使用 DNSSEC 的客戶受管金鑰

當您在 Amazon Route 53 中啟用 DNSSEC 簽署時，Route 53 會為您建立金鑰簽署金鑰 (KSK)。若要建立 KSK，Route 53 必須使用中 AWS Key Management Service 支援 DNSSEC 的客戶管理金鑰。本節說明客戶受管金鑰的詳細資料和要求，這些金鑰在您使用 DNSSEC 時很有幫助。

當您使用 DNSSEC 的客戶受管金鑰時，請謹記以下幾點：

• 與 DNSSEC 簽署一起使用的客戶受管金鑰必須位於美國東部 (維吉尼亞北部) 區域。

• 客戶受管金鑰必須是具有 ECC_NIST_P256 金鑰規格的非對稱客戶受管金鑰。這些客戶受管金鑰僅用於簽署和驗證。如需建立非對稱客戶管理金鑰的協助，請參閱 AWS Key Management Service 開發人員指南中的建立非對稱客戶管理金鑰。如需協助尋找現有客戶受管金鑰的加密組態，請參閱 AWS Key Management Service 開發人員指南中的檢視客戶受管金鑰的加密組態。

• 如果您自行建立客戶受管金鑰，以便在 Route 53 中搭配 DNSSEC 使用，則必須包含讓 Route 53 具有必要許可的特定金鑰政策陳述式。Route 53 必須能夠存取您的客戶受管金鑰，以便為您建立 KSK。如需詳細資訊，請參閱 DNSSEC 簽署需要 Route 53 客戶受管金鑰許可。

• Route 53 可以為您建立客戶管理的金鑰，以 AWS KMS 便在沒有其 AWS KMS 他權限的情況下與 DNSSEC 簽章搭配使用。但是，如果您想要在建立金鑰後對其進行編輯，則必須具有特定的許可。您必須擁有的特定許可如下：kms:UpdateKeyDescription、kms:UpdateAlias 以及 kms:PutKeyPolicy。

• 請注意，無論是您自己建立客戶受管金鑰，還是 Route 53 為您建立金鑰，都會針對您擁有的每個客戶受管金鑰收取個別費用。如需詳細資訊，請參閱 AWS Key Management Service 定價。