As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
KMSchave e ZSK gerenciamento no Route 53
Esta seção descreve a prática atual que o Route 53 usa para suas zonas habilitadas para DNSSEC assinatura.
nota
O Route 53 usa a regra a seguir, que pode ser alterada. Alterações futuras não reduzirão o procedimento de segurança de sua zona ou do Route 53.
- Como o Route 53 usa o AWS KMS associado ao seu KSK
EmDNSSEC, o KSK é usado para gerar a assinatura de registro de recurso (RRSIG) para o conjunto DNSKEY de registros de recursos. Todos
ACTIVE
KSKs são usados na RRSIG geração. O Route 53 gera um RRSIG chamando-oSign
AWS KMS API na KMS chave associada. Para obter mais informações, consulte Fazer login no AWS KMS APIguia. Eles RRSIGs não contam para o limite do conjunto de registros de recursos da zona.RRSIGtem uma expiração. Para evitar que RRSIGs expirem, eles RRSIGs são atualizados regularmente, regenerando-os a cada um a sete dias.
Eles também RRSIGs são atualizados toda vez que você liga para qualquer um desses: APIs
Sempre que o Route 53 realiza uma atualização, geramos 15 RRSIGs para cobrir os próximos dias, caso a KMS chave associada fique inacessível. Para estimar os KMS principais custos, você pode considerar uma atualização regular uma vez por dia. Uma KMS chave pode ficar inacessível devido a alterações inadvertidas na política de chaves. KMS A KMS chave inacessível definirá o status KSK do associado como
ACTION_NEEDED
. É altamente recomendável que você monitore essa condição configurando um CloudWatch alarme sempre que umDNSSECKeySigningKeysNeedingAction
erro for detectado, pois a validação dos resolvedores iniciará pesquisas com falhas após a última expiração. RRSIG Para obter mais informações, consulte Monitoramento de zonas hospedadas usando a Amazon CloudWatch.- Como o Route 53 gerencia a sua zona ZSK
Cada nova zona hospedada com a DNSSEC assinatura ativada terá uma chave de assinatura de
ACTIVE
zona (ZSK). O ZSK é gerado separadamente para cada zona hospedada e é de propriedade do Route 53. O algoritmo chave atual éECDSAP256SHA256.Começaremos a realizar a ZSK rotação regular na zona dentro de 7 a 30 dias após o início da assinatura. Atualmente, o Route 53 usa o método de sobreposição de chave pré-publicação. Para obter mais informações, consulte Pre-Publish Zone Signing Key Rollover
(Sobreposição de chave de assinatura de zona pré-publicação). Esse método introduzirá outro ZSK na zona. A alternância será repetida a cada período de 7 a 30 dias. O Route 53 suspenderá a ZSK rotação se alguma zona KSK estiver em
ACTION_NEEDED
status, pois o Route 53 não poderá regenerar os conjuntos de registros de DNSKEY recursos RRSIGs para contabilizar as alterações na zona. ZSK ZSKa rotação será retomada automaticamente depois que a condição for eliminada.