使用金鑰簽署金鑰 (KSK) - Amazon Route 53
新增金鑰簽署金鑰 (KSK)編輯金鑰簽署金鑰 (KSK)刪除金鑰簽署金鑰 (KSK)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用金鑰簽署金鑰 (KSK)

當您啟用 DNSSEC 簽署時,Route 53 會為您建立金鑰簽署金鑰 (KSK)。在 Route 53 中,每個託管區域中最多可擁有兩個 KSK。啟用 DNSSEC 簽署之後,您可以新增、移除或編輯您的 KSK。

當您使用 KSK 時,請注意下列事項:

  • 在刪除 KSK 之前,您必須先編輯 KSK,將其狀態設定為 Inactive (非作用中)

  • 為託管區域啟用 DNSSEC 簽署時,Route 53 會將 TTL 限制為一週。如果您將託管區域中記錄的 TTL 設定為一週以上,則不會收到錯誤,但 Route 53 會強制執行一週的 TTL。

  • 若要協助防止區域中斷,並避免網域無法使用的問題,您必須快速處理並解決 DNSSEC 錯誤。我們強烈建議您設定警示,以便在偵測到DNSSECInternalFailureDNSSECKeySigningKeysNeedingAction錯誤時向您發出警示。 CloudWatch 如需詳細資訊,請參閱 使用 Amazon 監控託管區域 CloudWatch

  • 本節描述的 KSK 操作可讓您輪換區域的 KSK。如需詳細資訊和 step-by-step 範例,請參閱部落格文章中的 DNSSEC 金鑰輪替設定使用 Amazon Route 53 進行 DNSSEC 簽署和驗證

若要使用中的 KSK AWS Management Console,請遵循以下各節中的指導。

新增金鑰簽署金鑰 (KSK)

當您啟用 DNSSEC 簽署時,Route 53 會為您建立金鑰簽署 (KSK)。您也可以單獨新增 KSK。在 Route 53 中,每個託管區域中最多可擁有兩個 KSK。

建立 KSK 時,您必須提供或要求 Route 53 建立客戶受管金鑰,以搭配 KSK 使用。當您提供或建立客戶受管金鑰時,有幾點要求需要滿足。如需詳細資訊,請參閱 使用 DNSSEC 的客戶受管金鑰

請遵循下列步驟,在 AWS Management Console中新增 KSK。

新增 KSK

  1. 登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC 標籤上的 Key-signing keys (KSKs) (金鑰簽署金鑰 (KSK)) 中,選擇 Switch to advanced view (切換至進階檢視),然後在 Actions (動作) 下選擇 Add KSK (新增 KSK)

  4. KSK 下,輸入 Route 53 將為您建立的 KSK 名稱。名稱僅能包含字母、數字和底線 (_)。它必須獨一無二。

  5. 輸入適用於 DNSSEC 簽署的客戶受管金鑰的別名,或輸入新客戶受管金鑰的別名,Route 53 將為您建立此金鑰。

    注意

    如果您選擇讓 Route 53 建立客戶受管金鑰,請注意每個客戶受管金鑰都要分別支付費用。如需詳細資訊,請參閱 AWS Key Management Service 定價

  6. 選擇 Create KSK (建立 KSK)

編輯金鑰簽署金鑰 (KSK)

您可以將 KSK 的狀態編輯為 Active (作用中)Inactive (非作用中)。當 KSK 處於作用中狀態時,Route 53 會使用該 KSK 進行 DNSSEC 簽署。在刪除 KSK 之前,您必須先編輯 KSK,將其狀態設定為 Inactive (非作用中)

請遵循下列步驟,在 AWS Management Console中編輯 KSK。

編輯 KSK

  1. 登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC signing (DNSSEC 簽署) 標籤上的 Key-signing keys (KSKs) (金鑰簽署金鑰 (KSK)) 中,選擇 Switch to advanced view (切換至進階檢視),然後,在 Actions (動作) 下選擇 Edit KSK (編輯 KSK)。

  4. 對 KSK 進行所需的更新,然後選擇 Save (儲存)

刪除金鑰簽署金鑰 (KSK)

在刪除 KSK 之前,您必須先編輯 KSK,將其狀態設定為 Inactive (非作用中)

您可能會刪除 KSK 的一點原因是做為例行金鑰輪換的環節之一。定期輪換密碼編譯金鑰是一種最佳實務。您的組織可能會針對輪換金鑰的頻率提供標準指引。

請依照下列步驟,在 AWS Management Console中刪除 KSK。

刪除 KSK

  1. 登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Hosted zones (託管區域),然後選擇託管區域。

  3. DNSSEC 標籤上的 Key-signing keys (KSKs) (金鑰簽署金鑰 (KSK)) 中,選擇 Switch to advanced view (切換至進階檢視),然後在 Actions (動作) 下選擇 Delete KSK (刪除 KSK)

  4. 按照指引確認刪除 KSK。