翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 での KMS キーと ZSK 管理
このセクションでは、Route 53 が DNSSEC 署名対応ゾーンに使用する現在の手法について説明します。
注記
Route 53 は、変更される可能性がある次のルールを使用します。将来変更があっても、お客様のゾーンまたは Route 53 のセキュリティ体制が減少することはありません。
- Route 53 が KSK AWS KMS に関連付けられた を使用する方法
DNSSEC では、KSK を使用して DNSKEY リソースレコードセットのリソースレコード署名 (RRSIG) を生成します。すべての
ACTIVEKSK は RRSIG 世代で使用されます。Route 53 は、関連付けられた KMS キーでSignAWS KMS API を呼び出して RRSIG を生成します。詳細については、「AWS KMS API ガイド」の「署名」を参照してください。これらの RRSIG は、ゾーンのリソースレコードセットの制限には数えられません。RRSIG には有効期限があります。RRSIG の有効期限が切れるのを防ぐため、RRSIG は 1 ~ 7 日ごとに再生成して定期的に更新されます。
RRSIG は、次のいずれかの API を呼び出すたびに更新されます。
Route 53 が更新を実行するたびに、関連付けられた KMS キーにアクセスできなくなった場合に備えて、数日後まで使用できる 15 個 の RRSIG を生成します。KMS キーコストの見積もりについては、定期的な更新が 1 日に 1 回行われると考えることができます。KMS キーポリシーを誤って変更すると、KMS キーにアクセスできなくなる可能性があります。アクセスできない KMS キーは、関連付けられた KSK のステータスを
ACTION_NEEDEDに設定します。最後の RRSIG の有効期限が切れた後にリゾルバーの検証がルックアップの失敗を開始するため、DNSSECKeySigningKeysNeedingActionエラーが検出されるたびに CloudWatch アラームを設定して、この状態をモニタリングすることを強くお勧めします。詳細については、「Amazon を使用したホストゾーンのモニタリング CloudWatch」を参照してください。- Route 53 がゾーンの ZSK を管理する方法
DNSSEC の署名が有効になっている新しいホストゾーンには、それぞれ 1 つの
ACTIVEゾーン署名キー (ZSK) があります。ZSK はホストゾーンごとに別々に生成され、Route 53 が所有しています。現在のキーアルゴリズムは ECDSAP256SHA256 です。署名開始から 7~30 日以内に、ゾーンで通常の ZSK ローテーションの実行を開始します。現在、Route 53 は事前公開キーロールオーバー方式を使用しています。詳細については、「Pre-Publish Zone Signing Key Rollover (事前公開ゾーン署名キーのロールオーバー)
」を参照してください。この方法では、ゾーンに別の ZSK を導入します。ローテーションは 7~30 日ごとに繰り返されます。 Route 53 はゾーンの ZSK の変更を考慮するために DNSKEY リソースレコードセットの RRSIG を再生成できないため、ゾーンの KSK のいずれかが
ACTION_NEEDEDステータスである場合、Route 53 は ZSK のローテーションを一時停止します。ZSK ローテーションは、条件がクリアされた後に自動的に再開されます。
