DNSSEC용 고객 관리형 키 작업 - Amazon Route 53

DNSSEC용 고객 관리형 키 작업

Amazon Route 53에서 DNSSEC 서명을 활성화하면 Route 53에서 키 서명 키(KSK)를 생성합니다. KSK를 생성하려면 Route 53가 DNSSEC를 지원하는 AWS Key Management Service에서 고객 관리형 키를 사용해야 합니다. 이 섹션에서는 DNSSEC로 작업할 때 도움이 되는 고객 관리형 키의 세부 사항 및 요구 사항에 대해 설명합니다.

DNSSEC에 대한 고객 관리형 키로 작업하는 경우 다음 사항에 유의하세요.

  • DNSSEC 서명에서 사용하는 고객 관리형 키는 미국 동부 (버지니아 북부) 리전에 있어야 합니다.

  • 고객 관리형 키는 ECC_NIST_P256 키 사양비대칭 관리형 키여야 합니다. 이러한 고객 관리형 키는 서명 및 확인에만 사용됩니다. 비대칭 고객 관리형 키를 만드는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 비대칭 관리형 키 생성을 참조하세요. 기존 고객 관리형 키의 암호화 구성을 찾는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키의 암호화 구성 확인)을 참조하세요.

  • Route 53에서 DNSSEC와 함께 사용할 고객 관리형 키를 직접 생성하는 경우 Route 53에 필요한 권한을 부여하는 특정 키 정책 설명을 포함해야 합니다. Route 53는 고객 관리형 키에 액세스할 수 있어야 KSK를 생성할 수 있습니다. 자세한 내용은 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 섹션을 참조하세요.

  • Route 53에서는 AWS KMS에서 고객 관리형 키를 생성하여 추가적으로 AWS KMS에 대한 권한을 부여하지 않고 DNSSEC 서명을 함께 사용할 수 있습니다. 그러나 키를 만든 후 편집하려면 특정 권한이 있어야 합니다. 필요한 특정 사용 권한은 kms:UpdateKeyDescription, kms:UpdateAliaskms:PutKeyPolicy와 같습니다.

  • 고객 관리형 키를 직접 생성하든 Route 53에서 생성하든 관계없이 보유한 각 고객 관리형 키에 대해 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.