Route 53에서의 KMS 키 및 ZSK 관리

이 섹션에서는 DNSSEC 서명 활성화 영역에 대해 Route 53이 사용하는 현재 방법을 설명합니다.

참고

Route 53는 변경될 수 있는 다음 규칙을 사용합니다. 향후 변경으로 인해 영역 또는 Route 53의 보안 태세가 줄어들지 않습니다.

Route 53이 AWS KMS KSK와 연결된 인터페이스를 사용하는 방법

DNSSEC에서 KSK는 DNSSKEY 리소스 레코드 세트에 대한 리소스 레코드 서명(RRSIG)을 생성하는 데 사용됩니다. 모든 ACTIVE KSK는 RRSIG 세대에서 사용됩니다. Route 53은 연결된 KMS 키에서 Sign AWS KMS API를 호출하여 RRSIG를 생성합니다. 자세한 내용은 AWS KMS API 가이드의 서명을 참조하세요. 이러한 RRSIG는 영역의 리소스 레코드 세트 제한에 포함되지 않습니다.

RRSIG가 만료되었습니다. RRSIG가 만료되는 것을 방지하기 위해 RRSIG를 1일에서 7일마다 다시 생성하여 정기적으로 새로 고칩니다.

또한 다음 API를 호출할 때마다 RRSIG가 새로 고쳐집니다.

• ActivateKeySigningKey

• CreateKeySigningKey

• DeactivateKeySigningKey

• DeleteKeySigningKey

• DisableHostedZoneDNSSEC

• EnableHostedZoneDNSSEC

Route 53이 새로 고침을 수행할 때마다 관련 KMS 키에 액세스할 수 없게 되는 경우를 대비하여 향후 며칠을 처리하기 위해 15개의 RRSIG를 생성합니다. KMS 키 비용 추정을 위해 하루에 한 번 정기적으로 새로 고침한다고 가정할 수 있습니다. KMS 키 정책을 실수로 변경하면 KMS 키에 액세스하는 것이 어려울 수 있습니다. 액세스할 수 없는 KMS 키는 연결된 KSK의 상태를 ACTION_NEEDED로 설정합니다. 오류가 감지될 때마다 CloudWatch 경보를 설정하여 이 상태를 모니터링하는 것이 좋습니다. 확인자를 검증하면 마지막 RRSIG가 만료된 후 조회에 실패하기 시작하므로 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 경보를 설정하여 이 상태를 모니터링하는 것이 좋습니다. 자세한 설명은 Amazon을 사용한 호스팅 영역 모니터링 CloudWatch 섹션을 참조하세요.

Route 53이 영역의 ZSK를 관리하는 방법

DNSSEC 서명이 활성화된 각 새 호스팅 영역에는 하나의 ACTIVE 영역 서명 키(ZSK)가 있습니다. ZSK는 각 호스팅 영역에 대해 별도로 생성되며 Route 53이 소유합니다. 현재 키 알고리즘은 ECDSAP256SHA256입니다.

서명 시작 후 7~30일 이내에 영역에서 정기적으로 ZSK 회전을 수행하기 시작합니다. 현재 Route 53은 사전 게시 키 롤오버 방법을 사용합니다. 자세한 내용은 사전 게시 영역 서명 키 롤오버 단원을 참조하세요. 이 방법은 영역에 다른 ZSK를 도입합니다. 회전은 7~30일마다 반복됩니다.

Route 53은 영역의 ZSK의 변경 사항을 설명하기 위해 DNSKEY 리소스 레코드 세트에 대한 RRSIG를 다시 생성할 수 없기 때문에 영역의 KSK가 ACTION_NEEDED 상태인 경우 Route 53은 ZSK 회전을 일시 중단합니다. 조건이 지워지면 ZSK 회전이 자동으로 재개됩니다.