KSK(키 서명 키)로 작업 - Amazon Route 53

KSK(키 서명 키)로 작업

DNSSEC 서명을 활성화하면 Route 53에서 KSK(키 서명 키)를 생성합니다. Route 53에는 호스팅 영역당 최대 2개의 KSK가 있을 수 있습니다. DNSSEC 서명을 활성화한 후 KSK를 추가, 제거 또는 편집할 수 있습니다.

KSK로 작업할 때는 다음 사항에 유의하세요.

  • KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 비활성으로 설정해야 합니다.

  • 호스팅 영역에 대해 DNSSEC 서명을 사용하면 Route 53가 TTL을 1주일로 제한합니다. 호스팅 영역의 레코드에 대해 TTL을 1주일 이상으로 설정하면 오류가 발생하지 않지만 Route 53에서는 TTL을 1주일로 실행합니다.

  • 영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 DNSSEC 오류에 신속하게 대응하고 해결해야 합니다. DNSSECInternalFailure 또는 DNSSECKeySigningKeysNeedingAction 오류를 감지할 때마다 알림이 전송되도록 CloudWatch 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon CloudWatch를 사용하여 호스팅 영역 모니터링 섹션을 참조하세요.

  • 이 섹션에서 설명하는 KSK 작업을 통해 영역의 KSK를 대체할 수 있습니다. 자세한 내용 및 단계별 예제에 대해서는 블로그 게시물 Amazon Route 53로 DNSSEC 서명 및 유효성 검사 구성에서 DNSSEC 키 교체를 참조하세요.

AWS Management Console에서 KSK로 작업하려면 다음 섹션의 지침을 따르세요.

KSK(키 서명 키) 추가

DNSSEC 서명을 활성화하면 Route 53에서 KSK(키 서명 키)를 생성합니다. KSK를 별도로 추가할 수도 있습니다. Route 53에는 호스팅 영역당 최대 2개의 KSK가 있을 수 있습니다.

KSK를 생성하는 경우 KSK와 함께 사용할 고객 관리 고객 관리형 키를 만들려면 Route 53를 제공하거나 요청해야 합니다. 고객 관리형 키를 제공하거나 만드는 경우 몇 가지 요구 사항이 있습니다. 자세한 내용은 DNSSEC용 고객 관리형 키 작업 섹션을 참조하세요.

AWS Management Console에 KSK를 추가하려면 다음 단계를 따르세요.

KSK를 추가하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 호스팅 영역을 선택합니다.

  3. KSK(키 서명 키)(Key-signing keys (KSKs))DNSSEC 서명(DNSSEC signing) 탭에서 고급 보기로 전환(Switch to advanced view)을 선택한 다음 작업(Actions)에서 KSK 추가(Add KSK)를 선택합니다.

  4. KSK에 Route 53에서 생성할 KSK의 이름을 입력합니다. 이름에는 숫자, 문자, 밑줄(_)이 포함될 수 있습니다. 이름은 고유해야 합니다.

  5. DNSSEC 서명에 적용되는 고객 관리형 키의 별칭을 입력하거나 Route 53에서 생성할 새 고객 관리형 키의 별칭을 입력합니다.

    참고

    Route 53에서 고객 관리형 키를 만들도록 선택한 경우 고객 관리형 키마다 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

  6. KSK 생성을 선택합니다.

KSK(키 서명 키) 편집

KSK의 상태를 활성 또는 비활성으로 편집할 수 있습니다. KSK가 활성화되면 Route 53에서는 DNSSEC 서명에 해당 KSK를 사용합니다. KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 비활성으로 설정해야 합니다.

AWS Management Console에 KSK를 추가하려면 다음 단계를 따르세요.

태그를 편집하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 호스팅 영역을 선택합니다.

  3. DNSSEC 서명(DNSSEC signing) 탭의 KSK(키 서명 키)(Key-signing keys (KSKs))에서 고급 보기로 전환(Switch to advanced view)을 선택한 다음, 작업(Actions)에서 KSK 편집(Edit KSK)을 선택합니다.

  4. KSK를 원하는 대로 업데이트한 다음 저장을 선택합니다.

KSK(키 서명 키) 삭제

KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 비활성으로 설정해야 합니다.

KSK를 삭제할 수 있는 이유 중 하나는 일상적인 키 교체의 일부이기 때문입니다. 암호화 키를 주기적으로 교체하는 것이 가장 좋습니다. 조직에 키를 교체하는 빈도에 대한 표준 지침이 있을 수 있습니다.

AWS Management Console에서 KSK를 삭제하려면 다음 단계를 따르세요.

KSK를 삭제하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 호스팅 영역을 선택합니다.

  3. KSK(키 서명 키)(Key-signing keys (KSKs))DNSSEC 서명(DNSSEC signing) 탭에서 고급 보기로 전환(Switch to advanced view)을 선택한 다음, 작업(Actions)에서 KSK 삭제(Delete KSK)을 선택합니다.

  4. 지침에 따라 KSK 삭제를 확인합니다.