Route 53 中的 KMS 金鑰和 ZSK 管理

本節說明目前 Route 53 用於已啟用 DNSSEC 簽署的區域的做法。

注意

Route 53 使用以下可能會變更的規則。將來的任何變更都不會降低您區域或 Route 53 的安全狀態。

53 號幹線如何使用與您的 KSK AWS KMS 相關聯的

在 DNSSEC 中，KSK 用於生成 DNSKEY 資源紀錄集的資源紀錄簽名 (RRSIG)。All ACTIVE KSK 均用於生成 RRSIG。路由 53 透過呼叫關聯 KMS 金鑰上的 Sign AWS KMS API 來產生 RRSIG。如需詳細資訊，請參閱《AWS KMS API 指南》中的簽署。這些 RRSIG 不會計入區域的資源紀錄集限制。

RRSIG 會過期。為防止 RRSIG 過期，會每一到七天再生成一次 RRSIG 以定期對其進行重新整理。

每次呼叫以下任一項 API 時，也會重新整理 RRSIG：

• ActivateKeySigningKey

• CreateKeySigningKey

• DeactivateKeySigningKey

• DeleteKeySigningKey

• DisableHostedZoneDNSSC

• EnableHostedZoneDNSSC

每次 Route 53 執行重新整理時，我們都會生成 15 個 RRSIG 來確保未來幾天的可用性，以防相關聯的 KMS 金鑰變得無法存取。在估計 KMS 金鑰成本時，您可以假定每天定期重新整理一次。KMS 金鑰政策的意外變更，可能會讓 KMS 金鑰變得無法存取。無法存取的 KMS 金鑰會將關聯的 KSK 狀態設定為 ACTION_NEEDED。我們強烈建議您在偵測到DNSSECKeySigningKeysNeedingAction錯誤時設定 CloudWatch 警示來監控此狀況，因為驗證解析器會在最後一次 RRSIG 到期後開始查詢失敗。如需詳細資訊，請參閱 使用 Amazon 監控託管區域 CloudWatch。

Route 53 如何管理您區域的 ZSK

啟用 DNSSEC 簽署的每個新託管區域均有一個 ACTIVE 區域簽署金鑰 (ZSK)。ZSK 由每個託管區域單獨生成，並為 Route 53 所有。目前的金鑰演算法是 ECDSAP256SHA256。

我們將在簽署開始後的 7-30 天內，開始對區域執行定期 ZSK 輪換。目前，Route 53 使用發佈前金鑰滾動法。如需詳細資訊，請參閱發佈前區域簽署金鑰滾動法。此方法會將另一個 ZSK 帶至該區域。輪換將每 7-30 天重複一次。

如果區域的任何 KSK 處於 ACTION_NEEDED 狀態，Route 53 將暫停 ZSK 輪換，因為 Route 53 無法重新生成 DNSKEY 資源紀錄集的 RRSIG，以考慮區域 ZSK 中的變更。情況解除後，ZSK 輪換將自動恢復。