使用用于 DNSSEC 的客户管理 CMK - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用用于 DNSSEC 的客户管理 CMK

当您在 Amazon Route 53 中启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。若要创建 KSK,Route 53 必须使用客户托管客户主密钥 (CMK)Amazon Key Management Service,支持 DNSSEC。本节介绍了客户管理的 CMK 的详细信息和要求,在您使用 DNSSEC 时可以了解这些详细信息和要求。

当您使用适用于 DNSSEC 的客户托管 CMK 时,记住以下几点:

  • 用于 DNSSEC 签名的客户托管 CMK 必须位于美国东部(弗吉尼亚北部)区域。

  • 客户管理的 CMK 必须是非对称 CMK带有ECC_NIST_P256 密钥规范. 这些 CMK 仅用于签名和验证。有关创建非对称 CMK 的帮助,请参阅创建非对称 CMK中的Amazon Key Management Service开发人员指南 的第一个版本。有关查找现有 CMK 的加密配置的帮助,请参阅查看 CMK 的加密配置中的Amazon Key Management Service开发人员指南 的第一个版本。

  • 如果您自己创建客户管理的 CMK,以便在 Route 53 中与 DNSSEC 一起使用,则必须包含特定的关键策略声明,以便为 Route 53 提供所需的权限。Route 53 必须能够访问您的客户管理的 CMK,以便它可以为您创建 KSK。有关更多信息,请参阅 DNSSEC 签名所需的 Route 53 CMK 权限

  • Route 53 可以通过以下网址创建客户托管 CMK:Amazon KMS与 DNSSEC 签名一起使用,无需额外的Amazon KMS权限。但是,如果要在创建密钥后对其进行编辑,则必须具有特定的权限。您必须具有以下特定权限:kms:UpdateKeyDescriptionkms:UpdateAlias, 和kms:PutKeyPolicy.

  • 请注意,无论您创建 CMK 还是 Route 53 为您创建 CMK,您拥有的每个客户管理的 CMK 都会收取单独的费用。有关更多信息,请参阅 Amazon Key Management Service 定价