使用适用于 DNSSEC 的客户托管密钥 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用适用于 DNSSEC 的客户托管密钥

当您在 Amazon Route 53 中启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。要创建 KSK,Route 53 必须使用支持 DNSSEC Amazon Key Management Service 的客户托管密钥。本节介绍了有关客户管理密钥的详细信息和要求,在您使用 DNSSEC 时能够有所帮助。

在使用适用于 DNSSEC 的客户托管密钥时,请牢记以下几点:

  • 与 DNSSEC 签名一起使用的客户托管密钥必须位于美国东部(弗吉尼亚北部)区域。

  • 客户托管密钥必须是采用 ECC_NIST_P256 密钥规格非对称客户托管密钥。这些客户托管密钥仅用于签名和验证。有关创建非对称客户托管密钥的帮助,请参阅《 Amazon Key Management Service 开发人员指南》中的创建非对称客户托管密钥。要帮助查找现有客户托管密钥的加密配置,请参阅 Amazon Key Management Service 开发人员指南中的查看客户托管密钥的加密配置

  • 如果您在 Route 53 中自行创建客户托管密钥以与 DNSSEC 一起使用,则必须包含特定的密钥策略语句,以便为 Route 53 提供所需的权限。Route 53 必须能够访问您的客户托管密钥,以便它可以为您创建 KSK。有关更多信息,请参阅 DNSSEC 签名所需的 Route 53 客户托管密钥权限

  • Route 53 可以创建客户托管密钥供您使用 DNSSEC 签名,无需额外 Amazon KMS 权限。 Amazon KMS 但是,如果要在创建密钥后对其进行编辑,则必须具有特定的权限。您必须具有以下特定权限:kms:UpdateKeyDescriptionkms:UpdateAliaskms:PutKeyPolicy

  • 请注意,无论您是创建客户托管密钥还是让 Route 53 为您创建密钥,您拥有的每个客户托管密钥都会单独收取费用。有关更多信息,请参阅Amazon Key Management Service 定价