使用适用于 DNSSEC 的客户托管密钥 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用适用于 DNSSEC 的客户托管密钥

当您在 Amazon Route 53 中启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。要创建 KSK,Route 53 必须在 Amazon Key Management Service 中使用支持 DNSSEC 的客户托管密钥。本节介绍了有关客户管理密钥的详细信息和要求,在您使用 DNSSEC 时能够有所帮助。

在使用适用于 DNSSEC 的客户托管密钥时,请牢记以下几点:

  • 与 DNSSEC 签名一起使用的客户托管密钥必须位于美国东部(弗吉尼亚北部)区域。

  • 客户托管密钥必须是采用 ECC_NIST_P256 密钥规格非对称客户托管密钥。这些客户托管密钥仅用于签名和验证。有关创建非对称客户管理密钥的帮助,请参阅 Amazon Key Management Service 开发人员指南中的创建非对称客户托管密钥。有关查找现有客户托管密钥加密配置的帮助,请参阅 Amazon Key Management Service 开发人员指南中的查看客户托管密钥的加密配置

  • 如果您在 Route 53 中自行创建客户托管密钥以与 DNSSEC 一起使用,则必须包含特定的密钥策略语句,以便为 Route 53 提供所需的权限。Route 53 必须能够访问您的客户托管密钥,以便它可以为您创建 KSK。有关更多信息,请参阅DNSSEC 签名所需的 Route 53 客户托管密钥权限

  • Route 53 可以为您在 Amazon KMS 中创建客户托管密钥以与 DNSSEC 签名一起使用,无需额外的 Amazon KMS 权限。但是,如果要在创建密钥后对其进行编辑,则必须具有特定的权限。您必须具有以下特定权限:kms:UpdateKeyDescriptionkms:UpdateAliaskms:PutKeyPolicy

  • 请注意,无论您是创建客户托管密钥还是让 Route 53 为您创建密钥,您拥有的每个客户托管密钥都会单独收取费用。有关更多信息,请参阅Amazon Key Management Service定价