キー署名キー (KSK) の使用 - Amazon Route 53
キー署名キー (KSK) の追加キー署名キー (KSK) の編集キー署名キー (KSK) の削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キー署名キー (KSK) の使用

DNSSEC 署名を有効にすると、Route 53 によってキー署名キー (KSK) が作成されます。Route 53 ではホストゾーンごとに最大 2 つの KSK を使用できます。DNSSEC 署名を有効にした後は、KSK の追加、削除、または編集が行えます。

KSK を使用する場合は、次の点に注意してください。

  • KSK を削除する際には、先に KSK を編集して、そのステータスを [非アクティブ] に設定する必要があります。

  • ホストゾーンで DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードの TTL を 1 週間以上に設定した場合でもエラーは発生しませんが、Route 53 は TTL を 1 週間に強制します。

  • ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーにすばやく対処し解決する必要があります。DNSSECInternalFailure または DNSSECKeySigningKeysNeedingAction エラーが検出されるたびに警告する CloudWatch アラームを設定することを強くお勧めします。詳細については、「Amazon を使ったホストゾーンのモニタリング CloudWatch」を参照してください

  • このセクションで説明する KSK 操作を使用すると、ゾーンの KSK をローテーションさせることができます。詳細と step-by-step 例については、ブログ記事「Amazon Route 53 での DNSSEC 署名と検証の設定」の「DNSSEC キーローテーション」を参照してください。

で KSKs を使用するには AWS Management Console、次のセクションのガイダンスに従ってください。

キー署名キー (KSK) の追加

DNSSEC 署名を有効にすると、Route 53 によってキー署名キー (KSK) が作成されます。KSK は個別に追加することもできます。Route 53 ではホストゾーンごとに最大 2 つの KSK を使用できます。

KSK の作成時には、KSK で使用するカスタマー管理キーを作成するための Route 53 を、指定またはリクエストする必要があります。カスタマー管理キーの指定または作成には、いくつかの要件があります。詳細については、「DNSSEC のためのカスタマー管理キーの使用」を参照してください。

以下のステップに従って、 AWS Management Consoleに KSK を追加します。

KSK を追加するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで、[ホストゾーン] をクリックした後で、ホストゾーンを選択します。

  3. [DNSSEC signing] (DNSSEC 署名) タブを開き、[Key-signing keys (KSKs)] (キー署名キー (KSK)) で [Switch to advanced view] (詳細表示に切り替える) を選択し、さらに [Actions] (アクション) で [Edit KSK] (KSK の編集) を選択します。

  4. [KSK] で、Route 53 により作成される KSK のために名前を入力します。名前には、文字、数字、アンダースコア (_) のみを含めることができます。また、名前は一意である必要があります。

  5. DNSSEC 署名に適用するカスタマー管理キーのエイリアスを入力するか、Route 53 が作成する新しいカスタマー管理キーのエイリアスを入力します。

    注記

    Route 53 にカスタマー管理キーを作成させる場合、個別のカスタマー管理キーごとに料金が発生することにご注意ください。詳細については、「AWS Key Management Service 料金表」を参照してください。

  6. [KSK を作成] をクリックします。

キー署名キー (KSK) の編集

KSKのステータスを編集して [Active] (アクティブ) または [Inactive] (非アクティブ) とすることができます。KSK がアクティブな場合、Route 53 はその KSK を DNSSEC 署名に使用します。KSK を削除する際には、先に KSK を編集して、そのステータスを [非アクティブ] に設定する必要があります。

以下のステップに従って、 AWS Management Consoleで KSK を編集します。

KSK を編集するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで、[ホストゾーン] をクリックした後で、ホストゾーンを選択します。

  3. [DNSSEC signing] (DNSSEC 署名) タブの [Key-signing keys (KSKs)] (キー署名キー (KSK) ) の下にある [Switch to advanced view] (詳細表示に切替) を選択し、さらに [Actions] (アクション) の下にある [Edit KSK] (KSK の編集) を選択します。

  4. KSK に対し必要な更新を行った上で、[Save] (保存) を選択します。

キー署名キー (KSK) の削除

KSK を削除する際には、先に KSK を編集して、そのステータスを [非アクティブ] に設定する必要があります。

KSK の削除が必要となる理由の 1 つに、定期的に行うキーのローテーション作業があります。暗号キーについては、定期的にローテーションすることがベストプラクティスです。組織によっては、キーをローテーションさせる頻度に関する標準的な取り決めをしている場合があります。

ここでのステップに従って、 AWS Management Consoleの KSK を削除します。

KSK を削除するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで、[ホストゾーン] をクリックした後で、ホストゾーンを選択します。

  3. [DNSSEC signing] (DNSSEC 署名) タブを開き、[Key-signing keys (KSKs)] (キー署名キー (KSK)) で [Switch to advanced view] (詳細表示に切り替える) を選択し、さらに [Actions] (アクション) で [Edit KSK] (KSK の編集) を選択します。

  4. ガイダンスに従って、KSK の削除を確認します。