramite Amazon CloudWatch.

  • Le operazioni della KSK descritte in questa sezione consentono di ruotare le KSK della zona. Per ulteriori informazioni e un step-by-step esempio, consulta DNSSEC Key Rotation nel post del blog Configurazione della firma e della convalida DNSSEC con Amazon Route 53.

Per utilizzare KSKs in AWS Management Console, segui le indicazioni riportate nelle sezioni seguenti.

Aggiunta di una chiave di firma delle chiavi (KSK)

Quando abiliti la firma DNSSEC, Route 53 crea una chiave per la firma delle chiavi (KSK) per tuo conto. È inoltre possibile aggiungere le KSK separatamente. Puoi avere fino a due KSK per zona ospitata in Route 53.

Quando crei una KSK, devi fornire (o richiedere a Route 53 di creare) una chiave gestita dal cliente da utilizzare con la KSK. Quando fornisci o crei una chiave gestita dal cliente, esistono diversi requisiti da rispettare. Per ulteriori informazioni, consulta Utilizzo delle chiavi gestite dal cliente per DNSSEC.

Completa queste fasi per aggiungere una KSK nella AWS Management Console.

Come aggiungere una KSK

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda Firma DNSSEC, in Chiavi di firma delle chiavi (KSK), scegli Passa alla visualizzazione avanzata e quindi, in Operazioni, seleziona Aggiungi KSK.

  4. In KSK, inserisci un nome per la KSK che Route 53 creerà per te. I nomi possono contenere solo lettere, numeri e caratteri di sottolineatura (_). Deve essere univoco.

  5. Immetti l'alias per una chiave gestita dal cliente che si applica alla firma DNSSEC oppure immetti un alias per una nuova chiave gestita dal cliente gestita dal cliente che Route 53 creerà automaticamente.

    Nota

    Se scegli di fare in modo che Route 53 crei una chiave gestita dal cliente, tieni presente che si applicano addebiti separati per ogni chiave gestita dal cliente. Per ulteriori informazioni, consultare Prezzi di AWS Key Management Service.

  6. Scegli Crea KSK.

Modifica di una chiave di firma delle chiavi (KSK)

È possibile modificare lo stato di una KSK in modo che sia Attiva o Inattiva. Quando una KSK è attiva, Route 53 la utilizza per la firma DNSSEC. Prima di poter eliminare una KSK, è necessario modificare la KSK per impostarne lo stato su Inattivo.

Completa queste fasi per aggiungere una KSK nella AWS Management Console.

Come modificare una KSK

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda DNSSEC signing (Firma DNSSEC), in Key-signing keys (KSKs) (Chiavi di firma delle chiavi (KSK)), scegli Switch to advanced view (Passa alla visualizzazione avanzata) e quindi, in Actions (Operazioni), Edit KSK (Modifica KSK).

  4. Apporta gli aggiornamenti desiderati alla KSK, quindi scegli Salva.

Eliminazione di una chiave di firma delle chiavi (KSK)

Prima di poter eliminare una KSK, è necessario modificare la KSK per impostarne lo stato su Inattivo.

Uno dei motivi per cui potresti eliminare un KSK è come parte della rotazione delle chiavi di routine. Una best practice consiste nel ruotare periodicamente le chiavi di crittografia. È possibile che l'organizzazione disponga di indicazioni standard per quanto spesso ruotare le chiavi.

Completa queste fasi per eliminare una KSK nella AWS Management Console.

Come eliminare una KSK

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata.

  3. Nella scheda Firma DNSSEC, in Chiavi di firma delle chiavi (KSK), scegli Passa alla visualizzazione avanzata e quindi in Operazioni, seleziona Elimina KSK.

  4. Segui le istruzioni per confermare l'eliminazione della KSK.