Gerenciamento de chaves do KMS e de ZSK no Route 53 - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de chaves do KMS e de ZSK no Route 53

Esta seção descreve a prática atual que o Route 53 usa em suas zonas habilitadas para assinatura de DNSSEC.

nota

O Route 53 usa a regra a seguir, que pode ser alterada. Alterações futuras não reduzirão o procedimento de segurança de sua zona ou do Route 53.

Como o Route 53 usa o AWS KMS associado ao seu KSK

No DNSSEC, utiliza-se a KSK para gerar a assinatura de registro do recurso (RRSIG) para o conjunto de registros do recurso da DNSKEY. Todas as KSKs ACTIVE são usadas na geração de RRSIG. O Route 53 gera um RRSIG chamando a Sign AWS KMS API na chave KMS associada. Para obter mais informações, consulte Sign (Assinar) no Guia de referência da API do AWS KMS . Esses RSIGs não são considerados para o limite do conjunto de registros do recurso da zona.

O RRSIG tem validade. Para evitar que os RRSIGs percam a validade, os RRSIGs são atualizados regularmente, regenerando-os a cada período de um a sete dias.

Os RRSIGs também são atualizados toda vez que você chama qualquer uma dessas APIs:

Toda vez que o Route 53 realiza uma atualização, geramos 15 RRSIGs para cobrir os próximos dias, caso a chave do KMS associada fique inacessível. Para uma estimativa de custo da chave do KMS, considere uma atualização regular uma vez por dia. Uma chave do KMS pode ficar inacessível por alterações inesperadas na política de chaves do KMS. A chave do KMS inacessível definirá o status da KSK associada como ACTION_NEEDED. É altamente recomendável que você monitore essa condição configurando um CloudWatch alarme sempre que um DNSSECKeySigningKeysNeedingAction erro for detectado, pois a validação dos resolvedores iniciará pesquisas com falha após a expiração do último RRSIG. Para ter mais informações, consulte Monitoramento de zonas hospedadas usando a Amazon CloudWatch.

Como o Route 53 gerencia a ZSK da zona

Cada nova zona hospedada com assinatura DNSSEC ativada terá uma chave de assinatura de zona (ZSK) ACTIVE. A ZSK é gerada separadamente para cada zona hospedada e pertence ao Route 53. O algoritmo da chave atual é ECDSAP256SHA256.

Começaremos a executar a alternância regular da ZSK na zona no período de 7 a 30 dias após o início da assinatura. Atualmente, o Route 53 usa o método de sobreposição de chave pré-publicação. Para obter mais informações, consulte Pre-Publish Zone Signing Key Rollover (Sobreposição de chave de assinatura de zona pré-publicação). Esse método introduzirá outro ZSK à zona. A alternância será repetida a cada período de 7 a 30 dias.

O Route 53 suspenderá a alternância da ZSK se alguma KSK da zona estiver com o status ACTION_NEEDED, pois o Route 53 não poderá gerar novamente os RRSIGs para conjuntos de registros do recurso da DNSKEY para contabilizar as alterações na ZSK da zona. A alternância da ZSK será retomada automaticamente após a condição ser apagada.