DNSSEC용 고객 관리형 키 작업

Amazon Route 53에서 DNSSEC 서명을 활성화하면 Route 53에서 키 서명 키(KSK)를 생성합니다. KSK를 생성하려면 Route 53은 DNSSEC를 지원하는 고객 관리 키를 사용해야 합니다. AWS Key Management Service 이 섹션에서는 DNSSEC로 작업할 때 도움이 되는 고객 관리형 키의 세부 사항 및 요구 사항에 대해 설명합니다.

DNSSEC에 대한 고객 관리형 키로 작업하는 경우 다음 사항에 유의하세요.

• DNSSEC 서명에서 사용하는 고객 관리형 키는 미국 동부 (버지니아 북부) 리전에 있어야 합니다.

• 고객 관리형 키는 ECC_NIST_P256 키 사양의 비대칭 관리형 키여야 합니다. 이러한 고객 관리형 키는 서명 및 확인에만 사용됩니다. 비대칭 고객 관리 키를 생성하는 데 도움이 필요하면 개발자 가이드의 비대칭 고객 관리 키 생성을 참조하십시오. AWS Key Management Service 기존 고객 관리 키의 암호화 구성을 찾는 데 도움이 필요하면 개발자 안내서의 고객 관리 키의 암호화 구성 보기를 참조하십시오. AWS Key Management Service

• Route 53에서 DNSSEC와 함께 사용할 고객 관리형 키를 직접 생성하는 경우 Route 53에 필요한 권한을 부여하는 특정 키 정책 설명을 포함해야 합니다. Route 53는 고객 관리형 키에 액세스할 수 있어야 KSK를 생성할 수 있습니다. 자세한 설명은 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 섹션을 참조하세요.

• Route 53는 추가 권한 없이 DNSSEC 서명에 사용할 고객 관리 키를 생성할 수 있습니다. AWS KMS AWS KMS 그러나 키를 만든 후 편집하려면 특정 권한이 있어야 합니다. 필요한 특정 사용 권한은 kms:UpdateKeyDescription, kms:UpdateAlias 및 kms:PutKeyPolicy와 같습니다.

• 고객 관리형 키를 직접 생성하든 Route 53에서 생성하든 관계없이 보유한 각 고객 관리형 키에 대해 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.