DNSSEC のためのカスタマー管理キーの使用

Amazon Route 53 で DNSSEC 署名を有効にすると、Route 53 によってキー署名キー (KSK) が作成されます。KSK を作成するには、Route 53 は DNSSEC AWS Key Management Service をサポートする でカスタマーマネージドキーを使用する必要があります。このセクションでは、DNSSEC を使用する際に役立つカスタマー管理キーの詳細と要件について説明します。

DNSSEC でカスタマー管理キーを使用する場合は、以下の点に注意してください。

• DNSSEC 署名で使用するカスタマー管理キーは、米国東部 (バージニア北部) リージョンに置かれている必要があります。

• カスタマー管理キーは、非対称カスタマー管理キーであり、また ECC_NIST_P256 のキースペックである必要があります。これらのカスタマー管理キーは、署名と検証にのみ使用されます。非対称カスタマーマネージドキーの作成については、「 AWS Key Management Service デベロッパーガイド」の「非対称カスタマーマネージドキーの作成」を参照してください。既存のカスタマーマネージドキーの暗号化設定を見つける方法については、「 デベロッパーガイド」の「カスタマーマネージドキーの暗号化設定の表示」を参照してください。 AWS Key Management Service

• Route 53 の DNSSEC で使用するカスタマーマネージドキーを自分で作成する場合は、Route 53 に必要なアクセス許可を付与する特定のキーポリシーステートメントを定義する必要があります。Route 53 が KSK を作成する際には、カスタマー管理キーへのアクセスが可能である必要があります。詳細については、「DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可」を参照してください。

• Route 53 は、追加の AWS KMS アクセス許可なしで AWS KMS DNSSEC 署名で使用するカスタマーマネージドキーを に作成できます。ただし、作成後にキーを編集する場合は、特定のアクセス許可が必要です。ユーザーに必須な特定のアクセス許可は kms:UpdateKeyDescription、kms:UpdateAlias、および kms:PutKeyPolicy です。

• カスタマー管理キーをユーザーが作成したか、あるいは Route 53 により作成されたかにかかわらず、カスタマー管理キーごとに個別の料金が適用されることにご注意ください。詳細については、「AWS Key Management Service 料金表」を参照してください。