のカスタマーマネージドキーの使用 DNSSEC

Amazon Route 53 でDNSSEC署名を有効にすると、Route 53 によってキー署名キー (KSK) が作成されます。を作成するにはKSK、Route 53 は AWS Key Management Service をサポートする でカスタマーマネージドキーを使用する必要がありますDNSSEC。このセクションでは、 を使用する際に役立つカスタマーマネージドキーの詳細と要件について説明しますDNSSEC。

のカスタマーマネージドキーを使用する場合は、次の点に注意してくださいDNSSEC。

• DNSSEC 署名に使用するカスタマーマネージドキーは、米国東部 (バージニア北部) リージョンにある必要があります。

• カスタマーマネージドキーは、__P256 キー仕様 を持つ非対称カスタマーマネージドキーである必要があります。 ECCNISTこれらのカスタマー管理キーは、署名と検証にのみ使用されます。非対称カスタマーマネージドキーの作成については、「 デベロッパーガイド」の「非対称カスタマーマネージドキーの作成」を参照してください。 AWS Key Management Service 既存のカスタマーマネージドキーの暗号化設定を見つける方法については、「 デベロッパーガイド」の「カスタマーマネージドキーの暗号化設定の表示」を参照してください。 AWS Key Management Service

• Route 53 DNSSECで で使用するカスタマーマネージドキーを自分で作成する場合は、Route 53 に必要なアクセス許可を付与する特定のキーポリシーステートメントを含める必要があります。Route 53 が を作成できるように、カスタマーマネージドキーにアクセスできる必要がありますKSK。詳細については、「DNSSEC 署名に必要な Route 53 カスタマーマネージドキーのアクセス許可」を参照してください。

• Route 53 は、追加の AWS KMS アクセス許可なしで、 でカスタマーマネージドキーを作成してDNSSEC署名 AWS KMS に使用できます。ただし、作成後にキーを編集する場合は、特定のアクセス許可が必要です。ユーザーに必須な特定のアクセス許可は kms:UpdateKeyDescription、kms:UpdateAlias、および kms:PutKeyPolicy です。

• カスタマー管理キーをユーザーが作成したか、あるいは Route 53 により作成されたかにかかわらず、カスタマー管理キーごとに個別の料金が適用されることにご注意ください。詳細については、AWS Key Management Service の料金を参照してください。