Como trabalhar com chaves de assinatura de chave (KSK) - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como trabalhar com chaves de assinatura de chave (KSK)

Quando você habilita a assinatura de DNSSEC, o Route 53 cria uma chave de assinatura de chave (KSK) para você. É possível ter até duas KSKs por zona hospedada no Route 53. Depois de habilitar a assinatura de DNSSEC, você pode adicionar, remover ou editar suas KSKs.

Observe o seguinte ao trabalhar com suas KSKs:

  • Antes de excluir uma KSK, você deve editar a KSK para definir seu status como Inactive (Inativo).

  • Quando a assinatura de DNSSEC estiver habilitada para uma zona hospedada, o Route 53 limitará o TTL a uma semana. Se você definir um TTL para registros na zona hospedada como mais de uma semana, não receberá um erro, mas o Route 53 vai impor um TTL de uma semana.

  • Para ajudar a evitar uma interrupção da zona e evitar que problemas com o seu domínio se tornem indisponíveis, você deve tratar e resolver rapidamente os erros de DNSSEC. É altamente recomendável que você configure um CloudWatch alarme que o alerte sempre que um DNSSECKeySigningKeysNeedingAction erro DNSSECInternalFailure ou for detectado. Para ter mais informações, consulte Monitoramento de zonas hospedadas usando a Amazon CloudWatch.

  • As operações KSK descritas nesta seção permitem que você alterne as KSK da sua zona. Para obter mais informações e um step-by-step exemplo, consulte DNSSEC Key Rotation na postagem do blog Configurando a assinatura e validação do DNSSEC com o Amazon Route 53.

Para trabalhar com KSKs no AWS Management Console, siga as orientações nas seções a seguir.

Adicionar uma chave de assinatura de chave (KSK)

Quando você habilita a assinatura de DNSSEC, o Route 53 cria uma assinatura de chave (KSK) para você. Você também pode adicionar KSKs separadamente. É possível ter até duas KSKs por zona hospedada no Route 53.

Ao criar uma KSK, você deve fornecer ou solicitar o Route 53 para criar uma chave gerenciada pelo cliente para usar com a KSK. Quando você fornece ou cria uma chave gerenciada pelo cliente, há vários requisitos. Para ter mais informações, consulte Como trabalhar com chaves gerenciadas pelo cliente para DNSSEC.

Siga estas etapas para adicionar uma KSK no AWS Management Console.

Como adicionar uma KSK
  1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Hosted zones (Zonas hospedadas) e, em seguida, escolha uma zona hospedada.

  3. Na guia DNSSEC signing (Assinatura do DNSSEC), em Key-signing keys (KSKs) (Chaves de assinatura de chave [KSK]), escolha Switch to advanced view (Alternar para exibição avançada) e, em seguida, em Actions (Ações), escolha Add KSK (Adicionar KSK).

  4. Em KSK, insira um nome para a KSK que o Route 53 criará para você. O nome só pode conter números, letras e sublinhados (_). Essa opção deve ser exclusiva.

  5. Insira o alias para uma chave gerenciada pelo cliente que se aplique à assinatura de DNSSEC ou insira um alias para uma nova chave gerenciada pelo cliente que o Route 53 criará para você.

    nota

    Se você optar por fazer com que o Route 53 crie uma chave gerenciada pelo cliente, esteja ciente de que cobranças separadas se aplicam a cada chave gerenciada pelo cliente. Para obter mais informações, consulte Preços do AWS Key Management Service.

  6. Escolha Create KSK (Criar KSK).

Edite uma chave de assinatura de chave (KSK)

Você pode editar o status de uma KSK para ser Active (Ativo) ou Inactive (Inativo). Quando uma KSK está ativa, o Route 53 usa essa KSK para assinatura de DNSSEC. Antes de excluir uma KSK, você deve editar a KSK para definir seu status como Inactive (Inativo).

Siga estas etapas para editar uma KSK no AWS Management Console.

Para editar uma KSK
  1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Hosted zones (Zonas hospedadas) e, em seguida, escolha uma zona hospedada.

  3. Na guia DNSSEC signing (Assinatura de DNSSEC), em Key-signing keys (KSKs) (Chaves de assinatura de chaves), escolha Switch to advanced view (Alternar para exibição avançada) e, em seguida, em Actions (Ações), escolha Edit KSK (Editar KSK).

  4. Faça as atualizações desejadas na KSK e escolha Save (Salvar).

Excluir uma chave de assinatura de chave (KSK)

Antes de excluir uma KSK, você deve editar a KSK para definir seu status como Inactive (Inativo).

Um dos motivos pelos quais você pode excluir uma KSK é como parte da rotação de chaves de rotina. É uma prática recomendada rotacionar chaves criptográficas periodicamente. Sua organização pode ter orientação padrão para a frequência de rotação das chaves.

Siga estas etapas para excluir uma KSK no AWS Management Console.

Para excluir uma KSK
  1. Faça login AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Hosted zones (Zonas hospedadas) e, em seguida, escolha uma zona hospedada.

  3. Na guia DNSSEC signing (Assinatura de DNSSEC), em Key-signing keys (KSKs) (Chaves de assinatura de chave [KSK]), escolha Switch to advanced view (Alternar para exibição avançada) e, em Actions (Ações), escolha Delete KSK (Excluir KSK).

  4. Siga as orientações para confirmar a exclusão da KSK.